Eventos do Windows Server devem monitorar se você compra Bitcoin localmente

É um tópico frequente em relatos de violações de segurança que a maioria dos comprometimentos passa despercebida por algumas semanas e que as organizações têm evidências da violação em seus relatórios. logs de eventos. Especialistas em treinamento de segurança da informação comentam que os logs de eventos do Windows Server contêm informações úteis de massa, mas encontram eventos que podem indicar um problema operacional ou violação de segurança de todo o ruído, e não é uma tarefa fácil.

Os produtos de Informações de Segurança e Gerenciamento de Eventos de Terceiros (SIEM) podem centralizar protocolos e fornecer informações para ajudar a identificar eventos que podem ser importantes. No entanto, na ausência de um produto SIEM, os recursos internos do Windows Server podem ajudar a proteger seus sistemas.


No Windows Server 2008 e posterior, a diretiva de monitoramento avançada fornece um controle mais granular configurações de revisão que estava em versões mais antigas Windows Server. As configurações para configurações de monitoramento mais antigas são mantidas para compatibilidade com versões anteriores, embora as políticas e configurações de monitoramento avançadas para configurações de monitoramento mais antigas não possam ser usadas ao mesmo tempo.

Você pode encontrar a recomendação da Microsoft configurações de revisão nos modelos básicos de segurança para Windows Server. O Security Compliance Toolkit pode ser baixado gratuitamente no site da Microsoft e inclui modelos para várias funções de servidor, como: Por exemplo, o controlador de domínio e o servidor membro. Modelos podem ser convertidos em Objetos de Diretiva de Grupo (GPOs) e aplicados a seus sistemas. Como alternativa, cada linha de base contém uma planilha do Excel que contém uma lista de todos os parâmetros contidos no modelo.

A centralização de logs de eventos tem algumas vantagens. Primeiro, você não precisa fazer login em cada servidor individualmente para ver os logs, e eles podem ser manipulados de forma mais eficiente em um só lugar. Segundo, se os logs de eventos de um servidor forem excluídos durante um ataque, você poderá visualizar rapidamente os logs do servidor sem precisar restaurar o backup.

Windows usa protocolo padrão da indústria para envio logs de eventos, Por exemplo, você pode enviar logs para outro dispositivo Windows ou para um produto SIEM, de acordo com pesquisadores de treinamento de informações. Um coletor é configurado com assinaturas para os servidores que você deseja arrastar logs de eventos. Os computadores de origem não exigem nenhuma configuração especial, exceto que o WinRM (Gerenciamento Remoto do Windows) deve estar habilitado. Se você desejar coletar o log de segurança de um controlador de domínio (DC), deverá conceder ao serviço de rede a conta de permissão do DC para acessar o canal de reprodução no log de segurança.

Colete eventos que indicam uma alteração de configuração, um erro ou um problema. Por exemplo, você pode alterar os eventos do firewall do Windows, como adicionar a regra de firewall. O firewall de coleta de regra de firewall da regra de firewall falhou ao carregar a estratégia do grupo. Alterações no Firewall do Windows podem indicar atividade mal-intencionada. Outro exemplo é o Windows Defender, que é entregue pronto para uso no Windows Server 2016. Os eventos de pesquisa, como solução de problemas, detecção de malware e atualização de assinaturas falharam.

Os hackers tentam esconder sua presença o maior tempo possível. ID do Evento 104 O log de eventos foi excluído e o log de auditoria do Event ID 1102 foi excluído, o que pode indicar um problema. Identificação do evento 4719 A diretiva de auditoria do sistema de alterações também pode indicar atividades mal-intencionadas. As falhas de aplicativos também podem indicar a presença de um hacker.

Hackers, como outros usuários, precisam acessar seus sistemas. Portanto, vale a pena procurar uma atividade de login suspeita. Pass-the-hash (PtH) é uma forma popular de ataque em que um invasor pode acessar uma conta sem saber a senha. Procure por IDs de evento NTLM Logon Type 3 4624 (failed) e 4625 (success).

Embora a Microsoft ofereça esses recursos, pode ser difícil implementar o gerenciamento de direitos em uma empresa. O PowerBroker for Windows pode ajudá-lo. A educação especializada em segurança da informação explicou que o Powerbroker para Windows é uma solução de gerenciamento de privilégios que oferece visibilidade e controle incomparáveis ​​em desktops e servidores físicos e virtuais.