https://www.cnblogs.com/KevinGeorge/p/8563458.html

一、域控windows安全日志基本操作

1、打开powershell或者cmd

1 #gpedit.msc

打开配置:

关于账户安全性的策略配置在账户配置哪里

2、打开控制面板->系统与安全->事件查看器->windows日志->安全:

希望这里配置的时间足够长久,以便于查看日志

选择筛选器,筛选这一条:

来查看这个是很常用的一个,当然审核成功也很有用,那是你知道那个时间确定被入侵的时候用到。

2、场景分析:

2.1、域账号被锁定:

原因:可能是病毒、脚本、锁定账号名下的计划任务或者黑客攻击爆破等行为导致。

追查思路:找到时间ID4740,这个是域账号被锁定的标志,可以找到一些信息,运气好的话能定位到导致此问题的IP或者进程。至少可以确定准确的锁定时间,然后回溯之前的审计失败的认证尝试报文ID4625,找到源IP或者主机名。下一步再去排查相关的IP或者主机名。

#############################################################科普小知识#############################################################

@1、日志格式简介:

一般国内的都是中文版本的windows,所以不存在英文看不懂的问题,需要关注下面几个字段(尤其是标红的):

(1)事件ID,当然这个是过滤条件4625

(2)关键字,审核成功还是失败其实这个很多时候也是过滤条件(对应的英文Success和Failure)

(3)用户:很重要

(4)计算机名和说明

(5)账户名、账户域、登录ID和登录类型(登录类型后面会展开讲下)

(6)登录失败的账户名、域(这些都要比较和锁定的是否一致)

(7)失败原因:0xC0000064用户不存在,0xC000006A 密码用户名不匹配(最常见的两个)

(8)进程信息、网络信息等

@2、登录类型简介:

type 2    交互式登录,本地或者KVM的

type3     网络登录      连接共享文件夹、共享打印机、IIS等。

type4     批处理登录   windows计划任务运行

type5     服务

type7     解锁登录       屏幕保护解锁等解锁类登录

type8     网络明文      基本人生的IIS还有ADVapi

type9     新凭证        带有netonly的runas命令执行的时候

type10    远程交互     RDP  远控  远程协助等等

type11    缓存交互

#############################################################科普小知识#############################################################

2.2 得知自己某个时段被黑,查询这个时段登录的账号

追查思路:找到对应时间的登录审计日志,追查源IP。另外查看这个IP登录账户后都做了啥。

1 Get-History 查询历史

2 Clear-History 清空历史

3 Invoke-History 运行历史记录中的一条命令

4 Add-History 增加命令到历史记录
#windows下netstat查看进程和端口以及连接情况:

netstat -ano | findstr "xxx"
tasklist | findstr "xxx"

2.3 审计隐藏账户

1 攻击者可能使用net user建立隐藏账户

2 net user username$ password /add

3 计算机->管理->系统工具->本地用户和组->用户中可以查到

4 审计日志审计的话也可以发现

查看注册表关于HKEY_LOCAL_MACHINE\SAM\SAM 右键  -> 权限Administrator

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names路径下可以找到相关账户

或者使用mt-chkuser查看

1 强制修改口令

2 net user username password /add

三、SSO加域LDAP认证环境(常见企业环境)下的登录认证失败日志追踪

1、查看认证失败的日志,一种是常规的开机或者注销账号后重新登录windows的情况,这种可以记录下源IP地址,方便追踪。

2、SMB(共享、计划任务、注册服务)、RDP、邮件服务(WEBMAIL、SMTP、Exchange、SMTP[Telnet]等)会记录NTLM认证中的workstation字段。一般在域内的办公机的计算机名字都是固定的或者有规律的好查一些,甚至可以直接ping过去。但是有可能出现bogon这种,几乎无法下手,因为这是没有配置计算机名导致的。WEBMAIL和SMTP工作站会记录成邮服的计算机名,但是Exchange则会记录本配置工作站的计算机名。

3、爆破工具场景下的日志工作站字段:

hydra:-> \\a.b.c.d(src_ip)

xunfeng:->LOCALHOST

其他,或者攻击者自研的可能就没有。

域控场景下windows安全日志的分析--审计认证行为和命令的历史记录的更多相关文章

  1. Windows server 2003域控迁移到2012

    1:  windows server 2003 额外域控升级为 windows server 2003主域控 (因为原域控制器某些服务损坏,于是采用将备用域控升级为主域控的方法) https://we ...

  2. Windows 2008 R2 域控制器迁移至windows 2016记录

    文章参考 https://social.technet.microsoft.com/Forums/zh-CN/21a5f5e9-feee-4454-acad-fd22989d7bed/22495296 ...

