https://www.cnblogs.com/KevinGeorge/p/8563458.html

一、域控windows安全日志基本操作

1、打开powershell或者cmd

1 #gpedit.msc

打开配置:

关于账户安全性的策略配置在账户配置哪里

2、打开控制面板->系统与安全->事件查看器->windows日志->安全:

希望这里配置的时间足够长久,以便于查看日志

选择筛选器,筛选这一条:

来查看这个是很常用的一个,当然审核成功也很有用,那是你知道那个时间确定被入侵的时候用到。

2、场景分析:

2.1、域账号被锁定:

原因:可能是病毒、脚本、锁定账号名下的计划任务或者黑客攻击爆破等行为导致。

追查思路:找到时间ID4740,这个是域账号被锁定的标志,可以找到一些信息,运气好的话能定位到导致此问题的IP或者进程。至少可以确定准确的锁定时间,然后回溯之前的审计失败的认证尝试报文ID4625,找到源IP或者主机名。下一步再去排查相关的IP或者主机名。

#############################################################科普小知识#############################################################

@1、日志格式简介:

一般国内的都是中文版本的windows,所以不存在英文看不懂的问题,需要关注下面几个字段(尤其是标红的):

(1)事件ID,当然这个是过滤条件4625

(2)关键字,审核成功还是失败其实这个很多时候也是过滤条件(对应的英文Success和Failure)

(3)用户:很重要

(4)计算机名和说明

(5)账户名、账户域、登录ID和登录类型(登录类型后面会展开讲下)

(6)登录失败的账户名、域(这些都要比较和锁定的是否一致)

(7)失败原因:0xC0000064用户不存在,0xC000006A 密码用户名不匹配(最常见的两个)

(8)进程信息、网络信息等

@2、登录类型简介:

type 2    交互式登录,本地或者KVM的

type3     网络登录      连接共享文件夹、共享打印机、IIS等。

type4     批处理登录   windows计划任务运行

type5     服务

type7     解锁登录       屏幕保护解锁等解锁类登录

type8     网络明文      基本人生的IIS还有ADVapi

type9     新凭证        带有netonly的runas命令执行的时候

type10    远程交互     RDP  远控  远程协助等等

type11    缓存交互

#############################################################科普小知识#############################################################

2.2 得知自己某个时段被黑,查询这个时段登录的账号

追查思路:找到对应时间的登录审计日志,追查源IP。另外查看这个IP登录账户后都做了啥。

1 Get-History 查询历史

2 Clear-History 清空历史

3 Invoke-History 运行历史记录中的一条命令

4 Add-History 增加命令到历史记录
#windows下netstat查看进程和端口以及连接情况:

netstat -ano | findstr "xxx"
tasklist | findstr "xxx"

2.3 审计隐藏账户

1 攻击者可能使用net user建立隐藏账户

2 net user username$ password /add

3 计算机->管理->系统工具->本地用户和组->用户中可以查到

4 审计日志审计的话也可以发现

查看注册表关于HKEY_LOCAL_MACHINE\SAM\SAM 右键  -> 权限Administrator

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names路径下可以找到相关账户

或者使用mt-chkuser查看

1 强制修改口令

2 net user username password /add

三、SSO加域LDAP认证环境(常见企业环境)下的登录认证失败日志追踪

1、查看认证失败的日志,一种是常规的开机或者注销账号后重新登录windows的情况,这种可以记录下源IP地址,方便追踪。

2、SMB(共享、计划任务、注册服务)、RDP、邮件服务(WEBMAIL、SMTP、Exchange、SMTP[Telnet]等)会记录NTLM认证中的workstation字段。一般在域内的办公机的计算机名字都是固定的或者有规律的好查一些,甚至可以直接ping过去。但是有可能出现bogon这种,几乎无法下手,因为这是没有配置计算机名导致的。WEBMAIL和SMTP工作站会记录成邮服的计算机名,但是Exchange则会记录本配置工作站的计算机名。

3、爆破工具场景下的日志工作站字段:

hydra:-> \\a.b.c.d(src_ip)

xunfeng:->LOCALHOST

其他,或者攻击者自研的可能就没有。

域控场景下windows安全日志的分析--审计认证行为和命令的历史记录的更多相关文章

  1. Windows server 2003域控迁移到2012

    1:  windows server 2003 额外域控升级为 windows server 2003主域控 (因为原域控制器某些服务损坏,于是采用将备用域控升级为主域控的方法) https://we ...

