Как включить режим аудита windows 7
Для тиражирования типовой конфигурации на несколько компьютеров рационально использовать образ единожды установленной операционной системы.
Подробная инструкция размещена на сайте Microsoft: Создание и применение образов Windows
Так как при большом наборе дополнительного ПО файл образа раздела легко может превзойти 4Гб, то записать такой дистрибутив на DVD диск не удастся. Однако, для установки ОС этого и не требуется. Нам будет достаточно получить образ раздела, на который установлена ОС. Затем его можно включить в дистрибутив на загрузочном Flash диске или просто перенести на новый компьютер, загрузившись с любого live-CD/DVD/USB. В этой статье мы рассмотрим оба варианта.
Проделав подготовку раздела один раз, мы сможем разворачивать на новых компьютерах рабочую ОС со всем установленным ПО, подключенными переферийными устройствами и необходимыми ярлыками менее чем за пол часа.
По утверждению Microsoft: "При создании образа следует учитывать, что разметка разделов на исходном и целевом компьютерах должна быть идентичной. Например, если образ Windows сохраняется на диске D, развертывать этот образ необходимо также на диск D конечного компьютера, также должны совпадать следующие параметры разделов (подробнее):
- Типы разделов (основной, дополнительный или логический) должны совпадать
- Если раздел сделан активным на компьютере-образце, на конечном компьютере он также должен быть активным"
Однако, если мы добавляем подготовленный раздел в дистрибутив, то эти ограничения не имеют значения.
Пошаговая инструкция развёртывания Windows 7 из образа
1. Делаем шаблоную установку Windows в режиме аудита
1.2. Устанавливаем необходимое ПО, подключаем принтеры и другую переферию, устанавливаем обновления ОС. Некоторое ПО при активации привязывается к оборудованию. Эти приложения активировать сейчас не следует(!), а отложить этот процесс до запуска ОС на конечном компьютере пользователя. Во время установки ПО можно перезагружать компьютер сколько угодно раз. После перезагрузки мы сможем опять войти в режим аудита и продолжить настройку.
2. Подготавливаем систему к распространению с помощью утилиты SysPrep
Утилита SysPrep подготавливает уже установленную ОС к тиражированию, удаляя все уникальные для компьютера настройки и оставляя только общие.
Можно запустить графическую оболочку C:\Windows\System32\sysprep\sysprep.exe и поставить там галочку "Подготовка к использованию", а в параметрах завершения работы выбрать "Завершение работы". Того же эффекта можно добиться выполнив команду (с правами администратора):
Если на этом этапе загрузить систему, то выполненное обобщение будет утеряно, поэтому образ раздела нужно создавать, загрузившись с live-CD.
3. Создаём образ системного раздела (файл *.wim) с помощью утилиты ImageX
Создаём копию раздела командой:
где "С:" - диск с подготовленной ОС.
Блокнот запускается командой notepad.
4. Форматируем целевой жёсткий диск
4.2. Переразбиваем жёсткий диск с помощью консольной команды DiskPart, создавая один раздел 100Гб, который будет системным:
Microsoft советует системные файлы для повышения безопасности размещать на отдельном небольшом разделе. Если мы хотим следовать этой рекомендации, тогда перед созданием раздела с Windows создадим системный раздел. Как это сделать см в статье DiskPart.
5. Записываем созданный образ раздела на локальный жёсткий диск
С: - раздел, куда будем развёртывать образ 1 - номер (или название) образа, по умолчанию = 1
Если образы ОС лежат на сетевом ресурсе, то подключаем его предварительно командой:
6. Завершение
Если создавали отдельный системный раздел, то нужно перенести на него загрузочные системные файлы (предполагаем, что ОС находится на диске C:):
Выходим из Windows PE:
или закрываем окно установщика Windows 7. Компьютер уйдёт в перезагрузку. Вынимаем CD/DVD диск и загружаемся с только что установленной ОС.
7. Осложнения
- Если при загрузке перенесённой ОС возникли проблемы, то можно попробовать восстановить загрузчик. Для этого нужно загрузиться с дистрибутива Windows 7 (открыть консоль можно, нажав Shift+F10) или Windows PE и выполнить команду:
Репозиторий различных образов Windows
Можно создать несколько образов разделов с разным набором ПО, используя одну и ту же шаблонную ОС, затем разместить их в одном месте, например на флэшке и устанавливать каждый раз именно тот образ, который будет подходящим в каждом отдельном случае. Процесс добавления ПО можно проводить последовательно, делая новый образ раздела после установки каждого нужного набора. Алгоритм таков (подробности см выше):
- Загружаем ОС в режиме аудита
- Устанавливаем/удаляем ПО, подключаем принтеры, создаём ярлыки и т.п.
