標籤:shel nas cmd 登入 遠程 問題 共用 遠程協助 查看
一、域控windows安全日誌基本操作
1、開啟powershell或者cmd
1 #gpedit.msc
開啟配置:
關於賬戶安全性的策略配置在賬戶配置哪裡
2、開啟控制台->系統與安全->事件檢視器->windows日誌->安全:
希望這裡配置的時間足夠長久,以便於查看日誌
選擇篩選器,篩選這一條:
來查看這個是很常用的一個,當然審核成功也很有用,那是你知道那個時間確定被入侵的時候用到。
2、情境分析:
2.1、域帳號被鎖定:
原因:可能是病毒、指令碼、鎖定帳號名下的計劃任務或者駭客攻擊爆破等行為導致。
追查思路:找到時間ID4740,這個是域帳號被鎖定的標誌,可以找到一些資訊,運氣好的話能定位到導致此問題的IP或者進程。至少可以確定準確的鎖定時間,然後回溯之前的審計失敗的認證嘗試報文ID4625,找到源IP或者主機名稱。下一步再去排查相關的IP或者主機名稱。
#############################################################科普小知識#############################################################
@1、日誌格式簡介:
一般國內的都是中文版本的windows,所以不存在英文看不懂的問題,需要關注下面幾個欄位(尤其是標紅的):
(1)事件ID,當然這個是過濾條件4625
(2)關鍵字,審核成功還是失敗其實這個很多時候也是過濾條件(對應的英文Success和Failure)
(3)使用者:很重要
(4)電腦名稱和說明
(5)賬戶名、賬戶域、登入ID和登入類型(登入類型後面會展開講下)
(6)登入失敗的賬戶名、域(這些都要比較和鎖定的是否一致)
(7)失敗原因:0xC0000064使用者不存在,0xC000006A 密碼使用者名稱不匹配(最常見的兩個)
(8)進程資訊、網路資訊等
@2、登入類型簡介:
type 2 互動式登入,本地或者KVM的
type3 網路登入 串連共用資料夾、共用印表機、IIS等。
type4 批處理登入 windows計劃任務運行
type5 服務
type7 解鎖登入 螢幕保護裝置解鎖等解鎖類登入
type8 網路明文 基本人生的IIS還有ADVapi
type9 新憑證 帶有netonly的runas命令執行的時候
type10 遠程互動 RDP 遠控 遠程協助等等
type11 緩衝互動
#############################################################科普小知識#############################################################
2.2 得知自己某個時段被黑,查詢這個時段登入的帳號
追查思路:找到對應時間的登入審計日誌,追查源IP。另外查看這個IP登入賬戶後都做了啥
1 Get-History 查詢曆史2 Clear-History 清空曆史3 Invoke-History 執行歷程記錄中的一條命令4 Add-History 增加命令到記錄
#windows下netstat查看進程和連接埠以及串連情況:netstat -ano | findstr "xxx"
tasklist | findstr "xxx"
域控情境下windows安全日誌的分析--審計認證行為和命令的記錄