Windows系统的ECS实例中安全审计日志简要说明

Windows系统的ECS实例中安全审计日志简要说明

更新时间:2019-09-20 14:14:48

免责声明: 本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

 

概述

本文主要介绍在Windows系统的ECS实例中安全审计日志的相关内容。

 

详细信息

Windows系统可以开启账户审计,以下是关于日志示例、日志说明、系统登录日志分析、常见安全事件ID说明和日志审计策略调整的相关内容。

 

日志示例

  1. 单击 控制面板 > 管理工具 > 事件查看器 > Windows日志 > 安全
  2. 以下是审核成功和失败的日志示例。
    • 审核成功的日志示例如下。
      已成功登录账户
      主题:
      安全 ID: SYSTEM 帐户名: iZ********Z$
      帐户域: WORKGROUP 登录 ID: 0x3e7
      登录类型: 10
      新登录: 安全 ID: iZ********Z\admin 帐户名: admin 帐户域: iZ********Z 登录 ID: 0x754404f
      登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0xf50 进程名: C:\Windows\System32\winlogon.exe 网络信息: 工作站名: iZ23kpfre8lZ 源网络地址: 42.120.*.* 源端口: 10694 详细身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 在创建登录会话后在被访问的计算机上生成此事件。
    • 审核失败的日志示例如下。
      帐户登录失败。
      主题: 安全 ID: NULL SID 帐户名: - 帐户域: - 登录 ID: 0x0 登录类型: 3 登录失败的帐户: 安全 ID: NULL SID 帐户名: administrator 帐户域: Public-Win7 失败信息: 失败原因: 未知用户名或密码错误。 状态: 0xc000006d 子状态: 0xc0000064 进程信息: 调用方进程 ID: 0x0 调用方进程名: - 网络信息: 工作站名: Piblic-WIN7 源网络地址: - 源端口: - 详细身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 登录请求失败时在尝试访问的计算机上生成此事件。

 

日志说明

相关日志常见字段说明如下。

分类

字段

说明

概述

已成功登录帐户”

日志概述

主题

-

该字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

-

安全 ID

SID,安全标识符用于唯一标识的安全主体或安全组。 安全主体可以表示任何可以由操作系统,例如用户帐户、 计算机帐户,或线程或进程在用户或计算机帐户的安全上下文中运行的身份验证的实体。比如:iZ23kpfre8lZ\admin

更多说明可以参阅: 安全标识符技术概述

-

帐户名

安全域相关概念。通常情况下,是上述安全 ID 的最末级相应字段(如果是用户的话),比如相对应前面的 SID,则对应账户名是 admin 。

注意:如果是用工作组环境,则相应值为 <计算机名称>$,比如 iZ23kpfre8lZ$

-

帐户域

安全域相关概念,相关资源归属安全域。如果是安全组,则是 WORKGROUP;如果是域环境,则为相应域名。

-

登录 ID

内部代码。

登录类型

-

指明发生的登录种类。常见种类及其代码说明:

2 - Interactive(交互式登录)

用户在本地键盘上,通过操作系统控制台(console)口进行的登录。但通过 KVM(传统物理机房)或基于 VNC 的登录(比如云服务器 ECS 的管理终端),虽然是基于网络进行的登录,但也属于交互式登录。

3 - Network(通过网络访问系统)

用户或计算机通过网络进行的访问。最常见场景是连接到服务器的共享文件夹、共享打印机等共享资源。通过网络登录 IIS 时也被记为这种类型,但基本验证方式的 IIS 登录是个例外,它将被记为类型 8。

4 - Batch(作为批处理作业启动):

当 Windows 运行一个计划任务时,“计划任务服务”将为该任务先创建一个新的登录会话,以便它能在此计划任务所配置的用户账户下运行。当这种登录出现时,Windows 在日志中记为类型 4。对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型 4 的登录事件。所以,类型 4 登录通常表明某计划任务的启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型 4 的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。

5 - Service(由服务控制器启动的 Windows 服务):

与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows 首先为这个特定的用户创建一个 登录会话,这将被记为类型 5。所以,类型 5 登录通常标明某服务的启动。失败的类型 5 通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或 serversoperators 身 份,而这种身份的恶意用户,已经有足够权限而无需费力猜测服务密码了。

7 - Unlock(屏保解锁):

Windows 屏保解锁操作被记录为一个类型 7 的登录,失败的类型 7 登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

8 - NetworkCleartext(网络登录时使用明文凭据):

这种登录表明这是一个像类型 3 一样的网络登录,但是这种登录的密码在网络上是通过明文传输的。Windows Server 服务(LanmanServer)是不允许通过明文验证连接到共享文件夹或打印机的。只有当从一个使用 Advapi 的 ASP 脚本登录,或者一个用户使用基本验证方式登录 IIS 时,才会被标记为这种登录类型。

9 - NewCredentials(使用 /netonly 选项时由 RunAs 使用):当你使用带 /Netonly 参数的RUNAS 命令运行一个程序时,RUNAS 以本地当前登录用户运行它。但如果这个程序需要连接到网络上的其它计算机时,这时就将以 RUNAS 命令中指定的用户进行连接,同时 Windows 将把这种登录记为类型 9。如果 RUNAS 命令没带 /Netonly 参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是 2。

10 - RemoteInteractive (远程交互):

当你通过终端服务、远程桌面或远程协助访问计算机时,Windows 将登录类型记为类型 10,以便与真正的控制台登录相区别,注意 Windows XP 之前的版本不支持这种登录类型,比如 Windows2000 仍然会把终端服务登录记为类型 2。

11 - CachedInteractive(缓存交互):

Windows 支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能。默认情况下,Windows 缓存了最近 10 次交互式域登录的凭证 HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows 将使用这些 HASH 来验证你的身份,并记录登录类型为类型 11。

新登录

-

该字段会指明新登录是为哪个帐户创建的,即登录的帐户。

-

安全 ID

如前文所述。

-

帐户名

执行登录的用户帐户。例如,这可能是 NT AUTHORITY\SYSTEM,这是用于启动许多 Windows 服务的 LocalSystem 帐户。

-

账户域

执行登录的用户归属域。如果是工作组环境,则显示为相应的计算机名称。如果是域环境,则显示为相应的域信息。

网络

-

字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

-

工作站名

登录来源主机名称。通过远程交互式登录时显示为客户端主机名,其它登录类型通常为本地计算机的计算机名。

-

源网络地址

通过远程交互式登录时的客户端 IP 地址。

-

源端口

通过远程交互式登录时客户端使用的端口。

进程信息

-

登录操作调用的进程信息。

详细身份验证信息

-

提供关于此特定登录请求的详细信息。指试图登录帐户时调用的安全数据包。身份验证数据包是分析登录数据并决定是否对帐户进行身份验证的动态链接库 (DLL)。最常用的有 Kerberos、Negotiate、NTLM 和 MICROSOFT_AUTHENTICATION_PACKAGE_V1_0(也称 MSV1_0;可对 SAM 数据库中的用户进行身份验证,支持对受信任域中帐户进行 pass-through 身份验证,支持子身份验证数据

 

系统登录日志分析

查看系统登录日志时,重点关注如下字段信息。

• 事件 ID:4624 (登录成功) 和 4625 (登录失败)。
• 登录类型: 根据登录类型分析登录操作来源。 • 账户名:登录操作时使用的账户名。 • 源网络地址:登录操作来源 IP。 • 进程信息: 登录操作调用的进程。

 

常见安全事件ID说明

Windows Server 2008系统内常见的安全事件ID及说明请参考如下文档。

 

日志审计策略调整

相关日志审计策略由Windows注册表管控,可以通过如下方式按需调整。

  1. 运行gpedit.msc,打开组策略管理器。
  2. 单击 计算机管理 > Windows设置 > 安全设置 > 本地策略 > 审核策略
  3. 在页面右侧调整相应的审核策略。

 

适用于

  • 云服务器 ECS