Настройка аудита в windows для полноценного soc-мониторинга

Мегаплан

Мегаплан

  • работает в облаке или на вашем сервере,
  • легкий контроль за сроками: вовремя обнаружить проблему, понять причину, позвать на помощь, передвинуть дедлайн,
  • полная история коммуникаций с клиентами и партнерами, этапы сделок и планы дел (звонков, встреч, переписки),
  • оценка качества работы, учет времени, быстрая передача дел,
  • удаленная работа из любой точки.
  • Бизнес-менеджер (от 3200 руб./мес.),
  • CRM: клиенты и продажи (от 2450 руб./мес.),
  • Совместная работа (от 1450 руб./мес.),
  • Проект-менеджер (от 1750 руб./мес.).
  • интеграция с 1С,
  • смс-пакет на 1000 сообщений,
  • интеграция с Октелл,
  • телефония VoxImplant,
  • согласование документов в Мегаплане и т.д.

Проблема: один из пользователей потребляет 90% и более CPU

Опишу реальный случай с которым вы обязательно столкнетесь, если у вас в компании используются терминальные столы. И так есть RDS ферма построенная на базе Windows Server 2012 R2 до Windows Server 2019. На каждом из RDSH хостов могут одновременно работать свыше 30 пользователей. В среднем они суммарно не потребляют более 30% процессорных мощностей, но когда приходит период отчетности некоторые пользователи начинают нагружать сервера куда интенсивнее. Очень часто можно встретить, что пользователь работающий с Excel, 1С и похожими программами начинает потреблять 80-90% процессорных мощностей, в результате чего начинают страдать остальные пользователи этого RDSH хоста.

Ранее для решения это проблемы в Windows Server 2008 R2 был замечательный компонент диспетчер системных ресурсов (Windows System Resource Manager), но Microsoft его посчитала устаревшим и выпилила из состава компонентов, аж с Windows Server 2012 R2 и выше. Но не думайте, что доблестные разработчики не подумали чем вам восполнить этот пробел, они придумали и включили в состав Windows Server компонент «Динамическое планирование долевого распределения» или как в оригинале «Dynamic Fair Share Scheduling (DFSS)».

Усиление цифровой обороны

Для максимальной отдачи необходимо выполнить ещё одну настройку — включить логирование «командной строки процесса». Тогда на рабочих станциях и серверах, к которым применяется этот параметр политики, сведения из командной строки будут заноситься в журнал событий «Безопасность» (Security) с ID 4688.

Рисунок 10. Журналирование командной строки процесса

Путь к политике: Конфигурация компьютера / Административные шаблоны / Система / Аудит создания процессов (Computer Configuration / Administrative Templates / System / Audit Process Creation). Имя: «Включать командную строку в события создания процессов» (Include command line in process creation events).

Рисунок 11. Путь к аудиту создания процессов

Включаем политику, выставив соответствующее значение, и нажимаем «Применить» (Apply).

Рисунок 12. Настройка «Включать командную строку в события создания процессов» 

После включения этой политики в журнале событий «Безопасность» (Security) в событиях с кодом 4688 появится дополнительное значение «Командная строка процесса» (Process Command Line), где будет отображаться тело исполняемой команды.

В примере ниже демонстрируется, как это поможет заглянуть чуть глубже. На первый взгляд в событии происходит запуск легитимного процесса «opera_autoupdate.exe», но вот строка «Process Command Line» больше похожа на запуск утилиты «mimikatz». Без активированной политики «Включать командную строку в события создания процессов» мы этого не зафиксируем.

Рисунок 13. Детектирование mimikatz

Укрепим нашу оборону и полным журналированием работы самого мощного инструмента ОС Windows — PowerShell. Для этого необходима версия PowerShell 5.0 или выше.

PowerShell 5.0 / 5.1 предустановлен в Windows 10, Windows Server 2016 и Windows Server 2019. Для остальных операционных систем необходимо обновить модуль Windows Management Framework.