- Подготавливаем систему к развёртыванию с помощью sysprep и выключаем компьютер
- Загружаемся с live-CD или дистрибутива Windows7, заходим в консоль
- Создаём образ раздела с помощью imagex, помещая его на флэшку или сетевой ресурс
- Повторяем вышеперечисленное, пока не будут созданы все необходимые наборы.
Создание собственного дистрибутива Windows
Имея образ раздела Windows (wim-файл), можно создать свой дистрибутив, то есть установочный DVD/Flash диск. Для этого достаточно в изначальном дистрибутиве заменить файл \sources\install.wim своим образом, переименовав его соответственно в install.wim.
Создание загрузочной флэшки со своим дистрибутивом Windows 7
Вкратце алгоритм создания загрузочного Flash носителя (флэшки) с собственным набором ПО и драйверов таков:
когда Windows загружается, он запускается либо в режиме «при первом включении (OOBE)», либо в режиме аудита.
- OOBE — это стандартный интерфейс, который позволяет конечным пользователям вводить данные своей учетной записи, выбирать язык, принимать условия предоставления услуг Майкрософт и настраивать сетевые подключения.
- режим аудита позволяет вносить дополнительные изменения в Windowsную установку перед отправкой компьютера клиенту или записью образа для повторного использования в организации. можно установить драйверы, входящие в пакет драйверов, установить приложения, или внести другие обновления, требующие запуска установки Windows.
Учетная запись режима аудита
При загрузке в режиме аудита вы входите в систему с помощью встроенной учетной записи администратора. После входа в систему встроенная учетная запись администратора сразу же отключается на этапе настройки auditUser . При следующем перезагрузке компьютера встроенная учетная запись администратора остается неактивной. Дополнительные сведения см. в разделе Включение и отключение встроенной учетной записи администратора.
Примечания
Преимущества использования режима аудита
В режиме аудита можно выполнять следующие действия.
Обход OOBE. Вы можете получить доступ к рабочему столу как можно быстрее. Нет необходимости настраивать параметры по умолчанию, такие как учетная запись пользователя, расположение и часовой пояс.
Установка приложений, добавление драйверов устройств и запуск сценариев. Можно подключиться к сети и получить доступ к дополнительным файлам и сценариям установки. Также можно установить дополнительные языковые пакеты и драйверы устройств. Дополнительные сведения см. в статье Добавление драйвера в режиме аудита в сети.
проверьте правильность установки Windows. Перед развертыванием системы для конечных пользователей можно выполнять тесты в системе без создания учетной записи пользователя. После этого можно подготовить систему для запуска в OOBE при следующей загрузке.
Добавьте дополнительные настройки к эталонному образу. Это сокращает количество образов, которыми необходимо управлять. например, можно создать один эталонный образ, содержащий основные настройки, которые необходимо применить ко всем Windowsным образам. Затем можно загрузить эталонный образ в режим аудита и внести дополнительные изменения, характерные для компьютера. Эти изменения могут быть приложениями, запрошенными клиентом, или конкретными драйверами устройств.
Загрузка в режиме аудита
вы можете загружаться в режиме аудита на новой или существующей установке Windows. дополнительные сведения см. в статье загрузка Windows в режиме аудита или в OOBE.
Сегодня мы изучим режим аудита, благодаря которому в операционной системе Windows 7 и появилась возможность создавать авторские сборки. Данный режим раскрывает перед нами возможности "вшивать" в систему собственный пакет программ, которые впоследствии будут установлены во время установки ОС на компьютер пользователя. Для того, чтобы перейти в режим аудита у нас должны быть проделаны все действия из прошлой статьи Организация полигона. Если всё впорядке, то можете приступать к действиям описанным в данном материале.
Шаг 1. Перед входом в режим аудита необходимо отключить привод. Жмём Параметры-CD/DVD-Снимаем галочки с подключено-Ок.
Шаг 2. Для того, чтобы войти в режим аудита необходимо нажать комбинацию клавиш CTRL+SHIFT+F3. ОС уйдёт в перезагрузку, ждём когда система загрузится.
Шаг 3. После перезагрузки мы попадаем в Windows с необычным окном Программы подготовки системы 3.14. НЕ В КОЕМ СЛУЧАЕ НЕЛЬЗЯ ЗАКРЫВАТЬ ЭТО ОКНО.
