Windows 安全审计日志简要说明

  • A+
所属分类:云安全

Windows 可以开启账户审计策略对系统内外部的安全调用进行记录,本文对相关审计日志进行简要说明。更多相关说明,可以参阅微软官方文档。

日志示例

日志路径:控制面板 - 管理工具 - 事件查看器 - Windows 日志 - 安全
审核成功日志示例

  1. 已成功登录帐户。
  2. 主题:
  3. 安全 ID: SYSTEM
  4. 帐户名: iZ********Z$
  5. 帐户域: WORKGROUP
  6. 登录 ID: 0x3e7
  7. 登录类型: 10
  8. 新登录:
  9. 安全 ID: iZ********Z\admin
  10. 帐户名: admin
  11. 帐户域: iZ********Z
  12. 登录 ID: 0x754404f
  13. 登录 GUID: {00000000-0000-0000-0000-000000000000}
  14. 进程信息:
  15. 进程 ID: 0xf50
  16. 进程名: C:\Windows\System32\winlogon.exe
  17. 网络信息:
  18. 工作站名: iZ23kpfre8lZ
  19. 源网络地址: 42.120.*.*
  20. 源端口: 10694
  21. 详细身份验证信息:
  22. 登录进程: User32
  23. 身份验证数据包: Negotiate
  24. 传递服务: -
  25. 数据包名(仅限 NTLM): -
  26. 密钥长度: 0
  27. 在创建登录会话后在被访问的计算机上生成此事件。

审核失败日志示例

  1. 帐户登录失败。
  2. 主题:
  3. 安全 ID: NULL SID
  4. 帐户名: -
  5. 帐户域: -
  6. 登录 ID: 0x0
  7. 登录类型: 3
  8. 登录失败的帐户:
  9. 安全 ID: NULL SID
  10. 帐户名: administrator
  11. 帐户域: Public-Win7
  12. 失败信息:
  13. 失败原因: 未知用户名或密码错误。
  14. 状态: 0xc000006d
  15. 子状态: 0xc0000064
  16. 进程信息:
  17. 调用方进程 ID: 0x0
  18. 调用方进程名: -
  19. 网络信息:
  20. 工作站名: Piblic-WIN7
  21. 源网络地址: -
  22. 源端口: -
  23. 详细身份验证信息:
  24. 登录进程: NtLmSsp
  25. 身份验证数据包: NTLM
  26. 传递服务: -
  27. 数据包名(仅限 NTLM): -
  28. 密钥长度: 0
  29. 登录请求失败时在尝试访问的计算机上生成此事件。

日志说明

相关日志常见字段说明如下:

分类 字段 说明
概述 已成功登录帐户” 日志概述
主题 - 该字段字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
- 安全 ID SID,安全标识符用于唯一标识的安全主体或安全组。 安全主体可以表示任何可以由操作系统,例如用户帐户、 计算机帐户,或线程或进程在用户或计算机帐户的安全上下文中运行的身份验证的实体。比如:iZ23kpfre8lZ\admin

更多说明可以参阅: 安全标识符技术概述

- 帐户名 安全域相关概念。通常情况下,是上述安全 ID 的最末级相应字段(如果是用户的话),比如相对应前面的 SID,则对应账户名是 admin 。

注意:如果是用工作组环境,则相应值为 <计算机名称>$,比如 iZ23kpfre8lZ$

- 帐户域 安全域相关概念,相关资源归属安全域。如果是安全组,则是 WORKGROUP;如果是域环境,则为相应域名
- 登录 ID 内部代码。
登录类型 - 指明发生的登录种类。常见种类及其代码说明:

 

2 - Interactive(交互式登录)

用户在本地键盘上,通过操作系统控制台(console)口进行的登录。但通过 KVM(传统物理机房)或基于 VNC 的登录(比如云服务器 ECS 的管理终端),虽然是基于网络进行的登录,但也属于交互式登录。

3 - Network(通过网络访问系统)

用户或计算机通过网络进行的访问。最常见场景是连接到服务器的共享文件夹、共享打印机等共享资源。通过网络登录 IIS 时也被记为这种类型,但基本验证方式的 IIS 登录是个例外,它将被记为类型 8。

4 - Batch(作为批处理作业启动):

当 Windows 运行一个计划任务时,“计划任务服务”将为该任务先创建一个新的登录会话,以便它能在此计划任务所配置的用户账户下运行。当这种登录出现时,Windows 在日志中记为类型4。对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型 4 的登录事件。所以,类型 4 登录通常表明某计划任务的启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型 4 的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。

