8个至关重要的Windows安全事件

一  了解Windows安全日志

我们都知道，在Windows事件查看器里可以查看用户的操作记录，如：登录、注销、帐户管理、对象访问等。

微软形容“Windows安全日志”是“最后也是最好的防御屏障”，这么说是因为“Windows安全日志”有助于检测隐藏的安全问题，并为解决安全漏洞问题提供依据。

二  抓住关键事件

在众多的Windows安全事件中，我们可以将关键事件分为两部分：

1、存在恶意活动的单次事件。例如：某个终端用户的帐户突然被添加到敏感的安全组。

2、超过阈值的恶意行为。例如：异常登录失败次数过多。

三  8个Windows安全事件

登录、注销

■登录成功（事件ID：4624）

•检测异常和可能未经授权的内部活动，如从非活动或受限帐户登录、用户在正常工作时间之外登录、用户同时登录很多应用等。

•获取关于用户行为的信息。例如：用户出勤、用户工作时间等。

■登录失败（事件ID：4625）

•检测可能的暴力密码攻击。例如：字典、猜测等，其特征是登录失败的次数突然激增。

•达到设置的帐户锁定阈值策略基准。

账户管理

■成员已添加到启用安全性的全局组（事件ID：4728）

•确保添加安全组成员资格信息，定期核查特权用户的群组成员身份。

■成员已添加到启用安全性的本地组（事件ID：4632）

•检测滥用授权用户行为。

■成员已添加到启用安全性的通用组（事件ID：4756）

•检测意外添加行为。

事件日志

■日志已清除（事件ID：1102，或者也可以禁用事件日志服务，这将导致日志不可被记录。这是由系统审计策略完成的，在这种情况下，事件 4719 会被记录下来。）

•发现具有恶意的用户。例如：那些设法篡改事件日志的用户。

账户管理

■锁定用户账户（事件ID：4740）

•检测可能的暴力密码攻击。例如：字典、猜测等，其特征是登录失败的次数突然激增。

•减轻对合规用户工作的影响。

访问对象

■尝试访问对象（事件ID：4663）

•检测未经授权访问文件和文件夹的行为。

四  关注活动目录安全

首先，您需要配置您的审核策略，以便Windows可以在安全日志中记录相关事件。接下来，您需要分析收集来的日志，然后将这些日志转化为可视化的视图，如报告和警报。

使用Windows自带工具和 PowerShell 脚本来完成这些工作需要专业知识，并且需要花费大量的时间。为了帮助您高效地完成工作，选择专业的第三方工具将是您的最佳选择。

ADAuditPlus拥有丰富的报表、实时告警大大简化了您对AD、成员服务器和工作站中的登录、注销、组成员身份更改、事件日志清除、帐户锁定等操作的监控，以及对于文件服务器的监控。更多功能请联系我们领取30天免费使用的权益。