「运维有小邓」分享8个至关重要的Windows安全事件

一 了解Windows安全日志

我们都知道,在Windows事件查看器里可以查看用户的操作记录,如:登录、注销、帐户管理、对象访问等。

微软形容“Windows安全日志”是“最后也是最好的防御屏障”,这么说是因为“Windows安全日志”有助于检测隐藏的安全问题,并为解决安全漏洞问题提供依据。

安全漏洞

二 抓住关键事件

在众多的Windows安全事件中,我们可以将关键事件分为两部分:

1、存在恶意活动的单次事件。例如:某个终端用户的帐户突然被添加到敏感的安全组。

2、超过阈值的恶意行为。例如:异常登录失败次数过多。

「运维有小邓」分享8个至关重要的Windows安全事件_第1张图片

AD域审计

三 8个Windows安全事件

登录、注销

■登录成功(事件ID:4624)

•检测异常和可能未经授权的内部活动,如从非活动或受限帐户登录、用户在正常工作时间之外登录、用户同时登录很多应用等。

•获取关于用户行为的信息。例如:用户出勤、用户工作时间等。

■登录失败(事件ID:4625)

•检测可能的暴力密码攻击。例如:字典、猜测等,其特征是登录失败的次数突然激增。

•达到设置的帐户锁定阈值策略基准。

账户管理

■成员已添加到启用安全性的全局组(事件ID:4728)

•确保添加安全组成员资格信息,定期核查特权用户的群组成员身份。

■成员已添加到启用安全性的本地组(事件ID:4632)

•检测滥用授权用户行为。

■成员已添加到启用安全性的通用组(事件ID:4756)

•检测意外添加行为。

事件日志

■日志已清除(事件ID:1102,或者也可以禁用事件日志服务,这将导致日志不可被记录。这是由系统审计策略完成的,在这种情况下,事件 4719 会被记录下来。)

•发现具有恶意的用户。例如:那些设法篡改事件日志的用户。

账户管理

■锁定用户账户(事件ID:4740)

•检测可能的暴力密码攻击。例如:字典、猜测等,其特征是登录失败的次数突然激增。

•减轻对合规用户工作的影响。

访问对象

■尝试访问对象(事件ID:4663)

•检测未经授权访问文件和文件夹的行为。

「运维有小邓」分享8个至关重要的Windows安全事件_第2张图片

ADAuditPlus

四 关注活动目录安全

首先,您需要配置您的审核策略,以便Windows可以在安全日志中记录相关事件。接下来,您需要分析收集来的日志,然后将这些日志转化为可视化的视图,如报告和警报。

使用Windows自带工具和 PowerShell 脚本来完成这些工作需要专业知识,并且需要花费大量的时间。为了帮助您高效地完成工作,选择专业的第三方工具将是您的最佳选择。

ADAuditPlus拥有丰富的报表、实时告警大大简化了您对AD、成员服务器和工作站中的登录、注销、组成员身份更改、事件日志清除、帐户锁定等操作的监控,以及对于文件服务器的监控。更多功能请联系我们领取30天免费使用的权益。

你可能感兴趣的:(小邓运维课堂,windows,运维,服务器)