Шаг 5. Теперь настроим сеть на виртуальной машину. Заходим в свойства сетевого адаптера-версия протокола 4-зададим ip 192.168.137.2 (для x64 137.3) , шлюз 137.1, DNS 137.1-Ок-Закрыть
Шаг 6. Должен появиться интернет (если не появился отключите фаервол).
Шаг 7. Переходим Панель управления-Центр обновления Window-Включить автоматическую установку обновлений-Установить-Настройка параметров-Загружать обновления, но решение об установке принимается мной-Загружаем обновления-Перезагружаемся. Таким образом ставим обновления, пока центр обновления не скажет, что новых обновлений нет.
Шаг 8. Создадим снимок состояния Windows с обновлениями.
Аналогичные действия повторяем с WINDOWS 7 Ultimate x64!
Шаг 9. Далее скачиваем SOFT (скачать) и перемещаем эту папку в удобное для вас место. Теперь давайте дадим доступ к папке SOFT. Для этого нажмём Виртуальная машина-Установить пакет VMware Tools-Установливаем данный пакет-Перезагружаем систему.
Шаг 10. Жмём Виртуальная машина-Параметры-Параметры-Общие папки-Включено всегда-Добавить-Указываем путь к папке SOFT-Включить этот общий ресурс-готово. Заходим Компьютер-Сеть-Включить сетевое обнаружение-vmware host-Shared Folders-SOFT.
Шаг 11. Из папки SOFT устанавливаем на виртуальную машину WinRar. Запускаем его из пуска и смотрим активирован ли он.
Шаг 12. Из той же папки устанавливаем Your Uninstaller! Pro, K-Lite Codec Pack, Adobe Flash Player, Adobe Reader 10 и Microsoft Office 2010 Professional Plus
Шаг 13. Теперь необходимо установить в хост систему (т.е. на реальный компьютер!) пакет автоматической установки Windows. Открываем уже знакомую нам папку SOFT\Microsoft AIK\StartCD.exe и выбираем Установка Windows AIK
Шаг 14. В виртуальной 32 битной системе копируем папочку x86 (SOFT\x86) на диск D, а в 64 битной копируем папку amd64 на диск D.
Шаг 15. Настало время почистить систему от ненужного мусора при помощи Your Uninstaller. Удаляем сначала VMware tools при помощи супер режима. Убираем из автозагрузки Office и Adobe Reader, затем очистка диска C, потом очистка следов. Обычно затем я удаляю и саму программу Your Uninstaller, но это не обязательно. Далее мы удаляем ненужные ярлыки с рабочего стола и создаём снимок системы с именем "Настроенная система"
Шаг 16. Завершаем работу в режиме аудита. Выбираем в надоевшем окошке Переход в окно приветствия системы, подготовка к использованию, завершение работы (всё как на скриншоте ниже) и жмём ОКей.
Шаг 17. Дожидаемся пока виртуальные машины завершат работу.
В двух последующих статьях мы завершим создание сборок наших систем выводом их в отдельные образы. Пишите свои вопросы и пожелания в комментариях под данной статьёй, ставьте лайки, подписывайтесь на мой блог в форме справа.
Как настроить политики аудита Windows таким образом, чтобы охват мониторинга SOC был полноценным? Рассмотрим оптимальный список политик, а также выделим самое необходимое, отсеяв лишнее.
Введение
Все мы любим заворожённо читать про очередное расследование инцидента, где шаг за шагом распутывается клубок: как проник злоумышленник, какие инструменты он использовал и когда, что за процессы создавались на скомпрометированном хосте, что происходило в сети и, конечно же, кто виноват и что делать.
На практике ответы на эти вопросы находятся не всегда. Зачастую при расследовании специалисты отделов ИБ сталкиваются с тем, что аудит не настроен, логи перезаписались, отсутствует единая система хранения и анализа журналов, «перезалит» заражённый хост (популярное решение всех проблем).
Ниже мы разберём один из самых важных этапов, который нужен для того, чтобы расследование не завершилось ещё в самом начале: сбор и хранение журналов аудита. Будут рассмотрены возможности расширенного аудита ОС Windows и его настройка.
Знакомство с расширенным аудитом Windows
Речь пойдёт о настройках для систем Microsoft Windows Vista / Server 2008 и выше. Начиная с указанных операционных систем компания Microsoft сделала шаг вперёд в понимании аудита и управления им. Так появился расширенный аудит. Теперь администраторы и специалисты по информационной безопасности могут управлять аудитом на уровне не только категорий, но и подкатегорий.
