精华内容
下载资源
问答
  • 本文以等保三级(S3A3)要求,Windows Server 2016 Datacenter系统为例进行演示。首发于FreeBuf论坛:https://www.freebuf.com/articles/system/243892.html一、身份鉴别a)应对登录的用户进行身份标识和鉴别,身份标识...
    本文以等保三级(S3A3)要求,Windows Server 2016 Datacenter系统为例进行演示。首发于FreeBuf论坛:https://www.freebuf.com/articles/system/243892.html
    一、身份鉴别

    a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

    该项需检查登录是否需用账号密码,当前密码是否在8位以上并包含字母、数字、特殊字符。

    通过以下配置查看密码复杂度策略和更换周期:

    控制面板->管理工具->本地安全策略->密码策略

    b9b9b953c9592fcfc45839ffe80d303c.png

    b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

    通过以下配置查看登录失败处理功能是否开启:

    控制面板->管理工具->本地安全策略->账户锁定策略

    449b86d6996a7e49db728593f459bcc3.png

    通过以下配置查看是否开启登录超时自动退出功能(若主机通过堡垒机管理,也可在堡垒机上设置):
    设置->个性化->锁屏界面->屏幕保护程序设置

    cdd2b9ba6b7faf6990d0225aac05eaa9.png

    c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;

    若操作系统只在本地管理或通过KVM等硬件方式管理则该项符合。在远程管理时如通过堡垒机采用SSH、HTTPS协议进行远程管理则满足本测评项要求,利用自身远程桌面服务时,则要采取加密的RDP协议,可在以下位置查看是否配置:

    gpedit.msc->计算机配置->管理模板->Windows组件->远程桌面服务->远程桌面会话主机->安全

    4bc04b44d1fe617e1e49d9a86a3e79e5.png

    d) 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。

    Windows操作系统目前仅有“用户名+口令”一种鉴别方式,多借助于堡垒机来实现双因子认证。

    二、访问控制

    a) 应对登录的用户分配账户和权限;

    该项在主机层面基本都满足要求,因为在安装系统时已创建了用户并分配了相应的权限。

    b) 应重命名或删除默认账户,修改默认账户的默认口令;

    通过以下配置查看是否禁用Guest用户,禁用或重命名Administrator用户(Windows不存在默认口令)

    控制面板->管理工具->计算机管理->本地用户和组->用户

    f5a0dbe3e3cbc5859b8ea9c6e96da060.png

    c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在;该项需咨询管理员,是否存在多余账户,是否有多用户共用同一账号的情况。d) 应授予管理用户所需的最小权限,实现管理用户的权限分离;从各账户的属性中查看各自所属组及其对应的权限:

    b73fb84600e9fb0acfdbe9824bb9d81b.png

    e) 应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

    对于Windows主机,授权主体一般就指系统管理员,普通用户的权限也不足以配置访问控制策略,所以该项主要检查访问规则是否生效,比如验证用户是否有可越权访问的情形:

    de83e08090bd3e13e1f202129949ebf9.png

    f) 访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

    检查是否对不同用户进行访问控制:

    控制面板->管理工具->本地安全策略->本地策略->用户权限分配

    348f15029fc94c8d6b4b213fbeff8e81.png

    检查不同的文件是否有不同的访问权限要求,Windows系统默认不同角色账户对文件有不同操作权限,所以该项主要检查应用相关文件权限设置是否合理

    9b11b5f0774eb65aba787c660b972ca4.png

    g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。该项要求对重要信息做出敏感标记以实现强制访问控制,敏感标记的形式可以是颜色标识、数字安全等级等,但Windows自身的访问控制功能并不能满足本项要求,需借助第三方软件实现,在实际测评中基本没遇到符合的情况。三、安全审计a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;查看系统本身的审核策略开启情况(如果使用第三方审计工具则检查工具):
    控制面板->管理工具->本地安全策略->本地策略->审核策略

    28a079fba29d405121153b391597179d.png

    b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

    Windows操作系统审计记录默认满足要求,若使用第三方审计工具,则检查审计工具的记录是否足够详细。

    控制面板->管理工具->事件查看器->Windows日志

    ed2aad8df406b5330b206f13deb5148a.png

    c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;Windows操作系统默认除administrators组之外不能删除修改日志,所以主要检查应用程序、安全、系统日志策略是否合理,关注点如下图所示:

    7312326427dcc44f913c8a5bd2bcf256.png

    访谈管理员是否对日志定期备份,查看备份记录。d) 应对审计进程进行保护,防止未经授权的中断。检查“管理审核和安全日志”策略项是否包含了审计用户无关用户组
    控制面板->管理工具->本地安全策略->本地策略->用户权限分配

    37dc1d6a7950e6d8a59363fb9fbe9979.png

    Windows操作系统具备了在审计进程自我保护方面功能,但“管理审核和安全日志”策略默认不是只有系统审计员或系统审计员所在的用户组。四、入侵防范a) 应遵循最小安装的原则,仅安装需要的组件和应用程序;检查并询问是否安装多余组件:
    运行->dcomcnfg->组件服务->计算机->我的电脑

    3442d17b6307899fa9b7916565a0320f.png

    检查并询问是否安装多余应用程序:

    控制面板->程序->程序和功能

    7fc31074d0279cb35fb4c62d5e38d29e.png

    b) 应关闭不需要的系统服务、默认共享和高危端口;

    检查是否开启多余服务(如Alerter、Remote Registry Service、Messenger、Task Scheduler等):

    运行->services.msc

    0506366b005512fa9859891a6b4f4aed.png

    检查是否开启了默认共享:
    命令提示符->net share

    eb41ef32548c4bdf9c80d379f000c386.png

    检查是否开启高危端口(常见高危端口有135、137、138、139、445、1025等):
    命令提示符->netstat -an

    43fd538288ca460eb73edb56cef3d791.png

    c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;对于该项,目前一般系统会仅限制通过本地登录或堡垒机登录,部分未做限制的主机也可通过远程桌面服务登录;至于接入网络地址范围可通过网络防火墙、堡垒机、主机防火墙来进行限制。下面查看主机防火墙对接入地址限制:
    运行->firewall.cpl->高级设置->入站规则->远程桌面-用户模式(TCP-In)->作用域

    35863935c9c0589a012c470e76ca9342.png

    Windows操作系统也可在IP筛选器里对接入地址进行限制(如图所示,这两项默认都未进行任何配置):

    控制面板->管理工具->本地安全策略->IP安全策略,在 本地计算机

    0c50ee869d2028ee9f3dccf349c7116e.png

    d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;

    主机不涉及人机接口输入或通信接口输入控制,该项不适用。

    e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;

    访谈管理员是否定期对操作系统进行漏洞扫面,检查系统补丁更新情况:

    控制面板->程序->程序和功能->查看已安装更新

    364507b75edf604c95f21fc67e651790.png

    f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

    检查操作系统是否安装入侵检测软件,EDR、卡巴斯基等杀毒软件具备入侵检测和报警功能(通过邮箱、短信等)。查看网络拓补图,在网络层面是否部署有入侵检测系统(IDS浅析)。

    五、恶意代码防范

    应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。

    恶意代码防范需在网络层面和主机层面同时进行,访谈管理员网络防恶意代码产品和主机防恶意代码软件病毒库是否相同(不同厂家病毒库不同),检查防恶意代码软件相关功能是否开启,病毒库是否及时更新,发现病毒入侵是否有邮件、短信报警机制。

    de206d53c68726049575b23d610b96d3.png

    六、可信验证可基于可信根对计算设备的系统引导程序、 系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。该项目前基本没有遇到符合的情况,因为需在硬件层面用到可信根芯片或硬件,如果在访谈时管理员有说确实用到,则检查是否能实现测评项中要求的功能。七、数据备份恢复应提供重要数据处理系统的热冗余,保证系统的高可用性。检查拓补图和资产表,涉及重要数据处理的主机是否有热备机器或集群。八、剩余信息保护a) 应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;查看是否启用“不显示最后的用户名”策略:
    控制面板->管理工具->本地安全策略->本地策略->安全选项->交互式登录:不显示最后的用户名

    066cdffde2ddd3e2b499f3bb2c7f7c7e.png

    b) 应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。查看是否启用“关机:清除虚拟内存页面文件”策略:
    控制面板->管理工具->本地安全策略->本地策略->安全选项->关机:清除虚拟内存页面文件

    0d1ed8b5e3a984e25bb4dd3394c39d11.png


    本文重点演示Windows主机测评中需核查的配置项,但并不是查看一个配置就足以给出一个测评项评判结果,比如在本地安全策略里设置了密码策略,也要检查在账户属性里是否勾选“密码永不过期”。虽然等保整体涉及的技术层面没有那么深入,但要对一个系统安全性做出专业、客观的评价,需要我们对系统的各组成部分有非常充分的了解。

    展开全文
  • 0x00 知识体系0x01 技能要求Windows 系统安全账户密码弱口令风险账户的分组和权限NTFS 文件系统权限的设置Windows 日志的种类和审计方法第三方应用和服务存在的漏洞Windows 权限提升方法windows内核作用:用户管理、...