  2. Windows 2008 R2 域控制器迁移至windows 2016记录

    文章参考 https://social.technet.microsoft.com/Forums/zh-CN/21a5f5e9-feee-4454-acad-fd22989d7bed/22495296 ...

  3. C++高并发场景下读多写少的解决方案

    C++高并发场景下读多写少的解决方案 概述 一谈到高并发的解决方案,往往能想到模块水平拆分.数据库读写分离.分库分表,加缓存.加mq等,这些都是从系统架构上解决.单模块作为系统的组成单元,其性能好坏也 ...

  4. C++高并发场景下读多写少的优化方案

    概述 一谈到高并发的优化方案,往往能想到模块水平拆分.数据库读写分离.分库分表,加缓存.加mq等,这些都是从系统架构上解决.单模块作为系统的组成单元,其性能好坏也能很大的影响整体性能,本文从单模块下读 ...

  5. Windows servers 2008 环境下,域控DC和DNS,分离搭建过程。

    近来做有关于window服务器方面运维的实验,正好借此记录下来,便于日后回顾. 通常情况下,域控DC服务器和DNS服务器一般不在一起,所以需要将其分开建立.而这个时候两个服务器的建立有先后顺序,本文会 ...

  6. Windows Server 2012部署第一台域控

    windows server 2012在部署DC方面有了一些改变,不但在操作上有一些改变,而且有了新的DC克隆的功能.本文就先来体验一下如何将一台windows server 2012 RTM服务器提 ...

  7. Windows server 2012 利用ntdsutil工具实现AD角色转移及删除域控方法

    场景1:主域控制器与辅助域控制器运行正常,相互间可以实现AD复制功能.需要把辅助域控制器提升为主域控制器 ,把主域控制器降级为普通成员服务器:这种场景一般应用到原主域控制器进行系统升级(先转移域角色, ...

  8. Windows 2012建立域控(AD DS)详解

    Active Directory概述:          使用 Active Directory(R) 域服务 (AD DS) 服务器角色,可以创建用于用户和资源管理的可伸缩.安全及可管理的基础机构, ...

  9. windows组策略实验-本地组策略和域控组策略

    windows组策略实验-本地组策略和域控组策略 本地组策略只对本地计算机有效,域策略是计算机加入域环境后对加入域的一组计算机.用户定义的策略,便于管理 本地组策略: 一.实验环境 Windows 7 ...

随机推荐

  1. 禁用触发器的N种方法

    一.禁用和启用单个触发器 禁用: ALTER TABLE trig_example DISABLE TRIGGER trig1 GO   恢复: ALTER TABLE trig_example EN ...

  2. HTML+CSS补充

    1. HTML+CSS补充 - 布局: <style> .w{ width:980px;margin:0 auto; } </style> <body> <d ...

  3. 阿里云kubernetes被minerd挖矿入侵

    阿里云kubernetes被minerd挖矿入侵 # kubectl get rc mysql1 -o yaml apiVersion: v1 kind: ReplicationController ...

  4. 科学-建筑学-事务所:KPF

    ylbtech-科学-建筑学-事务所:KPF 1.返回顶部   2.返回顶部   3.返回顶部   4.返回顶部   5.返回顶部 0. https://www.kpf.com/projects/na ...

  5. 【ZZ】终于有人把云计算、大数据和人工智能讲明白了!

    终于有人把云计算.大数据和人工智能讲明白了! https://mp.weixin.qq.com/s/MqBP0xziJO-lPm23Bjjh9w 很不错的文章把几个概念讲明白了...图片拷不过来... ...

  6. centos6.5制作OpenStack云平台Windows7镜像

    # yum install virt-manager libvirt qemu-img virt-viewer -y # vi /etc/libvirt/qemu.conf # service lib ...

  7. centos6.8下pptp客户端的安装配置

    原文: https://blog.csdn.net/zhang11321132/article/details/20612473 yum -y install ppp pptp pptp-setup ...

  8. [UE4]迁移小地图到其他工程

    一.创建一个新工程,类型不限,本次测试场创建的是赛车类工程. 二.为了方便管理,最好在All文件文件夹下新建一个名为MiniMap的目录,并把所有小地图相关的都放进来. 三.在小地图工程中,右键Rou ...

  9. [UE4]Cast to转换数据类型

    可以转换纯函数,这样就可以不用加执行线了.

  10. 判断Service是否已经启动

     /** 查看服务是否开启*/    public static Boolean isServiceRunning(Context context, String serviceName) {     ...