文档介绍:从这篇文章开始本人开始结合Windows产品日志分析大神(RANDY FRANKLIN SMITH) 的电子书,以及自己的实验对Windows操作系统的日志开始分析。也是对自己的一种激励, 至少希望自己能坚持下去这个分析。并且希望自己可以通过这个过程对于安全事件管理有更 多的认识和理解,好了,废话不多说了,回归正题。
Windows日志从Windows2000版本后共包括9种审计策略,Windows NT只有7种(此次 没验证,懒得装NT虚拟机了)。共分为:帐户登录、登录、对象访问、目录服务访问、进 程追踪、特权使用、帐户管理、策略变更、系统事件9大类。
其中帐户登录其实是对登录用户的认证事件,据大神Randy自己说,称其为“认证事件"更为 合适。登录事件记录的是用户登录到哪台PC的事件。对象访问记录的是用户对Windows 对象的访问事件,这里对象包括注册表、服务、打印机、文件/文件夹等。目录服务访问就 是对AD中所有对象的访问事件。进程追踪则为主机执行的程序事件,不管是由用户自己执 行还是系统自动执行的。特权使用指用户使用分配的特权的事件,这里特权指在本地安全策 略中分配给用户的权限。帐户管理则包含了本地帐户、用户组、DC中域用户、域用户组等 对象的管理、密码设置等事件。策略变更指本地安全策略或DC上信任关系变化的事件。系 统事件则涉及到一些安全事件的杂项,如系统的启动和关闭、系统事件修改等等。
9类审计策略大概的介绍就到这里,在随后的文章中会分别具体地说明,自己也尽可能在
Windows2003操作系统进行验证。
在正式对每类事件进行分析前,先大概对windows的日志格式进行…个简单的介绍。
每个windows日志都由两部分组成:头字段和描述字段。
义字段是相对内容和格式都固定的部分,包括的信息有:事件的id、日期和时间、事件的结 果(成功还是失败)、事件的来源和类别。由于安全日志所有的来源都记为“source”,因此 意义不大。而类别就是(一)中提到的9种类别。这里的用户字段用处也不是很大,因为很 多事件简单地记为“STSTEM”为用户,所以真正要看是什么用户触发了该条日志还是要看描 述字段里面是否有相应的实际用户(这些在随后的日志分析中会涉及到)。
因此很多时候我们需要详细分析描述字段中的信息,这部分出现的信息也会随具体的事件而 不同,但是其形式都是为一系列组合信息,每个组合信息是一个内容固定的描述信息(类似 占位符的作用),以及后面的动态信息。举个例子来说:ID680事件的描述字段包括:“Logon account: Administrator"。这里“Logon account:"是固定的前置字段占位符,而后面的 “Administrator”则是真实的实例名称,会根据实际的情况而变化。
我们可以打开本地的一条日志,点击描写字段部分的蓝色链接,联网的情况下可以查看到微 软的支持中心中对该条日志的详细说明,其中的Message字段通常为以下的内容,很容易看 到ID为567的这条日志的描述字段包括7个字段信息,说明其中有7个变量存在,其内容 由实际情况生成。
Object Access Attempt:
Object Server: %1
Handle ID: %2
Object Type: %3
Process ID: %4
Image File Name: %5
Accesses: %6
Access Mask: %7
因此从上面可以看到很多关键的信息其实都隐藏在描述字段信息中,需要进行仔细地分析!
最后再简单地说下windows自身存储策略的设置:根据Randy大神的经验,最大不要超过 199M, 200M的话可能会对windows的性能和稳定性有一定影响(这点不好进行实验验证)。
此外不论配置最大空间为多少,迟早会有满的时候。所以Randy建议选择“不改写事件(手 动地清除)”选项,此时一旦日志大小达到上限,windows会停止记录事件。当选择“改写久 于X天的事件“时,如果事件的产生速度很快,在未过期前就达到了上限,windows同样是 停止记录日志直到某些日志过期。以下是网上对于这些保存设置的说明和建议,所以如何设 置也是在安全性、易维护性等方面权衡了。
按需要改写事件
当日志已满时继续写入新的事件。每个新事件替换日志中时间最旧& 该选项对维护要求低的系统是一个不错的选择。
改写久于[x]天的事件
保留位于指定改写事件的天数之前的日志。默认值为7天。如果您 存档日志文件,该选项是最佳选择。该策略将丢失重要日志项的几昌 最小,同时保持日志的合理大小。
不改写事件
手动而不是自动清除日志o只有在您无法承受丢失事件时才选中该送 如,特别强调安全性的站