詳解Windows Server 2008安全日志
建立安全日志記錄
【IT專家網獨家】為了讓大家了解如何追蹤計算機安全日志功能的具體方面,首先需要了解如何啟動安全日志。大多數Windows計算機(除了某些域控制器版本系統(tǒng))默認情況下不會向安全日志(Security Log)啟動日志記錄信息。這樣的設置有利也有弊,弊的方面在于,除非用戶強迫計算機開始日志記錄安全事件,否則根本無法進行任何追蹤。好的方面在于,不會發(fā)生日志信息爆滿的問題以及提示日志已滿的錯誤信息,這也是Windows Server 2003域控制器在沒有任何預警下的行為。
安全日志事件跟蹤可以使用組策略來建立和配置,當然你可以配置本地組策略對象,但是這樣的話,你將需要對每臺計算機進行單獨配置。另外,你可以使用Active Directory內的組策略為多臺計算機設置日志記錄配置。要建立安全日志追蹤,首先打開連接到域的計算機上的Group Policy Management Console (GPMC,組策略管理控制臺),并以管理員權限登錄。
在GPMC中,你可以看到所有的組織單位(OU)(如果你事先創(chuàng)建了的話)以及GPO(如果你創(chuàng)建了兩個以上),在本文中,我們將假設你有一個OU,這個OU中包含所有需要追蹤相同安全日志信息的計算機,我們將使用臺式計算機OU和AuditLog GPO。
編輯AuditLog GPO然后展開至以下節(jié)點:
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy
#p#類別控制范圍的簡要介紹
以下是關于每種類別控制范圍的簡要介紹:
審計帳戶登錄事件– 每次用戶登錄或者從另一臺計算機注銷的時候都會對該事件進行審計,計算機執(zhí)行該審計是為了驗證帳戶,關于這一點的最好例子就是,當用戶登錄到他們的Windows XP Professional計算機上,總是由域控制器來進行身份驗證。由于域控制器對用戶進行了驗證,這樣就會在域控制器上生成事件。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設置外,沒有操作系統(tǒng)啟動該設置。最常見以及最佳的做法就是讓所有的域控制器和服務器對這些事件進行審計。我還發(fā)現(xiàn),在很多環(huán)境中,客戶端也會配置為審計這些事件。
審計賬戶管理–這個將對所有與管理計算機(配置了審計)的用戶數據庫中的帳戶的用戶有關的事件進行審計,這些事件的示例如下:
·創(chuàng)建一個用戶帳戶
·添加用戶到一個組
·重命名用戶帳戶
·為用戶帳戶更改密碼
對于域控制器而言,該管理政策將會對域帳戶更改進行審計。對于服務器或者客戶端而言,它將會審計本地安全帳戶管理器(Security Accounts Manager)以及相關的帳戶。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設置外,沒有操作系統(tǒng)啟動該設置。最常見以及最佳的做法就是讓所有的域控制器和服務器對這些事件進行審計。對于用戶帳戶的審計,安全日志以及審計設置是不能捕捉的。
審計目錄服務訪問–這個將對與訪問AD對象(已經被配置為通過系統(tǒng)訪問控制列表SACL追蹤用戶訪問情況)的用戶有關的事件進行審計,AD對象的SACL指明了以下三件事:
·將會被追蹤的帳戶(通常是用戶或者組)
·將會被追蹤的訪問類型,如只讀、創(chuàng)建、修改等
·對對象訪問的成功或者失敗情況
由于每個對象都有自己獨特的SACL,對將被追蹤的AD對象的控制級別應該是非常精確的。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設置外,沒有操作系統(tǒng)啟動該設置。最佳做法是為所有域控制器的目錄服務訪問啟動成功和失敗審計。
審計登陸事件 –這將對與登錄到、注銷或者網絡連接到(配置為審計登錄事件的)電腦的用戶相關的所有事件進行審計,一個很好的例子就是,當這些事件日志記錄的時候,恰好是用戶使用域用戶帳戶交互的登錄到工作站的時候,這樣就會在工作站生成一個事件,而不是執(zhí)行驗證的域控制器上生成。從根本上講,追蹤事件是在當嘗試登錄的位置,而不是在用戶帳戶存在的位置。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設置外,沒有操作系統(tǒng)啟動該設置。通常會對網絡中所有計算機的這些事件進行日志記錄。
審計對象訪問 –當用戶訪問一個對象的時候,審計對象訪問會對每個事件進行審計。對象內容包括:文件、文件夾、打印機、注冊表項和AD對象。在現(xiàn)實中,任何有SACL的對象丟會被涵蓋到這種類型的審計中。就像對目錄訪問的審計一樣,每個對象都有自己獨特的SACL,語序對個別對象進行有針對性的審計。沒有任何對象是配置為魔神進行審計的,這意味著啟用這個設置并不會產生任何日志記錄信息。一旦建立了該設置,對象的SACAL就被配置了,對嘗試登錄訪問該對象時就開始出現(xiàn)表項。除非有特別需要對某些資源的追蹤訪問,通常是不會配置這種級別的審計,在高度安全的環(huán)境中,這種級別的審計通常是啟用的,并且會為審計訪問配置很多資源。
