一 了解Windows安全日志
我们都知道,在Windows事件查看器里可以查看用户的操作记录,如:登录、注销、帐户管理、对象访问等。
微软形容“Windows安全日志”是“最后也是最好的防御屏障”,这么说是因为“Windows安全日志”有助于检测隐藏的安全问题,并为解决安全漏洞问题提供依据。
二 抓住关键事件
在众多的Windows安全事件中,我们可以将关键事件分为两部分:
1、存在恶意活动的单次事件。例如:某个终端用户的帐户突然被添加到敏感的安全组。
2、超过阈值的恶意行为。例如:异常登录失败次数过多。
三 8个Windows安全事件
登录、注销
■登录成功(事件ID:4624)
•检测异常和可能未经授权的内部活动,如从非活动或受限帐户登录、用户在正常工作时间之外登录、用户同时登录很多应用等。
•获取关于用户行为的信息。例如:用户出勤、用户工作时间等。
■登录失败(事件ID:4625)
•检测可能的暴力密码攻击。例如:字典、猜测等,其特征是登录失败的次数突然激增。
•达到设置的帐户锁定阈值策略基准。
账户管理
■成员已添加到启用安全性的全局组(事件ID:4728)
•确保添加安全组成员资格信息,定期核查特权用户的群组成员身份。
■成员已添加到启用安全性的本地组(事件ID:4632)
•检测滥用授权用户行为。
■成员已添加到启用安全性的通用组(事件ID:4756)
•检测意外添加行为。
事件日志
■日志已清除(事件ID:1102,或者也可以禁用事件日志服务,这将导致日志不可被记录。这是由系统审计策略完成的,在这种情况下,事件 4719 会被记录下来。)
•发现具有恶意的用户。例如:那些设法篡改事件日志的用户。
账户管理
■锁定用户账户(事件ID:4740)
•检测可能的暴力密码攻击。例如:字典、猜测等,其特征是登录失败的次数突然激增。
•减轻对合规用户工作的影响。
访问对象
■尝试访问对象(事件ID:4663)
•检测未经授权访问文件和文件夹的行为。
四 关注活动目录安全
首先,您需要配置您的审核策略,以便Windows可以在安全日志中记录相关事件。接下来,您需要分析收集来的日志,然后将这些日志转化为可视化的视图,如报告和警报。
使用Windows自带工具和 PowerShell 脚本来完成这些工作需要专业知识,并且需要花费大量的时间。为了帮助您高效地完成工作,选择专业的第三方工具将是您的最佳选择。
ADAuditPlus拥有丰富的报表、实时告警大大简化了您对AD、成员服务器和工作站中的登录、注销、组成员身份更改、事件日志清除、帐户锁定等操作的监控,以及对于文件服务器的监控。更多功能请联系我们领取30天免费使用的权益。