建立安全日志記錄

【IT專(zhuān)家網(wǎng)獨(dú)家】為了讓大家了解如何追蹤計(jì)算機(jī)安全日志功能的具體方面，首先需要了解如何啟動(dòng)安全日志。大多數(shù)Windows計(jì)算機(jī)(除了某些域控制器版本系統(tǒng))默認(rèn)情況下不會(huì)向安全日志(Security Log)啟動(dòng)日志記錄信息。這樣的設(shè)置有利也有弊，弊的方面在于，除非用戶強(qiáng)迫計(jì)算機(jī)開(kāi)始日志記錄安全事件，否則根本無(wú)法進(jìn)行任何追蹤。好的方面在于，不會(huì)發(fā)生日志信息爆滿的問(wèn)題以及提示日志已滿的錯(cuò)誤信息，這也是Windows Server 2003域控制器在沒(méi)有任何預(yù)警下的行為。

安全日志事件跟蹤可以使用組策略來(lái)建立和配置，當(dāng)然你可以配置本地組策略對(duì)象，但是這樣的話，你將需要對(duì)每臺(tái)計(jì)算機(jī)進(jìn)行單獨(dú)配置。另外，你可以使用Active Directory內(nèi)的組策略為多臺(tái)計(jì)算機(jī)設(shè)置日志記錄配置。要建立安全日志追蹤，首先打開(kāi)連接到域的計(jì)算機(jī)上的Group Policy Management Console (GPMC，組策略管理控制臺(tái))，并以管理員權(quán)限登錄。

在GPMC中，你可以看到所有的組織單位(OU)(如果你事先創(chuàng)建了的話)以及GPO(如果你創(chuàng)建了兩個(gè)以上)，在本文中，我們將假設(shè)你有一個(gè)OU，這個(gè)OU中包含所有需要追蹤相同安全日志信息的計(jì)算機(jī)，我們將使用臺(tái)式計(jì)算機(jī)OU和AuditLog GPO。

編輯AuditLog GPO然后展開(kāi)至以下節(jié)點(diǎn)：

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy

#p#

類(lèi)別控制范圍的簡(jiǎn)要介紹

以下是關(guān)于每種類(lèi)別控制范圍的簡(jiǎn)要介紹：

審計(jì)帳戶登錄事件– 每次用戶登錄或者從另一臺(tái)計(jì)算機(jī)注銷(xiāo)的時(shí)候都會(huì)對(duì)該事件進(jìn)行審計(jì)，計(jì)算機(jī)執(zhí)行該審計(jì)是為了驗(yàn)證帳戶，關(guān)于這一點(diǎn)的最好例子就是，當(dāng)用戶登錄到他們的Windows XP Professional計(jì)算機(jī)上，總是由域控制器來(lái)進(jìn)行身份驗(yàn)證。由于域控制器對(duì)用戶進(jìn)行了驗(yàn)證，這樣就會(huì)在域控制器上生成事件。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外，沒(méi)有操作系統(tǒng)啟動(dòng)該設(shè)置。最常見(jiàn)以及最佳的做法就是讓所有的域控制器和服務(wù)器對(duì)這些事件進(jìn)行審計(jì)。我還發(fā)現(xiàn)，在很多環(huán)境中，客戶端也會(huì)配置為審計(jì)這些事件。

審計(jì)賬戶管理–這個(gè)將對(duì)所有與管理計(jì)算機(jī)(配置了審計(jì))的用戶數(shù)據(jù)庫(kù)中的帳戶的用戶有關(guān)的事件進(jìn)行審計(jì)，這些事件的示例如下：

·創(chuàng)建一個(gè)用戶帳戶

·添加用戶到一個(gè)組

·重命名用戶帳戶

·為用戶帳戶更改密碼

對(duì)于域控制器而言，該管理政策將會(huì)對(duì)域帳戶更改進(jìn)行審計(jì)。對(duì)于服務(wù)器或者客戶端而言，它將會(huì)審計(jì)本地安全帳戶管理器(Security Accounts Manager)以及相關(guān)的帳戶。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外，沒(méi)有操作系統(tǒng)啟動(dòng)該設(shè)置。最常見(jiàn)以及最佳的做法就是讓所有的域控制器和服務(wù)器對(duì)這些事件進(jìn)行審計(jì)。對(duì)于用戶帳戶的審計(jì)，安全日志以及審計(jì)設(shè)置是不能捕捉的。

審計(jì)目錄服務(wù)訪問(wèn)–這個(gè)將對(duì)與訪問(wèn)AD對(duì)象(已經(jīng)被配置為通過(guò)系統(tǒng)訪問(wèn)控制列表SACL追蹤用戶訪問(wèn)情況)的用戶有關(guān)的事件進(jìn)行審計(jì)，AD對(duì)象的SACL指明了以下三件事：

·將會(huì)被追蹤的帳戶(通常是用戶或者組)

·將會(huì)被追蹤的訪問(wèn)類(lèi)型，如只讀、創(chuàng)建、修改等

·對(duì)對(duì)象訪問(wèn)的成功或者失敗情況

由于每個(gè)對(duì)象都有自己獨(dú)特的SACL，對(duì)將被追蹤的AD對(duì)象的控制級(jí)別應(yīng)該是非常精確的。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外，沒(méi)有操作系統(tǒng)啟動(dòng)該設(shè)置。最佳做法是為所有域控制器的目錄服務(wù)訪問(wèn)啟動(dòng)成功和失敗審計(jì)。

審計(jì)登陸事件 –這將對(duì)與登錄到、注銷(xiāo)或者網(wǎng)絡(luò)連接到(配置為審計(jì)登錄事件的)電腦的用戶相關(guān)的所有事件進(jìn)行審計(jì)，一個(gè)很好的例子就是，當(dāng)這些事件日志記錄的時(shí)候，恰好是用戶使用域用戶帳戶交互的登錄到工作站的時(shí)候，這樣就會(huì)在工作站生成一個(gè)事件，而不是執(zhí)行驗(yàn)證的域控制器上生成。從根本上講，追蹤事件是在當(dāng)嘗試登錄的位置，而不是在用戶帳戶存在的位置。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外，沒(méi)有操作系統(tǒng)啟動(dòng)該設(shè)置。通常會(huì)對(duì)網(wǎng)絡(luò)中所有計(jì)算機(jī)的這些事件進(jìn)行日志記錄。

審計(jì)對(duì)象訪問(wèn) –當(dāng)用戶訪問(wèn)一個(gè)對(duì)象的時(shí)候，審計(jì)對(duì)象訪問(wèn)會(huì)對(duì)每個(gè)事件進(jìn)行審計(jì)。對(duì)象內(nèi)容包括：文件、文件夾、打印機(jī)、注冊(cè)表項(xiàng)和AD對(duì)象。在現(xiàn)實(shí)中，任何有SACL的對(duì)象丟會(huì)被涵蓋到這種類(lèi)型的審計(jì)中。就像對(duì)目錄訪問(wèn)的審計(jì)一樣，每個(gè)對(duì)象都有自己獨(dú)特的SACL，語(yǔ)序?qū)€(gè)別對(duì)象進(jìn)行有針對(duì)性的審計(jì)。沒(méi)有任何對(duì)象是配置為魔神進(jìn)行審計(jì)的，這意味著啟用這個(gè)設(shè)置并不會(huì)產(chǎn)生任何日志記錄信息。一旦建立了該設(shè)置，對(duì)象的SACAL就被配置了，對(duì)嘗試登錄訪問(wèn)該對(duì)象時(shí)就開(kāi)始出現(xiàn)表項(xiàng)。除非有特別需要對(duì)某些資源的追蹤訪問(wèn)，通常是不會(huì)配置這種級(jí)別的審計(jì)，在高度安全的環(huán)境中，這種級(jí)別的審計(jì)通常是啟用的，并且會(huì)為審計(jì)訪問(wèn)配置很多資源。

審計(jì)政策更改–這將對(duì)與計(jì)算機(jī)上三個(gè)“政策”之一的更改相關(guān)的每個(gè)事件進(jìn)行審計(jì)，這些政策區(qū)域包括：

·用戶權(quán)利分配

·審計(jì)政策

·信任關(guān)系

除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外，沒(méi)有操作系統(tǒng)啟動(dòng)該設(shè)置。最佳做法就是對(duì)網(wǎng)絡(luò)中的所有計(jì)算機(jī)配置這種級(jí)別的審計(jì)。

