https://www.cnblogs.com/KevinGeorge/p/8563458.html

一、域控windows安全日志基本操作

1、打开powershell或者cmd

1 #gpedit.msc

打开配置:

关于账户安全性的策略配置在账户配置哪里

2、打开控制面板->系统与安全->事件查看器->windows日志->安全:

希望这里配置的时间足够长久,以便于查看日志

选择筛选器,筛选这一条:

来查看这个是很常用的一个,当然审核成功也很有用,那是你知道那个时间确定被入侵的时候用到。

2、场景分析:

2.1、域账号被锁定:

原因:可能是病毒、脚本、锁定账号名下的计划任务或者黑客攻击爆破等行为导致。

追查思路:找到时间ID4740,这个是域账号被锁定的标志,可以找到一些信息,运气好的话能定位到导致此问题的IP或者进程。至少可以确定准确的锁定时间,然后回溯之前的审计失败的认证尝试报文ID4625,找到源IP或者主机名。下一步再去排查相关的IP或者主机名。

#############################################################科普小知识#############################################################

@1、日志格式简介:

一般国内的都是中文版本的windows,所以不存在英文看不懂的问题,需要关注下面几个字段(尤其是标红的):

(1)事件ID,当然这个是过滤条件4625

(2)关键字,审核成功还是失败其实这个很多时候也是过滤条件(对应的英文Success和Failure)

(3)用户:很重要

(4)计算机名和说明

(5)账户名、账户域、登录ID和登录类型(登录类型后面会展开讲下)

(6)登录失败的账户名、域(这些都要比较和锁定的是否一致)

(7)失败原因:0xC0000064用户不存在,0xC000006A 密码用户名不匹配(最常见的两个)

(8)进程信息、网络信息等

@2、登录类型简介:

type 2    交互式登录,本地或者KVM的

type3     网络登录      连接共享文件夹、共享打印机、IIS等。

type4     批处理登录   windows计划任务运行

type5     服务

type7     解锁登录       屏幕保护解锁等解锁类登录

type8     网络明文      基本人生的IIS还有ADVapi

type9     新凭证        带有netonly的runas命令执行的时候

type10    远程交互     RDP  远控  远程协助等等

type11    缓存交互

#############################################################科普小知识#############################################################

2.2 得知自己某个时段被黑,查询这个时段登录的账号

追查思路:找到对应时间的登录审计日志,追查源IP。另外查看这个IP登录账户后都做了啥。

1 Get-History 查询历史

2 Clear-History 清空历史

3 Invoke-History 运行历史记录中的一条命令

4 Add-History 增加命令到历史记录
#windows下netstat查看进程和端口以及连接情况:

netstat -ano | findstr "xxx"
tasklist | findstr "xxx"

2.3 审计隐藏账户

1 攻击者可能使用net user建立隐藏账户

2 net user username$ password /add

3 计算机->管理->系统工具->本地用户和组->用户中可以查到

4 审计日志审计的话也可以发现

查看注册表关于HKEY_LOCAL_MACHINE\SAM\SAM 右键  -> 权限Administrator

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names路径下可以找到相关账户

或者使用mt-chkuser查看

1 强制修改口令

2 net user username password /add

三、SSO加域LDAP认证环境(常见企业环境)下的登录认证失败日志追踪

1、查看认证失败的日志,一种是常规的开机或者注销账号后重新登录windows的情况,这种可以记录下源IP地址,方便追踪。

2、SMB(共享、计划任务、注册服务)、RDP、邮件服务(WEBMAIL、SMTP、Exchange、SMTP[Telnet]等)会记录NTLM认证中的workstation字段。一般在域内的办公机的计算机名字都是固定的或者有规律的好查一些,甚至可以直接ping过去。但是有可能出现bogon这种,几乎无法下手,因为这是没有配置计算机名导致的。WEBMAIL和SMTP工作站会记录成邮服的计算机名,但是Exchange则会记录本配置工作站的计算机名。

3、爆破工具场景下的日志工作站字段:

hydra:-> \\a.b.c.d(src_ip)

xunfeng:->LOCALHOST

其他,或者攻击者自研的可能就没有。

域控场景下windows安全日志的分析--审计认证行为和命令的历史记录的更多相关文章

  1. Windows server 2003域控迁移到2012

    1:  windows server 2003 额外域控升级为 windows server 2003主域控 (因为原域控制器某些服务损坏,于是采用将备用域控升级为主域控的方法) https://we ...

  2. Windows 2008 R2 域控制器迁移至windows 2016记录

    文章参考 https://social.technet.microsoft.com/Forums/zh-CN/21a5f5e9-feee-4454-acad-fd22989d7bed/22495296 ...