  3. C++高并发场景下读多写少的解决方案

    C++高并发场景下读多写少的解决方案 概述 一谈到高并发的解决方案,往往能想到模块水平拆分.数据库读写分离.分库分表,加缓存.加mq等,这些都是从系统架构上解决.单模块作为系统的组成单元,其性能好坏也 ...

  4. C++高并发场景下读多写少的优化方案

    概述 一谈到高并发的优化方案,往往能想到模块水平拆分.数据库读写分离.分库分表,加缓存.加mq等,这些都是从系统架构上解决.单模块作为系统的组成单元,其性能好坏也能很大的影响整体性能,本文从单模块下读 ...

  5. Windows servers 2008 环境下,域控DC和DNS,分离搭建过程。

    近来做有关于window服务器方面运维的实验,正好借此记录下来,便于日后回顾. 通常情况下,域控DC服务器和DNS服务器一般不在一起,所以需要将其分开建立.而这个时候两个服务器的建立有先后顺序,本文会 ...

  6. Windows Server 2012部署第一台域控

    windows server 2012在部署DC方面有了一些改变,不但在操作上有一些改变,而且有了新的DC克隆的功能.本文就先来体验一下如何将一台windows server 2012 RTM服务器提 ...

  7. Windows server 2012 利用ntdsutil工具实现AD角色转移及删除域控方法

    场景1:主域控制器与辅助域控制器运行正常,相互间可以实现AD复制功能.需要把辅助域控制器提升为主域控制器 ,把主域控制器降级为普通成员服务器:这种场景一般应用到原主域控制器进行系统升级(先转移域角色, ...

  8. Windows 2012建立域控(AD DS)详解

    Active Directory概述:          使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩.安全及可管理的基础机构, ...

  9. windows组策略实验-本地组策略和域控组策略

    windows组策略实验-本地组策略和域控组策略 本地组策略只对本地计算机有效,域策略是计算机加入域环境后对加入域的一组计算机.用户定义的策略,便于管理 本地组策略: 一.实验环境 Windows 7 ...

随机推荐

  1. php大量数据 10M数据从查询到下载 【内存溢出,查询过慢】解决方案

    功能描述:做数据导出 功能分析:1.采用csv的格式,因为csv的格式比excel小 2. 3W条数据,100个字段需要全部导出 开始 直接查询 //此处使用的laravel框架,具体含义一看就懂 t ...

  2. 黄聪:C# webBrowser控件禁用alert,confirm之类的弹窗解决方案

    同样的代码,我尝试了很多次都没有成功.最后终于成功了,是因为我没有在正确的事件里面调用这段代码. private void InjectAlertBlocker() { HtmlElement hea ...

  3. ALGO-115_蓝桥杯_算法训练_和为T(枚举)

    问题描述 从一个大小为n的整数集中选取一些元素,使得它们的和等于给定的值T.每个元素限选一次,不能一个都不选. 输入格式 第一行一个正整数n,表示整数集内元素的个数. 第二行n个整数,用空格隔开. 第 ...

  4. [C#][Quartz]帮助类

    本文来自:http://www.cnblogs.com/pengze0902/p/6128558.html /// <summary> /// 任务处理帮助类 /// </summa ...

  5. [转][MVC]更新 dll 后版本不匹配的问题

    <dependentAssembly> <assemblyIdentity name="Newtonsoft.Json" publicKeyToken=" ...

  6. centos 7扩展磁盘分区容量

    一.fdisk -l 查看磁盘空间大小 二. 1.fdisk /dev/sda 增加分区 2.判断应增加的分区号 键入n,增加一个分区 3.键入p,主分区,并键入(编号) 4.起始扇区和结束扇区(默认 ...

  7. 自定义锁屏图片 win7

    win + R打开运行对话框 输入Regedit 点确定 进入注册表,找到以下项次 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersi ...

  8. Jmeter(四十二)Jmeter工作原理

    “千举万变,其道一也.不离于宗,谓之天人” ----<荀子·儒效>和<庄子·天下> 作为接口测试工具 Jmeter只是作为发起请求的客户端(可以理解为前端),Jmeter是作为 ...

  9. Mybatis 系列7-结合源码解析核心CRUD 配置及用法

    [Mybatis 系列10-结合源码解析mybatis 执行流程] [Mybatis 系列9-强大的动态sql 语句] [Mybatis 系列8-结合源码解析select.resultMap的用法] ...

  10. 更新SAS 9.4(64位) SID的简单方法(可以使用至2018.04.30)

    打开SAS,在程序窗口输入: PROC SETINIT RELEASE='9.4'; SITEINFO NAME='NATIONAL PINGTUNG UNI OF SCIENCE&TECH' ...