• 加載和卸載設備驅動程序
請查找指定了 SeLoadDriverPrivilege 用戶訪問權限的事件 ID 577 或 578。事件具體信息表明了使用此用戶權限的用戶帳戶。此事件表明，用戶嘗試加載一個未授權版本的設備驅動程序或者特洛伊木馬版本（一種惡意代碼）的設備驅動程序。

• 治理審核和安全日志
請查找指定了 SeSecurityPrivilege 用戶訪問權限的事件 ID 577 或 578。事件具體信息表明了使用此用戶權限的用戶帳戶。在事件日志被清除，以及特權使用的事件被寫入安全日志時，都會發(fā)生此事件。

• 關閉系統(tǒng)
請查找指定了 SeShutdownPrivilege 訪問特權的事件 ID 577。事件具體信息表明了使用此用戶權限的用戶帳戶。此事件會在嘗試關閉計算機時發(fā)生。

• 獲取文件或其他對象的所有權
請查找指定了SeTakeOwnershipPrivilege 訪問特權的事件 ID 577 或 578。事件具體信息表明了使用該用戶權限的用戶帳戶。此事件表明，某個攻擊者正在嘗試通過獲取對象的所有權來繞過當前的安全設置。


Contoso 專門監(jiān)視表明正常關機或從遠程系統(tǒng)強制關機的所有事件，以及表明已修改了審核和安全日志的所有事件。

進程跟蹤
假如要審核基于 Windows 2000 計算機中運行的進程的具體跟蹤信息，事件日志會顯示創(chuàng)建進程和結束進程的嘗試。它還會記錄進程嘗試生成對象句柄的行為，或獲取對象間接訪問的行為。

由于生成的審核項很多，所以“成員服務器和域控制器基準策略”不會啟用進程跟蹤審核。但是，假如選擇審核成功和失敗，則事件日志中會記錄下列事件 ID。

表 7：事件日志中的進程跟蹤事件

事件 ID 說明
592
創(chuàng)建了新進程。

593
退出進程。

594
復制對象句柄。

595
獲取了對象的間接訪問。


Contoso 不監(jiān)視任何進程跟蹤事件，并且不在任何服務器策略中啟用這些監(jiān)視。

系統(tǒng)事件
系統(tǒng)事件是在用戶或進程更改計算機環(huán)境的部分內容時生成的。您可以審核對系統(tǒng)進行更改的嘗試，如關閉計算機或者更改系統(tǒng)時間。

假如審核系統(tǒng)事件，還應審核何時清除了安全日志。這非常重要，因為攻擊者常會嘗試在對環(huán)境進行更改之后清除他們的行蹤。

“成員服務器和域控制器基準策略”會審核系統(tǒng)事件的成功和失敗。這會在事件日志中生成下列事件 ID。

表 8：事件日志中的系統(tǒng)事件

事件 ID 說明
512
Windows 正在啟動。

513
Windows 正在關機。

514
本地安全機構加載了身份驗證程序包。

515
本地安全機構注冊了一個受信任的登錄進程。

516
為了對安全事件消息進行排隊而分配的內部資源已用完，導致某些安全事件消息丟失。

517
清除了安全日志。

518
安全帳戶治理器加載了一個通知程序包。


您可以使用下面這些事件 ID 來獲取部分安全問題：

• 計算機關機/重新啟動
事件 ID 513 會顯示關閉 Windows 時的每個實例。了解服務器何時關機或重新啟動非常重要。其中有部分合理的原因，如安裝的某個驅動程序或應用程序要求重新啟動，或要關機或重新啟動服務器以便維護。但是，攻擊者可能還會為了在啟動過程中獲取對于系統(tǒng)的訪問權限來強制服務器重新啟動。所有發(fā)生的計算機關機情況都應注重，并與事件日志進行比較。

很多攻擊都涉及計算機重新啟動。研究這些事件日志可確定服務器何時進行了重新啟動，以及重新啟動是計劃的還是非計劃的。事件 ID 513 顯示 Windows 正在啟動，同時，在系統(tǒng)日志中還會自動生成一系列其他事件。這些其他事件包括事件 ID 6005，表示已啟動了事件日志服務。

除了此項之外，還請查找系統(tǒng)日志中存在的兩個不同事件日志項中的其中一個。假如上一次關機正常（如治理員重新啟動了計算機），系統(tǒng)日志中會記錄事件 ID 6006，“the Event Log service was stopped”（事件日志服務已停止）。通過檢查該項目的具體信息，可以確定哪個用戶執(zhí)行了這次關機。

查看更多 動易Cms教程  動易Cms模板