https://www.cnblogs.com/KevinGeorge/p/8563458.html

一、域控windows安全日志基本操作

1、打开powershell或者cmd

1 #gpedit.msc

打开配置:

关于账户安全性的策略配置在账户配置哪里

2、打开控制面板->系统与安全->事件查看器->windows日志->安全:

希望这里配置的时间足够长久,以便于查看日志

选择筛选器,筛选这一条:

来查看这个是很常用的一个,当然审核成功也很有用,那是你知道那个时间确定被入侵的时候用到。

2、场景分析:

2.1、域账号被锁定:

原因:可能是病毒、脚本、锁定账号名下的计划任务或者黑客攻击爆破等行为导致。

追查思路:找到时间ID4740,这个是域账号被锁定的标志,可以找到一些信息,运气好的话能定位到导致此问题的IP或者进程。至少可以确定准确的锁定时间,然后回溯之前的审计失败的认证尝试报文ID4625,找到源IP或者主机名。下一步再去排查相关的IP或者主机名。

#############################################################科普小知识#############################################################

@1、日志格式简介:

一般国内的都是中文版本的windows,所以不存在英文看不懂的问题,需要关注下面几个字段(尤其是标红的):

(1)事件ID,当然这个是过滤条件4625

(2)关键字,审核成功还是失败其实这个很多时候也是过滤条件(对应的英文Success和Failure)

(3)用户:很重要

(4)计算机名和说明

(5)账户名、账户域、登录ID和登录类型(登录类型后面会展开讲下)

(6)登录失败的账户名、域(这些都要比较和锁定的是否一致)

(7)失败原因:0xC0000064用户不存在,0xC000006A 密码用户名不匹配(最常见的两个)

(8)进程信息、网络信息等

@2、登录类型简介:

type 2    交互式登录,本地或者KVM的

type3     网络登录      连接共享文件夹、共享打印机、IIS等。

type4     批处理登录   windows计划任务运行

type5     服务

type7     解锁登录       屏幕保护解锁等解锁类登录

type8     网络明文      基本人生的IIS还有ADVapi

type9     新凭证        带有netonly的runas命令执行的时候

type10    远程交互     RDP  远控  远程协助等等

type11    缓存交互

#############################################################科普小知识#############################################################

2.2 得知自己某个时段被黑,查询这个时段登录的账号

追查思路:找到对应时间的登录审计日志,追查源IP。另外查看这个IP登录账户后都做了啥。

1 Get-History 查询历史

2 Clear-History 清空历史

3 Invoke-History 运行历史记录中的一条命令

4 Add-History 增加命令到历史记录
#windows下netstat查看进程和端口以及连接情况:

netstat -ano | findstr "xxx"
tasklist | findstr "xxx"

2.3 审计隐藏账户

1 攻击者可能使用net user建立隐藏账户

2 net user username$ password /add

3 计算机->管理->系统工具->本地用户和组->用户中可以查到

4 审计日志审计的话也可以发现

查看注册表关于HKEY_LOCAL_MACHINE\SAM\SAM 右键  -> 权限Administrator

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names路径下可以找到相关账户

或者使用mt-chkuser查看

1 强制修改口令

2 net user username password /add

三、SSO加域LDAP认证环境(常见企业环境)下的登录认证失败日志追踪

1、查看认证失败的日志,一种是常规的开机或者注销账号后重新登录windows的情况,这种可以记录下源IP地址,方便追踪。

2、SMB(共享、计划任务、注册服务)、RDP、邮件服务(WEBMAIL、SMTP、Exchange、SMTP[Telnet]等)会记录NTLM认证中的workstation字段。一般在域内的办公机的计算机名字都是固定的或者有规律的好查一些,甚至可以直接ping过去。但是有可能出现bogon这种,几乎无法下手,因为这是没有配置计算机名导致的。WEBMAIL和SMTP工作站会记录成邮服的计算机名,但是Exchange则会记录本配置工作站的计算机名。

3、爆破工具场景下的日志工作站字段:

hydra:-> \\a.b.c.d(src_ip)

xunfeng:->LOCALHOST

其他,或者攻击者自研的可能就没有。

域控场景下windows安全日志的分析--审计认证行为和命令的历史记录的更多相关文章

  1. Windows server 2003域控迁移到2012

    1:  windows server 2003 额外域控升级为 windows server 2003主域控 (因为原域控制器某些服务损坏,于是采用将备用域控升级为主域控的方法) https://we ...

  2. Windows 2008 R2 域控制器迁移至windows 2016记录

    文章参考 https://social.technet.microsoft.com/Forums/zh-CN/21a5f5e9-feee-4454-acad-fd22989d7bed/22495296 ...

