Windows日志安全
Windows日志安全、分析
Windows日志系统
Windows使用”事件管理器”来管理日志系统,需要用系统管理员身份进入系统进行操作。
Windows的日志文件一般分为三类:
1、系统日志
跟踪各种各样的系统事件,记录由Windows NT的系统组件产生的事件。
如:在启动过程加载驱动程序错误或其他系统组件的失败记录在系统日志中。
2、应用程序日志
记录由应用程序或系统程序产生的事件。
如:应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。
3、安全日志
记录登陆上网,下网,改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。
系统的”事件管理器”可以指定在安全日志中记录需要记录的事件。
启动Windows时,事件日志服务会自动启动,所有用户都可以查看”应用程序日志”,但是只有系统管理员才能访问”安全日志”和”系统日志”。
常见的windows登录日志类型分析
登录类型2:交互式登录(Interactive)
指用户在计算机的控制台上进行登录,也就是在本地键盘上进行的登录。(KVM登录属于交互式登录)
登录类型3:网络(Network)
从网络上访问一台计算机时就属于网络登录。
如:连接到共享文件夹或者共享打印。
登录类型4:批处理(Batch)
当windows运行一个计划任务时,”计划任务服务”将为这个任务首先创建一个新的登录会话以便他能在此计划任务所配置的用户账号下运行。
(恶意用户通过计划任务来猜测用户密码,这将产生一个类型4的登录失败事件)
登录类型7:解锁(Unlock)
当用户离开计算机,屏保就会启动锁定计算机,需要输入密码才能重新进入。
(失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机)
登录类型8:网络明文(NetworkCleartext)
像类型3一样,这种登录的密码在网络上是通过明文传输的。
登录类型10:远程交互(Remote Interactive)
通过终端服务、远程桌面或远程协助访问计算机。
事件ID
如果在安全日志里看到了大量的”529″(登录/注销失败)或”539″(账户锁定)事件,就表明有人在发动自动化的口令猜解攻击(也可能是一个服务账号的口令到期了)
Windows日志分析工具
# Dumpel工具可以分析远程服务器上的日志(必须有适当权限)。 dumpel -e 529 -f seclog.txt -l security -m Security -t # 提取登陆失败事件(事件ID=529)
日志自身的安全问题
1、日志的查看
2、日志文件大小设置
3、日志文件转移
4、日志文件夹的保护设置
日志的转移和防删除
日志文件默认存放在%systemroot\system32\config%,有”应用程序日志”,”安全日志”,”系统日志”,分别对应的文件是:appevent.evt、secevent.evt、sysevent.evt。这些文件不可删除,却可以清空里面的数据。
1、修改日志文件的存放位置必须在注册表里修改
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog Application应用程序日志,Security安全日志,System系统日志。file项的值就是”应用程序日志”存放的位置。
2、给予目录除”完全控制”和”修改”之外的所有权限,然后只给”everyone”组只读的权限。