域控情境下windows安全日誌的分析--審計認證行為和命令的記錄

標籤：shel   nas   cmd   登入   遠程   問題   共用   遠程協助   查看   

一、域控windows安全日誌基本操作

1、開啟powershell或者cmd

1 #gpedit.msc

開啟配置：

關於賬戶安全性的策略配置在賬戶配置哪裡

2、開啟控制台->系統與安全->事件檢視器->windows日誌->安全：

希望這裡配置的時間足夠長久，以便於查看日誌

選擇篩選器，篩選這一條：

來查看這個是很常用的一個，當然審核成功也很有用，那是你知道那個時間確定被入侵的時候用到。

2、情境分析：

2.1、域帳號被鎖定：

原因：可能是病毒、指令碼、鎖定帳號名下的計劃任務或者駭客攻擊爆破等行為導致。

追查思路：找到時間ID4740，這個是域帳號被鎖定的標誌，可以找到一些資訊，運氣好的話能定位到導致此問題的IP或者進程。至少可以確定準確的鎖定時間，然後回溯之前的審計失敗的認證嘗試報文ID4625，找到源IP或者主機名稱。下一步再去排查相關的IP或者主機名稱。

 

#############################################################科普小知識#############################################################

@1、日誌格式簡介：

一般國內的都是中文版本的windows，所以不存在英文看不懂的問題，需要關注下面幾個欄位（尤其是標紅的）：

（1）事件ID，當然這個是過濾條件4625

（2）關鍵字，審核成功還是失敗其實這個很多時候也是過濾條件（對應的英文Success和Failure）

（3）使用者：很重要

（4）電腦名稱和說明

（5）賬戶名、賬戶域、登入ID和登入類型（登入類型後面會展開講下）

（6）登入失敗的賬戶名、域（這些都要比較和鎖定的是否一致）

（7）失敗原因：0xC0000064使用者不存在，0xC000006A 密碼使用者名稱不匹配（最常見的兩個）

（8）進程資訊、網路資訊等

 

@2、登入類型簡介：

type 2    互動式登入，本地或者KVM的

type3     網路登入      串連共用資料夾、共用印表機、IIS等。

type4     批處理登入   windows計劃任務運行

type5     服務

type7     解鎖登入       螢幕保護裝置解鎖等解鎖類登入

type8     網路明文      基本人生的IIS還有ADVapi

type9     新憑證        帶有netonly的runas命令執行的時候

type10    遠程互動     RDP  遠控  遠程協助等等

type11    緩衝互動

#############################################################科普小知識#############################################################

2.2 得知自己某個時段被黑，查詢這個時段登入的帳號

追查思路：找到對應時間的登入審計日誌，追查源IP。另外查看這個IP登入賬戶後都做了啥

1 Get-History 查詢曆史2 Clear-History 清空曆史3 Invoke-History 執行歷程記錄中的一條命令4 Add-History 增加命令到記錄

#windows下netstat查看進程和連接埠以及串連情況：netstat -ano | findstr "xxx"
tasklist | findstr "xxx"

 

域控情境下windows安全日誌的分析--審計認證行為和命令的記錄