Давайте подробнее остановимся на них. Откроем оснастку локальной групповой политики, используя команду «gpedit.msc» (или через «secpol.msc»). Для групповых политик всё будет аналогично, только все действия будут выполняться через «gpmc.msc».
Полный путь к настройкам аудита выглядит следующим образом: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Локальные политики / Политика аудита (Computer Configuration / Windows Settings / Security Settings / Local Policies / Audit Policy).
Рисунок 1. Политика аудита
Расширенный аудит, в свою очередь, находится здесь: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Конфигурация расширенной политики аудита (Computer Configuration / Windows Settings / Security Settings / Advanced Audit Policy Configuration).
Рисунок 2. Конфигурация расширенной политики аудита
Ниже на рисунке видно, как они коррелируют между собой.
Рисунок 3. Корреляция аудита и расширенного аудита
В общей сложности нам доступны 10 политик и 60 подкатегорий.
Таблица 1. Категории и подкатегории аудита
Теперь вместо включения аудита «Доступ к объектам» мы можем очень тонко настроить его по подкатегориям. Например, мы не будем включать аудит событий «платформы фильтрации Windows», потому что он генерирует крайне большое количество событий (всё сетевое взаимодействие хоста), которые к тому же лучше отслеживать на специализированном оборудовании, таком как межсетевые экраны, маршрутизаторы, прокси- и DNS-серверы.
Включим аудит файловой системы, реестра, съёмного носителя и других событий доступа к объектам, а всё остальное оставим в выключенном состоянии (параметр «Не настроено»).
Рисунок 4. Пример настройки аудита доступа к объектам через подкатегории
События аудита могут иметь значение «Успех и отказ», изображённое на рис. 4, или поддерживать только одно из двух состояний. Например, аудит создания процессов (Event ID 4688: A new process has been created) может быть только «успешным» (рис. 5).
Рисунок 5. Аудит создания процессов регистрирует успешные события
Если вы не знаете, нужна ли вам та или иная политика аудита, то ознакомиться с их описанием тоже очень легко. Оно есть на вкладке «Пояснение» соответствующей политики.
Рисунок 6. Вкладка с описанием политики
Для некоторых политик аудита дополнительно нужно настраивать системные списки управления доступом (SACL). Это в первую очередь касается файлового аудита и аудита реестра (альтернатива — использовать весьма специфичную политику «Аудит доступа к глобальным объектам»).
Например, чтобы отслеживать изменения в файле «hosts», откроем его свойства и перейдём в настройки аудита: «Безопасность» -> «Дополнительно» -> «Аудит». Добавим субъект аудита: выбираем группу «Все». Тип аудита — «Успех». Ставим галочки напротив записи данных, удаления, смены разрешений и смены владельца.
Рисунок 7. Настройка SACL
Если в вашей компании уже существуют различные групповые политики с настройками аудита, но вы хотите начать использовать расширенный аудит и подкатегории, то для этого случая Microsoft учла и ввела новую политику, которая называется «Аудит: принудительно переопределяет параметры категории политики аудита параметрами подкатегории политики аудита (Windows Vista или следующие версии)» (Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings). По умолчанию она включена. Проверить состояние политики можно здесь: Конфигурация компьютера / Конфигурация Windows / Параметры безопасности / Локальные политики / Параметры безопасности (Computer Configuration / Windows Settings / Security Settings / Local Policies / Security Options).
Рисунок 8. Принудительное переопределение параметров политики аудита
Дополнительно вы можете управлять политиками аудита через инструмент командной строки «auditpol.exe».
Рисунок 9. Использование инструмента auditpol
Настройка политик аудита
Очень часто можно услышать совет: «давайте включим все политики». Это, конечно, — «путь джедая», но, как показывает практика, не все джедаи добрались до финала.
Для большинства сценариев мониторинга нет острой необходимости включать всё. Это излишне. Включая все политики, вы можете получить гигантский поток событий, в котором очень легко «утонуть». В большой инфраструктуре с несколькими тысячами Windows-хостов поток событий может исчисляться десятками тысяч EPS (событий в секунду). Это порождает другую, не менее сложную задачу: как этим управлять, где это хранить, как обрабатывать.
Предлагаем рассмотреть оптимальный список политик, который может вам понадобиться. Также стоит обратить внимание на то, что фактически настроек две (и, соответственно, существуют две различные GPO). Первая — исключительно для контроллеров домена, так как часть событий (например, ID 4768: A Kerberos authentication ticket (TGT) was requested) фиксируется исключительно на них. Вторая — для рядовых серверов и АРМ пользователей.
