一、域控windows安全日志基本操作
1、打開powershell或者cmd
1 #gpedit.msc
打開配置:
關於賬戶安全性的策略配置在賬戶配置哪里
2、打開控制面板->系統與安全->事件查看器->windows日志->安全:
希望這里配置的時間足夠長久,以便於查看日志
選擇篩選器,篩選這一條:
來查看這個是很常用的一個,當然審核成功也很有用,那是你知道那個時間確定被入侵的時候用到。
2、場景分析:
2.1、域賬號被鎖定:
原因:可能是病毒、腳本、鎖定賬號名下的計划任務或者黑客攻擊爆破等行為導致。
追查思路:找到時間ID4740,這個是域賬號被鎖定的標志,可以找到一些信息,運氣好的話能定位到導致此問題的IP或者進程。至少可以確定准確的鎖定時間,然后回溯之前的審計失敗的認證嘗試報文ID4625,找到源IP或者主機名。下一步再去排查相關的IP或者主機名。
#############################################################科普小知識#############################################################
@1、日志格式簡介:
一般國內的都是中文版本的windows,所以不存在英文看不懂的問題,需要關注下面幾個字段(尤其是標紅的):
(1)事件ID,當然這個是過濾條件4625
(2)關鍵字,審核成功還是失敗其實這個很多時候也是過濾條件(對應的英文Success和Failure)
(3)用戶:很重要
(4)計算機名和說明
(5)賬戶名、賬戶域、登錄ID和登錄類型(登錄類型后面會展開講下)
(6)登錄失敗的賬戶名、域(這些都要比較和鎖定的是否一致)
(7)失敗原因:0xC0000064用戶不存在,0xC000006A 密碼用戶名不匹配(最常見的兩個)
(8)進程信息、網絡信息等
@2、登錄類型簡介:
type 2 交互式登錄,本地或者KVM的
type3 網絡登錄 連接共享文件夾、共享打印機、IIS等。
type4 批處理登錄 windows計划任務運行
type5 服務
type7 解鎖登錄 屏幕保護解鎖等解鎖類登錄
type8 網絡明文 基本人生的IIS還有ADVapi
type9 新憑證 帶有netonly的runas命令執行的時候
type10 遠程交互 RDP 遠控 遠程協助等等
type11 緩存交互
#############################################################科普小知識#############################################################
2.2 得知自己某個時段被黑,查詢這個時段登錄的賬號
追查思路:找到對應時間的登錄審計日志,追查源IP。另外查看這個IP登錄賬戶后都做了啥。
1 Get-History 查詢歷史 2 Clear-History 清空歷史 3 Invoke-History 運行歷史記錄中的一條命令 4 Add-History 增加命令到歷史記錄
#windows下netstat查看進程和端口以及連接情況: netstat -ano | findstr "xxx"
tasklist | findstr "xxx"
2.3 審計隱藏賬戶
1 攻擊者可能使用net user建立隱藏賬戶 2 net user username$ password /add 3 計算機->管理->系統工具->本地用戶和組->用戶中可以查到 4 審計日志審計的話也可以發現
查看注冊表關於HKEY_LOCAL_MACHINE\SAM\SAM 右鍵 -> 權限Administrator
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names路徑下可以找到相關賬戶
或者使用mt-chkuser查看
1 強制修改口令 2 net user username password /add
三、SSO加域LDAP認證環境(常見企業環境)下的登錄認證失敗日志追蹤
1、查看認證失敗的日志,一種是常規的開機或者注銷賬號后重新登錄windows的情況,這種可以記錄下源IP地址,方便追蹤。
2、SMB(共享、計划任務、注冊服務)、RDP、郵件服務(WEBMAIL、SMTP、Exchange、SMTP[Telnet]等)會記錄NTLM認證中的workstation字段。一般在域內的辦公機的計算機名字都是固定的或者有規律的好查一些,甚至可以直接ping過去。但是有可能出現bogon這種,幾乎無法下手,因為這是沒有配置計算機名導致的。WEBMAIL和SMTP工作站會記錄成郵服的計算機名,但是Exchange則會記錄本配置工作站的計算機名。
3、爆破工具場景下的日志工作站字段:
hydra:-> \\a.b.c.d(src_ip)
xunfeng:->LOCALHOST
其他,或者攻擊者自研的可能就沒有。