Список поддерживаемых ОС:

  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2 SP1
  • Windows 8.1
  • Windows 8
  • Windows 7 SP1

Скачайте с сайта Microsoft соответствующую версию, выполните установку и перезагрузку хоста. Также обязательным требованием является наличие Microsoft .NET Framework 4.5 или выше.

Включим регистрацию блоков сценариев PowerShell через соответствующую политику. Она находится по следующему пути: Административные шаблоны / Компоненты Windows / Windows PowerShell (Administrative Templates / Windows Components / Windows PowerShell). Имя: «Включить регистрацию блоков сценариев PowerShell» (Turn on PowerShell Script Block Logging)

Рисунок 14. Путь к аудиту Windows PowerShell

Включаем политику и нажимаем «Применить» (Apply). При этом устанавливать галочку напротив поля «Регистрация начала или остановки вызова блоков сценариев» (Log script block invocation start / stop events) не нужно. Данная функция увеличивает количество регистрируемых событий, которые не несут полезной информации.

Рисунок 15. Включить регистрацию блоков сценариев PowerShell

После включения этой политики PowerShell будет регистрировать в журнале событий трассировки Microsoft-Windows-PowerShell/Operational с кодом события 4104 все блоки сценариев, в том числе — путь, тело скрипта и все используемые командлеты.

Рисунок 16. Пример регистрируемого события 4104

Хорошей практикой является увеличение размера самих журналов, даже если вы используете SIEM или сервер сборщика событий (Windows Event Collector). Например, журнал «Безопасность» (Security) по умолчанию имеет размер 20 МБ. При настроенном аудите на типичном АРМ этого объёма хватит на журналирование нескольких дней, на сервере — нескольких часов, а на контроллере домена 20 МБ не хватит ни на что.

Рекомендуем для всех основных журналов следующие объёмы:

  • журнал «Установка» (Setup) — не менее 10 МБ,
  • журнал «Система» (System) — не менее 50 МБ,
  • журнал «Приложение» (Application) — не менее 50 МБ,
  • журнал «Безопасность» (Security) — не менее 200 МБ (для контроллера домена — не менее 500 МБ).

При этом оставляем функцию перезаписи старых событий (по умолчанию она активирована).

Рисунок 17. Настройка хранения журналов аудита

Задание приоритетов при распределении ресурсов

После того, как вы закончили создание вашей политики, нажмите на OK. Теперь вы вернетесь в диалоговое окно New Resource Allocation Policy. Как вы можете увидеть из рисунка 4 политика, которую мы создали, теперь появится в списке ресурсов.

Рисунок 4: Наша новая политика появилась в списке ресурсов

Если вы посмотрите на новую политику, то вы обратите внимание на иконки стрелок вверх и вниз. Вы можете использовать эти стрелки для изменения приоритетов политик

В том случае, если у вас задана лишь одна политика, вы не можете задавать приоритеты. Но если бы у нас было несколько политик, то вы могли бы использовать эти иконки для задания порядка применения политик.

Брайн Позей (Brien Posey)

Режим разрыва клавиатуры

В режиме разрыва клавиатуры сканер просто набирает клавиши, которые соответствуют символам штрих-кода. Не требуется никаких драйверов, чтобы сканер заработал в 1С.

Во всех типовых конфигурациях по кнопке F7 открывается окно ввода штрих-кода. Поэтому достаточно сканеру запрограммировать префикс F7 и все, он будет поддерживаться 1С.

Если конфигурация дорабатывалась и в некоторых участках забыли прописать типовую поддержку F7, проще дописать эту поддержку. Но в качестве альтернативы можно использовать драйвер Атол старых версий, где выбрать в качестве порта «Разрыв клавиатуры».

Новые версии драйверов Атол платные, а бесплатные делают 10-секундную задержку перед обработкой штрих-кода.

Способ прост для подключения, но неудобен в работе.

  • Нужно следить, чтобы была включена правильная раскладка клавиатуры.
  • При использовании префикса курсор должен стоять внутри таблицы, иначе F7 не срабатывает.
  • Буквы при наборе в RDP часто теряются, и сканер считывает усеченные штрих-коды.