  3. C++高并发场景下读多写少的解决方案

    C++高并发场景下读多写少的解决方案 概述 一谈到高并发的解决方案,往往能想到模块水平拆分.数据库读写分离.分库分表,加缓存.加mq等,这些都是从系统架构上解决.单模块作为系统的组成单元,其性能好坏也 ...

  4. C++高并发场景下读多写少的优化方案

    概述 一谈到高并发的优化方案,往往能想到模块水平拆分.数据库读写分离.分库分表,加缓存.加mq等,这些都是从系统架构上解决.单模块作为系统的组成单元,其性能好坏也能很大的影响整体性能,本文从单模块下读 ...

  5. Windows servers 2008 环境下,域控DC和DNS,分离搭建过程。

    近来做有关于window服务器方面运维的实验,正好借此记录下来,便于日后回顾. 通常情况下,域控DC服务器和DNS服务器一般不在一起,所以需要将其分开建立.而这个时候两个服务器的建立有先后顺序,本文会 ...

  6. Windows Server 2012部署第一台域控

    windows server 2012在部署DC方面有了一些改变,不但在操作上有一些改变,而且有了新的DC克隆的功能.本文就先来体验一下如何将一台windows server 2012 RTM服务器提 ...

  7. Windows server 2012 利用ntdsutil工具实现AD角色转移及删除域控方法

    场景1:主域控制器与辅助域控制器运行正常,相互间可以实现AD复制功能.需要把辅助域控制器提升为主域控制器 ,把主域控制器降级为普通成员服务器:这种场景一般应用到原主域控制器进行系统升级(先转移域角色, ...

  8. Windows 2012建立域控(AD DS)详解

    Active Directory概述:          使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩.安全及可管理的基础机构, ...

  9. windows组策略实验-本地组策略和域控组策略

    windows组策略实验-本地组策略和域控组策略 本地组策略只对本地计算机有效,域策略是计算机加入域环境后对加入域的一组计算机.用户定义的策略,便于管理 本地组策略: 一.实验环境 Windows 7 ...

随机推荐

  1. Git常见使用方法

    图参考:http://www.ruanyifeng.com/blog/2014/06/git_remote.html 1.GitLab配置 git config --global user.name ...

  2. SpringCloud之服务注册与发现Eureka(一)

    Eureka是Spring Cloud Netflix微服务套件中的一部分,可以与Springboot构建的微服务很容易的整合起来.Eureka包含了服务器端和客户端组件.服务器端,也被称作是服务注册 ...

  3. [蓝桥杯]ALGO-97.算法训练_排序

    题目描述: 问题描述 编写一个程序,输入3个整数,然后程序将对这三个整数按照从大到小进行排列. 输入格式:输入只有一行,即三个整数,中间用空格隔开. 输出格式:输出只有一行,即排序后的结果. 输入输出 ...

  4. 基于单片机的Wifi温度湿度测量仪

    这次的制作背景是由于单片机课程实训课程要求 刚好手上有块ESP8266-12F的WiFi模块 于是就选择了制作一个基于单片机,使用WiFi传输数据的温湿度采集测量仪 制作过程: 由于有使用过WiFi模 ...

  5. 解除IE锁定主页批处理

    解除IE锁定主页.bat rem 解除IE锁定主页@echo offecho HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main [ ...

  6. STL基础--仿函数(函数对象)

    1 首先看个仿函数的例子 class X { public: void operator()(string str) { // 函数调用运算符,返回类型在operator之前 cout << ...

  7. Ubuntu 14.10 下Hadoop FTP文件上传配置

    最近老板提出一个需求,要用Hadoop机群管理生物数据,并且生物数据很多动辄几十G,几百G,所以需要将这些数据传到HDFS中,在此之前搭建了HUE用来图形化截面管理HDFS数据,但是有个问题,上面使用 ...

  8. defaultProps和propTypes

    在上一篇文章中总结了父子组件的数据传递,下面先来简单的回顾一下之前的内容: 此时,子组件中div里面的数据依赖于父组件传递过来的数据,那么当父组件没有给子组件传递数据时,子组件div里面就没有了数据了 ...

  9. Zookeeper的集群安装

    Zookeeper的集群安装 关闭防火墙 安装jdk 下载Zookeeper的安装包 解压Zookeeper的安装包 进入Zookeeper的安装目录中conf目录 将zoo_sample.cfg复制 ...

  10. 服务容错保护断路器Hystrix之七:做到自动降级

    从<高可用服务设计之二:Rate limiting 限流与降级>中的“自动降级”中,我们这边将系统遇到“危险”时采取的整套应急方案和措施统一称为降级或服务降级.想要帮助服务做到自动降级,需 ...