为了让大家了解如何追蹤计算机安全日志功能的具体方面首先需要了解如何启动安全日志大多数Windows计算机(除了某些域控制器版本系统)默认情况下不会向安全日志(Security Log)启动日志记录信息这样的设置有利也有弊弊的方面在于除非用户强迫计算机开始日志记录安全事件否则根本无法进行任何追蹤好的方面在于不会发生日志信息爆满的问题以及提示日志已满的错误信息这也是Windows Server 域控制器在没有任何预警下的行为
安全日志事件跟蹤可以使用组策略来建立和配置当然你可以配置本地组策略对象但是这样的话你将需要对每台计算机进行单独配置另外你可以使用Active Directory内的组策略为多台计算机设置日志记录配置要建立安全日志追蹤首先打开连接到域的计算机上的Group Policy Management Console (GPMC组策略管理控制台)并以管理员权限登录
在GPMC中你可以看到所有的组织单位(OU)(如果你事先创建了的话)以及GPO(如果你创建了两个以上)在本文中我们将假设你有一个OU这个OU中包含所有需要追蹤相同安全日志信息的计算机我们将使用台式计算机OU和AuditLog GPO
编辑AuditLog GPO然后展开至以下节点
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy
展开此节点后你会看到你可以配置的审核类别列表如图所示
图Audit Policy类别可以帮助你制定想要记录日志信息的安全区域
图Audit Policy类别可以帮助你制定想要记录日志信息的安全区域
每个政策设置都有两个选择成功和/或失败要想为任何类别配置成功或者失败你需要勾选Define These Policy Settings选项框如图所示
图每个审计政策都需要首先就进行定义然后需要配置审计类型
以下是关于每种类别控制范围的简要介绍
审计帐户登录事件– 每次用户登录或者从另一台计算机注销的时候都会对该事件进行审计计算机执行该审计是为了验证帐户关于这一点的最好例子就是当用户登录到他们的Windows XP Professional计算机上总是由域控制器来进行身份验证由于域控制器对用户进行了验证这样就会在域控制器上生成事件除了Windows Server 域控制器(配置为审计这些事件的成功与否)启动了设置外没有操作系统启动该设置最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计我还发现在很多环境中客户端也会配置为审计这些事件
审计账户管理–这个将对所有与管理计算机(配置了审计)的用户数据库中的帐户的用户有关的事件进行审计这些事件的示例如下
·创建一个用户帐户
·添加用户到一个组
·重命名用户帐户
·为用户帐户更改密码
对于域控制器而言该管理政策将会对域帐户更改进行审计对于服务器或者客户端而言它将会审计本地安全帐户管理器(Security Accounts Manager)以及相关的帐户除了Windows Server 域控制器(配置为审计这些事件的成功与否)启动了设置外没有操作系统启动该设置最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计对于用户帐户的审计安全日志以及审计设置是不能捕捉的
审计目录服务访问–这个将对与访问AD对象(已经被配置为通过系统访问控制列表SACL追蹤用户访问情况)的用户有关的事件进行审计AD对象的SACL指明了以下三件事
·将会被追蹤的帐户(通常是用户或者组)
·将会被追蹤的访问类型如只读创建修改等
·对对象访问的成功或者失败情况
由于每个对象都有自己独特的SACL对将被追蹤的AD对象的控制级别应该是非常精确的除了Windows Server 域控制器(配置为审计这些事件的成功与否)启动了设置外没有操作系统启动该设置最佳做法是为所有域控制器的目录服务访问启动成功和失败审计
审计登陆事件 –这将对与登录到注销或者网络连接到(配置为审计登录事件的)电脑的用户相关的所有事件进行审计一个很好的例子就是当这些事件日志记录的时候恰好是用户使用域用户帐户交互的登录到工作站的时候这样就会在工作站生成一个事件而不是执行验证的域控制器上生成从根本上讲追蹤事件是在当尝试登录的位置而不是在用户帐户存在的位置除了Windows Server 域控制器(配置为审计这些事件的成功与否)启动了设置外没有操作系统启动该设置通常会对网络中所有计算机的这些事件进行日志记录
审计对象访问 –当用户访问一个对象的时候审计对象访问会对每个事件进行审计对象内容包括文件文件夹打印机注册表项和AD对象在现实中任何有SACL的对象丢会被涵盖到这种类型的审计中就像对目录访问的审计一样每个对象都有自己独特的SACL语序对个别对象进行有针对性的审计没有任何对象是配置为魔神进行审计的这意味着启用这个设置并不会产生任何日志记录信息一旦建立了该设置对象的SACAL就被配置了对尝试登录访问该对象时就开始出现表项除非有特别需要对某些资源的追蹤访问通常是不会配置这种级别的审计在高度安全的环境中这种级别的审计通常是启用的并且会为审计访问配置很多资源
审计政策更改–这将对与计算机上三个政策之一的更改相关的每个事件进行审计这些政策区域包括
·用户权利分配
·审计政策
·信任关系
除了Windows Server 域控制器(配置为审计这些事件的成功与否)启动了设置外没有操作系统启动该设置最佳做法就是对网络中的所有计算机配置这种级别的审计
审计特权使用–与执行由用户权限控制的任务的用户相关的每个事件都会被审计用户权利列表是相当广泛的如图所示
图计算机的用户权限列表
这种级别的审计不是默认配置来追蹤所有操作系统的事件最佳做法就是对网络中的所有计算机配置这种级别的审计
审计过程追蹤 – 这将对与计算机中的进程相关的每个事件进行审计这将包括程序激活进程退出处理重叠和间接对象访问这种级别的审计将会产生很多的事件并且只有当应用程序正在因为排除故障的目的被追蹤的时候才会配置
审计系统事件 – 与计算机重新启动或者关闭相关的事件都会被审计与系统安全和安全日志相关的事件同样也会被追蹤(当启动审计的时候)这是必要的计算机审计配置不仅当发生的事件需要被日志记录而且当日志本身被清除的时候也有记录除了Windows Server 域控制器(配置为审计这些事件的成功与否)启动了设置外没有操作系统启动该设置最佳做法就是对网络中的所有计算机配置这种级别的审计
每个审计类型的Event ID
在安全日志中可能会产生成千上万的事件所以你需要要秘密解码器环来找出寻找的事件以下是每种类别最重要的事件(你可能想要在安全日志中跟蹤的)
审计帐户登录事件
Event ID 描述
域控制器试图验证帐户凭证信息
域控制器未能验证帐户凭证信息
要求有Kerberos验证票(TGT)
要求有Kerberos验证票(TGT)
Kerberos服务票被更新
审计帐户管理
Event ID 描述
计算机帐户已创建
– 计算机帐户已更改
– 计算机帐户已删除
– 域政策已经更改
密码hash帐户被访问
安全全局组已经创建
– 一名用户被添加到安全全局组
– 一名用户从安全全局组解除
– 安全全局组已经删除
安全本地组已经创建
一名用户被添加到安全本地组
一名用户被安全本地组解除
安全本地组已经删除
安全本地组已经更改
安全全局组已经更改
安全通用组已创建
安全通用组已创建更改
一名用户被添加到安全通用组
一名用户被安全通用组解除
安全本地组已经删除
– 用户帐户已创建
– 用户帐户已启用
试图更改帐户密码
– 试图重置帐户密码
– 用户帐户被停用
用户帐户已删除
用户帐户已被改变
用户帐户被锁定
SID历史记录被添加到一个帐户
尝试添加SID历史记录到帐户失败
用户帐户被锁定
对管理组成员的帐户设置了ACL
帐户名称已经更改
审计目录服务访问
Active Directory 对象的属性被复制
复制失败开始
复制失败结束
目录服务对象已修改
目录服务对象已创建
目录服务对象已删除
目录服务对象已经移动
目录服务对象已删除
命名上下文的AD的副本同步已经开始
命名上下文的AD的副本同步已经结束
审计登录事件
帐户被注销
用户发起注销
帐户已成功登录
帐户登录失败
试图使用明确的凭证登录
SID被过滤
发现重放攻击
会话被重新连接到Window Station
会话断开连接到Window Station
– 工作站被锁定
工作站被解锁
屏幕保护程序启用
屏幕保护程序被禁用
所要求的凭证代表是政策所不允许的
要求对无线网络进行验证
要求对有线网络进行验证
审计对象访问
网络共享对象被访问
试图创建一个硬链接
交易状态已经改变
文件已被虚拟化
Windows防火墙服务阻止一个应用程序接收网络中的入站连接
计划任务已创建
计划任务已删除
计划任务已启用
计划任务已停用
计划任务已更新
注册表值被修改
注册表项被虚拟化
对象已删除
试图访问一个对象
审计政策变化
对象上的审计政策(SACL)已经更改
系统审计政策已经更改
Peruser审核政策表已经创建
CrashOnAuditFail值已经变化
对象的审计设置已经更改
创建到域的新信任
到域的信任已经删除
Kerberos政策已更改
信任域信息已经修改
系统安全访问授予帐户
系统安全访问从帐户移除
名字空间碰撞被删除
信任森林信息条目已添加
信任森林信息条目已删除
信任森林信息条目已取消
用户权限已分配
用户权限已移除
加密数据复原政策已取消
当开启Windows Firewall时下列政策启用
当开启Windows Firewall时列入一个规则
对Windows防火墙例外列表进行了修改添加规则
对Windows防火墙例外列表进行了修改规则已修改
对Windows防火墙例外列表进行了修改规则已删除
Windows防火墙设置已恢复到默认值
Windows防火墙设置已更改
因为主要版本号码不被Windows防火墙承认规则已被忽视
因为主要版本号码不被Windows防火墙承认部分规则已被忽视将执行规则的其余部分
因为Windows防火墙不能解析规则规则被忽略
Windows防火墙组政策设置已经更改将使用新设置
Windows防火墙已经更改主动资料
Windows防火墙不适用于以下规则
因为该规则涉及的条目没有被配置Windows防火墙将不适用以下规则
组策略对象中的安全政策已经成功运用
当处理组策略对象中的安全政策时发生一个或者多个错误
对象的权限已更改
审计特权使用
给新登录分配特权
要求特权服务
试图对特权对象尝试操作
审计系统事件
Windows防火墙服务已成功启动
Windows防火墙服务已经被停止
Windows防火墙服务无法从本地存储检索安全政策该服务将继续执行目前的政策
Windows防火墙服务无法解析的新的安全政策这项服务将继续执行目前的政策
Windows防火墙服务无法初始化的驱动程序这项服务将继续执行目前的政策
Windows防火墙服务无法启动
Windows防火墙无法通知用户它阻止了接收入站连接的应用程序
Windows防火墙驱动程序已成功启动
Windows防火墙驱动程序已经停止
Windows防火墙驱动程序未能启动
Windows防火墙驱动程序检测到关键运行错误终止
Windows正在启动
Windows正在关机
系统时间被改变
管理员从CrashOnAuditFail回收系统非管理员的用户现在可以登录有些审计活动可能没有被记录
系统中安装服务器
监测安全事件样式已经发生
想查看所有事件的完整列表请访问微软网站x?scid=kb;ENUS;
总结
微软将继续涵盖事件查看器内的安全日志中显示的额外事件只要你使用组策略建立了你想要审计和跟蹤的类别就可以使用上述解码的事件来跟蹤环境需要的事件如果你将事件与其他技术相结合(例如订阅)你可以创建事件的微调谐日志以保证网络的安全