Поэтому лучше все же, если используется разрыв клавиатуры, не использовать драйвер Атол (это лишние потери времени и символов), а просто запрограммировать префикс F7.

В моем случае был интересный глюк – буквы на некоторых штрих-кодах преобразовывались в верхний регистр. Я долго мучался, но мне подсказали, что нужно включить режим посимвольной передачи штрих-кода, а не пакетный, который стоял по умолчанию.

Предоставление учетных данных с помощью команды Manage As

При добавлении удаленных серверов в диспетчер серверов некоторые из добавленных серверов могут требовать учетные данные другой учетной записи пользователя для доступа к ним или управления ими. Чтобы указать учетные данные для управляемого сервера, отличные от используемых для входа на компьютер, на котором работает диспетчер серверов, воспользуйтесь командой Manage As после добавления сервера в диспетчер серверов, которую можно вызвать, щелкнув правой кнопкой мыши запись для управляемого сервера в плитке Серверы домашней страницы роли или группы. Если щелкнуть команду Manage As, откроется диалоговое окно Безопасность Windows, в котором можно ввести имя пользователя, имеющего права доступа на управляемом сервере, в одном из следующих форматов.

  • User name

  • Имя пользователя@example.domain.com

  • Домен \ Имя пользователя

Диалоговое окно Безопасность Windows, которое открывается командой Manage As, не может принимать учетные данные смарт-карты; предоставление учетных данных смарт-карты через диспетчер серверов не поддерживается. Учетные данные, предоставленные для управляемого сервера с помощью команды Manage As, кэшируются и сохраняются до тех пор, пока вы управляете сервером с помощью того же компьютера, на котором в текущий момент работает диспетчер серверов, или до тех пор, пока вы их не переопределите, указав пустые или другие учетные данные для этого сервера. При экспорте параметров диспетчера серверов на другие компьютеры или настройке перемещаемого профиля домена, чтобы разрешить использование параметров диспетчера серверов на других компьютерах, учетные данные Manage As для серверов в вашем пуле серверов не сохраняются в перемещаемом профиле. Пользователи диспетчера серверов должны добавлять их на каждом компьютере, с которого им необходимо осуществлять управление.

После добавления серверов для управления с помощью следующих процедур, приводимых в этом разделе, но перед использованием команды Manage As для указания альтернативных учетных данных, необходимых для управления добавленным сервером, для этого сервера могут отображаться следующие ошибки состояния управляемости:

  • Ошибка разрешения целевого компьютера Kerberos

  • Ошибка проверки подлинности Kerberos

  • В сети: отказано в доступе

Примечание

роли и компоненты, не поддерживающие команду » управление как «, включают службы удаленных рабочих столов (RDS) и сервер управления IP-адресами (IPAM). Если вы не можете управлять удаленным сервером RDS или IPAM с помощью учетных данных, используемых на компьютере, на котором работает диспетчер серверов, попробуйте добавить учетную запись, которая обычно используется для управления этими удаленными серверами, в группу администраторов на компьютере с диспетчером серверов. Затем войдите на компьютер, на котором работает диспетчер серверов, с учетной записью, которая используется для управления удаленным сервером, на котором работает RDS или IPAM.

▍Слабости RDP

Брутфорс-атаки

  1. Простейшие атаки, которые заключаются в подборе элементарных паролей без использования каких-либо инструментов автоматизации.
  2. Атаки по словарю, во время которых запускается перебор всевозможных паролей для предполагаемого имени пользователя.
  3. Гибридные атаки, которые включают использование словарей, но каждый пароль проверяется не только в словарной форме, но и после ряда простых модификаций.
  4. Password spraying, во время которых для известного пароля перебираются миллионы имен пользователей, пока не найдется совпадение.
  5. Credential stuffing, при которых для перебора злоумышленники используют список скомпрометированных учетных данных пользователей.