這種級(jí)別的審計(jì)不是默認(rèn)配置來(lái)追蹤所有操作系統(tǒng)的事件，最佳做法就是對(duì)網(wǎng)絡(luò)中的所有計(jì)算機(jī)配置這種級(jí)別的審計(jì)。

審計(jì)過(guò)程追蹤 – 這將對(duì)與計(jì)算機(jī)中的進(jìn)程相關(guān)的每個(gè)事件進(jìn)行審計(jì)，這將包括、程序激活、進(jìn)程退出、處理重疊和間接對(duì)象訪問(wèn)。這種級(jí)別的審計(jì)將會(huì)產(chǎn)生很多的事件，并且只有當(dāng)應(yīng)用程序正在因?yàn)榕懦收系哪康谋蛔粉櫟臅r(shí)候才會(huì)配置。

審計(jì)系統(tǒng)事件 – 與計(jì)算機(jī)重新啟動(dòng)或者關(guān)閉相關(guān)的事件都會(huì)被審計(jì)，與系統(tǒng)安全和安全日志相關(guān)的事件同樣也會(huì)被追蹤(當(dāng)啟動(dòng)審計(jì)的時(shí)候)。這是必要的計(jì)算機(jī)審計(jì)配置，不僅當(dāng)發(fā)生的事件需要被日志記錄，而且當(dāng)日志本身被清除的時(shí)候也有記錄。除了Windows Server 2003域控制器(配置為審計(jì)這些事件的成功與否)啟動(dòng)了設(shè)置外，沒(méi)有操作系統(tǒng)啟動(dòng)該設(shè)置。最佳做法就是對(duì)網(wǎng)絡(luò)中的所有計(jì)算機(jī)配置這種級(jí)別的審計(jì)。

#p# 審計(jì)類(lèi)型的事件ID

每個(gè)審計(jì)類(lèi)型的Event ID

在安全日志中可能會(huì)產(chǎn)生成千上萬(wàn)的事件，所以你需要要秘密解碼器環(huán)來(lái)找出尋找的事件，以下是每種類(lèi)別最重要的事件(你可能想要在安全日志中跟蹤的)：

審計(jì)帳戶登錄事件

Event ID 描述

4776 - 域控制器試圖驗(yàn)證帳戶憑證信息

4777 -域控制器未能驗(yàn)證帳戶憑證信息

4768 -要求有Kerberos驗(yàn)證票(TGT)

4769 -要求有Kerberos驗(yàn)證票(TGT)

4770 - Kerberos服務(wù)票被更新

審計(jì)帳戶管理

Event ID 描述

4741 - 計(jì)算機(jī)帳戶已創(chuàng)建

4742 – 計(jì)算機(jī)帳戶已更改

4743 – 計(jì)算機(jī)帳戶已刪除

4739 – 域政策已經(jīng)更改

4782 - 密碼hash帳戶被訪問(wèn)

4727 - 安全全局組已經(jīng)創(chuàng)建

4728 – 一名用戶被添加到安全全局組

4729 – 一名用戶從安全全局組解除

4730 – 安全全局組已經(jīng)刪除

4731 - 安全本地組已經(jīng)創(chuàng)建

4732 -一名用戶被添加到安全本地組

4733 -一名用戶被安全本地組解除

4734 -安全本地組已經(jīng)刪除

4735 - 安全本地組已經(jīng)更改

4737 -安全全局組已經(jīng)更改

4754 -安全通用組已創(chuàng)建

4755 -安全通用組已創(chuàng)建更改

4756 -一名用戶被添加到安全通用組

4757 -一名用戶被安全通用組解除

4758 -安全本地組已經(jīng)刪除

4720 – 用戶帳戶已創(chuàng)建

4722 – 用戶帳戶已啟用

4723 - 試圖更改帳戶密碼

4724 – 試圖重置帳戶密碼

4725 – 用戶帳戶被停用

4726 -用戶帳戶已刪除

4738 -用戶帳戶已被改變

4740 -用戶帳戶被鎖定

4765 - SID歷史記錄被添加到一個(gè)帳戶

4766 -嘗試添加SID歷史記錄到帳戶失敗

4767 -用戶帳戶被鎖定

4780 -對(duì)管理組成員的帳戶設(shè)置了ACL

4781 -帳戶名稱(chēng)已經(jīng)更改

#p# 事件ID詳解

審計(jì)目錄服務(wù)訪問(wèn)

4934 - Active Directory 對(duì)象的屬性被復(fù)制

4935 -復(fù)制失敗開(kāi)始

4936 -復(fù)制失敗結(jié)束

5136 -目錄服務(wù)對(duì)象已修改

5137 -目錄服務(wù)對(duì)象已創(chuàng)建

5138 -目錄服務(wù)對(duì)象已刪除

5139 -目錄服務(wù)對(duì)象已經(jīng)移動(dòng)

5141 -目錄服務(wù)對(duì)象已刪除

4932 -命名上下文的AD的副本同步已經(jīng)開(kāi)始

4933 -命名上下文的AD的副本同步已經(jīng)結(jié)束

審計(jì)登錄事件

4634 - 帳戶被注銷(xiāo)

4647 - 用戶發(fā)起注銷(xiāo)

4624 - 帳戶已成功登錄

4625 - 帳戶登錄失敗

4648 - 試圖使用明確的憑證登錄

4675 - SID被過(guò)濾

4649 - 發(fā)現(xiàn)重放攻擊

4778 -會(huì)話被重新連接到Window Station

4779 -會(huì)話斷開(kāi)連接到Window Station

4800 – 工作站被鎖定

4801 - 工作站被解鎖

4802 - 屏幕保護(hù)程序啟用

4803 -屏幕保護(hù)程序被禁用

5378 所要求的憑證代表是政策所不允許的

5632 要求對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行驗(yàn)證

5633 要求對(duì)有線網(wǎng)絡(luò)進(jìn)行驗(yàn)證

審計(jì)對(duì)象訪問(wèn)

5140 - 網(wǎng)絡(luò)共享對(duì)象被訪問(wèn)