    0x00 知识体系

    f6e298ef8f4b4a894eb9ef3b9742496e.png

    0x01 技能要求

    Windows 系统安全

    账户密码弱口令风险

    账户的分组和权限

    NTFS 文件系统权限的设置

    Windows 日志的种类和审计方法

    第三方应用和服务存在的漏洞

    Windows 权限提升方法

    windows内核作用:

        用户管理、安全管理、访问控制、进程管理、网络管理

    内核分类:微内核和单内核;微内核-较稳定(windows,只有很少一部分功能,其余的功能如文件系统、用户管理、安全管理、网络管理等通过调用API进行使用);单内核(Linux)把有功能都放在整个内核中

    0x02 账号安全

    用户标识-SID(安全标识符)

        操作系统在登录时输入用户名密码,计算机解析的是SID(安全标识符)

        administrator的SID:500 ->16进制表示为 0x1f4

        guest的SID:501  ->16进制表示为 0x1f5

        普通用户SID从1000开始

    windows内置账号:system、local service、network service,这些账号运行时有不同的功能,可以任务管理器-进程 查看不同进程的用户名

    f2f02d1ba2c6679df0019d6d913e09b2.png

    查看用户SID

        whoami/?     # 查看帮助信息

        whoami/all   # 查看当前用户名、所在用户组、SID、特权

    c01fe575327a74c19c4d979c2bf1c003.png

    查看服务SID

        使用sc命令进行查看

        sc showsid[service_name]   #查看服务的sid

        sc showsidprint      #查看打印服务的sid

    99c1a453eaabdae97c55252268ca5642.png

    用户和用户组管理

        netuser    # 查看本地用户

    b2a382a85462346466b53c24c1d624a3.png

        netlocalgroup # 查看本地用户组

    344896f06f42b22b91b4f314cc33a23a.png

        netlocalgroup  [groupname]  # 查看某个用户组的详细信息

    6b805fea7ebc553c6eaaf22ca4e3675d.png

        netuser  [username] [password] /add   # 添加用户

    a90023e0fc644671242a83aa2eb724b2.png

        netuser  [username] [password]  #添加或更改用户密码

    ed81c265e46793e4bb26e4f1a86977ce.png

        netuser [username] /delete    # 删除用户

    116d9bda1926e189bb29f38591bbe808.png

        netlocalgroup [groupname] /add  # 添加用户组

    d4075323ecaf1e9579d1c497ee236384.png

        netlocalgroup [groupname] delete  # 删除用户组

    ee3792aa7f4c7eaaf069ce94e883e67e.png

        netlocalgroup [groupname] [username] /add

        # 将用户添加至某个用户组

    5740445ace47e8d5dd975e1082d06d9a.png

        用户及设置信息可在注册表中查看:

    regedit 查看位置:

    HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users\Names

    开始时不能查看SAM文件,需要权限后才能操作:

    baa5878e935c0441aa9114a5f5eadeac.png

        此时可以看到本地的用户

    ab44cb14b8e5d3c22d3ce83a90be63bf.png

        类型栏的数字对应Users文件夹的名字,每个文件夹内改用户的属性设置(权限、功能等)

    账号克隆

        如将Administrator的权限克隆给tom用户:

        打开Admin对应的0x1f4文件夹,打开F,复制数值数据,并粘贴到tom对应的03EF文件夹中的F,此时tom具有admin的属性,此时再windows切换用户到tom,可以看到tom用户的桌面与admin的一样

    32e70d83930b6e84ea761ec195c1b050.png

    账号克隆检测:

        D盾后台扫描-webshellkill.exe进行检测是否有账号权限克隆危险行为

    4e865d278b633685ef71ad869e7c4993.png

     windows中的用户名和密码存储在C/windows/system32/config/SAM文件中,正常情况下无法打开,一旦删除,系统将只有默认用户存在

    0x03 文件系统安全

        widows默认共享使用的是SMB协议(默认使用445端口),永恒之蓝ms17-101,利用的就是SMB协议漏洞,通过445端口进行病毒植入

    默认共享

        net share # 查看共享文件(带$符号的为windows默认设置的共享)

    83d193ceef3fd3bf1ee0759ce6692ee1.png

    febd954786728ad5be9ba61999c6a536.png

    使用其他主机可以进行访问:

    77f86129b6a0e6602d5e9e7c24cad79f.png

    在该路径后添加\c$,即可访问整个磁盘

    (windows默认设置了磁盘共享即net share查看到带$的内容)

    a11443e24d1676524b6261f8f4b30a19.png

    临时关闭

        系统重启后将不再生效,默认共享仍存在

        net share [共享名] /del   # 关闭某个共享

    b2d75d67801409c167df9d989db63302.png

    关闭server服务

        services.msc将server设置为禁用,关闭的是445端口,禁用后文件夹属性不再有共享功能栏

    7eebe098541da07787d013e774770fa5.png

    33998aae2b2a5c33b363e3e569816f7a.png

    修改注册表

       在注册表如下位置处

    HKEY_LOCAL_MAINCHE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters

    windows professional版本:新建DWORD,命名为AutoShareWKS,

    值为0;

    windows server版本:新建DWORD,命名为AutoShareServer,值为0;