Дополнительная информация

Хотя RemoteFX перенаправление USB для Windows 7 SP1 было реализовано для клиентских СКУ с одним сеансом, RemoteFX перенаправление USB для Windows Server 2012 R2 поддерживает перенаправление от нескольких клиентов и обеспечивает изоляцию сеанса для перенаправленных устройств. Таким образом, пользователи будут видеть только USB-устройства, которые принадлежат им. Когда перенаправление USB-устройств включено в RDS или MultiPoint, usb-устройства назначены определенному сеансу, в который они были перенаправлены. Доступ к этим устройствам может получить только код в режиме пользователя, работающий в том же сеансе.

По умолчанию диспетчер I/O отказывает в доступе, когда служба, запущенная в сеансе 0, пытается открыть одно из этих устройств, если служба не делает это, передав флаг FILE_FLAG_SESSION_AWARE CreateFile. Теория заключается в том, что, когда разработчики обновили свои службы, чтобы использовать этот флаг для открытия устройств, они также добавили новые функции, чтобы убедиться, что их службы ограничивают доступ к этим устройствам к любым другим приложениям из других сеансов, которые также могут использовать службу (например, если служба является сервером COM).

Дополнительные замечания

Ездить каждый раз к пользователям сканеров не получалось. Поэтому я научил одного сотрудника на месте распечатывать нужные страницы из руководства и сканировать нужные мне последовательности команд.

Есть специальная программа ScanMaster, которая может назначать префикс и делать другие настройки для разных моделей сканеров. Но она работает только со сканерами, подключенными через COM, а не в разрыв клавиатуры.

Для проверки, работает или нет сканер, можно использовать все же драйвер Атол, программа «Драйвер устройств ввода». Нажать «Настройка свойств» — «Поиск оборудования», и далее просканировать любой штрих-код. Если сканер подключен нормально, будет отображен штрих-код.

Вызов Диспетчера задач в Виндовс 8

Одной из самых распространенных проблем, с которыми приходиться встречаться пользователям является так называемое зависание программ. В этот момент может наблюдаться резкое падение производительности системы вплоть до того что компьютер перестаёт реагировать на команды пользователя. В таких случаях лучше всего будет принудительно завершить зависший процесс. Для этого в Windows 8 предусмотрен замечательный инструмент – «Диспетчер задач».

Если вы не можете воспользоваться мышью, то для поиска зависшего процесса в Диспетчере задач можно использовать клавиши со стрелками, а для его быстрого завершения кнопку Delete.

Способ 1: Сочетания клавиш

Самый известный способ запустить «Диспетчер задач» — это нажать сочетание клавиш Ctrl + Alt + Del. Открывается окно блокировки, в котором пользователь может выбрать нужную команду. Из данного окна вы можете не только запустить «Диспетчер задач», вам также доступны опции блокировки, смены пароля и пользователя, а также выход из системы.

Вы сможете более быстро вызвать «Диспетчер», если будете использовать сочетание Ctrl + Shift + Esc. Таким образом вы запустите инструмент не открывая экран блокировки.

Способ 2: Используем панель задач

Еще один способ быстро запустить «Диспетчер задач» — нажать правой кнопкой мыши на «Панели управления» и в выпадающем меню выбрать соответствующий пункт. Данный способ так же быстр и удобен, поэтому именно ему отдают предпочтение большинство пользователей.

Также вы можете нажать правую кнопку мыши в левом нижнем углу. В таком случае, помимо Диспетчера задач, вам станут доступны дополнительные инструменты: «Диспетчер устройств», «Программы и компоненты», «Командная строка», «Панель управления» и многое другое.

Способ 3: Командная строка

Также открыть «Диспетчер задач» можно через командную строку, вызвать которую можно с помощью сочетаний клавиш Win + R. В открывшемся окне введите taskmgr или taskmgr.exe. Этот метод не так удобен, как предыдущие, но тоже может пригодится.

Итак, мы рассмотрели 3 наиболее популярных способа запустить на Виндовс 8 и 8.1 «Диспетчер задач». Каждый пользователь сам для себя выберет наиболее удобный метод, но знание парочки дополнительных способов лишним не будет.

