Window安全审核
一、Windows安全审核概述
安全审核是可用于维护系统完整性的功能最强大的工具之一。审核应识别对网络构成威胁(成功或失败)的攻击,以及对你确定在风险评估中有价值的资源的攻击。
1、Windows基本安全审核策略
1)审核账户登录事件
此安全性设置确定是审核登录到此计算机的每个用户实例,还是从用于验证账户的另一台计算机中注销。当雨用户账户从域控制上进行身份验证时,将生成账户登录事件。该事件记录在域控制器的安全日志中。在本地计算机上对本地用户进行身份验证时,将生成登录事件记录在本地安全日志中。
| 录事件 | 描述 |
|---|---|
| 672 | 已成功颁发 (AS) 身份验证服务票证。 |
| 673 | 授予 TGS (的) 票证已授予。 |
| 674 | 安全主体续订了 AS 票证或 TGS 票证。 |
| 675 | 预身份验证失败。 当用户在错误的密码中输入时, (KDC) 密钥发行中心上生成此事件。 |
| 676 | 身份验证票证请求失败。 此事件不会在 Windows XP 或 Windows Server 2003 系列中生成。 |
| 677 | TGS 票证未授予。 此事件不会在 Windows XP 或 Windows Server 2003 系列中生成。 |
| 678 | 帐户已成功映射到域帐户。 |
| 681 | 登录失败。 已尝试域帐户登录。 此事件不会在 Windows XP 或 Windows Server 2003 系列中生成。 |
| 682 | 用户已重新连接到断开连接的终端服务器会话。 |
| 683 | 用户在未注销的情况下断开了终端服务器会话。 |
2)审核账户管理
确定是否审核设备上每个账户管理事件。
-
创建、更改或删除用户账户或组。
-
重命名、禁用或启用用户账户。
-
设置或更改密码。
| 帐户管理事件 | 描述 |
|---|---|
| 4720 | 已创建用户帐户。 |
| 4723 | 已更改用户密码。 |
| 4724 | 已设置用户密码。 |
| 4726 | 已删除用户帐户。 |
| 4727 | 已创建全局组。 |
| 4728 | 成员已添加到全局组。 |
| 4729 | 已从全局组中删除成员。 |
| 4730 | 已删除全局组。 |
| 4731 | 已创建一个新的本地组。 |
| 4732 | 成员已添加到本地组。 |
| 4733 | 已从本地组中删除成员。 |
| 4734 | 已删除本地组。 |
| 4735 | 已更改本地组帐户。 |
| 4737 | 已更改全局组帐户。 |
| 4738 | 已更改用户帐户。 |
| 4739 | 已修改域策略。 |
| 4740 | 用户帐户被自动锁定。 |
| 4741 | 已创建计算机帐户。 |
| 4742 | 已更改计算机帐户。 |
| 4743 | 已删除计算机帐户。 |
| 4744 | 已创建禁用安全的本地安全组。 注意: SECURITY_DISABLED名称中的"权限"表示此组不能用于授予访问检查中的权限 |
| 4745 | 已更改禁用安全的本地安全组。 |
| 4746 | 成员已添加到禁用安全保护的本地安全组。 |
| 4747 | 已从禁用安全保护的本地安全组中删除成员。 |
| 4748 | 已删除禁用安全保护的本地组。 |
| 4749 | 已创建禁用安全保护的全局组。 |
| 4750 | 已更改禁用安全保护的全局组。 |
| 4751 | 成员已添加到禁用安全保护的全局组。 |
| 4752 | 已从禁用安全保护的全局组中删除成员。 |
| 4753 | 已删除禁用安全保护的全局组。 |
| 4754 | 已创建启用安全的通用组。 |
| 4755 | 已启用安全的通用组已更改。 |
| 4756 | 成员已添加到启用安全的通用组。 |
| 4757 | 已从启用安全的通用组中删除成员。 |
| 4758 | 已删除启用安全的通用组。 |
| 4759 | 已创建禁用安全保护的通用组。 |
| 4760 | 已更改禁用安全的通用组。 |
| 4761 | 成员已添加到禁用安全的通用组。 |
| 4762 | 已从禁用安全的通用组中删除成员。 |
| 4763 | 已删除禁用安全保护的通用组。 |
| 4764 | 已更改组类型。 |
| 4780 | 设置管理组的成员的安全描述符。 |
| 685 | 设置管理组的成员的安全描述符。 注意: 在域控制器上,后台线程每 60 分钟搜索管理组的所有成员 (如域、企业和架构管理员) 并应用固定的安全描述符。 将记录此事件。 |
3)审核目录服务访问
确定是否审核用户访问Active Directory对象的事件,该对象具有其自己的系统访问控制列表(SACL)指定。
4)审核登录事件
确定是审核用户登录到设备还是从设备注销的每个实例。
账户登录事件在域控制器(或本地设备)上生成,用于本地账户活动。如果同时启用了账户登录和登录审核策略类别,则使用域账户的登录在工作站或服务器上生成登录或注销事件,并且它们在域控制器上生成账户登录事件。此外,使用域账户的成员服务器或工作站的交互式登录在域控制器上生成登录,当用户登录时将检索登陆脚本和策略。
| 登录事件 | 描述 |
|---|---|
| 4624 | 用户已成功登录到计算机。 有关登录类型的信息,请参阅下面的登录类型表。 |
| 4625 | 登录失败。 使用未知用户名或密码错误的已知用户名进行了登录尝试。 |
| 4634 | 用户已完成注销过程。 |
| 4647 | 用户启动了注销过程。 |
| 4648 | 用户使用显式凭据成功登录到计算机,同时以其他用户身份登录。 |
| 4779 | 用户在未注销的情况下断开了终端服务器会话。 |
记录事件4624(旧Windows事件 ID 528)时,事件日志中也会列出登录类型。下标介绍了每种登录类型。
| 登录类型 | 登录标题 | 描述 |
|---|---|---|
| 2 | 交互 | 登录到此计算机的用户。 |
| 3 | 网络 | 从网络登录到此计算机的用户或计算机。 |
| 4 | 批处理 | 批处理登录类型由批处理服务器使用,其中进程可以代表用户执行,而无需用户直接干预。 |
| 5 | 服务 | 服务控制管理器已启动服务。 |
| 7 | 解除锁定 | 已解锁此工作站。 |
| 8 | NetworkCleartext | 从网络登录到此计算机的用户。 用户的密码以未经过哈希处理的形式传递给验证包。 内置的身份验证将所有哈希凭证打包,然后再通过网络发送它们。 凭据不会以纯文本(也称为明文)形式遍历网络。 |
| 9 | NewCredentials | 调用方克隆了其当前令牌并为出站连接指定了新凭据。 新登录会话具有相同的本地标识,但对其他网络连接使用不同的凭据。 |
| 10 | RemoteInteractive | 使用终端服务或远程桌面远程登录到此计算机的用户。 |
| 11 | CachedInteractive | 使用存储在计算机上的本地网络凭据登录到此计算机的用户。 未联系域控制器以验证凭据。 |
5)审核对象访问
确实是否审核用户访问对象(例如文件、文件夹、注册表、打印机等)的事件,该对象具有指定的SACL列表。
| 对象访问事件 | 描述 |
|---|---|
| 560 | 已授予对已有对象的访问权。 |
| 562 | 对象句柄已关闭。 |
| 563 | 试图打开一个旨在将其删除的对象。 注意: 当 Createfile () 中指定 FILE_DELETE_ON_CLOSE 标志时,文件系统会使用此功能。 |
| 564 | 已删除受保护的对象。 |
| 565 | 访问权限已授予现有对象类型。 |
| 567 | 使用了与句柄关联的权限。 注意: 使用授予的某些权限创建句柄 (读取、写入等权限) 。 使用句柄时,将针对使用的每个权限最多生成一个审核。 |
| 568 | 已尝试创建指向正在审核的文件的硬链接。 |
| 569 | 授权管理器中的资源管理器尝试创建客户端上下文。 |
| 570 | 客户端试图访问对象。 注意: 将针对对象上的每次尝试操作生成一个事件。 |
| 571 | 授权管理器应用程序已删除客户端上下文。 |
| 572 | 管理员管理员初始化应用程序。 |
| 772 | 证书管理器拒绝了待处理证书请求。 |
| 773 | 证书服务收到重新提交证书请求。 |
| 774 | 证书服务吊销了证书。 |
| 775 | 证书服务收到一个请求,要求将证书吊销列表 (CRL) 。 |
| 776 | 证书服务在 CRL 证书颁发 (证书吊销) 。 |
| 777 | 已进行证书请求扩展。 |
| 778 | 更改了一个或多个证书请求属性。 |
| 779 | 证书服务收到关闭请求。 |
| 780 | 证书服务备份已启动。 |
| 781 | 证书服务备份已完成 |
| 782 | 证书服务还原已启动。 |
| 783 | 证书服务还原已完成。 |
| 784 | 证书服务已启动。 |
| 785 | 证书服务已停止。 |
| 786 | 证书服务的安全权限已更改。 |
| 787 | 证书服务检索到存档密钥。 |
| 788 | 证书服务将证书导入到其数据库中。 |
| 789 | 证书服务的审核筛选器已更改。 |
| 790 | 证书服务收到证书请求。 |
| 791 | 证书服务批准证书请求并颁发证书。 |
| 792 | 证书服务拒绝了证书请求。 |
| 793 | 证书服务将证书请求的状态设置为待处理。 |
| 794 | 证书服务的证书管理器设置已更改。 |
| 795 | 证书服务中已更改的配置条目。 |
| 796 | 证书服务的属性已更改。 |
| 797 | 证书服务已存档密钥。 |
| 798 | 导入和存档密钥的证书服务。 |
| 799 | 证书服务将 CA 证书发布到 Active Directory。 |
| 800 | 从证书数据库中删除了一行或多行。 |
| 801 | 启用角色分离。 |
6)审核策略更改
确定是否审核用户权限分配策略、审核策略或新人策略的每次更改事件。
| 策略更改事件 | 描述 |
|---|---|
| 608 | 已分配用户权限。 |
| 609 | 已删除用户权限。 |
| 610 | 已创建与另一个域的信任关系。 |
| 611 | 已删除与另一个域的信任关系。 |
| 612 | 已更改审核策略。 |
| 613 | IPSec (IpSec) 已启动的 Internet 协议安全性。 |
| 614 | IPSec 策略代理已禁用。 |
| 615 | IPSec 策略代理已更改。 |
| 616 | IPSec 策略代理遇到一个潜在的严重故障。 |
| 617 | 已更改 Kerberos 策略。 |
| 618 | 加密数据恢复策略已更改。 |
| 620 | 修改了与另一个域的信任关系。 |
| 621 | 系统访问权限已授予帐户。 |
| 622 | 已从帐户中删除系统访问。 |
| 623 | 为用户设置了每用户审核策略。 |
| 625 | 已刷新每用户审核策略。 |
| 768 | 检测到一个林中的命名空间元素与另一个林中的命名空间元素之间发生冲突。 注意 当一个林中的命名空间元素与另一个林中的命名空间元素重叠时,可能导致解析属于其中一个命名空间元素的名称不明确。 此重叠也称为碰撞。 并非所有参数都适用于每种条目类型。 例如,DNS 名称、NetBIOS 名称和 SID 无效类型为"TopLevelName"的条目指定字段。 |
| 769 | 添加了受信任的林信息。 注意: 当更新林信任信息并添加一个或多个条目时,将生成此事件消息。 每个添加、删除或修改的条目生成一个事件消息。 如果在林信任信息的单个更新中添加、删除或修改多个条目,则所有生成的事件消息都有一个称为操作 ID 的唯一标识符。 这允许你确定多个生成的事件消息是单个操作的结果。 并非所有参数都适用于每种条目类型。 例如,DNS 名称、NetBIOS 名称和 SID 等参数无效 " 类型为 TopLevelName 的条目 " 。 |
| 770 | 已删除受信任的林信息。 注意: 当更新林信任信息并添加一个或多个条目时,将生成此事件消息。 每个添加、删除或修改的条目生成一个事件消息。 如果在林信任信息的单个更新中添加、删除或修改多个条目,则所有生成的事件消息都有一个称为操作 ID 的唯一标识符。 这允许你确定多个生成的事件消息是单个操作的结果。 并非所有参数都适用于每种条目类型。 例如,DNS 名称、NetBIOS 名称和 SID 等参数无效 " 类型为 TopLevelName 的条目 " 。 |
| 771 | 已修改受信任的林信息。 注意: 当更新林信任信息并添加一个或多个条目时,将生成此事件消息。 每个添加、删除或修改的条目生成一个事件消息。 如果在林信任信息的单个更新中添加、删除或修改多个条目,则所有生成的事件消息都有一个称为操作 ID 的唯一标识符。 这允许你确定多个生成的事件消息是单个操作的结果。 并非所有参数都适用于每种条目类型。 例如,DNS 名称、NetBIOS 名称和 SID 等参数无效 " 类型为 TopLevelName 的条目 " 。 |
| 805 | 事件日志服务读取会话的安全日志配置。 |
7)审核特权使用
确定是否审核用户行使用户权限的每个实例。不会生成用于以下功能使用的用户权限审核,既是为审核权限使用制定了成功或失败审核。若要审核以下用户权限,请启用FullPrivilegeAuditing注册表项
-
跳过遍历检查
-
调试程序
-
创建令牌对象
-
替换进程级令牌
-
生成安全审核
-
备份文件和目录
-
还原文件和目录
| 特权使用事件 | 描述 |
|---|---|
| 576 | 指定的权限已添加到用户的访问令牌中。 注意: 在用户登录时将生成此事件。 |
| 577 | 用户尝试执行特权系统服务操作。 |
| 578 | 特权在受保护的对象的已打开句柄上使用。 |
8)审核进程跟踪
确定是否审核程序运行、进程退出、处理重复和简介对象访问等事件的详细跟踪信息。
| 进程跟踪事件 | 描述 |
|---|---|
| 592 | 已创建一个新进程。 |
| 593 | 进程已退出。 |
| 594 | 对象的句柄被复制。 |
| 595 | 获得对对象的间接访问。 |
| 596 | 已备份数据保护主密钥。 注意: 主密钥由 CryptProtectData 和 CryptUnprotectData 例程使用,并且加密文件系统 (EFS) 。 每次新建主密钥时,将备份主密钥。 (默认设置是 90 天。) 密钥通常备份到域控制器。 |
| 597 | 从恢复服务器恢复数据保护主密钥。 |
| 598 | 可审核数据受保护。 |
| 599 | 可审核数据未受保护。 |
| 600 | 为进程分配了主令牌。 |
| 601 | 用户尝试安装服务。 |
| 602 | 已创建计划程序作业。 |
9)审核系统事件
确定是否在用户重启或关闭计算机时或发生影响系统安全时或安全日志的事件进行审核。
| 录事件 | 描述 |
|---|---|
| 512 | Windows启动。 |
| 513 | Windows正在关闭。 |
| 514 | 身份验证包由本地安全机构加载。 |
| 515 | 受信任的登录过程已注册到本地安全机构。 |
| 516 | 分配给安全事件消息队列的内部资源已耗尽,导致一些安全事件消息丢失。 |
| 517 | 已审核日志复选框。 |
| 518 | 通知包由安全帐户管理器加载。 |
| 519 | 进程使用无效的本地过程调用 (LPC) 端口,以尝试模拟客户端,并回复或读取或写入客户端地址空间。 |
| 520 | 系统时间已更改。 注意: 此审核通常显示两次。 |
2、Windows高级安全审核策略
为了明确和及时,审核策略必须为组织最重要的资源、关键行为和潜在风险提供有用的跟踪数据。它还必须提供IT运行符合公司制度和法律要求的证据。
任何组织都没有无限的资源来监视网络上的每个资源和活动。如果计划不周,则可能在审核策略中存在差距,从而导致延迟或组织审核员识别可疑活动。
在设置高级审核策略后,会覆盖本地策略。
解决方法1:手动将高级策略中的全部选项勾选,这样即便本地策略被覆盖,依然会得到更详细的日志。
解决方法2:不设置高级策略。
转载自:[记一次曲折的安全策略配置 - 哔哩哔哩 (bilibili.com)](https://www.bilibili.com/read/cv4164337?from=search&spm_id_from=333.337.0.0)
3、日志分类
Windows主要是如下几种日志类型:
应用程序日志:包括计算机系统中的用户程序和商业程序在运行时出现的错误活动。
系统日志:系统日志包含由Windows系统组件记录的事件,记录系统进程和设备驱动程序的活动。
安全日志:记录各种系统审核和安全处理,包括用户权限的变化、文件和和目录的访问、打印以及用户系统登录和注销。安全日志只有系统管理员可以访问。
Setup日志:记录安装程序的相关事件。
Forwarded Events日志:用于存储从远程计算机收集的事件。
4、Windows事件类型/级别
二、Windows安全审核工具
1、基本操作
1)打开日志
Windows安全日志存储在C:\Windows\System32\winevt\Logs\目录下,该目录下存在许多evtx日志文件。双击即可打开。
较老版本得Windows系统相关安全日志存放在该目录下:C:\WINDOWS\System32\config\
2)通过日志管理器进程查看
通过”运行“枢如eventvwr即可打开日志管理器,从而查看Windows相关日志。
3)日志组成
| 属性名 | 描述 |
|---|---|
| 事件ID | 标识特定事件类型的编号。描述的第一行通常包含事件类型的名称。例如,6005 是在启动事件日志服务时所发生事件的 ID。此类事件的描述的第一行是“事件日志服务已启动”。产品支持代表可以使用事件 ID 和来源来解决系统问题。 |
| 来源 | 记录事件的软件,可以是程序名(如“SQL Server”),也可以是系统或大型程序的组件(如驱动程序名)。例如,“Elnkii”表示 EtherLink II 驱动程序。 |
| 级别 | 事件严重性的分类,以下事件严重性级别可能出现在系统和应用程序日志中: 信息:指明应用程序或组件发生了更改,如操作成功完成、已创建了资源,或已启动了服务。 警告:指明出现的问题可能会影响服务器或导致更严重的问题(如果未采取措施)。 错误:指明出现了问题,这可能会影响触发事件的应用程序或组件外部的功能。 关键:指明出现了故障,导致触发事件的应用程序或组件可能无法自动恢复。以下事件严重性级别可能出现在安全日志中: 审核成功 :指明用户权限练习成功。 审核失败:指明用户权限练习失败。在事件查看器的正常列表视图中,这些分类都由符号表示。 |
| 用户 | 事件发生所代表的用户的名称。如果事件实际上是由服务器进程所引起的,则此名称为客户端 ID;如果没有发生模仿的情况,则为主 ID。如果适用,安全日志项同时包含主 ID 和模仿 ID。当服务器允许一个进程采用另一个进程的安全属性时就会发生模拟的情况 |
| 操作代码 | 包含标识活动或应用程序引起事件时正在执行的活动中的点的数字值。例如,初始化或关闭 |
| 日志 | 已记录事件的日志的名称 |
| 任务类别 | 用于表示事件发行者的子组件或活动。 |
| 关键字 | 可用于筛选或搜索事件的一组类别或标记。示例包括“网络”、“安全”或“未找到资源” |
| 计算机 | 发生事件的计算机的名称。该计算机名称通常为本地计算机的名称,但是它可能是已转发事件的计算机的名称,或者可能是名称更改之前的本地计算机的名称 |
| 日期和时间 | 记录事件的日期和时间 |
4)事件ID
可参考第一部分内容进行查找。
2、场景分析
1)登录失败事件分析
登录请求失败时在尝试访问计算机生成此事件。其中包含如下内容。
-
使用者:指明本地系统上请求登录的账户。这通常是一个服务(例如Server服务)或本地进程(例如Winlogin.exe或Services.exe)
-
登录类型:指明发生的登录的种类。最常见的类型时2(交互式)和3(网络)。
-
进程信息:表明系统上的哪个账户和进程请求了登录。
-
网络信息:指明远程登录请求来自那里。其中,工作站名并非总是可用,在某些情况下可能留为空白。
-
身份验证信息:提供关于此特定登录请求的相信信息。
-
传递服务:指明哪些直接服务参与了此次登录请求;
-
数据包名:指明在NTLM协议之间使用了哪些子协议
-
密钥长度:指明生成的会话密钥长度,如果没有生成请求会话密钥,此字段为0;
-
Windows登录状态码
| Status\Sub-Status Code | 描述 |
|---|---|
| 0XC000005E | 当前没有可用于服务登录请求的登录服务器。 |
| 0xC0000064 | 用户使用拼写错误或错误用户帐户进行登录 |
| 0xC000006A | 用户使用拼写错误或错误密码进行登陆 |
| 0XC000006D | 原因可能是用户名或身份验证信息错误 |
| 0XC000006E | 指示引用的用户名和身份验证信息有效,但某些用户帐户限制阻止了成功的身份验证(例如时间限制)。 |
| 0xC000006F | 用户在授权时间之外登录 |
| 0xC0000070 | 用户从未经授权的工作站登录 |
| 0xC0000071 | 用户使用过期密码登录 |
| 0xC0000072 | 用户登录到管理员已禁用的帐户 |
| 0XC00000DC | 指示 Sam 服务器处于错误状态,无法执行所需操作。 |
| 0XC0000133 | DC 和其他计算机之间的时钟完全不同步 |
| 0XC000015B | 此计算机上尚未授予用户请求的登录类型(也称为登录权限) |
| 0XC000018C | 登录请求失败,因为主域和受信任域之间的信任关系失败。 |
| 0XC0000192 | 尝试登录,但 Netlogon 服务未启动。 |
| 0xC0000193 | 用户使用过期帐户登录 |
| 0XC0000224 | 用户需要在下次登录时更改密码 |
| 0XC0000225 | 很明显,这是 Windows 中的错误而非风险 |
| 0xC0000234 | 帐户已锁定的用户登录 |
| 0XC00002EE | 失败原因:登录时出错 |
| 0XC0000413 | 登录失败:登录的计算机受身份验证防火墙保护。 不允许指定的帐户对计算机进行身份验证。 |
| 0x0 | 状态正常。 |
2)登录成功事件分析
-
使用者:指明本地系统上请求登录的账户。这通常是一个服务(例如Server服务)或本地进程(例如Winlogin.exe或Services.exe)
-
登录类型:指明发生的登录的种类。最常见的类型时2(交互式)和3(网络)。
-
新登录:指明新登录是为哪个账户创建的,即已登录的账户。
-
网络:指明远程登录请求源自哪里。工作站名并非总是可用,在某些情况下可能留为空白。
-
模拟级别:指明登录会话中的进程可以模拟到的程度。
-
进程信息:表明系统上的哪个账户和进程请求了登录。
-
身份验证信息:提供有关此特定登录请求的详细信息。
-
登录GUID:可用于将此事件与KDC事件关联起来的唯一标识符。
-
传递服务:指明哪些服务参与了此次登录请求。
-
数据包名:指明在NTLM协议之间使用了哪些子协议
-
密钥长度:指明生成的会话密钥长度,如果没有生成请求会话密钥,此字段为0;
-
参考资料:
