Windows系统的ECS实例中安全审计日志简要说明

免责声明:本文档可能包含第三方产品信息,该信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响,不做任何暗示或其他形式的承诺。

概述

本文主要介绍在Windows系统的ECS实例中安全审计日志的相关内容。

详细信息

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

Windows系统可以开启账户审计,以下是关于日志示例、日志说明、系统登录日志分析、常见安全事件ID说明和日志审计策略调整的相关内容。

日志示例

  1. 单击控制面板>管理工具>事件查看器>Windows日志>安全
  2. 以下是审核成功和失败的日志示例。
    • 审核成功的日志示例如下。
      已成功登录账户

      主题:
      安全 ID: SYSTEM 帐户名: iZ********Z$
      帐户域: WORKGROUP 登录 ID: 0x3e7
      登录类型: 10
      新登录: 安全 ID: iZ********Z\admin 帐户名: admin 帐户域: iZ********Z 登录 ID: 0x754404f
      登录 GUID: {00000000-0000-0000-0000-000000000000} 进程信息: 进程 ID: 0xf50 帐户名: C:\Windows\System32\winlogon.exe 网络信息: 工作站名: iZ23kpfre8lZ 源网络地址: 42.120.*.* 源端口: 10694 详细身份验证信息: 登录进程: User32 身份验证数据包: Negotiate 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 在创建登录会话后在被访问的计算机上生成此事件。
    • 审核失败的日志示例如下。
      帐户登录失败。
      主题: 安全 ID: NULL SID 帐户名: - 帐户域: - 登录 ID: 0x0 登录类型: 3 登录失败的帐户: 安全 ID: NULL SID 帐户名: administrator 帐户域: Public-Win7 失败信息: 失败原因: 未知用户名或密码错误。 状态: 0xc000006d 子状态: 0xc0000064 进程信息: 调用方进程 ID: 0x0 调用方进程名: - 网络信息: 工作站名: Piblic-WIN7 源网络地址: - 源端口: - 详细身份验证信息: 登录进程: NtLmSsp 身份验证数据包: NTLM 传递服务: - 数据包名(仅限 NTLM): - 密钥长度: 0 登录请求失败时在尝试访问的计算机上生成此事件。

日志说明

相关日志常见字段说明如下所示。

分类

字段

说明

概述

已成功登录帐户”

日志概述

主题

-

该字段指明本地系统上请求登录的帐户。这通常是一个服务(例如Server服务)或本地进程(例如 Winlogon.exe或Services.exe)。

-

安全 ID

SID,安全标识符用于唯一标识的安全主体或安全组。安全主体可以表示任何可以由操作系统,例如用户帐户、计算机帐户,或线程或进程在用户或计算机帐户的安全上下文中运行的身份验证的实体。比如:iZ23kpfre8lZ\admin

更多说明可以参见安全标识符技术概述

-

帐户名

安全域相关概念。通常情况下,是上述安全 ID的最末级相应字段(如果是用户的话),比如相对应前面的SID,则对应账户名是admin。

注意:如果是用工作组环境,则相应值为[$Hostname],比如iZ23kpfre8lZ$,[$Hostname]为计算机名称。

-

帐户域

安全域相关概念,相关资源归属安全域。如果是安全组,则是WORKGROUP;如果是域环境,则为相应域名。

-

登录 ID

内部代码。

登录类型

-

指明发生的登录种类。常见种类及其代码说明:

2 - Interactive(交互式登录)

用户在本地键盘上,通过操作系统控制台(console)口进行的登录。但通过KVM(传统物理机房)或基于VNC的登录(比如云服务器ECS的管理终端),虽然是基于网络进行的登录,但也属于交互式登录。

3 - Network(通过网络访问系统)

用户或计算机通过网络进行的访问。最常见场景是连接到服务器的共享文件夹、共享打印机等共享资源。通过网络登录IIS时也被记为这种类型,但基本验证方式的IIS登录是个例外,它将被记为类型8。

4 - Batch(作为批处理作业启动):

当Windows运行一个计划任务时,“计划任务服务”将为该任务先创建一个新的登录会话,以便它能在此计划任务所配置的用户账户下运行。当这种登录出现时,Windows在日志中记为类型4。对于其它类型的工作任务系统,依赖于它的设计,也可以在开始工作时产生类型4的登录事件。所以,类型4登录通常表明某计划任务的启动,但也可能是一个恶意用户通过计划任务来猜测用户密码,这种尝试将产生一个类型4的登录失败事件,但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的,比如用户密码更改了,而忘记了在计划任务中进行更改。

5 - Service(由服务控制器启动的Windows服务):

与计划任务类似,每种服务都被配置在某个特定的用户账户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5。所以,类型5登录通常标明某服务的启动。失败的类型5通常表明用户的密码已变而这里没得到更新,当然这也可能是由恶意用户的密码猜测引起的,但是这种可能性比较小,因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份,而这种身份的恶意用户,已经有足够权限而无需费力猜测服务密码了。

7 - Unlock(屏保解锁):

Windows屏保解锁操作被记录为一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

8 - NetworkCleartext(网络登录时使用明文凭据):

这种登录表明这是一个像类型3一样的网络登录,但是这种登录的密码在网络上是通过明文传输的。Windows Server服务(LanmanServer)是不允许通过明文验证连接到共享文件夹或打印机的。只有当从一个使用Advapi的ASP脚本登录,或者一个用户使用基本验证方式登录IIS时,才会被标记为这种登录类型。

9 - NewCredentials(使用/netonly选项时由RunAs使用):当你使用带/Netonly参数的RUNAS命令运行一个程序时,RUNAS以本地当前登录用户运行它。但如果这个程序需要连接到网络上的其它计算机时,这时就将以RUNAS命令中指定的用户进行连接,同时Windows将把这种登录记为类型9。如果RUNAS命令没带/Netonly参数,那么这个程序就将以指定的用户运行,但日志中的登录类型是2。

10 - RemoteInteractive(远程交互):

当你通过终端服务、远程桌面或远程协助访问计算机时,Windows将登录类型记为类型10,以便与真正的控制台登录相区别,注意Windows XP之前的版本不支持这种登录类型,比如Windows2000仍然会把终端服务登录记为类型2。

11 - CachedInteractive(缓存交互):

Windows支持一种称为缓存登录的功能,这种功能对移动用户尤其有利,比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能。默认情况下,Windows缓存了最近10 次交互式域登录的凭证HASH,如果以后当你以一个域用户登录而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份,并记录登录类型为类型11。

新登录

-

该字段会指明新登录是为哪个帐户创建的,即登录的帐户。

-

安全 ID

如前文所述。

-

帐户名

执行登录的用户帐户。例如,这可能是NT AUTHORITY\SYSTEM,这是用于启动许多Windows 服务的LocalSystem帐户。

-

账户域

执行登录的用户归属域。如果是工作组环境,则显示为相应的计算机名称。如果是域环境,则显示为相应的域信息。

网络

-

字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

-

工作站名

登录来源主机名称。通过远程交互式登录时显示为客户端主机名,其它登录类型通常为本地计算机的计算机名。

-

源网络地址

通过远程交互式登录时的客户端IP地址。

-

源端口

通过远程交互式登录时客户端使用的端口。

进程信息

-

登录操作调用的进程信息。

详细身份验证信息

-

提供关于此特定登录请求的详细信息。指试图登录帐户时调用的安全数据包。身份验证数据包是分析登录数据并决定是否对帐户进行身份验证的动态链接库(DLL)。最常用的有Kerberos、Negotiate、NTLM和MICROSOFT_AUTHENTICATION_PACKAGE_V1_0(也称MSV1_0;可对SAM数据库中的用户进行身份验证,支持对受信任域中帐户进行pass-through身份验证,支持子身份验证数据

系统登录日志分析

查看系统登录日志时,重点关注以下字段信息。

  • 事件ID:4624(登录成功)和4625(登录失败)。
  • 登录类型:根据登录类型分析登录操作来源。
  • 账户名:登录操作时使用的账户名。
  • 源网络地址:登录操作来源IP。
  • 进程信息:登录操作调用的进程。

日志审计策略调整

相关日志审计策略由Windows注册表管控,可以通过以下方式按需调整。

  1. 单击开始>运行,输入gpedit.msc,打开组策略管理器。
  2. 单击计算机管理>Windows设置>安全设置>本地策略>审核策略
  3. 在页面右侧调整相应的审核策略。

适用于

  • 云服务器ECS