Embora a Política de Segurança Local (Secpol.MSC) não seja um "sistema de detecção de intrusões" direto, ela pode fornecer pistas valiosas e ajudá -lo a investigar possíveis tentativas de hackers em contas de usuário. Veja como pode ser usado e suas limitações:

Como a política de segurança local pode ajudar (pistas a procurar):

* Política de bloqueio de conta:
* Loging de auditoria de sucesso e falha: Ative a auditoria para eventos de logon da conta. Isso é crucial! Você pode encontrar estas configurações em:
* `Configurações de segurança -> Políticas locais -> Política de auditoria -> Eventos de logon da conta de auditoria`
* Limite de bloqueio da conta: Se você tiver um limite de bloqueio de conta baixa (por exemplo, 3 tentativas inválidas de login), as tentativas repetidas de login com falha bloquearão a conta. Um limite de bloqueio alto não o protegerá contra ataques de adivinhação de senha. Este é um sinal de alguém tentando adivinhar a senha.
* Duração do bloqueio da conta: Quanto mais tempo a duração do bloqueio, mais perturbador será. É necessário um equilíbrio.
* Redefinir o contador de bloqueio da conta após: Isso define o período após o qual o contador de tentativas inválidas de logon é redefinido.
* O que procurar nos registros de eventos: Depois de configurar a política de bloqueio da conta e ativar o registro de auditoria, use o visualizador de eventos e filtre para eventos relacionados a:
* ID do evento 4776 (autenticação Kerberos): Os eventos de falha aqui podem indicar que alguém está tentando formar senhas Kerberos.
* ID do evento 4625 (uma conta não conseguiu fazer logon): Este é o evento geral "falha no logon". Examine o "nome da conta", "estação de trabalho de origem", "Tipo de logon" e "informações de falha". Falhas repetidas do mesmo endereço IP de origem ou estação de trabalho são suspeitas.
* ID do evento 4740 (uma conta de usuário foi bloqueada): Este é um indicador crucial de que a política de bloqueio da conta foi acionada devido a muitas tentativas fracassadas. O log de eventos informará qual conta foi bloqueada.

* Política de auditoria:
* Ativar auditoria: Além dos eventos de logon da conta, considere permitir a auditoria para outros eventos como:
* Acesso ao objeto de auditoria: Rastreie o arquivo de arquivo e pasta. Se uma conta estiver comprometida, o invasor pode estar acessando dados confidenciais.
* Auditoria Privilégio Uso: Rastrear quando os usuários exercem privilégios especiais (por exemplo, direitos de administrador). O uso incomum de privilégios por um usuário pode ser um sinal de compromisso.
* Eventos do sistema de auditoria: Rastrear as alterações do sistema, reinicializações, etc. Alterações na configuração do sistema podem indicar um ator malicioso.
* Tamanho do log de eventos: Aumente o tamanho do seu log de eventos de segurança para impedir que ele se envolva muito rapidamente. Se o log for muito pequeno, você perderá dados históricos importantes.

* Política de senha:
* Aplicar o histórico de senha: Impedir que os usuários reutilizem senhas antigas.
* senha máxima idade: Forçar os usuários a alterar as senhas regularmente.
* senha mínima idade: Impedir que os usuários alterem as senhas com muita frequência (por exemplo, para contornar o histórico de senha).
* Comprimento mínimo de senha: Aplicar senhas fortes.
* A senha deve atender aos requisitos de complexidade: Requer uma mistura de maiúsculas, minúsculas, números e símbolos.
* Política de bloqueio de conta Se a conta estiver bloqueada, esse é o primeiro sinal.

* Atribuição de direitos do usuário:
* Revise cuidadosamente quem tem direitos administrativos sobre o sistema. Limite o acesso administrativo apenas àqueles que realmente precisam. Procure contas que obtiveram privilégios administrativos inesperadamente.

Como encontrar informações no visualizador de eventos:

1. Open Event Viewer: Digite "Eventvwr" na barra de pesquisa do Windows e pressione Enter.
2. Navegue até os registros de segurança: No painel esquerdo, expanda "Logs do Windows" e clique em "Segurança".
3. Eventos de filtro: No painel direito, clique em "Filtrar log atual". Use os seguintes filtros:
* IDs de evento: Use os IDs do evento mencionados acima (4776, 4625, 4740, etc.).
* palavras -chave: Filtre para palavras -chave como "Auditoria de falha", "bloqueio da conta", "falha de logon".
* Usuário: Filtre o nome de usuário específico que você está investigando.
* Fonte do evento: Filtre a fonte do evento para ver se isso ajuda você a encontrar eventos de um serviço específico.

Limitações:

* reativo, não proativo: A política de segurança local é principalmente reativa. Ajuda você a investigar * após * um ataque em potencial, não necessariamente o impedir em tempo real.
* Escopo limitado: A política de segurança local afeta apenas a máquina * local *. Ele não fornece uma visão centralizada em vários sistemas em um domínio. Se um invasor estiver tentando comprometer contas em toda a sua rede, a política de segurança local em uma única máquina não fornecerá a imagem completa.
* não é um substituto para o software de segurança: A política de segurança local não substitui o software antivírus, firewalls, sistemas de detecção de intrusões (IDs) ou outras ferramentas de segurança.
* Violação de log: Um atacante qualificado que obteve acesso administrativo pode potencialmente limpar ou modificar os registros de eventos, dificultando a detecção de suas atividades.
* falsos positivos: Às vezes, as tentativas de logon com falha podem ser legítimas (por exemplo, usuários e confrontando sua senha). Você precisa investigar o contexto dos eventos para determinar se eles são realmente maliciosos.

Melhores alternativas para o monitoramento em toda a rede:

Para um monitoramento abrangente de segurança em uma rede, considere estas alternativas:

* Log de segurança do Windows encaminhamento: Configure o Windows para encaminhar logs de segurança para um servidor de log central (por exemplo, usando o Windows Event Collector ou um SIEM). Isso permite que você analise eventos de todas as máquinas em um só lugar.
* Informações de segurança e gerenciamento de eventos (SIEM) Sistemas: Os SIEMs coletam logs de várias fontes (servidores, firewalls, dispositivos de rede etc.) e fornecem análises avançadas, correlação e recursos de alerta. Exemplos incluem:
* Splunk
* QRadar
* Microsoft Sentinel
* Alienvault
* Sistemas de detecção de intrusões (IDs) e sistemas de prevenção de intrusões (IPS): Esses sistemas monitoram o tráfego de rede e a atividade do sistema para padrões maliciosos e podem bloquear ou alertar automaticamente a atividade suspeita.

em resumo:

A política de segurança local pode ser uma ferramenta útil para investigar possíveis tentativas de hackers em uma máquina * local *. No entanto, é essencial entender suas limitações e usá -lo em conjunto com outras medidas de segurança para proteção abrangente. Concentre -se em permitir a auditoria, configurar cuidadosamente as políticas de bloqueio de conta e revisar regularmente os logs de eventos de segurança. Para uma visão em toda a rede e uma detecção de ameaças mais avançada, considere usar o encaminhamento de logs, os sistemas SIEM e as soluções IDS/IPS.