Таблица 2. Рекомендуемые настройки аудита Windows
После включения описанных политик у вас будут все необходимые события для мониторинга и расследования инцидентов.
Усиление цифровой обороны
Для максимальной отдачи необходимо выполнить ещё одну настройку — включить логирование «командной строки процесса». Тогда на рабочих станциях и серверах, к которым применяется этот параметр политики, сведения из командной строки будут заноситься в журнал событий «Безопасность» (Security) с ID 4688.
Рисунок 10. Журналирование командной строки процесса
Требования к версии ОС: не ниже Windows Server 2012 R2, Windows 8.1. Данная функциональность также доступна и на ОС Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 после установки обновления KB 3004375.
Путь к политике: Конфигурация компьютера / Административные шаблоны / Система / Аудит создания процессов (Computer Configuration / Administrative Templates / System / Audit Process Creation). Имя: «Включать командную строку в события создания процессов» (Include command line in process creation events).
Рисунок 11. Путь к аудиту создания процессов
Включаем политику, выставив соответствующее значение, и нажимаем «Применить» (Apply).
Рисунок 12. Настройка «Включать командную строку в события создания процессов»
После включения этой политики в журнале событий «Безопасность» (Security) в событиях с кодом 4688 появится дополнительное значение «Командная строка процесса» (Process Command Line), где будет отображаться тело исполняемой команды.
В примере ниже демонстрируется, как это поможет заглянуть чуть глубже. На первый взгляд в событии происходит запуск легитимного процесса «opera_autoupdate.exe», но вот строка «Process Command Line» больше похожа на запуск утилиты «mimikatz». Без активированной политики «Включать командную строку в события создания процессов» мы этого не зафиксируем.
Рисунок 13. Детектирование mimikatz
Укрепим нашу оборону и полным журналированием работы самого мощного инструмента ОС Windows — PowerShell. Для этого необходима версия PowerShell 5.0 или выше.
PowerShell 5.0 / 5.1 предустановлен в Windows 10, Windows Server 2016 и Windows Server 2019. Для остальных операционных систем необходимо обновить модуль Windows Management Framework.
Список поддерживаемых ОС:
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2 SP1
- Windows 8.1
- Windows 8
- Windows 7 SP1
Включим регистрацию блоков сценариев PowerShell через соответствующую политику. Она находится по следующему пути: Административные шаблоны / Компоненты Windows / Windows PowerShell (Administrative Templates / Windows Components / Windows PowerShell). Имя: «Включить регистрацию блоков сценариев PowerShell» (Turn on PowerShell Script Block Logging)
Рисунок 14. Путь к аудиту Windows PowerShell
Рисунок 15. Включить регистрацию блоков сценариев PowerShell
После включения этой политики PowerShell будет регистрировать в журнале событий трассировки Microsoft-Windows-PowerShell/Operational с кодом события 4104 все блоки сценариев, в том числе — путь, тело скрипта и все используемые командлеты.
Рисунок 16. Пример регистрируемого события 4104
Хорошей практикой является увеличение размера самих журналов, даже если вы используете SIEM или сервер сборщика событий (Windows Event Collector). Например, журнал «Безопасность» (Security) по умолчанию имеет размер 20 МБ. При настроенном аудите на типичном АРМ этого объёма хватит на журналирование нескольких дней, на сервере — нескольких часов, а на контроллере домена 20 МБ не хватит ни на что.
Рекомендуем для всех основных журналов следующие объёмы:
- журнал «Установка» (Setup) — не менее 10 МБ,
- журнал «Система» (System) — не менее 50 МБ,
- журнал «Приложение» (Application) — не менее 50 МБ,
- журнал «Безопасность» (Security) — не менее 200 МБ (для контроллера домена — не менее 500 МБ).
При этом оставляем функцию перезаписи старых событий (по умолчанию она активирована).
Рисунок 17. Настройка хранения журналов аудита
Выводы
Настройка необходимых для мониторинга политик аудита, локальное долговременное хранение журналов, протоколирование запуска процессов и команд PowerShell позволит не упустить важные события безопасности и тщательно расследовать инциденты. Это — один из ключевых этапов в построении процессов непрерывного мониторинга, снижения рисков ИБ и повышения уровня защищённости.
В дальнейшем важно будет обеспечить централизованный сбор и хранение журналов в SIEM-системе, настройку корреляционных правил, киберразведку (Threat Intelligence), проведение активных испытаний безопасности в формате Red / Blue Team.
Читайте также: