要维护真正安全的环境,只是具备安全系统还远远不够。如果总假设自己不会受到攻击,或认为防护措施已足以保护自己的安全,都将非常危险。要维护系统安全,必须进行主动监视,以检查是否发生了入侵和攻击。
很多方面都说明,监视和审核入侵非常重要,具体原因有:
| ? |
所有处于运行中的计算机环境都有可能被攻击。无论系统安全级有多高,总有面临攻击的风险。 |
| ? |
成功的攻击一般出现在一系列失败攻击后。如果不监视攻击,您将无法在入侵者达到目的前检测到他们。 |
| ? |
一旦攻击成功,越早发现越能减少损失。 |
| ? |
为了能从攻击中恢复,需要了解发生了什么损失。 |
| ? |
审核和入侵检测有助于确定是谁发起的攻击。 |
| ? |
审核和入侵检测的结合使用有助于将信息进行关联,以识别攻击模式。 |
| ? |
定期复查安全日志有助于发现未知的安全配置问题(如不正确的权限,或者不严格的帐户锁定设置)。 |
| ? |
检测到攻击之后,审核有助于确定哪些网络资源受到了危害。 |
本模块讲述如何审核环境,以便发现攻击并跟踪攻击。本模块还讲述了如何监视是否发生了入侵,如何使用入侵检测系统(入侵检测系统是专门为发现攻击行为而设计的软件)。
目标
使用本模块可以实现下列目标:
| ? |
使用最佳做法在组织中进行审核。 |
| ? |
保护关键日志文件,防止攻击者干预证据。 |
| ? |
结合使用被动和主动的检测方法。 |
| ? |
明确监督和监视员工要具备哪些工具和技术,以及如何在审核过程中使用这些工具和技术。 |
适用范围
本模块适用于下列产品和技术:
| ? |
Microsoft? Windows 2000? 操作系统 |
如何使用本模块
使用本模块中的指南可启动监视体系,该体系将主动检测入侵和攻击。这样,您能在发生攻击时及早干预,并减少该事件的影响,降低组织受到严重损失的风险。
为了充分理解本模块内容,请:
|
阅读模块:对 Windows 2000 环境中发现的事件进行响应。 |
审核
在任何安全环境中,您都应主动监视以检查是否发生了入侵和攻击。如果总假设不会受到攻击,只是将安全系统放在那里,随后不执行任何审核工作,您将无法达到预期目标。
作为整体安全策略的一部分,您应确定适于所在环境的审核级别。审核过程应识别可能会对网络,或风险评估中已确定的有价值资源造成威胁的各种攻击(无论攻击成功或失败)。
当决定要审核多少内容时,切记审核的内容越多,生成的事件越多,发现严重事件就越困难。如果要审核大量内容,有必要考虑使用附加的工具来帮助筛选重要事件,这样的工具有 Microsoft Operations Manager (MOM) 等。
审核事件可分为两类:成功事件和失败事件。成功事件表明用户已成功获得某资源的访问权限,失败事件表明用户进行了尝试,但失败了。
失败事件十分有助于跟踪对环境进行的攻击尝试,成功事件则难以解释。虽然绝大多数成功审核事件只表明正常的操作,但获取了某系统访问权限的攻击者也会生成一个成功事件。通常,事件模式与事件本身同样重要。例如,一系列失败后的一次成功可能表示曾经的攻击尝试最终得到成功。
您应尽可能将审核事件与所拥有的相关用户的其他信息结合使用。例如,如果用户在休假,可选择用户不在时禁用其帐户,然后在重新启用帐户时再审核。
如何启用审核
使用组策略可在站点、域、组织单位 (OU) 或本地计算机级启用审核。审核策略位于:
计算机配置\Windows 设置\安全设置\本地策略\审核策略
通常情况下,应在 Microsoft Active Directory? 目录服务层次的较高级实现审核,这有助于保持审核设置的一致性。Contoso 在“成员服务器”和“域控制器”OU 级都实现了审核。
您可选择将一些服务器与域分隔。通过编辑本地计算机的组策略,或使用“Windows 2000 Server Resource Kit”中的 Auditpol.exe 实用程序,可在这些计算机上配置审核。
注意:要访问本地计算机的组策略,请启动 Microsoft 管理控制台 (MMC),然后添加该组策略管理单元,这将使该本地计算机成为管理单元的焦点。
定义事件日志设置
审核所生成的每个事件都显示在“事件查看器”中。您应决定事件日志如何存储生成的事件。每个这样的设置都可直接在“事件查看器”中定义,或在组策略中定义。在本指南中,我们已在组策略中定义了“事件查看器”设置。
如果从组策略中删除“事件查看器”设置,则可在“事件查看器”中直接进行设置。但建议您在组策略中定义“事件查看器”设置,确保所有相似计算机中的设置一致。
在 Contoso 环境中,组策略的配置不是在安全日志达到容量时关闭组织中的系统。实际的系统配置是,根据需要覆盖事件日志。
要审核的事件
Microsoft Windows 2000 提供了几类安全事件的审核。当制定企业审核策略时,需决定是否包含如下类别的安全审核事件:
| ? |
登录事件 |
| ? |
帐户登录事件 |
| ? |
对象访问事件 |
| ? |
目录服务访问事件 |
| ? |
特权使用事件 |
| ? |
进程跟踪事件 |
| ? |
系统事件 |
| ? |
策略更改事件 |
下面几节详细说明了特定类别在启用审核时返回的常见事件 ID。
注意:负责搜索和收集事件日志信息的工具将在本模块后的被动检测方法一节讨论。
登录事件
如果要审核登录事件(每次用户登录或注销计算机时都审核),则会在发生登录尝试的计算机的安全日志中生成一个事件。另外,当用户连接远程服务器时,远程服务器的安全日志中也会生成一个登录事件。登录事件是在登录会话和令牌分别被创建或损坏时创建的。
登录事件可用于跟踪服务器的交互式登录尝试,或调查从某特定计算机发起的攻击。成功的审核会在登录尝试成功时生成一个审核项。失败的审核会在登录尝试失败时生成一个审核项。
注意:登录事件既包括计算机登录事件,也包括用户登录事件。如果网络连接是从基于 Microsoft Windows NT? 的计算机或基于 Windows 2000 的计算机进行尝试的,则会看到用于计算机帐户和用户帐户的单独事件日志项。基于 Windows 9x 的计算机在目录中没有计算机帐户,不会为网络登录事件生成计算机登录事件项。
作为“成员服务器和域控制器基准策略”的一部分,应对成功和失败登录事件都启用审核。因此,应能在“安全事件日志”中看到交互式登录,以及连接到正在运行“终端服务”的计算机的“终端服务”登录的下列事件 ID。
表 1:安全事件日志中的登录事件
|
528 |
用户成功登录计算机。 |
|
529 |
用户使用系统未知的用户名登录,或已知用户使用错误的密码登录。 |
|
530 |
用户帐户在许可的时间范围外登录。 |
|
531 |
用户使用已禁用的帐户登录。 |
|
532 |
用户使用过期帐户登录。 |
|
533 |
不允许用户登录计算机。 |
|
534 |
用户使用不许可的登录类型(如网络、交互、批量、服务或远程交互)进行登录。 |
|
535 |
指定帐户的密码已过期。 |
|
536 |
Net Logon 服务未处于活动状态。 |
|
537 |
登录由于其他原因而失败。 |
|
538 |
用户注销。 |
|
539 |
试图登录时帐户已被锁定。此事件表示密码攻击失败,并导致该帐户被锁定。 |
|
540 |
网络登录成功。此事件表示远程用户已成功从该网络连接到服务器上的本地资源,同时为该网络用户生成了一个令牌。 |
|
682 |
用户重新连接了已断开的终端服务会话。此事件表示前面已连接了一个终端服务会话。 |
|
683 |
用户在未注销的情况下断开终端服务会话。此事件是在用户通过网络连接终端服务会话时生成的。它出现在终端服务器上。 |
使用登录事件项可诊断下面的安全事件:
| ? |
本地登录尝试失败
下列任意事件 ID 都表示登录尝试失败:529、530、531、532、533、534 和 537。如果攻击者使用本地帐户的用户名和密码组合,但并未猜出,则看到事件 529 和 534。但是,如果用户忘记了密码,或通过“网上邻居”浏览网络,也可能产生这些事件。
在大型环境中,可能很难有效说明这些事件。作为一种规则,如果这些模式重复发生,或符合其他一些非正常因素,则应研究这些模式。例如,半夜,在发生若干 529 事件后发生了 528 事件,可能表示密码攻击成功(或管理员非常疲惫)。 |
| ? |
帐户滥用
事件 530、531、532 和 533 表示用户帐户被滥用。这些事件表示输入的帐户/密码组合是正确的,但由于其他一些限制而阻止了成功登录。只要有可能,请仔细研究这些事件,确定是否发生了滥用,或是否需要修改当前的限制。例如,可能需要延长帐户的登录时间。 |
| ? |
帐户锁定
事件 539 表示帐户已被锁定。这表示密码攻击已失败。您应查找同一用户帐户以前产生的 529 事件,尝试弄清登录的模式。 |
| ? |
终端服务攻击
终端服务会话可能停留在连接状态,使一些进程得以在会话结束后继续运行。事件 ID 683 表示用户没有从终端服务会话注销,事件 ID 682 表示发生了到上一个已断开连接会话的连接。 |
Contoso 监视大量的登录尝试失败和大量帐户锁定。在这样的环境中,由于一些合理的原因,常要让用户将终端服务会话保持断开状态。
帐户登录事件
当用户登录域时,这种登录在域控制器中处理。如果在域控制器中审核帐户登录事件,则会在验证该帐户的域控制器上记录此登录尝试。帐户登录事件是在身份验证程序包验证用户的凭据时创建的。只有使用域凭据,才会在域控制器的事件日志中生成帐户登录事件。如果提供的凭据为本地安全帐户管理器 (SAM) 数据库凭据,则会在服务器的安全事件日志中创建帐户登录事件。
因为帐户登录事件可能会记录在域的任何有效域控制器中,所以必须确保将各域控制器中的安全日志合并,以分析该域中的所有帐户登录事件。
注意:与登录事件相同,帐户登录事件既包括计算机登录事件,也包括用户登录事件。
作为“成员服务器和域控制器基准策略”的一部分,成功和失败的帐户登录事件都应启用审核。因此,应能看到网络登录和终端服务身份验证的下列事件 ID。
表 2:事件日志中的帐户登录事件
|
672 |
身份验证服务 (AS) 票证已成功签发和验证。 |
|
673 |
已授予票证授予服务 (TGS) 票证。 |
|
674 |
安全主要对象续订了 AS 票证或 TGS 票证。 |
|
675 |
预身份验证失败。 |
|
676 |
身份验证票证请求失败。 |
|
677 |
未授予 TGS 票证。 |
|
678 |
某个帐户已成功映射到域帐户。 |
|
680 |
标识成功登录的帐户。此事件还指出了验证帐户的身份验证程序包。 |
|
681 |
尝试域帐户登录。 |
|
682 |
用户重新连接一个已断开的终端服务会话。 |
|
683 |
用户在没有注销的情况下断开了终端服务会话。 |
对于每个这样的事件,事件日志都会显示每个特定登录的详细信息。使用帐户登录事件项可诊断下面的安全事件:
| ? |
域登录尝试失败
事件 ID 675 和 677 表明登录域的尝试失败。 |
| ? |
时间同步问题
如果客户计算机的时间与身份验证域控制器的时间不同,多了五分钟(默认情况),则安全日志中显示事件 ID 675。 |
| ? |
终端服务攻击
终端服务会话可能停留在连接状态,使一些进程得以在会话结束之后继续运行。事件 ID 683 表示用户没有从终端服务会话注销,事件 ID 682 则表示发生了到上一个已断开连接会话的连接。要防止断开连接,或要终止这些已断开的会话,请在“终端服务配置”控制台中的 RDP-TCP 协议属性中定义“time interval to end disconnected session”(结束已断开会话的时间间隔)。 |
Contoso 当前要监视数量巨大的失败域登录尝试。根据其环境的不同,其他一些事件无关紧要。配置这些设置时,他们确定的最好方法是,首先以一个相对较严格的设置开始,然后持续减少它的严格程度,直到一些非实质警告的数量减少。目前,他们监视的是 10 分钟时间段中发生 10 次失败登录的所有情况。这些数字在所有环境中可能都是不同的。
帐户管理
帐户管理审核用于确定何时创建、更改或删除了用户或组。这种审核可用于确定何时创建了安全主要对象,以及谁执行了该任务。
作为“成员服务器和域控制器基准策略”的一部分,帐户管理中的成功和失败都应启用审核。因此,应该会看到安全日志中记录的下列事件 ID。
表 3:事件日志中的帐户管理事件
|
624 |
创建了用户帐户 |
|
625 |
用户帐户类型更改 |
|
626 |
启用了用户帐户 |
|
627 |
尝试进行了密码更改 |
|
628 |
设置了用户帐户密码。 |
|
629 |
禁用了用户帐户 |
|
630 |
删除了用户帐户 |
|
631 |
创建了启用安全的全局组 |
|
632 |
添加了启用安全的全局组成员 |
|
633 |
删除了启用安全的全局组成员 |
|
634 |
删除了启用安全的全局组 |
|
635 |
创建了禁用安全的本地组 |
|
636 |
添加了启用安全的本地组成员 |
|
637 |
删除了启用安全的本地组成员 |
|
638 |
删除了启用安全的本地组 |
|
639 |
更改了启用安全的本地组 |
|
641 |
更改了启用安全的全局组 |
|
642 |
更改了用户帐户 |
|
643 |
更改了域策略 |
|
644 |
锁定了用户帐户 |
使用安全日志项可诊断下面的帐户管理事件:
|
用户帐户的创建
事件 ID 624 和 626 表明何时创建和启用了用户帐户。如果帐户创建限定在组织中的特定个人,则可使用这些事件表示是否有未授权的个人创建了用户帐户。 |
| ? |
更改了用户帐户密码
如果不是该用户修改密码,可能表明该帐户已被另一用户占用。请查看事件 ID 627 和 628,它们分别表明尝试进行了密码更改以及密码更改成功。请查看详细信息,确定是否是另一个帐户执行了该更改,该帐户是否是重置用户帐户密码的技术支持部门或其他服务部门的成员。 |
| ? |
更改了用户帐户状态
某个攻击者在攻击过程中,可能会通过禁用或删除帐户来尝试掩盖攻击。出现的所有事件 ID 629 和 630 都应仔细研究,确保这些是授权的事务处理。另外,还要查看发生事件 ID 626 之后短时间内发生的事件 ID 629。这可能表明一个已禁用的帐户被启用,被使用,然后又再次被禁用。 |
| ? |
安全组的修改
成员身份更改为 Domain Administrator、 Administrator、Operator 组的任何成员,或更改为被委派了管理功能的自定义全局组、通用组或域本地组,这些情况都应进行复查。对于全局组成员身份修改,请查找事件 ID 632 和 633。对于域本地组成员身份修改,请查看事件 ID 636 和 637。 |
| ? |
帐户锁定
锁定帐户时,系统会在主域控制器 (PDC) 模拟器操作主机上记录两个事件。一个事件为 644,表示帐户名已被锁定;然后记录事件 642,表示该用户帐户已更改为表明帐户现已锁定。此事件只会记录在 PDC 模拟器上。 |
因为 Contoso 是一个较大的企业,所以每天有大量的帐户要维护。监视所有这些事件会导致环境中产生太多的警告,而这些警告不必全部进行合理的解决。
对象访问
在基于 Windows 2000 的网络中,使用系统访问控制列表 (SACL) 可为所有对象启用审核。SACL 包含了一个用户和组列表,其中用户和组等对象的操作都要进行审核。用户在 Windows 2000 中可操作的每个对象几乎都有一个 SACL。这些对象包括 NTFS 文件系统驱动器上的文件和文件夹、打印机和注册表项。
SACL 由访问控制项 (ACE) 组成。每个 ACE 包含三部分信息:
| ? |
要审核的安全主要对象。 |
| ? |
要审核的特定访问类型,称为访问掩码。 |
| ? |
一种表明是审核失败访问、成功访问还是两者兼有的标志。 |
如果要在安全日志中显示事件,必须首先启用“对象访问审核”,然后为要审核的每个对象定义 SACL。
Windows 2000 中的审核是在打开一个到对象的句柄时生成的。Windows 2000 使用一个内核模式的安全子系统,这种系统只允许程序通过内核访问对象。这会防止程序尝试绕过安全系统。因为内核内存空间是与用户模式程序相隔离的,所以程序是通过一个称为句柄的数据结构引用对象的。下面是一个典型的访问尝试:
|
1. |
用户要求程序访问某个对象(例如,文件/打开)。 |
|
2. |
该程序从系统请求一个句柄,指定需要哪种类型的访问(读、写等)。 |
|
3. |
安全子系统将请求对象的自由访问控制列表 (DACL) 与该用户的令牌相比较,在 DACL 中查找与该用户或用户所在组相匹配的项,以及对于请求程序有访问权限的项。 |
|
4. |
系统将所请求对象的 SACL 与该用户的令牌相比较,在 SACL 中查找与该程序返回的有效权限相匹配的项,或与该程序请求的权限相匹配的项。如果匹配的失败审核 ACE 与一个已请求但未授予的访问相匹配,则生成一个失败审核事件。如果匹配的成功审核 ACE 与一个已授予的访问相匹配,则生成一个成功审核事件。 |
|
5. |
如果授予任何访问,系统都会向该程序返回一个句柄,然后该程序会使用该句柄访问该对象。 |
要注意的重要一点是,当发生审核并生成事件时,尚未对该对象发生任何操作。这对于解释审核事件至关重要。写入审核是在文件被写入之前生成的,读取审核则在文件被读取之前生成。
与所有审核一样,务必采取一个针对目标的方式来审核对象访问。在审核计划中,应决定必须审核的对象类型,然后确定每种类型的审核对象,希望监视哪些类型的访问尝试(成功、失败,还是两者兼有)。审核的范围过宽会对系统性能产生明显的影响,并会使收集的数据过多,远远超过必要或有用的程度。
通常情况下,您希望审核对所选择对象的所有访问,其中包括来自非信任帐户的访问。为此,请在审核对象的 SACL 中添加“Everyone”组)。您应了解,如果按照这种方式审核成功的对象访问,可能会在安全日志中产生非常多的审核项。然而,如果要对重要文件的删除进行调查,则必须检查成功审核事件,以确定哪个用户帐户删除了该文件。
“成员服务器和域控制器基准策略”的设置是既审核成功对象访问也审核失败事件。但是,这些对象本身不会设置任何 SACL,需要根据环境的需要设置这些内容。SACL 可以直接在对象上定义,也可以通过组策略定义。如果要审核的对象存在于多个计算机上,则应在组策略中定义这些 SACL。
审核对象访问会导致安全日志显示下列事件。
表 4:事件日志中的对象访问事件
|
560 |
授予现有对象访问权限。 |
|
562 |
对象句柄关闭。 |
|
563 |
为删除对象而打开对象。(这是文件系统在指定了 FILE_DELETE_ON_CLOSE 标志时所使用的。) |
|
564 |
删除了一个受保护的对象。 |
|
565 |
授予现有对象类型访问权限。 |
如果要查找特定的对象访问事件,主要需研究事件 ID 为 560 的事件。该事件详细信息中有一些有用的信息,请搜索该事件的详细信息,找出正在搜索的特定事件。下表显示了一些可能要执行的操作,以及如何执行这些操作。
表 5:如何执行对象访问事件 560 的主要审核操作
|
查找特定的文件、文件夹或对象 |
在事件 560 的详细信息中,搜索要复查其上操作的文件或文件夹的完整路径。 |
|
确定特定用户的操作 |
在 560 事件中定义筛选器来标识特定用户。 |
|
确定在特定计算机上执行的操作 |
在 560 事件中定义筛选器来标识在其中执行任务的特定计算机。 |
Contoso 不专门监视任何对象访问事件,但要审核某些文件的对象访问。此信息对于响应一个安全事件尤其有用。
目录服务访问
Active Directory 对象有相关联的 SACL,因此可进行审核。正如前面提到的,审核帐户管理可审核 Active Directory 用户和组帐户。但是,如果想审核其他命名上下文中对象的修改(如配置和架构命名上下文),必须审核对象访问,然后为要审核的特定容器定义 SACL。如果 Active Directory 对象 SACL 中列出的用户要尝试访问该对象,就会生成审核项。
您可以使用 ADSIEDIT MMC 管理单元来修改配置命名上下文(和其他命名上下文)中容器和对象的 SACL。过程如下:在 ADSIEDIT 控制台中显示所需的上下文,然后在“高级安全设置”对话框中修改该对象的 SACL。
由于发生了大量事件(通常都是些无关紧要的事件),所以很难找出目录服务访问的特定事件。因此,“成员服务器和域控制器基准策略”只审核目录服务访问的失败事件。这有助于弄清攻击者何时尝试对 Active Directory 进行了未授权访问。
尝试的目录访问在安全日志中将显示为一个 ID 为 565 的目录服务事件。只有通过查看安全事件的详细信息,才能确定该事件与哪个对象相对应。
Contoso 不专门监视任何目录服务访问事件,但要审核某些文件的对象访问。此信息对于响应一个安全事件尤其有用。
特权使用
当用户在信息技术 (IT) 环境中工作时,他们将运用所定义的用户权限。如果审核特权使用的成功和失败,每次用户尝试运用用户权限时都会生成一个事件。
即使真的要审核特权使用,也并非所有的用户权限都会审核。在默认情况下,不包括下列用户权限:
| ? |
跳过遍历检查 |
| ? |
调试程序 |
| ? |
创建令牌对象 |
| ? |
替换进程级令牌 |
| ? |
生成安全审核 |
| ? |
备份文件和目录 |
| ? |
还原文件和目录 |
您可以在组策略中启用“对备份和还原权限的使用进行审核”安全选项,从而覆盖不审核“备份”和“还原”用户权限的默认行为。
审核成功的特权使用会在安全日志中产生大量的项。因此,“成员服务器和域控制器基准策略”只会审核失败的特权使用。
如果启用了特权使用审核,将生成下列事件。
表 6:事件日志中的特权使用事件
|
576 |
指定特权已添加到用户的访问令牌中。(此事件在用户登录时生成。) |
|
577 |
用户尝试执行授权的系统服务操作。 |
|
578 |
在已打开的受保护对象上使用了特权。 |
下面是使用某些特定用户权限时,可能存在的一些事件日志项示例:
| ? |
作为操作系统的一部分
请查找指定了 SeTcbPrivilege 访问特权的事件 ID 577 或 578。事件详细信息指出了使用该用户权限的用户帐户。此事件表明,用户作为操作系统的一部分使用了超越安全的特权。例如,GetAdmin 攻击就会使用此特权,在这种攻击中,用户尝试将他们的帐户添加到 Administrator 组中。此事件的唯一项应用于 System 帐户,以及分配了该用户权限的所有服务帐户。 |
| ? |
更改系统时间
请查找指定了 SeSystemtimePrivilege 访问特权的事件 ID 577 或 578。事件详细信息表明了使用该用户权限的用户帐户。此事件表明,用户尝试通过更改系统时间来隐藏事件发生的真实时间。 |
| ? |
从远程系统进行强制关机
请查找指定了 eRemoteShutdownPrivilege 用户访问权限的事件 ID 577 和 578。事件详细信息中包括了分配该用户权限的特定安全标识符 (SID),以及分配该权限的安全主要对象的用户名。 |
| ? |
加载和卸载设备驱动程序
请查找指定了 SeLoadDriverPrivilege 用户访问权限的事件 ID 577 或 578。事件详细信息表明了使用此用户权限的用户帐户。此事件表明,用户尝试加载一个未授权版本的设备驱动程序或者特洛伊木马版本(一种恶意代码)的设备驱动程序。 |
| ? |
管理审核和安全日志
请查找指定了 SeSecurityPrivilege 用户访问权限的事件 ID 577 或 578。事件详细信息表明了使用此用户权限的用户帐户。在事件日志被清除,以及特权使用的事件被写入安全日志时,都会发生此事件。 |
| ? |
关闭系统
请查找指定了 SeShutdownPrivilege 访问特权的事件 ID 577。事件详细信息表明了使用此用户权限的用户帐户。此事件会在尝试关闭计算机时发生。 |
| ? |
获取文件或其他对象的所有权
请查找指定了SeTakeOwnershipPrivilege 访问特权的事件 ID 577 或 578。事件详细信息表明了使用该用户权限的用户帐户。此事件表明,某个攻击者正在尝试通过获取对象的所有权来绕过当前的安全设置。 |
Contoso 专门监视表明正常关机或从远程系统强制关机的所有事件,以及表明已修改了审核和安全日志的所有事件。
进程跟踪
如果要审核基于 Windows 2000 计算机中运行的进程的详细跟踪信息,事件日志会显示创建进程和结束进程的尝试。它还会记录进程尝试生成对象句柄的行为,或获取对象间接访问的行为。
由于生成的审核项很多,所以“成员服务器和域控制器基准策略”不会启用进程跟踪审核。但是,如果选择审核成功和失败,则事件日志中会记录下列事件 ID。
表 7:事件日志中的进程跟踪事件
|
592 |
创建了新进程。 |
|
593 |
退出进程。 |
|
594 |
复制对象句柄。 |
|
595 |
获取了对象的间接访问。 |
Contoso 不监视任何进程跟踪事件,并且不在任何服务器策略中启用这些监视。
系统事件
系统事件是在用户或进程更改计算机环境的部分内容时生成的。您可以审核对系统进行更改的尝试,如关闭计算机或者更改系统时间。
如果审核系统事件,还应审核何时清除了安全日志。这非常重要,因为攻击者常会尝试在对环境进行更改之后清除他们的行踪。
“成员服务器和域控制器基准策略”会审核系统事件的成功和失败。这会在事件日志中生成下列事件 ID。
表 8:事件日志中的系统事件
|
512 |
Windows 正在启动。 |
|
513 |
Windows 正在关机。 |
|
514 |
本地安全机构加载了身份验证程序包。 |
|
515 |
本地安全机构注册了一个受信任的登录进程。 |
|
516 |
为了对安全事件消息进行排队而分配的内部资源已用完,导致某些安全事件消息丢失。 |
|
517 |
清除了安全日志。 |
|
518 |
安全帐户管理器加载了一个通知程序包。 |
您可以使用下面这些事件 ID 来获取部分安全问题:
| ? |
计算机关机/重新启动
事件 ID 513 会显示关闭 Windows 时的每个实例。了解服务器何时关机或重新启动非常重要。其中有部分合理的原因,如安装的某个驱动程序或应用程序要求重新启动,或要关机或重新启动服务器以便维护。但是,攻击者可能还会为了在启动过程中获取对于系统的访问权限来强制服务器重新启动。所有发生的计算机关机情况都应注意,并与事件日志进行比较。
很多攻击都涉及计算机重新启动。研究这些事件日志可确定服务器何时进行了重新启动,以及重新启动是计划的还是非计划的。事件 ID 513 显示 Windows 正在启动,同时,在系统日志中还会自动生成一系列其他事件。这些其他事件包括事件 ID 6005,表示已启动了事件日志服务。
除了此项之外,还请查找系统日志中存在的两个不同事件日志项中的其中一个。如果上一次关机正常(如管理员重新启动了计算机),系统日志中会记录事件 ID 6006,“the Event Log service was stopped”(事件日志服务已停止)。通过检查该项目的详细信息,可以确定哪个用户执行了这次关机。
