Hoe lokaal beveiligingsbeleid kan helpen (aanwijzingen waar u op moet letten):

* Accountvergrendelingsbeleid:

* Succes- en mislukkingscontroleregistratie: Schakel controle in voor accountaanmeldingsgebeurtenissen. Dit is cruciaal! Deze instellingen vindt u onder:

* `Beveiligingsinstellingen -> Lokaal beleid -> Auditbeleid -> Accountaanmeldingsgebeurtenissen controleren`

* Accountvergrendelingsdrempel: Als u een lage accountvergrendelingsdrempel heeft (bijvoorbeeld 3 ongeldige inlogpogingen), zullen herhaalde mislukte inlogpogingen het account vergrendelen. Een hoge uitsluitingsdrempel beschermt u niet tegen aanvallen met het raden van wachtwoorden. Dit is een teken dat iemand het wachtwoord probeert te raden.

* Accountvergrendelingsduur: Hoe langer de uitsluitingsduur, hoe verstorender deze is. Er is een evenwicht nodig.

* Reset accountblokkeringsteller na: Dit definieert de periode waarna de teller van ongeldige aanmeldingspogingen wordt gereset.

* Waar u op moet letten in de gebeurtenislogboeken: Nadat u het accountvergrendelingsbeleid hebt geconfigureerd en auditlogboekregistratie hebt ingeschakeld, gebruikt u de gebeurtenisviewer en filtert u op gebeurtenissen die verband houden met:

* Gebeurtenis-ID 4776 (Kerberos-authenticatie): Mislukkingsgebeurtenissen hier kunnen erop duiden dat iemand Kerberos-wachtwoorden op brute wijze probeert te forceren.

* Gebeurtenis-ID 4625 (een account kon niet inloggen): Dit is de algemene gebeurtenis 'Aanmelding mislukt'. Bekijk de details over 'Accountnaam', 'Bronwerkstation', 'Aanmeldingstype' en 'Foutinformatie' binnen de gebeurtenis. Herhaalde fouten vanaf hetzelfde bron-IP-adres of werkstation zijn verdacht.

* Gebeurtenis-ID 4740 (een gebruikersaccount is geblokkeerd): Dit is een cruciale indicator dat het Account Lockout-beleid is geactiveerd vanwege te veel mislukte pogingen. In het gebeurtenislogboek ziet u welk account is geblokkeerd.

* Controlebeleid:

* Controle inschakelen: Naast accountaanmeldingsgebeurtenissen kunt u overwegen om controle in te schakelen voor andere gebeurtenissen, zoals:

* Toegang tot object controleren: Houd de toegang tot bestanden en mappen bij. Als een account wordt gehackt, heeft de aanvaller mogelijk toegang tot gevoelige gegevens.

* Gebruik van controlerechten: Houd bij wanneer gebruikers speciale rechten uitoefenen (bijvoorbeeld beheerdersrechten). Ongewoon gebruik van privileges door een gebruiker kan een teken zijn van een compromis.

* Systeemgebeurtenissen controleren: Volg systeemwijzigingen, herstarts, enz. Veranderingen in de systeemconfiguratie kunnen duiden op een kwaadwillende actor.

* Gebeurtenislogboekgrootte: Vergroot de omvang van uw beveiligingsgebeurtenislogboek om te voorkomen dat het te snel wordt ingepakt. Als het logboek te klein is, gaan belangrijke historische gegevens verloren.

* Wachtwoordbeleid:

* Wachtwoordgeschiedenis afdwingen: Voorkom dat gebruikers oude wachtwoorden hergebruiken.

* Maximale wachtwoordleeftijd: Dwing gebruikers om wachtwoorden regelmatig te wijzigen.

* Minimale wachtwoordleeftijd: Voorkom dat gebruikers wachtwoorden te vaak wijzigen (bijvoorbeeld om de wachtwoordgeschiedenis te omzeilen).

* Minimale wachtwoordlengte: Dwing sterke wachtwoorden af.

* Wachtwoord moet voldoen aan complexiteitsvereisten: Vereist een combinatie van hoofdletters, kleine letters, cijfers en symbolen.

* Accountvergrendelingsbeleid Als het account is vergrendeld, is dat het eerste teken.

* Toewijzing van gebruikersrechten:

* Controleer zorgvuldig wie beheerdersrechten op het systeem heeft. Beperk de administratieve toegang tot alleen degenen die deze echt nodig hebben. Zoek naar accounts die onverwacht beheerdersrechten hebben gekregen.

Hoe u informatie kunt vinden in de Gebeurtenisviewer:

1. Open Gebeurtenisviewer: Typ 'eventvwr' in de Windows-zoekbalk en druk op Enter.

2. Navigeer naar Beveiligingslogboeken: Vouw in het linkerdeelvenster 'Windows-logboeken' uit en klik op 'Beveiliging'.

3. Gebeurtenissen filteren: Klik in het rechterdeelvenster op 'Huidig ​​logboek filteren'. Gebruik de volgende filters:

* Gebeurtenis-ID's: Gebruik de hierboven genoemde gebeurtenis-ID's (4776, 4625, 4740, enz.).

* Zoekwoorden: Filter op trefwoorden als 'Foutcontrole', 'Accountblokkering', 'Aanmeldfout'.

* Gebruiker: Filter op de specifieke gebruikersnaam die u onderzoekt.

* Gebeurtenisbron: Filter op de gebeurtenisbron om te zien of u hiermee gebeurtenissen van een specifieke service kunt vinden.

Beperkingen:

* Reactief, niet proactief: Het lokale veiligheidsbeleid is vooral reactief. Het helpt u bij het onderzoeken *na* van een mogelijke aanval, en voorkomt deze niet noodzakelijkerwijs in realtime.

* Beperkt bereik: Lokaal beveiligingsbeleid heeft alleen invloed op de *lokale* machine. Het biedt geen gecentraliseerd overzicht van meerdere systemen in een domein. Als een aanvaller accounts in uw netwerk probeert binnen te dringen, geeft het lokale beveiligingsbeleid op een enkele machine u geen volledig beeld.

* Geen vervanging voor beveiligingssoftware: Lokaal beveiligingsbeleid is geen vervanging voor antivirussoftware, firewalls, inbraakdetectiesystemen (IDS) of andere beveiligingshulpmiddelen.

* Logboekmanipulatie: Een ervaren aanvaller die beheerderstoegang heeft verkregen, kan mogelijk de gebeurtenislogboeken wissen of wijzigen, waardoor het moeilijk wordt om hun activiteiten te detecteren.

* False positieven: Mislukte aanmeldingspogingen kunnen soms legitiem zijn (de gebruiker typt bijvoorbeeld zijn wachtwoord verkeerd). U moet de context van de gebeurtenissen onderzoeken om te bepalen of ze echt kwaadaardig zijn.

Betere alternatieven voor netwerkbrede monitoring:

Voor uitgebreide beveiligingsmonitoring binnen een netwerk kunt u deze alternatieven overwegen:

* Windows-beveiligingslogboek doorsturen: Configureer Windows om beveiligingslogboeken door te sturen naar een centrale logserver (bijvoorbeeld met behulp van Windows Event Collector of een SIEM). Hierdoor kunt u gebeurtenissen van alle machines op één plek analyseren.

* Security Information and Event Management (SIEM)-systemen: SIEM's verzamelen logboeken van verschillende bronnen (servers, firewalls, netwerkapparaten, enz.) en bieden geavanceerde analyse-, correlatie- en waarschuwingsmogelijkheden. Voorbeelden zijn onder meer:

* Splunk

* QRadar

*Microsoft Sentinel

* AlienVault

* Inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS): Deze systemen monitoren het netwerkverkeer en de systeemactiviteit op kwaadaardige patronen en kunnen verdachte activiteiten automatisch blokkeren of waarschuwen.

Samengevat:

Lokaal beveiligingsbeleid kan een nuttig hulpmiddel zijn bij het onderzoeken van mogelijke hackpogingen op een *lokale* machine. Het is echter essentieel om de beperkingen ervan te begrijpen en deze te gebruiken in combinatie met andere beveiligingsmaatregelen voor uitgebreide bescherming. Concentreer u op het mogelijk maken van audits, het zorgvuldig configureren van accountvergrendelingsbeleid en het regelmatig controleren van de logboeken van beveiligingsgebeurtenissen. Voor een netwerkbreed overzicht en een meer geavanceerde detectie van bedreigingen kunt u het doorsturen van logbestanden, SIEM-systemen en IDS/IPS-oplossingen overwegen.