  3. C++高并发场景下读多写少的解决方案

    C++高并发场景下读多写少的解决方案 概述 一谈到高并发的解决方案,往往能想到模块水平拆分.数据库读写分离.分库分表,加缓存.加mq等,这些都是从系统架构上解决.单模块作为系统的组成单元,其性能好坏也 ...

  4. C++高并发场景下读多写少的优化方案

    概述 一谈到高并发的优化方案,往往能想到模块水平拆分.数据库读写分离.分库分表,加缓存.加mq等,这些都是从系统架构上解决.单模块作为系统的组成单元,其性能好坏也能很大的影响整体性能,本文从单模块下读 ...

  5. Windows servers 2008 环境下,域控DC和DNS,分离搭建过程。

    近来做有关于window服务器方面运维的实验,正好借此记录下来,便于日后回顾. 通常情况下,域控DC服务器和DNS服务器一般不在一起,所以需要将其分开建立.而这个时候两个服务器的建立有先后顺序,本文会 ...

  6. Windows Server 2012部署第一台域控

    windows server 2012在部署DC方面有了一些改变,不但在操作上有一些改变,而且有了新的DC克隆的功能.本文就先来体验一下如何将一台windows server 2012 RTM服务器提 ...

  7. Windows server 2012 利用ntdsutil工具实现AD角色转移及删除域控方法

    场景1:主域控制器与辅助域控制器运行正常,相互间可以实现AD复制功能.需要把辅助域控制器提升为主域控制器 ,把主域控制器降级为普通成员服务器:这种场景一般应用到原主域控制器进行系统升级(先转移域角色, ...

  8. Windows 2012建立域控(AD DS)详解

    Active Directory概述:          使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩.安全及可管理的基础机构, ...

  9. windows组策略实验-本地组策略和域控组策略

    windows组策略实验-本地组策略和域控组策略 本地组策略只对本地计算机有效,域策略是计算机加入域环境后对加入域的一组计算机.用户定义的策略,便于管理 本地组策略: 一.实验环境 Windows 7 ...

随机推荐

  1. Java判断两个List是否相同

    1.利用Java中为List提供的方法retainAll() /** * 判断两个List内的元素是否相同 * <p> * 此方法有bug 见Food.class * * @param l ...

  2. 《剑指offer(第二版)》面试题55——判断是否为平衡二叉树

    一.题目大意 输入一颗二叉树,判断该二叉树是否为平衡二叉树(AVL树). 二.题解 <剑指offer>上给出了两种解决方式: 1.第一种是从根节点开始,从上往下遍历每个子节点并计算以子节点 ...

  3. vo和pojo

    pojo直接描述数据库中的表和字段,一一对应 vo的话,可以多添加些属性,比如code对应的name,或者标识符等等 查询列表的时候也可以直接用vo,但是修改或添加记录必须是pojo QueryVo ...

  4. springboot(二 如何访问静态资源和使用模板引擎,以及 全局异常捕获)

    在我们开发Web应用的时候,需要引用大量的js.css.图片等静态资源. 默认配置 Spring Boot默认提供静态资源目录位置需置于classpath下,目录名需符合如下规则: /static / ...

  5. 运行java飞行记录器JFR(java flight recorder)

    JFR 上面讲到的工具都是作为快速的查看诊断工具的.如果要深入分析问题,可以选择使用内置的Java飞行记录器:Java Mission Control. 转储JFR需要三步: 1. 创建一个包含了你自 ...

  6. php的语法

    常量:不变的量: php 设置常量的方法:define()方法: define("常量名","常量的值",true) 参数三:大小写是否敏感: php中的常量, ...

  7. IP网络设计

    一.总体规划 网络设计的分层思想 按照网络设计的分层思想,通常将网络分为:核心层.汇聚层和接入层三个部分.这三部分在功能上有明显差别 ,因此在IP设计上,有必要对这三个部分区别对待. 二.核心层 核心 ...

  8. Jmeter(十七)Logic Controllers 之 Interleave Controller

    Interleave Controller----交错控制器,对于交错控制器官方文档解释的很清楚,上例子: 可以看到运行一次 Interleave Controller下的Sampler,运行一次 I ...

  9. [UE4]Visiblity、Render Opacity

    Visiblity 1.Visible 默认是visible,可见,并且可响应事件(如点击事件) 2.Collapsed 不可见.不响应事件.不占用容器空间 3.Hidden 不可见,不响应事件,但占 ...

  10. [UE4]响应鼠标点击