    377d7d9b74fe1d94ead3637081054dbf.png

    31462bec7d78c09d8a312032f46cd37a.png

        重启系统后windows默认共享将关闭,但IPC$和手动共享的文件夹不会关闭,使用net share 查看如下:

    d2d74bb3de95573c74091907323178df.png

    禁用NetBIOS:(关闭139端口)

        网卡-属性-ipv4-高级-WINS-禁用TCP/IP上的NetBIOS

    ec71926da168481ffa5fba0a1aef4f81.png

    展开全文
  • 一、说明本篇文章主要说一说windows系统中安全审计的控制点的相关内容和理解。二、测评项a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;b)审计记录应包括事件的日期和时间、...

    一、说明

    本篇文章主要说一说windows系统中安全审计的控制点的相关内容和理解。

    二、测评项

    a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

    b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

    c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

    d)应对审计进程进行保护,防止未经授权的中断。

    三、测评项a

    a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

    对于windows而言,在服务器管理器或事件查看器或计算机管理中都可以查看到审计日志的具体内容以及一些策略:

    8a57c25095f69eff03dbc472cbfb8d28.png

    分别可以在运行框中输入CompMgmtLauncher、eventvwr、compmgmt.msc打开。

    按照测评要求里的内容,该测评项存在三个递进的要求:

    1906dff913612b82048f748ff5e82262.png

    首先默认状况下,日志审计功能都是开启的,因为Windows Event Log服务器都是默认开启的,而且一般情况下也关不掉(所以一般情况下开启安全审计功能这个要求是符合的):

    aa1dd905c94b54ce1847d9c63054ff30.png

    de430ff8d761d4c2c1f0253b7b360f27.png

    不过网上说将日志文件夹的权限全部去掉,系统也无法记录日志,一般没人这么干:

    7989a3a47e66341e75ae5711afb5b034.png

    对于第2个要求,也就是是否覆盖到每个用户,在默认状况下是否符合就不好说的。

    至于第3个要求,对重要的用户行为和重要安全事件进行审计,肯定就不符合了,因为默认的审核策略都是未开启:

    7808a62f2f2915ca12302971cfea5fb5.png

    对于审核策略中应该开启哪些策略,初级教程说得挺明白的,我就直接截图了:

    f1a96739d300ae76ce8c3f8b38f809af.png

    121dea92f85f448130d3edb66c6f1555.png

    四、测评项b

    b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

    对于这个测评项,其主旨是审计的内容应至少包含事件的日期、时间,涉及事件的主体、客体,事件的结果以及事件的内容这些信息,以便用于在发生安全事件时进行追溯。

    4.1. 时间信息

    这里第一个要注意的就是日期和时间,如果服务器是联网的,那么可以自己通过网络进行时间同步,时间的准确性不成问题:

    2a115b9008ac31c3079a5dae37128456.png

    但是如果服务器本身不联网,本机上时间的是否准确就不能保证,也就无法保证事件中日期、时间等信息的准确性。

    所以对于局域网内的服务器,可以设置一台ntp服务器,该ntp服务器对外联网,其余服务器的时间与这台服务器的时间进行同步,以该ntp服务器的时间为准。

    具体ntp服务器如何设置,百度上有:https://jingyan.baidu.com/article/b0b63dbf5d84334a483070fa.html

    最后,设置完ntp服务器后,在internet时间设置中将服务器的ip改为ntp服务器的ip即可:

    f062504f89d6921ae0c0a564d882c3bf.png

    4.2. 其余信息

    其余信息的话,windows的审计记录是包括要求字段的,理论上默认就符合该测评项。

    但是我个人理解有些测评项是递进的,对于安全审计控制点而言,如果审计功能没有开启,或者开启了但是没有达到审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计的要求。

    那么这个地方就不应该给符合的结论,顶多只能给部分符合。

    3293ded9538179fcd61e994a30cd6c31.png

    另外插一句嘴,在写测评记录表的时候,要按照实际情况来写,而不是直接复制测评项中的文字。

    比如windows的安全审计的测评项b,要写就写实际的审计记录中包含的字段,如级别、用户、记录时间等。而不是去直接复制测评项中的内容,比如事件的日期和时间、用户、事件类型等。

    五、测评项c

    应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;

    5.1. 日志的内容

    windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其包含内容为:

    53a2821836633a6e3ca67c04f234a551.png

    5.2. 文件权限

    这里首先应该是查看审计记录文件的权限,是否会被未授权用户删除。

    windows中的日志一般我们比较关注应用程序日志、安全日志、系统日志(其中最重要的是安全日志),其存储文件分别是:

    6c9afb079b78a2ac7ec509c07a002fd4.png

    d351bb1b7efefa4701c13cd9114a9105.png

    22ecee88f4db2859eb392891fdbafafa.png

    这三个文件的权限,在windows2008 r2中默认为:

    9213bbd2277c176048ad072c6f750c8d.png

    2c58e62794be23107f867c5bef5f0005.png

    fd8dacb7d6a4a5569627fdcbfbf7c5b4.png

    三个文件的所有者均为:LOCAL SERVICE

    每个文件的权限拥有者eventlog是啥我也不很清楚,应该是Windows里的一个内置安全体。

    也就是从默认情况来看,只有隶属于administrators组的用户才拥有直接对文件进行删除的权限。

    5.3. 事件查看器的权限

    另外,在事件查看器中可以直接清空日志,对于一个隶属于users的普通用户而言,在事件查看器中,安全日志看都看不了,其余的日志可看,但均不可操作:

    2f8d7eaaa970b4ad0cefd5f358929b96.png

    76d6fe351ac272076d48145fe3f01e36.png

    对于任何一个日志,都无权进行清空以及属性设置:

    526b650ba4058de2985b1d8e6f8ee918.png

    3b410a60e2cd4a7e2ce5b33c170b08af.png

    将该普通用户添加到event log reader组后,可以查看安全日志了,但对于所有日志仍然不能操作:

    81bc7687c4470f6773d1bb362dccce46.png

    c9d6bf322a024bd712b682cb2b40a8a0.png

    eaf58b0ac81ea817f31c7386a007b3ca.png

    如果给该普通用户加上管理审核和安全日志的权限,则仅对于安全日志则具备清除日志的权限,其他权限仍然不具备:

    a934cc44382015c845b15949ea2d67a8.png

    2dec0f3476f4a0ef490e91a4b28d81e6.png

    如果给该普通用户加上生成安全审核的权限,则权限方面没啥变化:

    1af30a73c0099cad54d250cf154ffdee.png

    5.4. 避免受到未预期的删除、修改或覆盖

    从文件权限和事件查看器的权限来看,拥有管理审核和安全日志的权限,则可以在事件查看器中清除安全日志。

    而隶属于administrators组的用户,则可以直接删除日志文件,以及在事件查看器中清除任何日志,以及设置日志的存储策略。

    至于administrators组在事件查看器中的权限是在哪设置的,我不知道,哪位知道可以告诉我……

    因为就算在管理审核和安全日志的权限中移除掉administrators组(该权限默认赋予给administrators组的),administrators组的权限仍然没有变化……

    ded427dbb6f163d8ad77baccd6ea1204.png

    对于日志的存储策略,默认都是如下图所设置:

    77bef228b62d921d7fedcbac9e3778c2.png

    一是按需要覆盖事件(旧事件优先)。也就是说,当日志文件达到上限时,会把一些旧的日志文件记录删除掉,以存储新的日志信息

    二是日志满时将其存档,不覆盖事件。这个选项是2003操作系统中没有的,在Windows7操作系统中新增加的选项。如果选择了这个选项,那么到日志文件的大小达到上限时,操作系统不会覆盖原有的日志记录。而是先把旧的日志记录进行存档,然后再利用新的日志信息来覆盖旧的日志信息。

    三是不覆盖事件。当日志文件达到上限值之后,系统不会继续记录新的事件信息。需要系统管理员手工清楚日志文件后,系统才会记录记录日志信息。

    所以,日志大小应该按照被测评单位的实际需求进行设置,太小肯定是不符合的,而存储策略应该选第一项或者第二项,第三项可能会导致系统无法保存最新的记录。

    5.5. 定期备份

    对日志进行定期备份就不用多说了吧?

    无论是自己手动去拷贝,或者将日志推送到日志综合审计平台等第三方系统或者备份一体机等备份工具去备份,都可以。

    六、测评项d

    应对审计进程进行保护,防止未经授权的中断。

    这里实际上在测评项a那一部分说过了,默认就是开启的,Windows Event Log服务无法在一般情况下关闭。

    顶多就是在存储策略下动手脚,比如去除掉日志文件的所有权限,亦或者在事件查看器中对日志的存储策略进行设置,比如将日志最大大小设置为极小等。

    否则,这一项理论上默认满足,但是我觉得测评项的要求是递进的,前面的测评项不符合的话,这个顶多给部分符合吧(个人理解)。

    七、日志综合审计系统

    日志审计系统有两种:

    一种是将各个设备(操作系统、网络设备等)的日志都推送到这个系统当中,一般都是syslog协议。

    如果是这种,那么关于安全审计控制点中的所有测评项,还是要以windows上自己的策略设置为准,因为这个系统做的仅仅是将各个设备的日志抓取过来,如果windows本身没有开启安全审计或者审计策略未设置,那么该系统也没啥用,该没有就是没有。

    另外一种是基于流量解析的审计,通过解析网络流量中的信息,进行事件记录,这种最常见的是各种数据库日志审计系统。但是对于操作系统特别是windows系统存不存在这种,我不知道。

    对于linux系统,你操作的时候主要靠各种命令,那么对这些命令进行审计存在可能。

    对于各类数据库,你也要用各类sql语句来进行交互,对于这些语句进行审计也是可能的。

    但是对于windows系统,基本上都是图形化界面,顶多我输入账户、口令的时候能审计下,其余操作如果全用鼠标点击,这是没办法通过解析来进行审计的。

    不过换一种设备的话,像很多堡垒机都存在录像功能,直接将windows的操作进行录像化保存,这种算不算日志审计,我也不清楚,看具体情况吧。

    *本文原创作者:起于凡而非于凡,本文属于FreeBuf原创奖励计划,未经许可禁止转载

    d23c091de2dbe66cfb324f394654b88e.gif

    精彩推荐

    5fec74fb5bbc572aed87328f7e80a6db.png

    e6e575dbe1bd6731f1346a3e8f9789e4.png4ff1b2d61eedb9817165c287a401162d.png

    ea22617d60dd2e27584ccd5482a3f0be.png

    e9eed5ae7c6fc6f66e3f705a909a1553.gif

    展开全文
  • 如果查看基本的网络拓扑,将有许多类型的设备,包括路由器、交换机、防火墙、服务器和工作站。每一个帮助你连接到世界其他地方的设备,都将根据其操作系统、配置和软件生成日志。检查日志是查找并解答系统或应用程序...

    分析审计日志是安全的重要组成部分,对于系统安全、流程以及合规至关重要。日志分析过程的一部分工作是协调来自不同源和相关设备的日志,这些设备可能位于不同的时区。如果查看基本的网络拓扑,将有许多类型的设备,包括路由器、交换机、防火墙、服务器和工作站。每一个帮助你连接到世界其他地方的设备,都将根据其操作系统、配置和软件生成日志。检查日志是查找并解答系统或应用程序上出现的问题最优先方法之一。

    一. Windows 事件查看器

    Windows 事件查看器(Windows Event Viewer) 是用来学习分析问题的首选工具之一。创建审核日志的过程通常需要在特权模式下运行,以便用户无法停止或更改它。要通过GUI查看Windows 资产上的日志,必须打开事件查看器。

    1. 按下 " Win + R " 组合键 ,输入 "cmd"2. 继续输入 auditpol /get /category:* >>log.txt (查看日志审核策略,找到log.txt,双击打开查看)3. 打开Windows事件查看器,在命令行:输入 "eventvwr".

    287e9bcd531c880387837d2209fd475e.png

    4. 事件查看器的界面上有三个窗格。① 左侧是日志文件的层次结构;② 右侧是可以执行的操作;③ 对于日志的详细视图,可以使用中间的大窗格。5. Windows 的事件分为三个不同的类别:① 应用程序日志:记录与Windows组件(如驱动程序)相关的事件。② 系统日志:记录有关已安装程序的事件。③ 安全日志:记录与安全相关的事件,如登录尝试和访问的资源。注意:按下 " Win + E " 组合键打开文件管理器:输入 %SystemRoot%\System32\winevt\Logs\后缀为 evtx 的都是日志,可双击打开,还有一些其它位置的日志就不写了。

    二. Windows PowerShell

    接口程序(ShellGUI)—— 用户态条件下的最深层次的程序。它使用命令行接口( CLI ),而不是移动和单击鼠标。只所以称为shell,是因为它是操作系统内核外部的层。Windows PowerShell 是专为管理员设计的特有 Windows 命令行shell 。

    1. 按下 " Win + R " 组合键 ,输入 powershell ,然后按 Enter 键。2. 要获取本地计算机上的事件日志列表,请输入以下命令:Get-EventLog -List (不区分大小写)或者Get-WinEvent -ListLog * (列出所有事件日志)

    cef787218a26ea4256615179b289d101.png

    3. 要在本地计算机上获取系统日志,请输入以下命令:Get-EventLog -LogName System ( Ctrl+c 停止输出;清屏用 CLS,不区分大小写)4. Get-EventLog 命令会生成大量信息。要缩小显示范围,例如仅显示系统日志中最后20条,请输入以下命令:Get-EventLog -LogName System -Newest 20

    00bad95880387acc0da95067faa73ec4.png

    5. 攻击者使用 RDP 远程登录受害者计算机,源主机和目的主机都会生成相应事件.重要的事件 ID(安全日志,Security.evtx)  4624:账户成功登录  Get-WinEvent -FilterHashtable @{LogName='Security';ID='4624'}    4648:使用明文凭证尝试登录    4778:重新连接到一台 Windows 主向的会话       4779:断开到一台 Windows 主向的会话    powershell管理员权限下获取安全事件日志Get-WinEvent -FilterHashtable @{LogName='Security'}  6. 显示 最新的 一条 应用和系统日志Get-WinEvent @{logname='application','system'} -MaxEvents 17. 查询今天的应用和系统日志,显示前2条Get-WinEvent @{logname='application','system';starttime=[datetime]::today } -MaxEvents 28. 显示日志列表,并计数Get-WinEvent -ListLog * | Select LogName,RecordCount10. 筛选日志信息中包含【vmware】的日志Get-EventLog -LogName System | Where {$_.Message -like "*vmware*"}11. 在【Windows PowerShell】类别中查询EventID小于500的日志信息Get-EventLog -LogName "Windows PowerShell" | Where {$_.EventID -lt 500}使用Format-List可以查看详细信息:Get-EventLog -LogName "Windows PowerShell" | Where {$_.EventID -lt 500} | Format-List12. 查询自昨天这个时候到今天这个时候的日志,并按照EventID排序、分组:Get-EventLog -LogName "Windows PowerShell" | Where {$_.TimeWritten -gt ((Get-Date).AddDays(-1))} |Sort EventID | Group EventID13. 查询指定时间内的事件$StartTime=Get-Date  -Year  2020  -Month  11  -Day  1  -Hour  15  -Minute  30$EndTime=Get-Date  -Year  2020  -Month  11  -Day  15  -Hour  20  -Minute  00Get-WinEvent -FilterHashtable @{LogName='System';StartTime=$StartTime;EndTime=$EndTime}使用帮助,请输入如下命令:get-help Get-WinEvent

    默认情况下,Windows 会启用大多数日志记录功能。但你可能需要定义所需的日志记录级别。攻击者入侵系统后,很可能会删除日志,比较粗暴的手法是直接删除所有日志和停止日志服务,对于应急来说删除掉的日志本身就是就是入侵的明显特征,根据文件创建时间也能大概判断入侵时间。对抗删除的的措施是实施日志集中化

    展开全文
  • 事件查看

    2013-01-25 11:13:53
    求助编辑百科名片 操作页面 ...微软在以Windows NT为内核的操作系统中都集成有事件查看器,它是 Microsoft ...在日常操作计算机的时候遇到系统错误,利用事件查看器,再加上适当的网络资源,可以很好地解决...
  • 启动MSSQLSERVER服务时报错:本地计算机上的MSSQLSERVER服务启动...请查看 SQL Server 错误日志和 Windows 事件日志,获取有关可能发生的相关问题的信息。由于网络库中存在内部错误,所以无法启动网络库。要确定原因...
  • Window 7以及以上系统的ETW日志自带了一个注册表日志信息的输出,在windows事件查看器的Microsoft Windows Kernel Registry / Analytic可以看到并且开启或者关闭注册表日志,它的监控操作包括CreateKey_Opt、OpenKey...
  • 就可以通过终端上的事件查看器,可以掌握终端上发生的很多操作行为, 对于定位问题和分析问题原因很有帮助。 可是这有一个问题,终端数目很多,而且都在用户的使用中,并不方便 到具体终端上检查问题,这样就...
  • (3)启用windows防火墙,针对域网络,工作网络,公用网络,启用“文件和打印机共享”功能 (4)创建包含设备管理器和事件查看器的微软管理控制台 (5)启用自动更新功能 ...
  • 前段时间想体验Google Plus的视频群聊功能,发现每次安装Google语音插件都不成功,(yukon12345:我是CSDN装chrome拿下载积分时...“Google 更新安装失败,错误代码为:0xa043071f”,首先可以确定并不是网络问题因为使
  • 7.3.14 网络事件消息处理函数 172 7.4 调用WSAAsyncSelect()函数注意问题 173 7.4.1 接收不到网络事件 173 7.4.2 关于accept()函数 173 7.4.3 关于FD_READ网络事件 174 7.4.4 如何判断套接字已经关闭 ...
  • Windows 事件ID及解释大全(3)

    千次阅读 2010-06-23 10:58:35
    1256 远程系统不可用。有关网络疑难解答,请见 Windows 帮助。  1257 提供的安全标识符不是来自一个帐户域。  1258 提供的安全标识符没有域组件。...要获取更多信息,请打开事件查看器或与系统管理员联系。 ...
  • Windows Sockets网络编程》是WindowsSockets网络编程领域公认的经典著作,由Windows Sockets2.0规范解释小组负责人亲自执笔,权威性毋庸置疑。它结合大量示例,对WindowsSockets规范进行了深刻地解读,系统讲解了...
  • Zabbix 监控Windows操作系统暴力破解事件,并实现告警 背景描述: 一小公司自托管十来台硬件服务器(16G内存、32G内存等弱配置的服务器),服务器通过交换机联通网络,除此之外没有任何安全设备!没有防火墙、没有...
  • WINDOWS网络技术测试题(3) -参考答案 1在windows Server 2008中要创建隐藏共享文件夹只需要在共享名后加 b 符号 A) % B) $ C) & D) * 2在windows server 2008 ...A事件查看器 B可靠性和性能监视器 C)任务管理器 D) 网络
  • 第一章 Windows 网络操作系统的安装与配置 实训题 1在这台计算机上使用 U 盘安装 Windows Server 2008 R2 Enterprise( ... 2 设置 TCP/IP 参数 3 启动 Windows 防火墙 4 创建一个包含设备管理器和事件查看器的微软管
  • 第一章 Windows网络操作系统的安装与配置 实训题 1在这台计算机上使用U盘安装Windows Server ... 2设置TCP/IP参数 3启动Windows 防火墙 4创建一个包含设备管理器和事件查看器的微软管理控制台 步骤1. 步骤2. 步骤3. 步
  • 7.3.14 网络事件消息处理函数 172 7.4 调用WSAAsyncSelect()函数注意问题 173 7.4.1 接收不到网络事件 173 7.4.2 关于accept()函数 173 7.4.3 关于FD_READ网络事件 174 7.4.4 如何判断套接字已经关闭 ...
  • BeaKer-Beaconing Kibana可执行报告 通过带给您。...Microsoft Sysmon:将网络连接记录到Windows事件日志中 WinLogBeats:将网络连接日志发送到Elasticsearch Elasticsearch:存储,索引和聚合网络连接日志
  • 近期接到客户反馈,其网络中有部分 Windows 系统终端机器异常,CPU经常飙到100%,电脑使用卡顿。 二、事件分析 查看性能,发现CPU都是100% 检查受害终端,发现进程 Update64.exe 占用CPU极高 该进程位于c:\...
  • CalenStyle是适用于Web,移动站点,Android,iOS和Windows Phone的响应式jQuery拖放事件日历库。 在哪里可以使用CalenStyle? 您可以在自己的计算机中使用CalenStyle 网络应用 网页上的小查看部分 手机网站 使用...
  • Windows Sockets网络编程》是WindowsSockets网络编程领域公认的经典著作,由Windows Sockets2.0规范解释小组负责人亲自执笔,权威性毋庸置疑。它结合大量示例,对WindowsSockets规范进行了深刻地解读,系统讲解了...
  • 利用Windows内置的事件查看器,加上适当的网络资源,就可以很好地解决大部分的系统问题。 无论是普通计算机用户,还是专业计算机系统管理员,在操作计算机的时候都会遇到某些系统错误。很多朋友经常为无法找到出错...
  • 配置思科的日志系统 企业级日志系统是记录整个企业级网络设备(包括服务器、路由器、交换机、防火墙、入侵检测、入侵防御等)所产生的行为的,对发现和修复网络故障、安全违例事件的追查、网络犯罪证取、性能监视等...
  • 但重启后网络连接不上,提示“依赖服务或组无法启动”, 手动“Network Location Awareness”提示“windows不能在本地计算机,启动 Network Location Awareness有关更多信息,查阅系统事件日志”,查看Windows系统...
  • Windows系统应急响应

    2019-10-02 17:21:56
    系统入侵事件,如利用 Windows 的漏洞攻击入侵系统、利用RDP服务弱口令入侵,跟 Web 入侵有所区别,Web 入侵需要对 Web 日志进行分析,系统入侵只能查看 Windows事件日志。 网络攻击事件(DDoS、ARP、DNS 劫持....
  • windows安全基础

    2021-03-04 09:49:15
    文章目录一、windows系统安全(一)、windows系统安全基础1.常用命令2....本地安全策略4....查看网络配置 ipconfig /all 查看用户 net user 查看开放端口 netstat -ano 打开注册表 regedit 打开事件查看器 eventvw

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 530
精华内容 212
关键字:

windows查看网络事件