Нововведения в службах сертификации Active Directory

Я полагаю, что не стоит объяснять, для чего необходима служба сертификации Active Directory, которая позволяет создавать центр сертификации для выдачи цифровых сертификатов, привязывающих объект идентификации пользователя, службы или устройства к соответствующему частному ключу. В службах сертификации Active Directory операционной системы Windows Server 2008 R2 изменений не много. В новой версии службы сертификации появились веб-служба регистрации сертификатов и веб-служба политик регистрации сертификатов, разрешающих основанную на политике регистрацию сертификатов, используя протокол HTTP. Так как развертывание такой службы значительно повышает угрозу атак, целесообразно использовать данную службу для принятия только обновленных запросов, подписанных существующими сертификатами. Те администраторы, которые работали со службой сертификации, знают, что в Windows Server 2008 не было возможности выдавать сертификаты членам разных лесов и, соответственно, каждый лес должен был иметь свою инфраструктуру PKI. Теперь, в службах сертификации Windows Server 2008 R2 при помощи дополнительной поддержке ссылок LDAP вы можете выдавать сертификаты в лесах, между которыми есть доверительные соглашения. И последнее, что было изменено в данной серверной роли – была улучшена поддержка центров массовой сертификации.

Как отключать CPU Fair Share

Существуют ситуации, при которых требуется выключить DFSS, приведу пример. Citrix Xenapp также имеет свои собственные политики для разделения процессорного времени между пользователями, и неудивительно, что они не могут сосуществовать с политиками Microsoft. Управление процессорами Citrix не вступит в силу, если DFSS все еще включен. На самом деле, вы получите следующую ошибку на сервере:

Для отключения CPU Fair Share в Windows Server 2019, вам нужно сначала включить политику «Отключить планирование ЦП со справедливым разделением (Turn off Fair Share CPU Scheduling)». Сделать, это можно через групповые политики или же через локальный редактор политик (gpedit.msc).

После нужно выполнить обновление групповой политики, когда первое действие выполнено вы можете изменить значение ключа EnableCpuQuota на «0». По идее все должно работать, но иногда бывают случаи, что приходилось произвести перезагрузку сервера.

Так же отключить DFSS можно и через PowerShell, для этого введите команду изменяющую значение реестра:

$RegKey =»HKLM:\\SYSTEM\CurrentControlSet\Control\Session Manager\Quota System» Set-ItemProperty -path $RegKey -name «EnableCpuQuota» -value 0

Windows To Go

  • Во избежание случайного нарушения конфиденциальности данных внутренние жесткие диски главного компьютера при загрузке в рабочее пространство WTG по умолчанию работают автономно. Аналогично, если диск подключается к компьютеру с загруженной ОС, диск WTG не отображается в проводнике.
  • Для обеспечения безопасности при шифровании диска WTG с помощью BitLocker вместо доверенного платформенного модуля используется загрузочный пароль системы начальной загрузки, поскольку доверенный платформенный модуль привязан к конкретному компьютеру, в то время как диски Windows To Go перемещаются между компьютерами.
  • Чтобы гарантировать, что рабочее пространство Windows To Go может легко перемещаться между компьютерами, режим гибернации отключен по умолчанию. Однако режим гибернации можно включить в параметрах групповой политики.
  • Среда восстановления Windows недоступна. В тех редких случаях, когда требуется восстановление диска WTG, следует переустановить его из образа, создав новый образ Windows.
  • Обновление и сброс рабочего пространства Windows To Go не поддерживается. Сброс к стандарту производителя не применяется для компьютера при выполнении рабочего пространства WTG, поэтому возможность была отключена.
  • Магазин отключен по умолчанию. Приложения, лицензированные через Магазин, привязаны к оборудованию для лицензирования. Так как WTG разработан для перемещения по разным компьютерам, доступ к Магазину отменен. Вы можете разрешить использование Магазина, если ваши рабочие пространства Windows To Go не будут перемещаться по нескольким компьютерам.

сертифицированных

  • IronKey Workspace W300
  • Kingston DataTraveler Workspace для WTG
  • Spyrus Portable Workplace
  • Spyrus Secure Portable Workplace
  • Super Talent Express RC4 для WTG и Super Talent Express RC8 для WTG
  • Western Digital My Passport Enterprise
  • Компьютер должен отвечать минимальным требованиям для использования с операционными системами Windows 7 или Windows 8.
  • Компьютер, выбранный в качестве хоста для WTG должен поддерживать загрузку с USB.
  • Использование WTG на компьютере, работающем под управлением Windows RT(Windows 8 ARM), не поддерживается.
  • Выполнение рабочего пространства Windows To Go с компьютера Mac не поддерживается.
  1. с помощью мастера Windows To Go Creator Wizard;
  2. с помощью скрипта (PowerShell + утилиты работы с образами DISM или ImageX);
  3. с помощью инструмента User Self-Provisioning в System Center 2012 Configuration Manager SP1.
  • Использовать файл install.wim, расположенный на диске с дистрибутивом ОС в папке /sources. В этом случае мы получим «чистую» ОС. Однако в последних версиях Windows образ с файлами ОС имеет формат ESD, поэтому может потребоваться конвертация ESD в формат WIM.
  • Создать wim-образ подготовленной заранее ОС, используя средства автоматической установки WAIK от Microsoft. Безусловно, плюсом данного способа является тот факт, что при подготовке ОС можно сделать необходимые настройки и установить стандартный набор ПО.
  • Так же, используя ПО сторонних производителей wim-файл можно создать, конвертировав файл виртуального жесткого диска vhd.

Особый порт для подключения

По умолчанию, для подключения к терминальному серверу по RDP используется порт 3389. Если необходимо, чтобы сервер слушал на другом порту, открываем реестр, и переходим в ветку:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Находим ключ PortNumber и задаем ему значение в десятично представлении, равное нужному номеру порта:

Также можно применить команду:

reg add «HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp» /v PortNumber /t REG_DWORD /d 3388 /f

* где 3388 — номер порта, на котором будет принимать запросы терминальный сервер.

Before you begin, или что нужно знать о PrintBrm

  • Ухожена. Имеет GUI-воплощение, которое именуется Перенос принтеров (Print Migration) и может быть запущено из оснастки Управление печатью. GUI-вариант менее функционален и имеет проблемы с переносом портов.
  • Внимательна. По умолчанию обрабатывает ACL принтеров принт-сервера. Другими словами, если вы разрешили печатать на принтере \\printserver\printer1 только сотрудникам, входящим в AD-группу Бухгалтерия, то это ограничение будет учтено импорте/экспорте. Или не будет, если поставить ключ -NOACL. При этом ACL самого сервера печати не обрабатывается независимо от ключа.
  • Капризна. На момент импорта параметров из файла на целевом сервере должен быть хотя бы один расшаренный принтер, иначе получите ошибку.
  • Нежна. Теряется, видя пробелы в пути файла. При виде кавычек, обрамляющих такой путь, огорчается и выдает ошибку 0x8007007b.
  • Скромна. Если при попытке экспорта настроек указанный файл уже существует, перезаписать его не может, спросить стесняется и также завершается с ошибкой.
  • Таинственна. Всегда возвращает exit-код, равный 0. Получается, идеальная программа.
  • Склонна к раздумьям. Может подзависнуть на стадии 100% минут на 5, а иногда и больше. Но потом одумывается и завершает работу (если, конечно, у вас хватит терпения не нажать Ctrl+C).
  • Внезапна и противоречива. Может устраивать вот такие сюрпризы.
  • Умна. Может переназначать исходные драйверы на другие. Например, с помощью XML-файла можно указать, что все драйверы HP Universal Printing PCL 5 в сохраненном файле на целевом сервере надо переназначить на HP Universal Printing PCL 6. На практике не использовал, но для кого-то может пригодиться.
  • Своенравна. Использовать ее для переноса настроек между доменами без доверия у меня не получилось, даже с ключом -NOACL. Либо не умеет в принципе, либо моя магия недостаточно сильна.
  • Познакомиться поближе можно тут и здесь, а для тех отважных, кто не стесняется спросить напрямую, есть ключ /?
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Ваша ОС
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: