確定特定用戶的操作
在 560 事件中定義篩選器來標識特定用戶。

確定在特定計算機上執(zhí)行的操作
在 560 事件中定義篩選器來標識在其中執(zhí)行任務的特定計算機。


Contoso 不專門監(jiān)視任何對象訪問事件，但要審核某些文件的對象訪問。此信息對于響應一個安全事件尤其有用。

目錄服務訪問
Active Directory 對象有相關聯(lián)的 SACL，因此可進行審核。正如前面提到的，審核帳戶治理可審核 Active Directory 用戶和組帳戶。但是，假如想審核其他命名上下文中對象的修改（如配置和架構命名上下文），必須審核對象訪問，然后為要審核的特定容器定義 SACL。假如 Active Directory 對象 SACL 中列出的用戶要嘗試訪問該對象，就會生成審核項。

您可以使用 ADSIEDIT MMC 治理單元來修改配置命名上下文（和其他命名上下文）中容器和對象的 SACL。過程如下：在 ADSIEDIT 控制臺中顯示所需的上下文，然后在“高級安全設置”對話框中修改該對象的 SACL。

由于發(fā)生了大量事件（通常都是些無關緊要的事件），所以很難找出目錄服務訪問的特定事件。因此，“成員服務器和域控制器基準策略”只審核目錄服務訪問的失敗事件。這有助于弄清攻擊者何時嘗試對 Active Directory 進行了未授權訪問。

嘗試的目錄訪問在安全日志中將顯示為一個 ID 為 565 的目錄服務事件。只有通過查看安全事件的具體信息，才能確定該事件與哪個對象相對應。

Contoso 不專門監(jiān)視任何目錄服務訪問事件，但要審核某些文件的對象訪問。此信息對于響應一個安全事件尤其有用。

特權使用
當用戶在信息技術 (IT) 環(huán)境中工作時，他們將運用所定義的用戶權限。假如審核特權使用的成功和失敗，每次用戶嘗試運用用戶權限時都會生成一個事件。

即使真的要審核特權使用，也并非所有的用戶權限都會審核。在默認情況下，不包括下列用戶權限：

• 跳過遍歷檢查

• 調(diào)試程序

• 創(chuàng)建令牌對象

• 替換進程級令牌

• 生成安全審核

• 備份文件和目錄

• 還原文件和目錄


您可以在組策略中啟用“對備份和還原權限的使用進行審核”安全選項，從而覆蓋不審核“備份”和“還原”用戶權限的默認行為。

審核成功的特權使用會在安全日志中產(chǎn)生大量的項。因此，“成員服務器和域控制器基準策略”只會審核失敗的特權使用。

假如啟用了特權使用審核，將生成下列事件。

表 6：事件日志中的特權使用事件

事件 ID 說明
576
指定特權已添加到用戶的訪問令牌中。（此事件在用戶登錄時生成。）

577
用戶嘗試執(zhí)行授權的系統(tǒng)服務操作。

578
在已打開的受保護對象上使用了特權。


下面是使用某些特定用戶權限時，可能存在的一些事件日志項示例：

• 作為操作系統(tǒng)的一部分
請查找指定了 SeTcbPrivilege 訪問特權的事件 ID 577 或 578。事件具體信息指出了使用該用戶權限的用戶帳戶。此事件表明，用戶作為操作系統(tǒng)的一部分使用了超越安全的特權。例如，GetAdmin 攻擊就會使用此特權，在這種攻擊中，用戶嘗試將他們的帳戶添加到 Administrator 組中。此事件的唯一項應用于 System 帳戶，以及分配了該用戶權限的所有服務帳戶。

• 更改系統(tǒng)時間
請查找指定了 SeSystemtimePrivilege 訪問特權的事件 ID 577 或 578。事件具體信息表明了使用該用戶權限的用戶帳戶。此事件表明，用戶嘗試通過更改系統(tǒng)時間來隱藏事件發(fā)生的真實時間。

• 從遠程系統(tǒng)進行強制關機
請查找指定了 eRemoteShutdownPrivilege 用戶訪問權限的事件 ID 577 和 578。事件具體信息中包括了分配該用戶權限的特定安全標識符 (SID)，以及分配該權限的安全主要對象的用戶名。

查看更多 動易Cms教程  動易Cms模板