Windows 2000审核和入侵检测

Windows 2000审核和入侵检测更新日期： 2004年03月01日本页内容本模块内容 目标 适用范围 如何使用本模块 审核 监视入侵和安全事件 小结 其他信息 本模块内容要维护真正安全的环境，只是具备安全系统还远远不够。如果总假设自己不会受到攻击，或认为防护措施已足以保护自己的安全，都将非常危险。要维护系统安全，必须进行主动监视，以检查是否发生了入侵和攻击。很多方面都说明，监视和审核入侵非常重要，具体原因有： 所有处于运行中的计算机环境都有可能被攻击。无论系统安全级有多高，总有面临攻击的风险。 成功的攻击一般出现在一系列失败攻击后。如果不监视攻击，您将无法在入侵者达到目的前检测到他们。 一旦攻击成功，越早发现越能减少损失。 为了能从攻击中恢复，需要了解发生了什么损失。 审核和入侵检测有助于确定是谁发起的攻击。 审核和入侵检测的结合使用有助于将信息进行关联，以识别攻击模式。 定期复查安全日志有助于发现未知的安全配置问题（如不正确的权限，或者不严格的帐户锁定设置）。 检测到攻击之后，审核有助于确定哪些网络资源受到了危害。本模块讲述如何审核环境，以便发现攻击并跟踪攻击。本模块还讲述了如何监视是否发生了入侵，如何使用入侵检测系统（入侵检测系统是专门为发现攻击行为而设计的软件）。返回页首 目标使用本模块可以实现下列目标： 使用最佳做法在组织中进行审核。 保护关键日志文件，防止攻击者干预证据。 结合使用被动和主动的检测方法。 明确监督和监视员工要具备哪些工具和技术，以及如何在审核过程中使用这些工具和技术。返回页首 适用范围本模块适用于下列产品和技术： Microsoft Windows 2000 操作系统返回页首 如何使用本模块使用本模块中的指南可启动监视体系，该体系将主动检测入侵和攻击。这样，您能在发生攻击时及早干预，并减少该事件的影响，降低组织受到严重损失的风险。为了充分理解本模块内容，请： 阅读模块： 对 Windows 2000 环境中发现的事件进行响应。返回页首 审核在任何安全环境中，您都应主动监视以检查是否发生了入侵和攻击。如果总假设不会受到攻击，只是将安全系统放在那里，随后不执行任何审核工作，您将无法达到预期目标。作为整体安全策略的一部分，您应确定适于所在环境的审核级别。审核过程应识别可能会对网络，或风险评估中已确定的有价值资源造成威胁的各种攻击（无论攻击成功或失败）。当决定要审核多少内容时，切记审核的内容越多，生成的事件越多，发现严重事件就越困难。如果要审核大量内容，有必要考虑使用附加的工具来帮助筛选重要事件，这样的工具有 Microsoft Operations Manager (MOM) 等。审核事件可分为两类：成功事件和失败事件。成功事件表明用户已成功获得某资源的访问权限，失败事件表明用户进行了尝试，但失败了。失败事件十分有助于跟踪对环境进行的攻击尝试，成功事件则难以解释。虽然绝大多数成功审核事件只表明正常的操作，但获取了某系统访问权限的攻击者也会生成一个成功事件。通常，事件模式与事件本身同样重要。例如，一系列失败后的一次成功可能表示曾经的攻击尝试最终得到成功。您应尽可能将审核事件与所拥有的相关用户的其他信息结合使用。例如，如果用户在休假，可选择用户不在时禁用其帐户，然后在重新启用帐户时再审核。如何启用审核使用组策略可在站点、域、组织单位 (OU) 或本地计算机级启用审核。审核策略位于：计算机配置Windows 设置安全设置本地策略审核策略通常情况下，应在 Microsoft Active Directory 目录服务层次的较高级实现审核，这有助于保持审核设置的一致性。Contoso 在“成员服务器”和“域控制器”OU 级都实现了审核。 您可选择将一些服务器与域分隔。通过编辑本地计算机的组策略，或使用“Windows 2000 Server Resource Kit”中的 Auditpol.exe 实用程序，可在这些计算机上配置审核。注意：要访问本地计算机的组策略，请启动 Microsoft 管理控制台 (MMC)，然后添加该组策略管理单元，这将使该本地计算机成为管理单元的焦点。定义事件日志设置审核所生成的每个事件都显示在“事件查看器”中。您应决定事件日志如何存储生成的事件。每个这样的设置都可直接在“事件查看器”中定义，或在组策略中定义。在本指南中，我们已在组策略中定义了“事件查看器”设置。 如果从组策略中删除“事件查看器”设置，则可在“事件查看器”中直接进行设置。但建议您在组策略中定义“事件查看器”设置，确保所有相似计算机中的设置一致。在 Contoso 环境中，组策略的配置不是在安全日志达到容量时关闭组织中的系统。实际的系统配置是，根据需要覆盖事件日志。要审核的事件Microsoft Windows 2000 提供了几类安全事件的审核。当制定企业审核策略时，需决定是否包含如下类别的安全审核事件： 登录事件 帐户登录事件 对象访问事件 目录服务访问事件 特权使用事件 进程跟踪事件 系统事件 策略更改事件下面几节详细说明了特定类别在启用审核时返回的常见事件 ID。注意：负责搜索和收集事件日志信息的工具将在本模块后的被动检测方法一节讨论。登录事件如果要审核登录事件（每次用户登录或注销计算机时都审核），则会在发生登录尝试的计算机的安全日志中生成一个事件。另外，当用户连接远程服务器时，远程服务器的安全日志中也会生成一个登录事件。登录事件是在登录会话和令牌分别被创建或损坏时创建的。登录事件可用于跟踪服务器的交互式登录尝试，或调查从某特定计算机发起的攻击。成功的审核会在登录尝试成功时生成一个审核项。失败的审核会在登录尝试失败时生成一个审核项。注意：登录事件既包括计算机登录事件，也包括用户登录事件。如果网络连接是从基于 Microsoft Windows NT 的计算机或基于 Windows 2000 的计算机进行尝试的，则会看到用于计算机帐户和用户帐户的单独事件日志项。基于 Windows 9x 的计算机在目录中没有计算机帐户，不会为网络登录事件生成计算机登录事件项。作为“成员服务器和域控制器基准策略”的一部分，应对成功和失败登录事件都启用审核。因此，应能在“安全事件日志”中看到交互式登录，以及连接到正在运行“终端服务”的计算机的“终端服务”登录的下列事件 ID。表 1：安全事件日志中的登录事件 事件 ID说明528用户成功登录计算机。529用户使用系统未知的用户名登录，或已知用户使用错误的密码登录。530用户帐户在许可的时间范围外登录。531用户使用已禁用的帐户登录。532用户使用过期帐户登录。533不允许用户登录计算机。534用户使用不许可的登录类型（如网络、交互、批量、服务或远程交互）进行登录。535指定帐户的密码已过期。536Net Logon 服务未处于活动状态。537登录由于其他原因而失败。538用户注销。539试图登录时帐户已被锁定。此事件表示密码攻击失败，并导致该帐户被锁定。540网络登录成功。此事件表示远程用户已成功从该网络连接到服务器上的本地资源，同时为该网络用户生成了一个令牌。682用户重新连接了已断开的终端服务会话。此事件表示前面已连接了一个终端服务会话。683用户在未注销的情况下断开终端服务会话。此事件是在用户通过网络连接终端服务会话时生成的。它出现在终端服务器上。使用登录事件项可诊断下面的安全事件： 本地登录尝试失败下列任意事件 ID 都表示登录尝试失败：529、530、531、532、533、534 和 537。如果攻击者使用本地帐户的用户名和密码组合，但并未猜出，则看到事件 529 和 534。但是，如果用户忘记了密码，或通过“网上邻居”浏览网络，也可能产生这些事件。在大型环境中，可能很难有效说明这些事件。作为一种规则，如果这些模式重复发生，或符合其他一些非正常因素，则应研究这些模式。例如，半夜，在发生若干 529 事件后发生了 528 事件，可能表示密码攻击成功（或管理员非常疲惫）。 帐户滥用事件 530、531、532 和 533 表示用户帐户被滥用。这些事件表示输入的帐户/密码组合是正确的，但由于其他一些限制而阻止了成功登录。只要有可能，请仔细研究这些事件，确定是否发生了滥用，或是否需要修改当前的限制。例如，可能需要延长帐户的登录时间。 帐户锁定事件 539 表示帐户已被锁定。这表示密码攻击已失败。您应查找同一用户帐户以前产生的 529 事件，尝试弄清登录的模式。 终端服务攻击终端服务会话可能停留在连接状态，使一些进程得以在会话结束后继续运行。事件 ID 683 表示用户没有从终端服务会话注销，事件 ID 682 表示发生了到上一个已断开连接会话的连接。Contoso 监视大量的登录尝试失败和大量帐户锁定。在这样的环境中，由于一些合理的原因，常要让用户将终端服务会话保持断开状态。帐户登录事件当用户登录域时，这种登录在域控制器中处理。如果在域控制器中审核帐户登录事件，则会在验证该帐户的域控制器上记录此登录尝试。帐户登录事件是在身份验证程序包验证用户的凭据时创建的。只有使用域凭据，才会在域控制器的事件日志中生成帐户登录事件。如果提供的凭据为本地安全帐户管理器 (SAM) 数据库凭据，则会在服务器的安全事件日志中创建帐户登录事件。因为帐户登录事件可能会记录在域的任何有效域控制器中，所以必须确保将各域控制器中的安全日志合并，以分析该域中的所有帐户登录事件。注意：与登录事件相同，帐户登录事件既包括计算机登录事件，也包括用户登录事件。作为“成员服务器和域控制器基准策略”的一部分，成功和失败的帐户登录事件都应启用审核。因此，应能看到网络登录和终端服务身份验证的下列事件 ID。表 2：事件日志中的帐户登录事件 事件 ID说明672身份验证服务 (AS) 票证已成功签发和验证。673已授予票证授予服务 (TGS) 票证。674安全主要对象续订了 AS 票证或 TGS 票证。675预身份验证失败。676身份验证票证请求失败。677未授予 TGS 票证。678某个帐户已成功映射到域帐户。680标识成功登录的帐户。此事件还指出了验证帐户的身份验证程序包。681尝试域帐户登录。682用户重新连接一个已断开的终端服务会话。683用户在没有注销的情况下断开了终端服务会话。对于每个这样的事件，事件日志都会显示每个特定登录的详细信息。使用帐户登录事件项可诊断下面的安全事件： 域登录尝试失败事件 ID 675 和 677 表明登录域的尝试失败。 时间同步问题如果客户计算机的时间与身份验证域控制器的时间不同，多了五分钟（默认情况），则安全日志中显示事件 ID 675。 终端服务攻击终端服务会话可能停留在连接状态，使一些进程得以在会话结束之后继续运行。事件 ID 683 表示用户没有从终端服务会话注销，事件 ID 682 则表示发生了到上一个已断开连接会话的连接。要防止断开连接，或要终止这些已断开的会话，请在“终端服务配置”控制台中的 RDP-TCP 协议属性中定义“time interval to end disconnected session”（结束已断开会话的时间间隔）。Contoso 当前要监视数量巨大的失败域登录尝试。根据其环境的不同，其他一些事件无关紧要。配置这些设置时，他们确定的最好方法是，首先以一个相对较严格的设置开始，然后持续减少它的严格程度，直到一些非实质警告的数量减少。目前，他们监视的是 10 分钟时间段中发生 10 次失败登录的所有情况。这些数字在所有环境中可能都是不同的。帐户管理帐户管理审核用于确定何时创建、更改或删除了用户或组。这种审核可用于确定何时创建了安全主要对象，以及谁执行了该任务。作为“成员服务器和域控制器基准策略”的一部分，帐户管理中的成功和失败都应启用审核。因此，应该会看到安全日志中记录的下列事件 ID。表 3：事件日志中的帐户管理事件 事件 ID说明624创建了用户帐户625用户帐户类型更改626启用了用户帐户627尝试进行了密码更改628设置了用户帐户密码。629禁用了用户帐户630删除了用户帐户631创建了启用安全的全局组632添加了启用安全的全局组成员633删除了启用安全的全局组成员 634删除了启用安全的全局组635创建了禁用安全的本地组636添加了启用安全的本地组成员637删除了启用安全的本地组成员638删除了启用安全的本地组639更改了启用安全的本地组641更改了启用安全的全局组642更改了用户帐户643更改了域策略644锁定了用户帐户使用安全日志项可诊断下面的帐户管理事件： 用户帐户的创建事件 ID 624 和 626 表明何时创建和启用了用户帐户。如果帐户创建限定在组织中的特定个人，则可使用这些事件表示是否有未授权的个人创建了用户帐户。 更改了用户帐户密码如果不是该用户修改密码，可能表明该帐户已被另一用户占用。请查看事件 ID 627 和 628，它们分别表明尝试进行了密码更改以及密码更改成功。请查看详细信息，确定是否是另一个帐户执行了该更改，该帐户是否是重置用户帐户密码的技术支持部门或其他服务部门的成员。 更改了用户帐户状态某个攻击者在攻击过程中，可能会通过禁用或删除帐户来尝试掩盖攻击。出现的所有事件 ID 629 和 630 都应仔细研究，确保这些是授权的事务处理。另外，还要查看发生事件 ID 626 之后短时间内发生的事件 ID 629。这可能表明一个已禁用的帐户被启用，被使用，然后又再次被禁用。 安全组的修改成员身份更改为 Domain Administrator、 Administrator、Operator 组的任何成员，或更改为被委派了管理功能的自定义全局组、通用组或域本地组，这些情况都应进行复查。对于全局组成员身份修改，请查找事件 ID 632 和 633。对于域本地组成员身份修改，请查看事件 ID 636 和 637。 帐户锁定锁定帐户时，系统会在主域控制器 (PDC) 模拟器操作主机上记录两个事件。一个事件为 644，表示帐户名已被锁定；然后记录事件 642，表示该用户帐户已更改为表明帐户现已锁定。此事件只会记录在 PDC 模拟器上。因为 Contoso 是一个较大的企业，所以每天有大量的帐户要维护。监视所有这些事件会导致环境中产生太多的警告，而这些警告不必全部进行合理的解决。对象访问在基于 Windows 2000 的网络中，使用系统访问控制列表 (SACL) 可为所有对象启用审核。SACL 包含了一个用户和组列表，其中用户和组等对象的操作都要进行审核。用户在 Windows 2000 中可操作的每个对象几乎都有一个 SACL。这些对象包括 NTFS 文件系统驱动器上的文件和文件夹、打印机和注册表项。SACL 由访问控制项 (ACE) 组成。每个 ACE 包含三部分信息： 要审核的安全主要对象。 要审核的特定访问类型，称为访问掩码。 一种表明是审核失败访问、成功访问还是两者兼有的标志。如果要在安全日志中显示事件，必须首先启用“对象访问审核”，然后为要审核的每个对象定义 SACL。Windows 2000 中的审核是在打开一个到对象的句柄时生成的。Windows 2000 使用一个内核模式的安全子系统，这种系统只允许程序通过内核访问对象。这会防止程序尝试绕过安全系统。因为内核内存空间是与用户模式程序相隔离的，所以程序是通过一个称为句柄的数据结构引用对象的。下面是一个典型的访问尝试：1. 用户要求程序访问某个对象（例如，文件/打开）。2. 该程序从系统请求一个句柄，指定需要哪种类型的访问（读、写等）。3. 安全子系统将请求对象的自由访问控制列表 (DACL) 与该用户的令牌相比较，在 DACL 中查找与该用户或用户所在组相匹配的项，以及对于请求程序有访问权限的项。4. 系统将所请求对象的 SACL 与该用户的令牌相比较，在 SACL 中查找与该程序返回的有效权限相匹配的项，或与该程序请求的权限相匹配的项。如果匹配的失败审核 ACE 与一个已请求但未授予的访问相匹配，则生成一个失败审核事件。如果匹配的成功审核 ACE 与一个已授予的访问相匹配，则生成一个成功审核事件。5. 如果授予任何访问，系统都会向该程序返回一个句柄，然后该程序会使用该句柄访问该对象。要注意的重要一点是，当发生审核并生成事件时，尚未对该对象发生任何操作。这对于解释审核事件至关重要。写入审核是在文件被写入之前生成的，读取审核则在文件被读取之前生成。与所有审核一样，务必采取一个针对目标的方式来审核对象访问。在审核计划中，应决定必须审核的对象类型，然后确定每种类型的审核对象，希望监视哪些类型的访问尝试（成功、失败，还是两者兼有）。审核的范围过宽会对系统性能产生明显的影响，并会使收集的数据过多，远远超过必要或有用的程度。通常情况下，您希望审核对所选择对象的所有访问，其中包括来自非信任帐户的访问。为此，请在审核对象的 SACL 中添加“Everyone”组）。您应了解，如果按照这种方式审核成功的对象访问，可能会在安全日志中产生非常多的审核项。然而，如果要对重要文件的删除进行调查，则必须检查成功审核事件，以确定哪个用户帐户删除了该文件。“成员服务器和域控制器基准策略”的设置是既审核成功对象访问也审核失败事件。但是，这些对象本身不会设置任何 SACL，需要根据环境的需要设置这些内容。SACL 可以直接在对象上定义，也可以通过组策略定义。如果要审核的对象存在于多个计算机上，则应在组策略中定义这些 SACL。审核对象访问会导致安全日志显示下列事件。表 4：事件日志中的对象访问事件 事件 ID说明560授予现有对象访问权限。562对象句柄关闭。563为删除对象而打开对象。（这是文件系统在指定了 FILE_DELETE_ON_CLOSE 标志时所使用的。）564删除了一个受保护的对象。565授予现有对象类型访问权限。如果要查找特定的对象访问事件，主要需研究事件 ID 为 560 的事件。该事件详细信息中有一些有用的信息，请搜索该事件的详细信息，找出正在搜索的特定事件。下表显示了一些可能要执行的操作，以及如何执行这些操作。表 5：如何执行对象访问事件 560 的主要审核操作 审核操作如何完成查找特定的文件、文件夹或对象在事件 560 的详细信息中，搜索要复查其上操作的文件或文件夹的完整路径。确定特定用户的操作在 560 事件中定义筛选器来标识特定用户。确定在特定计算机上执行的操作在 560 事件中定义筛选器来标识在其中执行任务的特定计算机。Contoso 不专门监视任何对象访问事件，但要审核某些文件的对象访问。此信息对于响应一个安全事件尤其有用。目录服务访问Active Directory 对象有相关联的 SACL，因此可进行审核。正如前面提到的，审核帐户管理可审核 Active Directory 用户和组帐户。但是，如果想审核其他命名上下文中对象的修改（如配置和架构命名上下文），必须审核对象访问，然后为要审核的特定容器定义 SACL。如果 Active Directory 对象 SACL 中列出的用户要尝试访问该对象，就会生成审核项。您可以使用 ADSIEDIT MMC 管理单元来修改配置命名上下文（和其他命名上下文）中容器和对象的 SACL。过程如下：在 ADSIEDIT 控制台中显示所需的上下文，然后在“高级安全设置”对话框中修改该对象的 SACL。由于发生了大量事件（通常都是些无关紧要的事件），所以很难找出目录服务访问的特定事件。因此，“成员服务器和域控制器基准策略”只审核目录服务访问的失败事件。这有助于弄清攻击者何时尝试对 Active Directory 进行了未授权访问。尝试的目录访问在安全日志中将显示为一个 ID 为 565 的目录服务事件。只有通过查看安全事件的详细信息，才能确定该事件与哪个对象相对应。Contoso 不专门监视任何目录服务访问事件，但要审核某些文件的对象访问。此信息对于响应一个安全事件尤其有用。特权使用当用户在信息技术 (IT) 环境中工作时，他们将运用所定义的用户权限。如果审核特权使用的成功和失败，每次用户尝试运用用户权限时都会生成一个事件。即使真的要审核特权使用，也并非所有的用户权限都会审核。在默认情况下，不包括下列用户权限： 跳过遍历检查 调试程序 创建令牌对象 替换进程级令牌 生成安全审核 备份文件和目录 还原文件和目录您可以在组策略中启用“对备份和还原权限的使用进行审核”安全选项，从而覆盖不审核“备份”和“还原”用户权限的默认行为。审核成功的特权使用会在安全日志中产生大量的项。因此，“成员服务器和域控制器基准策略”只会审核失败的特权使用。如果启用了特权使用审核，将生成下列事件。表 6：事件日志中的特权使用事件 事件 ID说明576指定特权已添加到用户的访问令牌中。（此事件在用户登录时生成。）577用户尝试执行授权的系统服务操作。578在已打开的受保护对象上使用了特权。下面是使用某些特定用户权限时，可能存在的一些事件日志项示例： 作为操作系统的一部分请查找指定了 SeTcbPrivilege 访问特权的事件 ID 577 或 578。事件详细信息指出了使用该用户权限的用户帐户。此事件表明，用户作为操作系统的一部分使用了超越安全的特权。例如，GetAdmin 攻击就会使用此特权，在这种攻击中，用户尝试将他们的帐户添加到 Administrator 组中。此事件的唯一项应用于 System 帐户，以及分配了该用户权限的所有服务帐户。 更改系统时间请查找指定了 SeSystemtimePrivilege 访问特权的事件 ID 577 或 578。事件详细信息表明了使用该用户权限的用户帐户。此事件表明，用户尝试通过更改系统时间来隐藏事件发生的真实时间。 从远程系统进行强制关机请查找指定了 eRemoteShutdownPrivilege 用户访问权限的事件 ID 577 和 578。事件详细信息中包括了分配该用户权限的特定安全标识符 (SID)，以及分配该权限的安全主要对象的用户名。 加载和卸载设备驱动程序请查找指定了 SeLoadDriverPrivilege 用户访问权限的事件 ID 577 或 578。事件详细信息表明了使用此用户权限的用户帐户。此事件表明，用户尝试加载一个未授权版本的设备驱动程序或者特洛伊木马版本（一种恶意代码）的设备驱动程序。 管理审核和安全日志请查找指定了 SeSecurityPrivilege 用户访问权限的事件 ID 577 或 578。事件详细信息表明了使用此用户权限的用户帐户。在事件日志被清除，以及特权使用的事件被写入安全日志时，都会发生此事件。 关闭系统请查找指定了 SeShutdownPrivilege 访问特权的事件 ID 577。事件详细信息表明了使用此用户权限的用户帐户。此事件会在尝试关闭计算机时发生。 获取文件或其他对象的所有权请查找指定了SeTakeOwnershipPrivilege 访问特权的事件 ID 577 或 578。事件详细信息表明了使用该用户权限的用户帐户。此事件表明，某个攻击者正在尝试通过获取对象的所有权来绕过当前的安全设置。Contoso 专门监视表明正常关机或从远程系统强制关机的所有事件，以及表明已修改了审核和安全日志的所有事件。进程跟踪如果要审核基于 Windows 2000 计算机中运行的进程的详细跟踪信息，事件日志会显示创建进程和结束进程的尝试。它还会记录进程尝试生成对象句柄的行为，或获取对象间接访问的行为。由于生成的审核项很多，所以“成员服务器和域控制器基准策略”不会启用进程跟踪审核。但是，如果选择审核成功和失败，则事件日志中会记录下列事件 ID。表 7：事件日志中的进程跟踪事件 事件 ID说明592创建了新进程。593退出进程。594复制对象句柄。595获取了对象的间接访问。Contoso 不监视任何进程跟踪事件，并且不在任何服务器策略中启用这些监视。系统事件系统事件是在用户或进程更改计算机环境的部分内容时生成的。您可以审核对系统进行更改的尝试，如关闭计算机或者更改系统时间。如果审核系统事件，还应审核何时清除了安全日志。这非常重要，因为攻击者常会尝试在对环境进行更改之后清除他们的行踪。“成员服务器和域控制器基准策略”会审核系统事件的成功和失败。这会在事件日志中生成下列事件 ID。表 8：事件日志中的系统事件 事件 ID说明512Windows 正在启动。513Windows 正在关机。514本地安全机构加载了身份验证程序包。515本地安全机构注册了一个受信任的登录进程。516为了对安全事件消息进行排队而分配的内部资源已用完，导致某些安全事件消息丢失。517清除了安全日志。518安全帐户管理器加载了一个通知程序包。您可以使用下面这些事件 ID 来获取部分安全问题： 计算机关机/重新启动事件 ID 513 会显示关闭 Windows 时的每个实例。了解服务器何时关机或重新启动非常重要。其中有部分合理的原因，如安装的某个驱动程序或应用程序要求重新启动，或要关机或重新启动服务器以便维护。但是，攻击者可能还会为了在启动过程中获取对于系统的访问权限来强制服务器重新启动。所有发生的计算机关机情况都应注意，并与事件日志进行比较。很多攻击都涉及计算机重新启动。研究这些事件日志可确定服务器何时进行了重新启动，以及重新启动是计划的还是非计划的。事件 ID 513 显示 Windows 正在启动，同时，在系统日志中还会自动生成一系列其他事件。这些其他事件包括事件 ID 6005，表示已启动了事件日志服务。除了此项之外，还请查找系统日志中存在的两个不同事件日志项中的其中一个。如果上一次关机正常（如管理员重新启动了计算机），系统日志中会记录事件 ID 6006，“the Event Log service was stopped”（事件日志服务已停止）。通过检查该项目的详细信息，可以确定哪个用户执行了这次关机。如果这次重新启动是一种非预期的重新启动，系统日志中会记录事件 ID 6008，“the previous system shutdown at on was unexpected”（在 ， 发生的上次系统关机是非预期的。）这可能表明一个拒绝服务 (DoS) 导致了计算机关机。但请记住，这也可能由于电源故障或设备驱动程序故障。如果由导致蓝屏的停止错误引发重新启动，系统日志中会记录事件 ID 1001，其中带有 Save Dump 的源数据。在事件详细信息中可以复查真正的停止错误消息。注意：要将事件 ID 1001 项的记录包括在内，必须选中“将事件写入系统日志”选项，启用“系统控制面板”小程序中的恢复设置部分。 修改或清除安全日志攻击者可能尝试修改安全日志、在攻击过程中禁用审核，或清除安全日志来防止检测。如果发现某时间段安全日志中没有任何项，应查看事件 ID 612 和 517，确定哪个用户修改了审核策略。出现的所有事件 ID 517 都应与一个表明清除安全日志的所有次数的物理日志进行比较。未授权的安全日志清除可能是要隐藏以前安全日志中存在的事件。清除了该日志的用户名包括在事件详细信息中。Contoso 监视了计算机关机或重新启动，以及安全日志的清除操作。策略更改审核策略定义了要审核哪些环境更改，这可帮助您确定是否存在攻击环境的企图。但有心的攻击者会设法更改该审核策略本身，以便不被审核所进行的任何更改。如果要审核策略更改，则将显示更改审核策略的尝试，以及对其他策略和用户权限的更改尝试。“成员服务器和域控制器基准策略”会审核策略更改的成功和失败。您会在事件日志中看到记录的下面这些事件。表 9：事件日志中的策略更改事件 事件 ID说明608分配了用户权限。609删除了用户权限。610创建了与另一个域之间的受信任关系。611删除了与另一个域之间的受信任关系。612更改了审核策略。768检测到一个目录林中的命名空间元素与另一目录林中的命名空间元素的冲突。（当一个目录林中的命名空间元素与另一目录林中的命名空间元素发生重叠，则会发生冲突。）此处要查找的两个最重要的事件为事件 ID 608 和 609。一些攻击尝试可能会导致记录这些事件。