Windows系统的ECS实例中安全审计日志简要说明

作者阿里云代理 文章分类 分类:图文教程 阅读次数 已被围观 676

概述

本文主要介绍在Windows系统的ECS实例中安全审计日志的相关内容。

详细信息

阿里云提醒您:

  • 如果您对实例或数据有修改、变更等风险操作,务必注意实例的容灾、容错能力,确保数据安全。
  • 如果您对实例(包括但不限于ECS、RDS)等进行配置与数据修改,建议提前创建快照或开启RDS日志备份等功能。
  • 如果您在阿里云平台授权或者提交过登录账号、密码等安全信息,建议您及时修改。

Windows系统可以开启账户审计,以下是关于日志示例、日志说明、系统登录日志分析、常见安全事件ID说明和日志审计策略调整的相关内容。

日志示例

  1. 单击控制面板>管理工具>事件查看器>Windows日志>安全
  2. 以下是审核成功和失败的日志示例。
    • 审核成功的日志示例如下。
      已成功登录账户
      
      主题:
              安全 ID:       SYSTEM
              帐户名:       iZ********Z$
              帐户域:        WORKGROUP
              登录 ID:       0x3e7
      
          登录类型:          10
      
          新登录:
              安全 ID:       iZ********Z\admin
              帐户名:       admin
              帐户域:        iZ********Z
              登录 ID:       0x754404f
             登录 GUID:      {00000000-0000-0000-0000-000000000000}
      
          进程信息:
              进程 ID:        0xf50
              帐户名:        C:\Windows\System32\winlogon.exe
      
          网络信息:
              工作站名:     iZ23kpfre8lZ
              源网络地址:    42.120.*.*
              源端口:        10694
      
          详细身份验证信息:
              登录进程:       User32 
              身份验证数据包:  Negotiate
              传递服务:    -
              数据包名(仅限 NTLM):    -
              密钥长度:        0
      
      
      在创建登录会话后在被访问的计算机上生成此事件。
    • 审核失败的日志示例如下。
      帐户登录失败。
      
      主题:
          安全 ID:        NULL SID
          帐户名:        -
          帐户域:         -
          登录 ID:        0x0
      
      登录类型:           3
      
      登录失败的帐户:
          安全 ID:        NULL SID
          帐户名:        administrator
          帐户域:         Public-Win7
      
      失败信息:
          失败原因:       未知用户名或密码错误。
          状态:           0xc000006d
          子状态:         0xc0000064
      
      进程信息:
          调用方进程 ID:   0x0
          调用方进程名:   -
      
      网络信息:
          工作站名:       Piblic-WIN7
          源网络地址:      -
          源端口:          -
      
      详细身份验证信息:
          登录进程:         NtLmSsp 
          身份验证数据包:   NTLM
          传递服务:         -
          数据包名(仅限 NTLM):    -
          密钥长度:        0
      
      登录请求失败时在尝试访问的计算机上生成此事件。

 

系统登录日志分析

 

查看系统登录日志时,重点关注以下字段信息。

•事件ID:4624(登录成功)和4625(登录失败)。
•登录类型:根据登录类型分析登录操作来源。
•账户名:登录操作时使用的账户名。
•源网络地址:登录操作来源IP。
•进程信息:登录操作调用的进程。

常见安全事件ID说明

Windows Server 2008系统内常见的安全事件ID及说明请参见以下文档。

 

日志审计策略调整

相关日志审计策略由Windows注册表管控,可以通过以下方式按需调整。

  1. 单击开始>运行,输入gpedit.msc,打开组策略管理器。
  2. 单击计算机管理>Windows设置>安全设置>本地策略>审核策略
  3. 在页面右侧调整相应的审核策略。

 

    如果您有其他问题,可以联系汉中创云互联阿里云代理商,为您提供一对一专业全面的技术服务,同时新老阿里云会员,均可享受我公司代理商价格,欢迎咨询欢迎咨询.gif

 

本公司销售:阿里云、腾讯云、百度云、天翼云、金山大米云、金山企业云盘!可签订合同,开具发票。

我有话说: