域控场景下windows安全日志的分析--审计认证行为和命令的历史记录
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了域控场景下windows安全日志的分析--审计认证行为和命令的历史记录,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1503字,纯文字阅读大概需要3分钟。
内容图文
一、域控windows安全日志基本操作
1、打开powershell或者cmd
1 #gpedit.msc
打开配置:
关于账户安全性的策略配置在账户配置哪里
2、打开控制面板->系统与安全->事件查看器->windows日志->安全:
希望这里配置的时间足够长久,以便于查看日志
选择筛选器,筛选这一条:
来查看这个是很常用的一个,当然审核成功也很有用,那是你知道那个时间确定被入侵的时候用到。
2、场景分析:
2.1、域账号被锁定:
原因:可能是病毒、脚本、锁定账号名下的计划任务或者黑客攻击爆破等行为导致。
追查思路:找到时间ID4740,这个是域账号被锁定的标志,可以找到一些信息,运气好的话能定位到导致此问题的IP或者进程。至少可以确定准确的锁定时间,然后回溯之前的审计失败的认证尝试报文ID4625,找到源IP或者主机名。下一步再去排查相关的IP或者主机名。
#############################################################科普小知识#############################################################
@1、日志格式简介:
一般国内的都是中文版本的windows,所以不存在英文看不懂的问题,需要关注下面几个字段(尤其是标红的):
(1)事件ID,当然这个是过滤条件4625
(2)关键字,审核成功还是失败其实这个很多时候也是过滤条件(对应的英文Success和Failure)
(3)用户:很重要
(4)计算机名和说明
(5)账户名、账户域、登录ID和登录类型(登录类型后面会展开讲下)
(6)登录失败的账户名、域(这些都要比较和锁定的是否一致)
(7)失败原因:0xC0000064用户不存在,0xC000006A 密码用户名不匹配(最常见的两个)
(8)进程信息、网络信息等
@2、登录类型简介:
type 2 交互式登录,本地或者KVM的
type3 网络登录 连接共享文件夹、共享打印机、IIS等。
type4 批处理登录 windows计划任务运行
type5 服务
type7 解锁登录 屏幕保护解锁等解锁类登录
type8 网络明文 基本人生的IIS还有ADVapi
type9 新凭证 带有netonly的runas命令执行的时候
type10 远程交互 RDP 远控 远程协助等等
type11 缓存交互
#############################################################科普小知识#############################################################
2.2 得知自己某个时段被黑,查询这个时段登录的账号
追查思路:找到对应时间的登录审计日志,追查源IP。另外查看这个IP登录账户后都做了啥
1 Get-History 查询历史 2 Clear-History 清空历史 3 Invoke-History 运行历史记录中的一条命令 4 Add-History 增加命令到历史记录
#windows下netstat查看进程和端口以及连接情况: netstat -ano | findstr "xxx"
tasklist | findstr "xxx"
原文:https://www.cnblogs.com/KevinGeorge/p/8563458.html
内容总结
以上是互联网集市为您收集整理的域控场景下windows安全日志的分析--审计认证行为和命令的历史记录全部内容,希望文章能够帮你解决域控场景下windows安全日志的分析--审计认证行为和命令的历史记录所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。