假如這次重新啟動(dòng)是一種非預(yù)期的重新啟動(dòng)，系統(tǒng)日志中會(huì)記錄事件 ID 6008，“the previous system shutdown at <time> on <date> was unexpected”（在 <time> ，<date> 發(fā)生的上次系統(tǒng)關(guān)機(jī)是非預(yù)期的。）這可能表明一個(gè)拒絕服務(wù) (DoS) 導(dǎo)致了計(jì)算機(jī)關(guān)機(jī)。但請(qǐng)記住，這也可能由于電源故障或設(shè)備驅(qū)動(dòng)程序故障。

假如由導(dǎo)致藍(lán)屏的停止錯(cuò)誤引發(fā)重新啟動(dòng)，系統(tǒng)日志中會(huì)記錄事件 ID 1001，其中帶有 Save Dump 的源數(shù)據(jù)。在事件具體信息中可以復(fù)查真正的停止錯(cuò)誤消息。

注重：要將事件 ID 1001 項(xiàng)的記錄包括在內(nèi)，必須選中“將事件寫入系統(tǒng)日志”選項(xiàng)，啟用“系統(tǒng)控制面板”小程序中的恢復(fù)設(shè)置部分。

• 修改或清除安全日志
攻擊者可能嘗試修改安全日志、在攻擊過程中禁用審核，或清除安全日志來(lái)防止檢測(cè)。假如發(fā)現(xiàn)某時(shí)間段安全日志中沒有任何項(xiàng)，應(yīng)查看事件 ID 612 和 517，確定哪個(gè)用戶修改了審核策略。出現(xiàn)的所有事件 ID 517 都應(yīng)與一個(gè)表明清除安全日志的所有次數(shù)的物理日志進(jìn)行比較。未授權(quán)的安全日志清除可能是要隱藏以前安全日志中存在的事件。清除了該日志的用戶名包括在事件具體信息中。


Contoso 監(jiān)視了計(jì)算機(jī)關(guān)機(jī)或重新啟動(dòng)，以及安全日志的清除操作。

策略更改
審核策略定義了要審核哪些環(huán)境更改，這可幫助您確定是否存在攻擊環(huán)境的企圖。但有心的攻擊者會(huì)設(shè)法更改該審核策略本身，以便不被審核所進(jìn)行的任何更改。

假如要審核策略更改，則將顯示更改審核策略的嘗試，以及對(duì)其他策略和用戶權(quán)限的更改嘗試�！俺蓡T服務(wù)器和域控制器基準(zhǔn)策略”會(huì)審核策略更改的成功和失敗。您會(huì)在事件日志中看到記錄的下面這些事件。

表 9：事件日志中的策略更改事件

事件 ID 說(shuō)明
608
分配了用戶權(quán)限。

609
刪除了用戶權(quán)限。

610
創(chuàng)建了與另一個(gè)域之間的受信任關(guān)系。

611
刪除了與另一個(gè)域之間的受信任關(guān)系。

612
更改了審核策略。

768
檢測(cè)到一個(gè)目錄林中的命名空間元素與另一目錄林中的命名空間元素的沖突。（當(dāng)一個(gè)目錄林中的命名空間元素與另一目錄林中的命名空間元素發(fā)生重疊，則會(huì)發(fā)生沖突。）


此處要查找的兩個(gè)最重要的事件為事件 ID 608 和 609。一些攻擊嘗試可能會(huì)導(dǎo)致記錄這些事件。假如分配了用戶權(quán)限，下面的示例都會(huì)生成事件 ID 608，假如刪除了用戶權(quán)限，則都生成事件 ID 609。在每種情況下，事件具體信息都會(huì)包括該用戶權(quán)限分配到的特定 SID，以及分配該權(quán)限的安全主要對(duì)象的用戶名：

• 作為操作系統(tǒng)的一部分
請(qǐng)?jiān)谑录�具體信息中查找用戶權(quán)限為 seTcbPrivilege 的事件 ID 608 和 609。

• 向該域添加工作站
請(qǐng)?jiān)谑录�具體信息中查找用戶權(quán)限為 SeMachineAccountPrivilege 的事件。

• 備份文件和目錄
請(qǐng)?jiān)谑录�具體信息中查找用戶權(quán)限為 SeBackupPrivilege 的事件。

• 跳過遍歷檢查
請(qǐng)?jiān)谑录�具體信息中查找用戶權(quán)限為 SeChangeNotifyPrivilege 的事件。此用戶權(quán)限答應(yīng)用戶遍歷目錄樹，即使該用戶沒有訪問該目錄的權(quán)限也可以執(zhí)行此操作。

• 更改系統(tǒng)時(shí)間
請(qǐng)?jiān)谑录�具體信息中查找用戶權(quán)限為 SeSystemtimePrivilege 的事件。此用戶權(quán)限答應(yīng)安全主要對(duì)象更改系統(tǒng)時(shí)間，可能會(huì)掩蓋事件發(fā)生的時(shí)間。

• 創(chuàng)建永久的共享對(duì)象
請(qǐng)?jiān)谑录�具體信息中查找用戶權(quán)限為 SeCreatePermanentPrivilege 的事件。此用戶權(quán)限的持有者可以創(chuàng)建文件和打印共享。

• 調(diào)試程序
請(qǐng)?jiān)谑录�具體信息中查找用戶權(quán)限為 SeDebugPrivilege 的事件。此用戶權(quán)限的持有者可以連接到任何進(jìn)程。在默認(rèn)情況下，此權(quán)限只分配給治理員。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板