Windows日誌
本文爲轉載文章,原文鏈接:https://blog.csdn.net/Z_Grant/article/details/90673282
學習目標
- Windows事件日誌簡介:存儲位置、內容、查看方法。
- Windows事件日誌分析:開關機、登錄、註銷、連接網絡、插U盤。
- 安全審覈:TCP、UDP。
一、Windows事件日誌簡介
Windows事件日誌記錄着Windows系統中硬件、軟件和系統問題的信息,同時還可以監視系統中發生的事件,掌握計算機在特定時間的狀態,此外也可以瞭解用戶的各種操作行爲。它可以爲信息安全調查取證提供很多關鍵信息。
二、打開事件查看器命令:eventvwr
Windows事件日誌文件本質上是數據庫,其中包括有關係統、安全、應用程序的記錄
記錄的事件包含9個元素:日期/時間、事件級別、用戶、計算機、事件ID、來源、任務類別、描述、數據等信息
三、Windows事件日誌共有五種事件級別
所有的事件必須只能擁有其中的一種事件級別
1.信息(Information)
信息事件指應用程序、驅動程序或服務的成功操作的事件。
2.警告(Warning)
警告事件指不是直接的、主要的,但是會導致將來問題發生的問題。例如,當磁盤空間不足或未找到打印機時,都會記錄一個“警告”事件。
3.錯誤(Error)
錯誤事件指用戶應該知道的重要的問題。錯誤事件通常指功能和數據的丟失。例如, 如果一個服務不能作爲系統引導被加載,那麼它會產生一個錯誤事件。
4.成功審覈(Success audit)
成功的審覈安全訪問嘗試,主要是指安全性日誌,這裏記錄着用戶登錄/註銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄等事件,例如所有的成功登錄系統都會被記錄爲“成功審覈”事件。
5.失敗審覈(Failure audit)
失敗的審覈安全登錄嘗試,例如用戶試圖訪問網絡驅動器失敗,則該嘗試會被作爲失敗審覈事件記錄下來。
四、Windows日誌文件
從1993年的Windows NT3.1起,微軟就開始使用事件日誌來記錄各種事件的信息。在NT的進化過程中,事件日誌的文件名和文件存放位置一直保持不變,在Windows NT/Win2000/XP/Server 2003中, 日誌文件的擴展名一直是evt,存儲位置爲:%systemroot%\System32\config
從Windows Vista和Server 2008開始,日誌文件的文件名、結構和存儲位置發生了巨大改變, 文件擴展名改爲evtx (XML格式),存儲位置改爲: %systemroot%\System32\WinEvt\logs
日誌文件通常分爲系統日誌、應用程序日誌、安全日誌三種:
1.系統日誌
記錄操作系統組件產生的事件,主要包括驅動程序、系統組件和應用軟件的崩潰以及數據。
默認位置:
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:WINDOWS\system32\winevt\Logs\System.evtx
2.應用程序日誌
包含由應用程序或系統程序記錄的事件,主要記錄程序運行方面的事件。
默認位置:
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\Application.evtx
3.安全日誌
記錄系統的安全審計事件,包含各種類型的登錄日誌、對象訪問日誌、進程追蹤日誌、特權使用、帳號管理、策略變更、系統事件。安全日誌也是調查取證中最常用到的日誌。
默認位置:
Vista/Win7/Win8//Win10/Server 2008/Server 2012
C:\WINDOWS\system32\winevt\Logs\Security.evtx。
注:
①安全日誌 是滲透測試工作人員關注的重點雖然幾乎所有事件記錄在調查過程中都或多或少帶來幫助,但是大多數的調查取證中,安全日誌中找到線索的可能性最大。
②系統和應用程序日誌 存儲着故障排除信息,對於系統管理員更爲有用。安全日誌記錄着事件審計信息,包括用戶驗證(登錄、遠程訪問等)和特定用戶在認證後對系統做了什麼,對於調查人員而言,更有幫助。
五、對常用安全事件的分析
1.用戶登錄與註銷
■場景
.判斷哪個用戶嘗試進行登錄
.分析被控制的用戶的使用情況
■事件ID
.4624登錄成功
.4625登錄失敗
.4634/4647 一註銷成功
.4672使用超級用戶(如管理員)進行登錄
2.追蹤硬件變動
■場景
.分析哪些硬件設備什麼時間安裝到系統中
■事件ID
.20001 -即插即用驅動安裝(System日誌)
.20003-即插即用驅動安裝(System日誌)
.46636-移動設備訪問成功(Securiy日誌)
.4656 -移動設備訪問失敗(Security日誌)
3.追蹤WiFi信息
■場景
.分析連接到的WiFi屬性
■事件ID
.10000-連接WiFi(networkprofile日誌)
.10001-斷開WiFi(networkprofile日誌)
六、分析日誌的思路
1.分析Windows登錄類型
(1) 登錄類型
登錄類型2:交互式登錄(Interactive): 就是指用戶在計算機的控制檯上進行的登錄,也就是在本地鍵盤上進行的登錄。
登錄類型3:網絡(Network): 最常見的是訪問網絡共享文件夾或打印機。另外大多數情況下通過網絡登錄IIS時也被記爲這種類型,但基本驗證方式的IIS登錄是個例外,它將被記爲類型8。
登錄類型4:批處理(Batch) :當Windows運行一個計劃任務時,“計劃任務服務”將爲這個任務首先創建一個新的登錄會話以便它能在此計劃任務所配置的用戶賬戶下運行,當這種登錄出現時,Windows在日誌中記爲類型4,對於其它類型的工作任務系統,依賴於它的設計,也可以在開始工作時產生類型4的登錄事件,類型4登錄通常表明某計劃任務啓動,但也可能是一個惡意用戶通過計劃任務來猜測用戶密碼,這種嘗試將產生一個類型4的登錄失敗事件,但是這種失敗登錄也可能是由於計劃任務的用戶密碼沒能同步更改造成的,比如用戶密碼更改了,而忘記了在計劃任務中進行更改。
登錄類型5:服務(Service) :與計劃任務類似,每種服務都被配置在某個特定的用戶賬戶下運行,當一個服務開始時,Windows首先爲這個特定的用戶創建一個登錄會話,這將被記爲類型5,失敗的類型5通常表明用戶的密碼已變而這裏沒得到更新。
登錄類型7:解鎖(Unlock) :很多公司都有這樣的安全設置:當用戶離開屏幕一段時間後,屏保程序會鎖定計算機屏幕。解開屏幕鎖定需要鍵入用戶名和密碼。此時產生的日誌類型就是Type 7。
登錄類型8:網絡明文(NetworkCleartext) :通常發生在IIS 的 ASP登錄。不推薦。
登錄類型9:新憑證(NewCredentials) :通常發生在RunAS方式運行某程序時的登錄驗證。
登錄類型10:遠程交互(RemoteInteractive) :通過終端服務、遠程桌面或遠程協助訪問計算機時,Windows將記爲類型10,以便與真正的控制檯登錄相區別,注意XP之前的版本不支持這種登錄類型,比如Windows2000仍然會把終端服務登錄記爲類型2。
登錄類型11:緩存交互(CachedInteractive) :在自己網絡之外以域用戶登錄而無法登錄域控制器時使用緩存登錄。默認情況下,Windows緩存了最近10次交互式域登錄的憑證HASH,如果以後當你以一個域用戶登錄而又沒有域控制器可用時,Windows將使用這些HASH來驗證你的身份。
(2) 常見登錄類型日誌分析
① 本地交互式登錄,也就是我們每天最常使用的登錄方式
首先是成功的登錄,從日誌分析來看至少會有2個事件發生,分別爲ID4648、 4624。
審覈成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4648 登錄
審覈成功 2016/9/23 10:36:12 Microsoft Windows security auditing. 4624 登錄
失敗登錄會產生ID爲4625的事件日誌。
審覈失敗 2016/9/23 10:35:13 Microsoft Windows security auditing. 4625 登錄
② 使用RDP協議進行遠程登錄,這也是日常經常遇到的情況
使用mstsc遠程登錄某個主機時,使用的帳戶是管理員帳戶的話,成功的情況下會有ID爲4648、4624、4672的事件產生。首先是成功登錄, ID爲4624,審覈成功,登錄類型爲10(遠程交互)。並且描述信息中的主機名(源工作站)仍爲被嘗試登錄主機的主機名,而不是源主機名。
審覈成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4648 登錄
審覈成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4624 登錄
審覈成功 2016/9/23 16:57:55 Microsoft Windows security auditing. 4672 特殊登錄
使用不存在的用戶名和錯誤密碼分別登錄失敗,ID爲4625,登錄類型爲10(遠程交互)。審覈失敗,列出了登錄失敗的賬戶名和失敗原因。
③ 遠程訪問某臺主機的共享資源,如某個共享文件夾
首先是使用正確的用戶名和密碼訪問遠程共享主機,登錄事件ID爲4624, 登錄類型爲3(Network),審覈成功。列出了源網絡地址和端口。
審覈成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 4624 登錄
如果訪問共享資源使用的帳戶名、密碼正確,但是該用戶對指定的共享文件夾沒有訪問權限時仍然會有ID爲4624的認證成功事件產生。
接下來的是事件ID爲5140的文件共享日誌,顯示了訪問的共享文件夾名稱。
審覈成功 2016/9/23 16:14:15 Microsoft Windows security auditing. 5140 文件共享
使用不存在的用戶名和錯誤密碼分別登錄失敗,ID爲4625,登錄類型爲3(網絡)。審覈失敗,列出了登錄失敗的賬戶名和失敗原因。
④ 解鎖登錄
解鎖登錄和遠程登錄一樣,成功的情況下會有ID爲4648、4624、4672的事件產生。首先是成功登錄, ID爲4624,審覈成功,登錄類型爲7(Unlock)。
審覈成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4648 登錄
審覈成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4624 登錄
審覈成功 2016/9/23 16:28:41 Microsoft Windows security auditing. 4672 特殊登錄
使用不存在的用戶名和錯誤密碼分別登錄失敗,ID爲4625,登錄類型爲7(unlock)。審覈失敗,列出了登錄失敗的賬戶名和失敗原因。
最後我們總結一下“審計登錄”事件:
- 在進程嘗試通過顯式指定帳戶的憑據來登錄該帳戶時生成4648事件。
- 成功的登錄通常會有4624事件產生,在創建登錄會話後在被訪問的計算機上生成此事件。
- 如果用戶有特權會有4672事件產生。
- 通常情況下只需關注登錄類型爲2、3、7、10類型的4625登錄失敗事件。
2.安全審覈
操作系統帶有日誌功能,系統審覈機制可以對系統中的各類事件進行跟蹤記錄並寫入日誌文件。企業的網絡管理員開啓了服務器的部分安全審計功能後,可以根據需要實時地將發生在系統中的事件記錄下來。可以通過查看與安全相關的日誌文件的內容,來分析、查找系統和應用程序故障以及各類安全事件,發現黑客的入侵和入侵後的行爲。
審覈事件ID
4608 - Windows正在啓動
4609 - Windows正在關機
4616 - 系統時間被改變
4618 - 監測安全事件樣式已經發生
4621 - 管理員從CrashOnAuditFail回收系統,非管理員的用戶現在可以登錄,有些審計活動可能沒有被記錄
4624 - 帳戶已成功登錄
4625 - 帳戶登錄失敗
4634 - 帳戶被註銷
4647 - 用戶發起註銷
4648 - 試圖使用明確的憑證登錄
4649 - 發現重放攻擊
4657 - 註冊表值被修改
4660 - 對象已刪除
4663 -試圖訪問一個對象
4664 - 試圖創建一個硬鏈接
4670 - 對象的權限已更改
4672 - 給新登錄分配特權
4673 - 要求特權服務
4674 - 試圖對特權對象嘗試操作
4675 - SID被過濾
4697 - 系統中安裝服務器
4698 - 計劃任務已創建
4699 - 計劃任務已刪除
4700 - 計劃任務已啓用
4701 - 計劃任務已停用
4702 - 計劃任務已更新
4704 - 用戶權限已分配
4705 - 用戶權限已移除
4706 - 創建到域的新信任
4707 - 到域的信任已經刪除
4713 - Kerberos政策已更改
4714 - 加密數據復原政策已取消
4715 - 對象上的審計政策(SACL)已經更改
4716 - 信任域信息已經修改
4717 - 系統安全訪問授予帳戶
4718 - 系統安全訪問從帳戶移除
4719 - 系統審計政策已經更改
4778 - 會話被重新連接到Window Station
4779 - 會話斷開連接到Window Station
4800 - 工作站被鎖定
4801 - 工作站被解鎖
4802 - 屏幕保護程序啓用
4803 - 屏幕保護程序被禁用
4864 - 名字空間碰撞被刪除
4865 - 信任森林信息條目已添加
4866 - 信任森林信息條目已刪除
4867 - 信任森林信息條目已取消
4902 - Per-user審覈政策表已經創建
4906 - CrashOnAuditFail值已經變化
4907 - 對象的審計設置已經更改
4932 - 命名上下文的AD的副本同步已經開始
4933 - 命名上下文的AD的副本同步已經結束
4934 - Active Directory 對象的屬性被複制
4935 - 複製失敗開始
4936 - 複製失敗結束
4944 - 當開啓Windows Firewall時下列政策啓用
4945 - 當開啓Windows Firewall時列入一個規則
4946 - 對Windows防火牆例外列表進行了修改,添加規則
4947 - 對Windows防火牆例外列表進行了修改,規則已修改
4948 - 對Windows防火牆例外列表進行了修改,規則已刪除
4949 - Windows防火牆設置已恢復到默認值
4950 - Windows防火牆設置已更改
4951 - 因爲主要版本號碼不被Windows防火牆承認,規則已被忽視
4952 - 因爲主要版本號碼不被Windows防火牆承認,部分規則已被忽視,將執行規則的其餘部分
4953 - 因爲Windows防火牆不能解析規則,規則被忽略
4954 - Windows防火牆組政策設置已經更改,將使用新設置
4956 - Windows防火牆已經更改主動資料
4957 - Windows防火牆不適用於以下規則
4958 - 因爲該規則涉及的條目沒有被配置,Windows防火牆將不適用以下規則:
4985 - 交易狀態已經改變
5024 - Windows防火牆服務已成功啓動
5025 - Windows防火牆服務已經被停止
5027 - Windows防火牆服務無法從本地存儲檢索安全政策,該服務將繼續執行目前的政策
5028 - Windows防火牆服務無法解析的新的安全政策,這項服務將繼續執行目前的政策
5029 - Windows防火牆服務無法初始化的驅動程序,這項服務將繼續執行目前的政策
5030 - Windows防火牆服務無法啓動
5031 - Windows防火牆服務阻止一個應用程序接收網絡中的入站連接
5032 - Windows防火牆無法通知用戶它阻止了接收入站連接的應用程序
5033 - Windows防火牆驅動程序已成功啓動
5034 - Windows防火牆驅動程序已經停止
5035 - Windows防火牆驅動程序未能啓動
5037 - Windows防火牆驅動程序檢測到關鍵運行錯誤,終止。
5039 - 註冊表項被虛擬化
5051 - 文件已被虛擬化
5136 - 目錄服務對象已修改
5137 - 目錄服務對象已創建
5138 - 目錄服務對象已刪除
5139 - 目錄服務對象已經移動
5140 - 網絡共享對象被訪問
5141 - 目錄服務對象已刪除
5378 - 所要求的憑證代表是政策所不允許的
5632 - 要求對無線網絡進行驗證
5633 - 要求對有線網絡進行驗證
6144 - 組策略對象中的安全政策已經成功運用
6145 - 當處理組策略對象中的安全政策時發生一個或者多個錯誤