• 加載和卸載設(shè)備驅(qū)動(dòng)程序
請(qǐng)查找指定了 SeLoadDriverPrivilege 用戶訪問(wèn)權(quán)限的事件 ID 577 或 578。事件具體信息表明了使用此用戶權(quán)限的用戶帳戶。此事件表明，用戶嘗試加載一個(gè)未授權(quán)版本的設(shè)備驅(qū)動(dòng)程序或者特洛伊木馬版本（一種惡意代碼）的設(shè)備驅(qū)動(dòng)程序。

• 治理審核和安全日志
請(qǐng)查找指定了 SeSecurityPrivilege 用戶訪問(wèn)權(quán)限的事件 ID 577 或 578。事件具體信息表明了使用此用戶權(quán)限的用戶帳戶。在事件日志被清除，以及特權(quán)使用的事件被寫(xiě)入安全日志時(shí)，都會(huì)發(fā)生此事件。

• 關(guān)閉系統(tǒng)
請(qǐng)查找指定了 SeShutdownPrivilege 訪問(wèn)特權(quán)的事件 ID 577。事件具體信息表明了使用此用戶權(quán)限的用戶帳戶。此事件會(huì)在嘗試關(guān)閉計(jì)算機(jī)時(shí)發(fā)生。

• 獲取文件或其他對(duì)象的所有權(quán)
請(qǐng)查找指定了SeTakeOwnershipPrivilege 訪問(wèn)特權(quán)的事件 ID 577 或 578。事件具體信息表明了使用該用戶權(quán)限的用戶帳戶。此事件表明，某個(gè)攻擊者正在嘗試通過(guò)獲取對(duì)象的所有權(quán)來(lái)繞過(guò)當(dāng)前的安全設(shè)置。


Contoso 專(zhuān)門(mén)監(jiān)視表明正常關(guān)機(jī)或從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)的所有事件，以及表明已修改了審核和安全日志的所有事件。

進(jìn)程跟蹤
假如要審核基于 Windows 2000 計(jì)算機(jī)中運(yùn)行的進(jìn)程的具體跟蹤信息，事件日志會(huì)顯示創(chuàng)建進(jìn)程和結(jié)束進(jìn)程的嘗試。它還會(huì)記錄進(jìn)程嘗試生成對(duì)象句柄的行為，或獲取對(duì)象間接訪問(wèn)的行為。

由于生成的審核項(xiàng)很多，所以“成員服務(wù)器和域控制器基準(zhǔn)策略”不會(huì)啟用進(jìn)程跟蹤審核。但是，假如選擇審核成功和失敗，則事件日志中會(huì)記錄下列事件 ID。

表 7：事件日志中的進(jìn)程跟蹤事件

事件 ID 說(shuō)明
592
創(chuàng)建了新進(jìn)程。

593
退出進(jìn)程。

594
復(fù)制對(duì)象句柄。

595
獲取了對(duì)象的間接訪問(wèn)。


Contoso 不監(jiān)視任何進(jìn)程跟蹤事件，并且不在任何服務(wù)器策略中啟用這些監(jiān)視。

系統(tǒng)事件
系統(tǒng)事件是在用戶或進(jìn)程更改計(jì)算機(jī)環(huán)境的部分內(nèi)容時(shí)生成的。您可以審核對(duì)系統(tǒng)進(jìn)行更改的嘗試，如關(guān)閉計(jì)算機(jī)或者更改系統(tǒng)時(shí)間。

假如審核系統(tǒng)事件，還應(yīng)審核何時(shí)清除了安全日志。這非常重要，因?yàn)楣�擊者常�?huì)嘗試在對(duì)環(huán)境進(jìn)行更改之后清除他們的行蹤。

“成員服務(wù)器和域控制器基準(zhǔn)策略”會(huì)審核系統(tǒng)事件的成功和失敗。這會(huì)在事件日志中生成下列事件 ID。

表 8：事件日志中的系統(tǒng)事件

事件 ID 說(shuō)明
512
Windows 正在啟動(dòng)。

513
Windows 正在關(guān)機(jī)。

514
本地安全機(jī)構(gòu)加載了身份驗(yàn)證程序包。

515
本地安全機(jī)構(gòu)注冊(cè)了一個(gè)受信任的登錄進(jìn)程。

516
為了對(duì)安全事件消息進(jìn)行排隊(duì)而分配的內(nèi)部資源已用完，導(dǎo)致某些安全事件消息丟失。

517
清除了安全日志。

518
安全帳戶治理器加載了一個(gè)通知程序包。


您可以使用下面這些事件 ID 來(lái)獲取部分安全問(wèn)題：

• 計(jì)算機(jī)關(guān)機(jī)/重新啟動(dòng)
事件 ID 513 會(huì)顯示關(guān)閉 Windows 時(shí)的每個(gè)實(shí)例。了解服務(wù)器何時(shí)關(guān)機(jī)或重新啟動(dòng)非常重要。其中有部分合理的原因，如安裝的某個(gè)驅(qū)動(dòng)程序或應(yīng)用程序要求重新啟動(dòng)，或要關(guān)機(jī)或重新啟動(dòng)服務(wù)器以便維護(hù)。但是，攻擊者可能還會(huì)為了在啟動(dòng)過(guò)程中獲取對(duì)于系統(tǒng)的訪問(wèn)權(quán)限來(lái)強(qiáng)制服務(wù)器重新啟動(dòng)。所有發(fā)生的計(jì)算機(jī)關(guān)機(jī)情況都應(yīng)注重，并與事件日志進(jìn)行比較。

很多攻擊都涉及計(jì)算機(jī)重新啟動(dòng)。研究這些事件日志可確定服務(wù)器何時(shí)進(jìn)行了重新啟動(dòng)，以及重新啟動(dòng)是計(jì)劃的還是非計(jì)劃的。事件 ID 513 顯示 Windows 正在啟動(dòng)，同時(shí)，在系統(tǒng)日志中還會(huì)自動(dòng)生成一系列其他事件。這些其他事件包括事件 ID 6005，表示已啟動(dòng)了事件日志服務(wù)。

除了此項(xiàng)之外，還請(qǐng)查找系統(tǒng)日志中存在的兩個(gè)不同事件日志項(xiàng)中的其中一個(gè)。假如上一次關(guān)機(jī)正常（如治理員重新啟動(dòng)了計(jì)算機(jī)），系統(tǒng)日志中會(huì)記錄事件 ID 6006，“the Event Log service was stopped”（事件日志服務(wù)已停止）。通過(guò)檢查該項(xiàng)目的具體信息，可以確定哪個(gè)用戶執(zhí)行了這次關(guān)機(jī)。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板