4664 - 試圖創(chuàng)建一個(gè)硬鏈接

4985 - 交易狀態(tài)已經(jīng)改變

5051 - 文件已被虛擬化

5031 - Windows防火墻服務(wù)阻止一個(gè)應(yīng)用程序接收網(wǎng)絡(luò)中的入站連接

4698 -計(jì)劃任務(wù)已創(chuàng)建

4699 -計(jì)劃任務(wù)已刪除

4700 -計(jì)劃任務(wù)已啟用

4701 -計(jì)劃任務(wù)已停用

4702 -計(jì)劃任務(wù)已更新

4657 -注冊(cè)表值被修改

5039 -注冊(cè)表項(xiàng)被虛擬化

4660 -對(duì)象已刪除

4663 -試圖訪問(wèn)一個(gè)對(duì)象

審計(jì)政策變化

4715 - 對(duì)象上的審計(jì)政策(SACL)已經(jīng)更改

4719 - 系統(tǒng)審計(jì)政策已經(jīng)更改

4902 - Per-user審核政策表已經(jīng)創(chuàng)建

4906 - CrashOnAuditFail值已經(jīng)變化

4907 - 對(duì)象的審計(jì)設(shè)置已經(jīng)更改

4706 - 創(chuàng)建到域的新信任

4707 - 到域的信任已經(jīng)刪除

4713 - Kerberos政策已更改

4716 - 信任域信息已經(jīng)修改

4717 - 系統(tǒng)安全訪問(wèn)授予帳戶

4718 - 系統(tǒng)安全訪問(wèn)從帳戶移除

4864 - 名字空間碰撞被刪除

4865 - 信任森林信息條目已添加

4866 - 信任森林信息條目已刪除

4867 - 信任森林信息條目已取消

4704 - 用戶權(quán)限已分配

4705 - 用戶權(quán)限已移除

4714 - 加密數(shù)據(jù)復(fù)原政策已取消

4944 - 當(dāng)開(kāi)啟Windows Firewall時(shí)下列政策啟用

4945 - 當(dāng)開(kāi)啟Windows Firewall時(shí)列入一個(gè)規(guī)則

4946 - 對(duì)Windows防火墻例外列表進(jìn)行了修改，添加規(guī)則

4947 - 對(duì)Windows防火墻例外列表進(jìn)行了修改，規(guī)則已修改

4948 - 對(duì)Windows防火墻例外列表進(jìn)行了修改，規(guī)則已刪除

4949 - Windows防火墻設(shè)置已恢復(fù)到默認(rèn)值

4950 - Windows防火墻設(shè)置已更改

4951 - 因?yàn)橹饕姹咎?hào)碼不被Windows防火墻承認(rèn)，規(guī)則已被忽視

4952 - 因?yàn)橹饕姹咎?hào)碼不被Windows防火墻承認(rèn)，部分規(guī)則已被忽視，將執(zhí)行規(guī)則的其余部分

4953 - 因?yàn)閃indows防火墻不能解析規(guī)則，規(guī)則被忽略

4954 - Windows防火墻組政策設(shè)置已經(jīng)更改，將使用新設(shè)置

4956 - Windows防火墻已經(jīng)更改主動(dòng)資料

4957 - Windows防火墻不適用于以下規(guī)則

4958 - 因?yàn)樵撘?guī)則涉及的條目沒(méi)有被配置，Windows防火墻將不適用以下規(guī)則：

6144 - 組策略對(duì)象中的安全政策已經(jīng)成功運(yùn)用

6145 - 當(dāng)處理組策略對(duì)象中的安全政策時(shí)發(fā)生一個(gè)或者多個(gè)錯(cuò)誤

4670 - 對(duì)象的權(quán)限已更改

審計(jì)特權(quán)使用

4672 - 給新登錄分配特權(quán)

4673 - 要求特權(quán)服務(wù)

4674 - 試圖對(duì)特權(quán)對(duì)象嘗試操作

審計(jì)系統(tǒng)事件

5024 - Windows防火墻服務(wù)已成功啟動(dòng)

5025 - Windows防火墻服務(wù)已經(jīng)被停止

5027 - Windows防火墻服務(wù)無(wú)法從本地存儲(chǔ)檢索安全政策，該服務(wù)將繼續(xù)執(zhí)行目前的政策

5028 - Windows防火墻服務(wù)無(wú)法解析的新的安全政策，這項(xiàng)服務(wù)將繼續(xù)執(zhí)行目前的政策

5029 - Windows防火墻服務(wù)無(wú)法初始化的驅(qū)動(dòng)程序，這項(xiàng)服務(wù)將繼續(xù)執(zhí)行目前的政策

5030 - Windows防火墻服務(wù)無(wú)法啟動(dòng)

5032 - Windows防火墻無(wú)法通知用戶它阻止了接收入站連接的應(yīng)用程序

5033 - Windows防火墻驅(qū)動(dòng)程序已成功啟動(dòng)

5034 - Windows防火墻驅(qū)動(dòng)程序已經(jīng)停止

5035 - Windows防火墻驅(qū)動(dòng)程序未能啟動(dòng)

5037 - Windows防火墻驅(qū)動(dòng)程序檢測(cè)到關(guān)鍵運(yùn)行錯(cuò)誤，終止。

4608 -Windows正在啟動(dòng)

4609 - Windows正在關(guān)機(jī)

4616 - 系統(tǒng)時(shí)間被改變

4621 - 管理員從CrashOnAuditFail回收系統(tǒng)，非管理員的用戶現(xiàn)在可以登錄，有些審計(jì)活動(dòng)可能沒(méi)有被記錄

4697 - 系統(tǒng)中安裝服務(wù)器

4618 - 監(jiān)測(cè)安全事件樣式已經(jīng)發(fā)生

想查看所有事件的完整列表，請(qǐng)?jiān)L問(wèn)微軟網(wǎng)站：http://support.microsoft.com/default.aspx?scid=kb;EN-US;947226

總結(jié)

微軟將繼續(xù)涵蓋事件查看器內(nèi)的安全日志中顯示的額外事件，只要你使用組策略建立了你想要審計(jì)和跟蹤的類(lèi)別，就可以使用上述解碼的事件來(lái)跟蹤環(huán)境需要的事件。如果你將事件與其他技術(shù)相結(jié)合(例如訂閱)，你可以創(chuàng)建事件的微調(diào)諧日志，以保證網(wǎng)絡(luò)的安全。

【編輯推薦】

1. Windows Server 2008下細(xì)粒度口令策略的實(shí)現(xiàn)
2. 微軟windows server 2008標(biāo)準(zhǔn)版10U僅5K3
3. 活用Windows Server 2008系統(tǒng)的幾種安全功能(1)