假如這次重新啟動是一種非預期的重新啟動，系統(tǒng)日志中會記錄事件 ID 6008，“the previous system shutdown at <time> on <date> was unexpected”（在 <time> ，<date> 發(fā)生的上次系統(tǒng)關機是非預期的。）這可能表明一個拒絕服務 (DoS) 導致了計算機關機。但請記住，這也可能由于電源故障或設備驅動程序故障。

假如由導致藍屏的停止錯誤引發(fā)重新啟動，系統(tǒng)日志中會記錄事件 ID 1001，其中帶有 Save Dump 的源數(shù)據(jù)。在事件具體信息中可以復查真正的停止錯誤消息。

注重：要將事件 ID 1001 項的記錄包括在內，必須選中“將事件寫入系統(tǒng)日志”選項，啟用“系統(tǒng)控制面板”小程序中的恢復設置部分。

• 修改或清除安全日志
攻擊者可能嘗試修改安全日志、在攻擊過程中禁用審核，或清除安全日志來防止檢測。假如發(fā)現(xiàn)某時間段安全日志中沒有任何項，應查看事件 ID 612 和 517，確定哪個用戶修改了審核策略。出現(xiàn)的所有事件 ID 517 都應與一個表明清除安全日志的所有次數(shù)的物理日志進行比較。未授權的安全日志清除可能是要隱藏以前安全日志中存在的事件。清除了該日志的用戶名包括在事件具體信息中。


Contoso 監(jiān)視了計算機關機或重新啟動，以及安全日志的清除操作。

策略更改
審核策略定義了要審核哪些環(huán)境更改，這可幫助您確定是否存在攻擊環(huán)境的企圖。但有心的攻擊者會設法更改該審核策略本身，以便不被審核所進行的任何更改。

假如要審核策略更改，則將顯示更改審核策略的嘗試，以及對其他策略和用戶權限的更改嘗試�！俺蓡T服務器和域控制器基準策略”會審核策略更改的成功和失敗。您會在事件日志中看到記錄的下面這些事件。

表 9：事件日志中的策略更改事件

事件 ID 說明
608
分配了用戶權限。

609
刪除了用戶權限。

610
創(chuàng)建了與另一個域之間的受信任關系。

611
刪除了與另一個域之間的受信任關系。

612
更改了審核策略。

768
檢測到一個目錄林中的命名空間元素與另一目錄林中的命名空間元素的沖突。（當一個目錄林中的命名空間元素與另一目錄林中的命名空間元素發(fā)生重疊，則會發(fā)生沖突。）


此處要查找的兩個最重要的事件為事件 ID 608 和 609。一些攻擊嘗試可能會導致記錄這些事件。假如分配了用戶權限，下面的示例都會生成事件 ID 608，假如刪除了用戶權限，則都生成事件 ID 609。在每種情況下，事件具體信息都會包括該用戶權限分配到的特定 SID，以及分配該權限的安全主要對象的用戶名：

• 作為操作系統(tǒng)的一部分
請在事件具體信息中查找用戶權限為 seTcbPrivilege 的事件 ID 608 和 609。

• 向該域添加工作站
請在事件具體信息中查找用戶權限為 SeMachineAccountPrivilege 的事件。

• 備份文件和目錄
請在事件具體信息中查找用戶權限為 SeBackupPrivilege 的事件。

• 跳過遍歷檢查
請在事件具體信息中查找用戶權限為 SeChangeNotifyPrivilege 的事件。此用戶權限答應用戶遍歷目錄樹，即使該用戶沒有訪問該目錄的權限也可以執(zhí)行此操作。

• 更改系統(tǒng)時間
請在事件具體信息中查找用戶權限為 SeSystemtimePrivilege 的事件。此用戶權限答應安全主要對象更改系統(tǒng)時間，可能會掩蓋事件發(fā)生的時間。

• 創(chuàng)建永久的共享對象
請在事件具體信息中查找用戶權限為 SeCreatePermanentPrivilege 的事件。此用戶權限的持有者可以創(chuàng)建文件和打印共享。

• 調試程序
請在事件具體信息中查找用戶權限為 SeDebugPrivilege 的事件。此用戶權限的持有者可以連接到任何進程。在默認情況下，此權限只分配給治理員。

查看更多 動易Cms教程  動易Cms模板