如果分配了用户权限，下面的示例都会生成事件 ID 608，如果删除了用户权限，则都生成事件 ID 609。在每种情况下，事件详细信息都会包括该用户权限分配到的特定 SID，以及分配该权限的安全主要对象的用户名： 作为操作系统的一部分请在事件详细信息中查找用户权限为 seTcbPrivilege 的事件 ID 608 和 609。 向该域添加工作站请在事件详细信息中查找用户权限为 SeMachineAccountPrivilege 的事件。 备份文件和目录请在事件详细信息中查找用户权限为 SeBackupPrivilege 的事件。 跳过遍历检查请在事件详细信息中查找用户权限为 SeChangeNotifyPrivilege 的事件。此用户权限允许用户遍历目录树，即使该用户没有访问该目录的权限也可以执行此操作。 更改系统时间请在事件详细信息中查找用户权限为 SeSystemtimePrivilege 的事件。此用户权限允许安全主要对象更改系统时间，可能会掩盖事件发生的时间。 创建永久的共享对象请在事件详细信息中查找用户权限为 SeCreatePermanentPrivilege 的事件。此用户权限的持有者可以创建文件和打印共享。 调试程序请在事件详细信息中查找用户权限为 SeDebugPrivilege 的事件。此用户权限的持有者可以连接到任何进程。在默认情况下，此权限只分配给管理员。 从远程系统强制关机请在事件详细信息中查找用户权限为 SeRemoteShutdownPrivilege 的事件。 提高日程安排优先级请在事件详细信息中查找用户权限为 SeIncreaseBasePriorityPrivilege 的事件。具有此权限的用户可以修改进程优先级。 加载和卸载设备驱动程序请在事件详细信息中查找用户权限为 SeLoadDriverPrivilege 的事件。具有此用户权限的用户可以加载特洛伊木马版本的设备驱动程序。 管理审核和安全日志请在事件详细信息中查找用户权限为 SeSecurityPrivilege 的事件。具有此用户权限的用户可以查看和清除安全日志。 替换进程级令牌请在事件详细信息中查找用户权限为 SeAssignPrimaryTokenPrivilege 的事件。具有此用户权限的用户可以更改与一个已启动子进程相关联的默认令牌。 还原文件和目录请在事件详细信息中查找用户权限为 SeRestorePrivilege 的事件。 关闭系统请在事件详细信息中查找用户权限为 SeShutdownPrivilege 的事件。具有此用户权限的用户可以关闭系统以开始新设备驱动程序的安装。 获取文件或其他对象的所有权请在事件详细信息中查找用户权限为 SeTakeOwnershipPrivilege 的事件。具有此用户权限的用户可以通过获取 NTFS 文件系统磁盘上的对象或文件的所有权，来访问这些对象或文件。注意：这些审核事件只是表示该用户权限分配到了某个特定的安全主要对象。它并不表示该安全主要对象使用该用户权限执行了任务。审核事件却可以确定何时修改了用户权限策略。Contoso 要监视所有策略更改事件。这些事件可用于进行任何故障排除或事件响应。监视组策略的更改可能非常困难，并会提供大量的非实质性警告。这主要是因为，用于编辑组策略的 MMC 管理单元 gpedit.msc 总是既带有读取权限又带有写入权限打开策略。即使没有对策略进行更改，也会向域控制器的安全日志写入策略事件 578，如下所示。 组策略管理控制台（在 Windows Server 2003 发布后不久以免费下载软件形式发布）允许授权用户无需在 gpedit.msc 中打开组策略设置即查看这些设置，从而帮助客服这些问题。有关组策略管理控制台的详细信息，请参考：保护事件日志要确保维护事件日志项以便将来参考，应采取一些步骤来保护事件日志的安全。这些步骤包括： 为所有事件日志的存储、覆盖和维护定义一个策略。该策略应定义所有必需的事件日志设置，并由组策略强制执行。 确保该策略包括如何处理已满的事件日志，尤其是安全日志。建议安全日志填满时必需关闭服务器。这对于某些环境可能不可行，但确实应考虑。 通过启用安全策略设置来防止本地来宾访问系统日志、应用程序日志和安全日志，防止对事件日志进行来宾访问。 确保既审核成功系统事件又审核失败系统事件，以确定是否存在任何想擦除安全日志内容的尝试。 强制有能力查看或修改审核设置的所有安全主要对象使用复杂的密码或双因素身份验证（如智能卡登录），防止针对这些帐户进行攻击来获取对于审核信息的访问。Contoso 在“成员服务器和域控制器组策略对象”中实现了这些设置。 除了上述步骤之外，您还应采取一些可行的措施，以确保事件日志信息尽可能最安全： 确保安全计划包括所有服务器的物理安全性，防止攻击者获取对于在其中执行审核的计算机的物理访问。攻击者可能会通过修改或删除本地磁盘子系统上的物理 *.evt 文件，来删除审核项。 请实现一种方法，以删除与该物理服务器不同位置中的事件日志，或将这些事件日志存储在与该物理服务器不同的位置中。这可能包括使用“任务计划”将事件日志写入 CD-R 或者一次写入定期读取的很多媒体中，或写入与该服务器不同的其他网络位置中。如果这些备份被复制到外部媒体（如备份磁带或者 CD-R 媒体），则在发生火灾或其他自然灾难时，该媒体应能从所处位置取出。注意：防止对事件日志进行来宾访问只能限制非域成员访问这些事件日志。在默认情况下，域中的所有用户都可访问系统日志和应用程序日志。只有安全日志的访问受到限制。指定了“Manage auditing and security log”（管理审核和安全日志）用户权限的安全主要对象可访问安全日志。在默认情况下，此用户权限只分配给管理员和 Exchange 企业服务器。其他最佳审核方法除了配置审核之外，还应实现一些其他方法，从而有效审核服务器环境的安全性。这些方法包括： 安排定期复查事件日志。 复查其他应用程序日志文件。 监视安装的服务和驱动程序。 监视打开的端口。安排定期复查事件日志 正如上面提到的，安全日志及可能生成的其他事件日志应写入可移动材料中，或合并到一个中心位置以便于进行复查。复查这些日志经常被人们遗漏。Contoso 已完成了大量的工作，确保有一人或一个部门负责将复查事件日志作为定期的任务来执行。这样的事件日志复查可安排为每天一次，也可安排为每周一次，具体取决于安全日志中收集的数据数量。通常，这根据网络中实现的审核级别而定。审核中包括的事件越多，日志项的数量就越多。如果安排了定期的事件日志复查，则有助于达到以下目标： 更快检测安全问题如果每天执行一次事件日志的复查，安全事件的保留时间永远不会超过 24 小时。这使检测和修复安全漏洞的速度变得更快。 定义责任如果要定期复查事件日志，则安排了复查日志文件任务的人员可最终负责识别潜在的攻击。 降低事件被覆盖或服务器宕机的危险一旦复查了事件日志，便可对日志文件中的事件进行存档以便将来复查，并从当前事件日志中删除。这种做法会降低事件日志填满的危险。复查其他应用程序日志文件 除了复查安全事件的 Windows 2000 事件日志之外，还应复查应用程序生成的日志。这些应用程序日志可能包括一些有关潜在攻击的有价值的信息，可以对事件日志中的信息进行补充。根据环境的具体情况，可能需要查看一个或多个下面的日志文件： Internet 信息服务 (IIS)IIS 会创建一些日志文件来跟踪 Web、文件传输协议 (FTP)、网络时间协议 (NTP) 和简单邮件传输协议 (SMTP) 服务的连接尝试。在 IIS 中运行的每个服务都维护一个单独的日志文件，这些日志文件会以万维网联合会 (W3C) 扩展式日志文件格式保存在 %WinDir%System32Logfiles 文件夹中。每个服务都维护一个单独的文件夹来进一步细分日志信息。另外，可以配置 IIS 使其将日志保存到符合开放式数据库连接性 (ODBC) 的数据库中，如 Microsoft SQL Server。 Microsoft Internet Security and Acceleration (ISA) 服务器ISA 服务器提供了数据包筛选器、ISA 服务器防火墙服务和 ISA 服务器 Web 代理服务的日志。与 IIS 一样，在默认情况下，这些日志以 W3C 扩展式日志文件格式保存，但也可记录到符合 ODBC 的数据库中。在默认情况下，ISA 服务器日志文件保存在 C:Program FilesMicrosoft ISA ServerISALogs 文件夹中。 Internet 验证服务 (IAS)IAS 使用远程验证拨号用户服务 (RADIUS) 协议为远程访问验证提供集中的验证和记帐。在默认情况下，记帐请求、身份验证请求和定期的状态请求会记录到位于 %WinDir%System32Logfiles 文件夹中的 IASlog.log 文件中。另外，日志文件可按兼容数据库的文件格式保存，而不是按 IAS 格式保存。 第三方应用程序目前有若干第三方应用程序都会实现本地记录功能，并提供有关该应用程序的详细信息。有关详细信息，请参考应用程序专属的帮助文件。注意：所有维护日志文件的计算机都应使用经过同步的时钟。这使管理员能将计算机和服务器之间的事件进行比较，以确定攻击者采取了哪些操作。有关时间同步的更多详细信息，请参考本模块后面的时间同步的重要性一节。 监视安装的服务和驱动程序 很多针对计算机的攻击通过攻击安装在目标计算机上的服务，或将有效的驱动程序替换为包括特洛伊木马的驱动程序版本，从而使攻击者能访问目标计算机达到攻击的目的。下面的工具可检查计算机上安装的服务和驱动程序： 服务控制台服务 MMC 控制台用于监视本地计算机或远程计算机上的服务，管理员能配置、暂停、停止、启动和重新启动安装的所有服务。使用此控制台可确定配置为自动启动的任何服务当前是否未启动。 Netsvc.exe此命令行工具位于“Windows 2000 Server Resource Kit”中，管理员可使用命令行远程启动、停止、暂停、继续和查询服务的状态。 SvcMon.exe这个服务监视工具会监视本地计算机和远程计算机上的服务，检查状态是否发生了更改（启动或者停止）。为了检测这些更改，该工具实现了一种轮询系统。当被监视的服务停止或者启动时，该工具会通过发送电子邮件来通知您。您必须通过使用服务监视器配置工具 (smconfig.exe) 来配置要监视的服务器、轮询间隔和服务。 Drivers.exe在运行此工具的计算机上，此工具会显示安装的所有设备驱动程序。该工具的输出包括一些信息，其中有驱动程序的文件名、磁盘上驱动程序的大小，以及链接该驱动程序的日期。链接日期可识别任何新安装的驱动程序。如果某个更新的驱动程序不是最近安装的，可能表示这是一个被替换的驱动程序。请始终将此信息与“事件查看器”中的系统重新启动事件相关联。注意：并非所有服务（如工作站服务）都可以直接停止，但您可以查询所有的服务。如果用户有很多活动的连接，则不能远程强制关闭该服务，但可以暂停或查询该服务。有些服务有另外一些依赖于它们的服务；尝试关闭这样的服务可能会失败，除非这些具有依赖性的服务首先进行了关闭。监视打开的端口 攻击首先是从执行端口扫描以识别在目标计算机上正在执行任何已知服务开始的。您应该确保仔细监视服务器上打开的那些端口，这通常表示您在自己扫描这些端口来确定哪些端口可以访问。扫描端口时，应既在该目标计算机本地执行，也在远程计算机上执行。如果可以从公共网络访问该计算机，则应从外部计算机执行端口扫描，以确信防火墙软件只允许访问所需的端口。Netstat.exe 是一个命令行实用程序，可以显示为传输控制协议 (TCP) 和用户数据报协议 (UDP) 打开的所有端口。Netstat 命令使用下列语法：复制代码 NETSTAT -a -e -n -s -p proto -r interval其中： -a：显示所有连接和侦听端口。 -e：显示以太网统计数据。这可以与 -s 选项组合使用。 -n：以数字形式显示地址和端口号。 -p proto ：显示用于 proto 所指定协议的连接；proto 可以是 TCP 或者 UDP。如果与 -s 选项一起使用来显示每个协议的统计数据，proto 可以是 TCP、UDP 或 Internet 协议 (IP)。 -r：显示路由表。 -s：显示每个协议的统计数据。在默认情况下，显示 TCP、UDP 和 IP 的统计数据；-p 选项可用于指定这些默认设置的子集。 interval：再次显示选择的统计数据，并在每个显示之间暂停 interval 指定的秒数。按 CTRL+C 组合键可停止再次显示统计数据。如果忽略此选项，Netstat 只输出当前配置信息一次。当列出本地计算机上打开的 TCP 和 UDP 端口时，端口号将根据 %WinDir%System32DriversEtc 文件夹中这些服务文件中的项目转换为名称。如果只想看到端口号，可以使用 -n 参数。如果发现的任何打开端口是不可识别的，则应对它们进行研究，确定相对应的服务在该计算机上是否必需。如果不必需，应禁用或删除这个相关联的服务，以防止计算机侦听该端口。在本指南介绍的“成员服务器和域控制器基准策略”中已禁用了一些服务。因为很多服务器都是由防火墙或数据包筛选路由器保护的，所以建议从远程计算机执行端口扫描。很多第三方工具（包括免费软件）都可用于执行远程端口扫描。远程端口扫描可揭示当外部用户尝试连接该计算机时，哪些端口可用于这些外部用户。注意：端口扫描还可用于测试入侵检测系统，确保该系统能在发生端口扫描时检测到该扫描。有关入侵检测系统的详细信息，请参考本模块后面的主动检测方法一节。返回页首 监视入侵和安全事件监视入侵和安全事件既包括被动任务也包括主动任务。很多入侵都是在发生攻击之后，通过检查日志文件才检测到的。这种攻击之后的检测通常称为被动入侵检测。只有通过检查日志文件，攻击才得以根据日志信息进行复查和再现。其他入侵尝试可以在攻击发生的同时检测到。这种方法称为“主动”入侵检测，它会查找已知的攻击模式或命令，并阻止这些命令的执行。此节内容将讲述可用于实现这两种形式的入侵检测，以保护网络免受攻击的工具。时间同步的重要性监视多个计算机之间的入侵和安全事件时，这些计算机时钟同步是至关重要的。经过同步的时间使管理员能再现针对多个计算机进行攻击时所发生的操作。如果没有同步的时间，则很难准确确定何时发生了特定的事件，以及这些事件是如何交错发生的。 被动检测方法被动入侵检测系统包括事件日志和应用程序日志的手动复查。这种检查包括对事件日志数据中的攻击模式进行分析和检测。目前有若干工具、实用程序和应用程序都可帮助复查事件日志。此节简要讲述了如何使用每个工具来整理信息。事件查看器Windows 2000 安全日志当然可以使用 Windows 2000 事件查看器 MMC 控制台进行查看。事件查看器允许查看应用程序日志、安全日志和系统日志。您可以在事件查看器中定义一些筛选器，以找出特定的事件。 在事件查看器中定义筛选器 1. 在控制台树中选择特定的事件日志。2. 从查看菜单选择“筛选器”。3. 选择筛选参数。在“属性”对话框的“筛选器”选项卡中，可定义下列属性来筛选事件项： 事件类型：该筛选器可限定为信息、警告、错误、成功审核、失败审核或任何事件类型的组合。 事件来源：生成该事件的特定服务或驱动程序。 类别：该筛选器可限定为特定的事件类别。 事件 ID：如果知道要搜索的特定事件 ID，则该筛选器可将列表显示为该特定的事件 ID。 用户：您可以将事件显示限定在特定用户生成的事件。 计算机：您可以将事件显示限定在特定计算机生成的事件。 日期间隔：您可以将显示限定在位于特定开始日期和结束日期之间的事件。应用该筛选器时，经过筛选的事件列表可导出为逗号分隔列表，或 Tab 符号分隔列表。整个列表则可导入一个数据库应用程序。正如上面提到的，Contoso 每个负责复查事件日志的管理角色都有几位成员。作为上述成员的一部分，他们会每天复查一次这些日志，找出与事件相关的监视系统没有记录的任何安全信息。转储事件日志工具 (Dumpel.exe)转储事件日志是一种命令行工具，位于“Windows 2000 Server Resource Kit, Supplement One”（Microsoft Press，ISBN: 0-7356-1279-X）。该工具会将本地系统或者远程系统的事件日志转储到一个以 Tab 符号分隔的文本文件中。然后，可将此文件导入一个电子表格或数据库中，用于进一步研究。该工具还可用于筛选或筛选出一些特定的事件类型。Dumpel.exe 工具使用的语法如下：复制代码 dumpel -f file -s serve