審計政策更改–這將對與計算機上三個“政策”之一的更改相關的每個事件進行審計,這些政策區(qū)域包括:
·用戶權利分配
·審計政策
·信任關系
除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設置外,沒有操作系統(tǒng)啟動該設置。最佳做法就是對網絡中的所有計算機配置這種級別的審計。
這種級別的審計不是默認配置來追蹤所有操作系統(tǒng)的事件,最佳做法就是對網絡中的所有計算機配置這種級別的審計。
審計過程追蹤 – 這將對與計算機中的進程相關的每個事件進行審計,這將包括、程序激活、進程退出、處理重疊和間接對象訪問。這種級別的審計將會產生很多的事件,并且只有當應用程序正在因為排除故障的目的被追蹤的時候才會配置。
審計系統(tǒng)事件 – 與計算機重新啟動或者關閉相關的事件都會被審計,與系統(tǒng)安全和安全日志相關的事件同樣也會被追蹤(當啟動審計的時候)。這是必要的計算機審計配置,不僅當發(fā)生的事件需要被日志記錄,而且當日志本身被清除的時候也有記錄。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設置外,沒有操作系統(tǒng)啟動該設置。最佳做法就是對網絡中的所有計算機配置這種級別的審計。
#p# 審計類型的事件ID
每個審計類型的Event ID
在安全日志中可能會產生成千上萬的事件,所以你需要要秘密解碼器環(huán)來找出尋找的事件,以下是每種類別最重要的事件(你可能想要在安全日志中跟蹤的):
審計帳戶登錄事件
Event ID 描述
4776 - 域控制器試圖驗證帳戶憑證信息
4777 -域控制器未能驗證帳戶憑證信息
4768 -要求有Kerberos驗證票(TGT)
4769 -要求有Kerberos驗證票(TGT)
4770 - Kerberos服務票被更新
審計帳戶管理
Event ID 描述
4741 - 計算機帳戶已創(chuàng)建
4742 – 計算機帳戶已更改
4743 – 計算機帳戶已刪除
4739 – 域政策已經更改
4782 - 密碼hash帳戶被訪問
4727 - 安全全局組已經創(chuàng)建
4728 – 一名用戶被添加到安全全局組
4729 – 一名用戶從安全全局組解除
4730 – 安全全局組已經刪除
4731 - 安全本地組已經創(chuàng)建
4732 -一名用戶被添加到安全本地組
4733 -一名用戶被安全本地組解除
4734 -安全本地組已經刪除
4735 - 安全本地組已經更改
4737 -安全全局組已經更改
4754 -安全通用組已創(chuàng)建
4755 -安全通用組已創(chuàng)建更改
4756 -一名用戶被添加到安全通用組
4757 -一名用戶被安全通用組解除
4758 -安全本地組已經刪除
4720 – 用戶帳戶已創(chuàng)建
4722 – 用戶帳戶已啟用
4723 - 試圖更改帳戶密碼
4724 – 試圖重置帳戶密碼
4725 – 用戶帳戶被停用
4726 -用戶帳戶已刪除
4738 -用戶帳戶已被改變
4740 -用戶帳戶被鎖定
4765 - SID歷史記錄被添加到一個帳戶
4766 -嘗試添加SID歷史記錄到帳戶失敗
4767 -用戶帳戶被鎖定
4780 -對管理組成員的帳戶設置了ACL
4781 -帳戶名稱已經更改
#p# 事件ID詳解
審計目錄服務訪問
4934 - Active Directory 對象的屬性被復制
4935 -復制失敗開始
4936 -復制失敗結束
5136 -目錄服務對象已修改
5137 -目錄服務對象已創(chuàng)建
5138 -目錄服務對象已刪除
5139 -目錄服務對象已經移動
5141 -目錄服務對象已刪除
4932 -命名上下文的AD的副本同步已經開始
4933 -命名上下文的AD的副本同步已經結束
審計登錄事件
4634 - 帳戶被注銷
4647 - 用戶發(fā)起注銷
4624 - 帳戶已成功登錄
4625 - 帳戶登錄失敗
4648 - 試圖使用明確的憑證登錄
4675 - SID被過濾
4649 - 發(fā)現(xiàn)重放攻擊
4778 -會話被重新連接到Window Station
4779 -會話斷開連接到Window Station
4800 – 工作站被鎖定
4801 - 工作站被解鎖
4802 - 屏幕保護程序啟用
4803 -屏幕保護程序被禁用
5378 所要求的憑證代表是政策所不允許的
5632 要求對無線網絡進行驗證
5633 要求對有線網絡進行驗證
審計對象訪問
5140 - 網絡共享對象被訪問
4664 - 試圖創(chuàng)建一個硬鏈接
4985 - 交易狀態(tài)已經改變
5051 - 文件已被虛擬化
5031 - Windows防火墻服務阻止一個應用程序接收網絡中的入站連接
4698 -計劃任務已創(chuàng)建
4699 -計劃任務已刪除
4700 -計劃任務已啟用
4701 -計劃任務已停用
4702 -計劃任務已更新
4657 -注冊表值被修改
5039 -注冊表項被虛擬化
4660 -對象已刪除
4663 -試圖訪問一個對象
審計政策變化
4715 - 對象上的審計政策(SACL)已經更改
4719 - 系統(tǒng)審計政策已經更改
4902 - Per-user審核政策表已經創(chuàng)建
4906 - CrashOnAuditFail值已經變化
4907 - 對象的審計設置已經更改
4706 - 創(chuàng)建到域的新信任
4707 - 到域的信任已經刪除
4713 - Kerberos政策已更改
4716 - 信任域信息已經修改
4717 - 系統(tǒng)安全訪問授予帳戶
4718 - 系統(tǒng)安全訪問從帳戶移除
4864 - 名字空間碰撞被刪除
4865 - 信任森林信息條目已添加
4866 - 信任森林信息條目已刪除
4867 - 信任森林信息條目已取消
4704 - 用戶權限已分配
4705 - 用戶權限已移除
4714 - 加密數據復原政策已取消
4944 - 當開啟Windows Firewall時下列政策啟用
4945 - 當開啟Windows Firewall時列入一個規(guī)則
4946 - 對Windows防火墻例外列表進行了修改,添加規(guī)則
4947 - 對Windows防火墻例外列表進行了修改,規(guī)則已修改
4948 - 對Windows防火墻例外列表進行了修改,規(guī)則已刪除
4949 - Windows防火墻設置已恢復到默認值
4950 - Windows防火墻設置已更改
4951 - 因為主要版本號碼不被Windows防火墻承認,規(guī)則已被忽視
4952 - 因為主要版本號碼不被Windows防火墻承認,部分規(guī)則已被忽視,將執(zhí)行規(guī)則的其余部分
4953 - 因為Windows防火墻不能解析規(guī)則,規(guī)則被忽略
4954 - Windows防火墻組政策設置已經更改,將使用新設置
4956 - Windows防火墻已經更改主動資料
4957 - Windows防火墻不適用于以下規(guī)則
4958 - 因為該規(guī)則涉及的條目沒有被配置,Windows防火墻將不適用以下規(guī)則:
6144 - 組策略對象中的安全政策已經成功運用
6145 - 當處理組策略對象中的安全政策時發(fā)生一個或者多個錯誤
4670 - 對象的權限已更改
審計特權使用
4672 - 給新登錄分配特權
4673 - 要求特權服務
4674 - 試圖對特權對象嘗試操作
審計系統(tǒng)事件
5024 - Windows防火墻服務已成功啟動
5025 - Windows防火墻服務已經被停止
5027 - Windows防火墻服務無法從本地存儲檢索安全政策,該服務將繼續(xù)執(zhí)行目前的政策
5028 - Windows防火墻服務無法解析的新的安全政策,這項服務將繼續(xù)執(zhí)行目前的政策
5029 - Windows防火墻服務無法初始化的驅動程序,這項服務將繼續(xù)執(zhí)行目前的政策
5030 - Windows防火墻服務無法啟動
5032 - Windows防火墻無法通知用戶它阻止了接收入站連接的應用程序
5033 - Windows防火墻驅動程序已成功啟動
5034 - Windows防火墻驅動程序已經停止
5035 - Windows防火墻驅動程序未能啟動
5037 - Windows防火墻驅動程序檢測到關鍵運行錯誤,終止。
4608 -Windows正在啟動
4609 - Windows正在關機
4616 - 系統(tǒng)時間被改變
4621 - 管理員從CrashOnAuditFail回收系統(tǒng),非管理員的用戶現(xiàn)在可以登錄,有些審計活動可能沒有被記錄
4697 - 系統(tǒng)中安裝服務器
4618 - 監(jiān)測安全事件樣式已經發(fā)生
想查看所有事件的完整列表,請訪問微軟網站:http://support.microsoft.com/default.aspx?scid=kb;EN-US;947226
總結
微軟將繼續(xù)涵蓋事件查看器內的安全日志中顯示的額外事件,只要你使用組策略建立了你想要審計和跟蹤的類別,就可以使用上述解碼的事件來跟蹤環(huán)境需要的事件。如果你將事件與其他技術相結合(例如訂閱),你可以創(chuàng)建事件的微調諧日志,以保證網絡的安全。
【編輯推薦】