如果这次重新启动是一种非预期的重新启动,系统日志中会记录事件 ID 6008,“the previous system shutdown at <time> on <date> was unexpected”(在 <time> ,<date> 发生的上次系统关机是非预期的。)这可能表明一个拒绝服务 (DoS) 导致了计算机关机。但请记住,这也可能由于电源故障或设备驱动程序故障。
如果由导致蓝屏的停止错误引发重新启动,系统日志中会记录事件 ID 1001,其中带有 Save Dump 的源数据。在事件详细信息中可以复查真正的停止错误消息。
注意:要将事件 ID 1001 项的记录包括在内,必须选中“将事件写入系统日志”选项,启用“系统控制面板”小程序中的恢复设置部分。 |
| ? |
修改或清除安全日志
攻击者可能尝试修改安全日志、在攻击过程中禁用审核,或清除安全日志来防止检测。如果发现某时间段安全日志中没有任何项,应查看事件 ID 612 和 517,确定哪个用户修改了审核策略。出现的所有事件 ID 517 都应与一个表明清除安全日志的所有次数的物理日志进行比较。未授权的安全日志清除可能是要隐藏以前安全日志中存在的事件。清除了该日志的用户名包括在事件详细信息中。 |
Contoso 监视了计算机关机或重新启动,以及安全日志的清除操作。
策略更改
审核策略定义了要审核哪些环境更改,这可帮助您确定是否存在攻击环境的企图。但有心的攻击者会设法更改该审核策略本身,以便不被审核所进行的任何更改。
如果要审核策略更改,则将显示更改审核策略的尝试,以及对其他策略和用户权限的更改尝试。“成员服务器和域控制器基准策略”会审核策略更改的成功和失败。您会在事件日志中看到记录的下面这些事件。
表 9:事件日志中的策略更改事件
|
608 |
分配了用户权限。 |
|
609 |
删除了用户权限。 |
|
610 |
创建了与另一个域之间的受信任关系。 |
|
611 |
删除了与另一个域之间的受信任关系。 |
|
612 |
更改了审核策略。 |
|
768 |
检测到一个目录林中的命名空间元素与另一目录林中的命名空间元素的冲突。(当一个目录林中的命名空间元素与另一目录林中的命名空间元素发生重叠,则会发生冲突。) |
此处要查找的两个最重要的事件为事件 ID 608 和 609。一些攻击尝试可能会导致记录这些事件。如果分配了用户权限,下面的示例都会生成事件 ID 608,如果删除了用户权限,则都生成事件 ID 609。在每种情况下,事件详细信息都会包括该用户权限分配到的特定 SID,以及分配该权限的安全主要对象的用户名:
| ? |
作为操作系统的一部分
请在事件详细信息中查找用户权限为 seTcbPrivilege 的事件 ID 608 和 609。 |
| ? |
向该域添加工作站
请在事件详细信息中查找用户权限为 SeMachineAccountPrivilege 的事件。 |
| ? |
备份文件和目录
请在事件详细信息中查找用户权限为 SeBackupPrivilege 的事件。 |
| ? |
跳过遍历检查
请在事件详细信息中查找用户权限为 SeChangeNotifyPrivilege 的事件。此用户权限允许用户遍历目录树,即使该用户没有访问该目录的权限也可以执行此操作。 |
| ? |
更改系统时间
请在事件详细信息中查找用户权限为 SeSystemtimePrivilege 的事件。此用户权限允许安全主要对象更改系统时间,可能会掩盖事件发生的时间。 |
| ? |
创建永久的共享对象
请在事件详细信息中查找用户权限为 SeCreatePermanentPrivilege 的事件。此用户权限的持有者可以创建文件和打 |