5 - Service(由服务控制器启动的 Windows 服务):

与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows 首先为这个特定的用户创建一个 登录会话,这将被记为类型 5。所以,类型 5 登录通常标明某服务的启动。失败的类型 5 通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或 serversoperators 身 份,而这种身份的恶意用户,已经有足够权限而无需费力猜测服务密码了。

7 - Unlock(屏保解锁):

Windows 屏保解锁操作被记录为一个类型 7 的登录,失败的类型 7 登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

8 - NetworkCleartext(网络登录时使用明文凭据):

这种登录表明这是一个像类型 3 一样的网络登录,但是这种登录的密码在网络上是通过明文传输的。Windows Server 服务(LanmanServer)是不允许通过明文验证连接到共享文件夹或打印机的。只有当从一个使用 Advapi 的 ASP 脚本登录,或者一个用户使用基本验证方式登录 IIS时,才会被标记为这种登录类型。

9 - NewCredentials(使用 /netonly 选项时由 RunAs 使用):当你使用带 /Netonly 参数的RUNAS 命令运行一个程序时,RUNAS 以本地当前登录用户运行它。但如果这个程序需要连接到网络上的其它计算机时,这时就将以 RUNAS 命令中指定的用户进行连接,同时 Windows 将把这种登录记为类型 9。如果 RUNAS 命令没带 /Netonly 参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是 2。

10 - RemoteInteractive (远程交互):

当你通过终端服务、远程桌面或远程协助访问计算机时,Windows 将登录类型记为类型 10,以便与真正的控制台登录相区别,注意 Windows XP 之前的版本不支持这种登录类型,比如Windows2000 仍然会把终端服务登录记为类型 2。

11 - CachedInteractive(缓存交互):

Windows 支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能。默认情况下,Windows 缓存了最近10 次交互式域登录的凭证 HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows 将使用这些 HASH 来验证你的身份,并记录登录类型为类型 11。

新登录 - 该字段会指明新登录是为哪个帐户创建的,即登录的帐户。
- 安全 ID 如前文所述。
- 帐户名 执行登录的用户帐户。例如,这可能是 NT AUTHORITY\SYSTEM,这是用于启动许多 Windows 服务的 LocalSystem 帐户。
- 账户域 执行登录的用户归属域。如果是工作组环境,则显示为相应的计算机名称。如果是域环境,则显示为相应的域信息。
网络 - 字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
- 工作站名 登录来源主机名称。通过远程交互式登录时显示为客户端主机名,其它登录类型通常为本地计算机的计算机名。
- 源网络地址 通过远程交互式登录时的客户端 IP 地址。
- 源端口 通过远程交互式登录时客户端使用的端口。
进程信息 - 登录操作调用的进程信息。
详细身份验证信息 - 提供关于此特定登录请求的详细信息。指试图登录帐户时调用的安全数据包。身份验证数据包是分析登录数据并决定是否对帐户进行身份验证的动态链接库 (DLL)。最常用的有 Kerberos、Negotiate、NTLM 和 MICROSOFT_AUTHENTICATION_PACKAGE_V1_0(也称 MSV1_0;可对 SAM 数据库中的用户进行身份验证,支持对受信任域中帐户进行 pass-through 身份验证,支持子身份验证数据包)Workstation Name(如果已知)登录者在登录期间使用的工作站名。

系统登录日志分析

查看系统登录日志时,重点关注如下字段信息:

  1. 事件 ID4624 (登录成功) 4625 (登录失败)。
  2. 登录类型: 根据登录类型分析登录操作来源。
  3. 账户名:登录操作时使用的账户名。
  4. 源网络地址:登录操作来源 IP
  5. 进程信息: 登录操作调用的进程。

常见安全事件 ID 说明

Windows Server 2008 系统内常见的安全事件 ID 及说明可以参阅微软官方文档 Windows 7和Windows Server 2008 R2 安全事件的说明 。

日志审计策略调整

相关日志审计策略受 Windows 注册表管控,可以通过如下方式按需调整:

  1. 运行 gpedit.msc 打开组策略管理器。
  2. 依次展开到: 计算机管理 > Windows 设置 > 安全设置 > 本地策略 > 审核策略
  3. 如下图所示,在右侧按需调整相应的审核策略即可

Windows 安全审计日志简要说明

admin
阿里云短信服务个人企业验证码系统&营销短信企业营销通用套餐
网站建设/快速仿站/千套模板/配阿里云空间/云·速成美站
轻量应用服务器--云服务器vps 建站/应用/云主机
网站定制/网站建设一条龙/不满意全额退款/云·企业官网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: