当前所在位置: 首页 > 数码科技 > 正文

详解WindowsServer2008安全日志

2024-10-05 本站作者 【 字体:

为了让大家了解如何追踪计算机安全日志功能的具体方面,首先需要了解如何启动安全日志。大多数Windows计算机除了某些域控制器版本系统默认情况下不会向安全日志Security Log启动日志记录信息。这样的设置有利也有弊,弊的方面在于,除非用户强迫计算机开始日志记录安全事件,否则根本无法进行任何追踪。好的方面在于,不会发生日志信息爆满的问题以及提示日志已满的错误信息,这也是Windows Server 2003域控制器在没有任何预警下的行为。

安全日志事件跟踪可以使用组策略来建立和配置,当然你可以配置本地组策略对象,但是这样的话,你将需要对每台计算机进行单独配置。另外,你可以使用Active Directory内的组策略为多台计算机设置日志记录配置。要建立安全日志追踪,首先打开连接到域的计算机上的Group Policy Management Console GPMC,组策略管理控制台,并以管理员权限登录。

在GPMC中,你可以看到所有的组织单位OU如果你事先创建了的话以及GPO如果你创建了两个以上,在本文中,我们将假设你有一个OU,这个OU中包含所有需要追踪相同安全日志信息的计算机,我们将使用台式计算机OU和AuditLog GPO。

编辑AuditLog GPO然后展开至以下节点:

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy

展开此节点后,你会看到你可以配置的审核类别列表,如图1所示:

详解WindowsServer2008安全日志

图1:Audit Policy类别可以帮助你制定想要记录日志信息的安全区域

每个政策设置都有两个选择:成功和/或失败,要想为任何类别配置成功或者失败,你需要勾选Define These Policy Settings选项框,如图2所示。

详解WindowsServer2008安全日志

图2:每个审计政策都需要首先就进行定义,然后需要配置审计类型

以下是关于每种类别控制范围的简要介绍:

审计帐户登录事件– 每次用户登录或者从另一台计算机注销的时候都会对该事件进行审计,计算机执行该审计是为了验证帐户,关于这一点的最好例子就是,当用户登录到他们的Windows XP Professional计算机上,总是由域控制器来进行身份验证。由于域控制器对用户进行了验证,这样就会在域控制器上生成事件。除了Windows Server 2003域控制器配置为审计这些事件的成功与否启动了设置外,没有启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。我还发现,在很多环境中,客户端也会配置为审计这些事件。

·创建一个用户帐户

·添加用户到一个组

·重命名用户帐户

·为用户帐户更改密码

对于域控制器而言,该管理政策将会对域帐户更改进行审计。对于服务器或者客户端而言,它将会审计本地安全帐户管理器Security Accounts Manager以及相关的帐户。除了Windows Server 2003域控制器配置为审计这些事件的成功与否启动了设置外,没有操作系统启动该设置。最常见以及最佳的做法就是让所有的域控制器和服务器对这些事件进行审计。对于用户帐户的审计,安全日志以及审计设置是不能捕捉的。

审计目录服务访问–这个将对与访问AD对象已经被配置为通过系统访问控制列表SACL追踪用户访问情况的用户有关的事件进行审计,AD对象的SACL指明了以下三件事:

·将会被追踪的帐户通常是用户或者组

·将会被追踪的访问类型,如只读、创建、修改等

·对对象访问的成功或者失败情况

由于每个对象都有自己独特的SACL,对将被追踪的AD对象的控制级别应该是非常精确的。除了Windows Server 2003域控制器配置为审计这些事件的成功与否启动了设置外,没有操作系统启动该设置。最佳做法是为所有域控制器的目录服务访问启动成功和失败审计。

审计登陆事件 –这将对与登录到、注销或者网络连接到配置为审计登录事件的电脑的用户相关的所有事件进行审计,一个很好的例子就是,当这些事件日志记录的时候,恰好是用户使用域用户帐户交互的登录到工作站的时候,这样就会在工作站生成一个事件,而不是执行验证的域控制器上生成。从根本上讲,追踪事件是在当尝试登录的位置,而不是在用户帐户存在的位置。除了Windows Server 2003域控制器配置为审计这些事件的成功与否启动了设置外,没有操作系统启动该设置。通常会对网络中所有计算机的这些事件进行日志记录。

审计对象访问 –当用户访问一个对象的时候,审计对象访问会对每个事件进行审计。对象内容包括:文件、文件夹、打印机、注册表项和AD对象。在现实中,任何有SACL的对象丢会被涵盖到这种类型的审计中。就像对目录访问的审计一样,每个对象都有自己独特的SACL,语序对个别对象进行有针对性的审计。没有任何对象是配置为魔神进行审计的,这意味着启用这个设置并不会产生任何日志记录信息。一旦建立了该设置,对象的SACAL就被配置了,对尝试登录访问该对象时就开始出现表项。除非有特别需要对某些资源的追踪访问,通常是不会配置这种级别的审计,在高度安全的环境中,这种级别的审计通常是启用的,并且会为审计访问配置很多资源。

#p#副标题#e#

审计政策更改–这将对与计算机上三个"政策"之一的更改相关的每个事件进行审计,这些政策区域包括:

·用户权利分配

·审计政策

·信任关系

除了Windows Server 2003域控制器配置为审计这些事件的成功与否启动了设置外,没有操作系统启动该设置。最佳做法就是对网络中的所有计算机配置这种级别的审计。

审计特权使用–与执行由用户权限控制的任务的用户相关的每个事件都会被审计,用户权利列表是相当广泛的,如图3所示:

详解WindowsServer2008安全日志

图3:计算机的用户权限列表

这种级别的审计不是默认配置来追踪所有操作系统的事件,最佳做法就是对网络中的所有计算机配置这种级别的审计。

审计过程追踪 – 这将对与计算机中的进程相关的每个事件进行审计,这将包括、程序激活、进程退出、处理重叠和间接对象访问。这种级别的审计将会产生很多的事件,并且只有当应用程序正在因为排除故障的目的被追踪的时候才会配置。

审计系统事件 – 与计算机重新启动或者关闭相关的事件都会被审计,与系统安全和安全日志相关的事件同样也会被追踪当启动审计的时候。这是必要的计算机审计配置,不仅当发生的事件需要被日志记录,而且当日志本身被清除的时候也有记录。除了Windows Server 2003域控制器配置为审计这些事件的成功与否启动了设置外,没有操作系统启动该设置。最佳做法就是对网络中的所有计算机配置这种级别的审计。

每个审计类型的Event ID

在安全日志中可能会产生成千上万的事件,所以你需要要秘密解码器环来找出寻找的事件,以下是每种类别最重要的事件你可能想要在安全日志中跟踪的:

审计帐户登录事件

Event ID 描述

4776 - 域控制器试图验证帐户凭证信息

4777 -域控制器未能验证帐户凭证信息

4768 -要求有Kerberos验证票TGT

4769 -要求有Kerberos验证票TGT

4770 - Kerberos服务票被更新

审计帐户管理

Event ID 描述

4741 - 计算机帐户已创建

4742 – 计算机帐户已更改

4743 – 计算机帐户已删除

4739 – 域政策已经更改

4782 - 密码hash帐户被访问

4727 - 安全全局组已经创建

4728 – 一名用户被添加到安全全局组

4729 – 一名用户从安全全局组解除

4730 – 安全全局组已经删除

4731 - 安全本地组已经创建

4732 -一名用户被添加到安全本地组

4733 -一名用户被安全本地组解除

4734 -安全本地组已经删除

4735 - 安全本地组已经更改

4737 -安全全局组已经更改

4754 -安全通用组已创建

4755 -安全通用组已创建更改

#p#副标题#e#

4756 -一名用户被添加到安全通用组

4757 -一名用户被安全通用组解除

4758 -安全本地组已经删除

4720 – 用户帐户已创建

4722 – 用户帐户已启用

阅读全文
相关推荐

2024去云南旅游最佳路线 云南旅游的最佳路线安排

2024去云南旅游最佳路线 云南旅游的最佳路线安排
如果你是第一次来云南旅游,推荐最经典的线路是:昆明→大理→丽江→泸沽湖→香格里拉。这条线路经典的经典比较多,比较集中,都是在一条线,每个地方都有机场,全国好多城市都有直飞的航班。交通也很方便,可以根据自己的时间随意搭配。

2024最适合穷游的12个地方 一个人穷游去哪里好

2024最适合穷游的12个地方 一个人穷游去哪里好
1、哈尔滨:要想体验冬季游玩乐趣的朋友,那可一定不要错过哈尔滨这座城市了,绝对是让你来了还想再来。除了好玩的滑雪、冰雕以外,其实哈尔滨也是非常适合拍照写真的,因为哈尔滨临近俄罗斯这个国家,其有的建筑也是非常有国外欧美建筑的风格。2、苏州:苏州的每一角落,都有着江南水乡的风韵。必打卡景点有:平江路:先有平江路,后有苏州城,一条历史老街,一条沿河的小路。白天就来平江路感受原汁原味的苏州。拙政园:中国四大园林之一,亭台楼阁,奇石古树,园区以水为中心,山木环绕。苏州博物馆:需要提前预约,整个博物馆宛若一座小园林。

2024桂林必去五个景点 桂林旅游必看景点

2024桂林必去五个景点 桂林旅游必看景点
来桂林旅游,漓江是必游的。漓江景区是世界上规模最大、风景最美的岩溶山水游览区,集中了桂林山水的精华。一般游漓江的主要方式有坐船、竹筏及徒步,包括漓江三星、四星游船,漓江竹筏游和兴坪渔村大船游等。

2024清明家庭旅游最佳去处 清明节去哪里玩比较好

2024清明家庭旅游最佳去处 清明节去哪里玩比较好
带着父母或者爷爷奶奶来厦门,在鼓浪屿上度过一个悠闲下午,身心都可以得到放松。厦门是很多人旅游必去的城市之一,这里有很多出名的景点,比如说鼓浪屿、中山路步行街等等。厦门位于福建省,因此这里一年四季的气候都是比较合适的。鼓浪屿是一个小岛,需要乘船上岛哦。岛上有日光岩、菽庄花园、风琴博物馆等景点,在日光岩内,可以俯视全岛,将景色尽收眼底。这里还有著明经典打卡地《最美转角》。

张家界旅游必去景区 张家界旅游景点推荐

张家界旅游必去景区 张家界旅游景点推荐
张家界旅游必去景区,指的是张家界的核心景区武陵源风景区,也就是通常所说的“张家界国家森林公园”。张家界国家森林公园和武陵源风景区其实是同一片景区,只需要买一张门票即可,可从五处门票站进景区。第二个打卡景点是天门山,通过乘坐天门山索道,你可以欣赏到绝美的风景,山顶森林和各种珍稀植物让人叹为观止。天门山景区与张家界国家森林公园不在同一个地方,门票也是分开购买的。其最著名地标是天门洞,出火车站抬头就能看到天门山索道。天门山国家森林公园内处处古树参天,藤蔓缠绕。景区分为天门洞、中线、东线和西线景区等几个主要区域。

2024重庆旅游攻略 2024年重庆旅游景点

2024重庆旅游攻略 2024年重庆旅游景点
重庆旅游住宿建议住在解放碑附近,神仙选择,地理位置优越,离各大景点都近,出行便利,公交,地铁,打车都方便,好吃的多,八一好吃街,包括一些有名的小吃都在附近。而且是商业中心,购物也方便,适合逛吃逛吃。

西安旅游攻略自由行路线推荐 第一次去西安旅游攻略

西安旅游攻略自由行路线推荐 第一次去西安旅游攻略
第一天洒金桥和西羊市吃早点,西安本地人一般选择的洒金桥和西羊市。吃完早饭步行前往钟鼓楼,鼓楼可以看到各种类型的鼓,以及一些关于鼓的背景和知识,还有一些表演。钟楼鼓楼其实都是夜景好看。下午就去碑林博物馆和西安城墙。碑林博物馆很多喜欢历史和石刻的一定要来。傍晚就去城墙,建议女孩子穿汉服,拍照很出片。晚上可以去永兴坊转转,可以在这儿吃吃逛逛。

2024昆明旅游攻略景点大全 昆明有什么好玩的地方推荐

2024昆明旅游攻略景点大全 昆明有什么好玩的地方推荐
冬天旅游的话一定要去滇池,这里会有成群的海鸥栖息在这里。拍照超级好看。3月份之后海鸥就会飞走,一定要留意时间,不要跑空。滇池周围有大小数十个山峰,在湖畔,您可以欣赏到云南民族村、云南民族博物馆、西山华亭寺、太华寺、三清阁、龙门、筇竹寺、大观楼及晋宁盘龙寺、郑和公园等风景名胜区。在滇池可以看到很多海鸥。天气特别晴朗,滇池周边的柳树摇曳,加上阳光照射,堪称为一副美景。可以去买点面包喂海鸥,抓拍几张漂亮的照片。

成都旅游必去十大景点推荐 四川成都最值得去的十大景点

成都旅游必去十大景点推荐 四川成都最值得去的十大景点
1、锦里:夜间的锦里更加热闹,人来人往的街道,水榭亭台间点缀着红红的灯笼,让夜晚的锦里更具古典韵味,十分适合拍照打卡。锦里的店铺都很有川蜀地区老房子的特色,古色古香,还可以淘到各种小玩意。2、宽窄巷子:宽窄巷子是一条清朝遗留下来的古街道,由宽巷子、窄巷子和井巷子三条古朴街道和其间院落组成。在这里还可以体验碗茶、掏耳朵、川剧变脸等特色民俗项目。可以穿汉服来,很有感觉。其实井巷子是非常有看点,而且适合拍照的一条街。

2024山西旅游必去十大景点 山西必去景点攻略地

2024山西旅游必去十大景点 山西必去景点攻略地
1、云冈石窟:中国四大石窟之一,是历史古迹类的景点。第20窟是云冈石窟的代表作,游客们游览云冈石窟都会来这里拍照留念。云冈石窟一共有四十多个洞窟,时间有限的话可以选部分来看。尤其是第五窟和第六窟。这两个洞窟非常精美,洞窟里面密密麻麻的雕像,太壮观太震撼了。比较传统的参观路线是从东部的第1窟开始,依次往西直到第45窟结束。
本文Tag