Windows 2000 审核和入侵检测(7)_动易Cms教程

• 加载和卸载设备驱动程序
请查找指定了 SeLoadDriverPrivilege 用户访问权限的事件 ID 577 或 578。事件具体信息表明了使用此用户权限的用户帐户。此事件表明，用户尝试加载一个未授权版本的设备驱动程序或者特洛伊木马版本（一种恶意代码）的设备驱动程序。

• 治理审核和安全日志
请查找指定了 SeSecurityPrivilege 用户访问权限的事件 ID 577 或 578。事件具体信息表明了使用此用户权限的用户帐户。在事件日志被清除，以及特权使用的事件被写入安全日志时，都会发生此事件。

• 关闭系统
请查找指定了 SeShutdownPrivilege 访问特权的事件 ID 577。事件具体信息表明了使用此用户权限的用户帐户。此事件会在尝试关闭计算机时发生。

• 获取文件或其他对象的所有权
请查找指定了SeTakeOwnershipPrivilege 访问特权的事件 ID 577 或 578。事件具体信息表明了使用该用户权限的用户帐户。此事件表明，某个攻击者正在尝试通过获取对象的所有权来绕过当前的安全设置。


Contoso 专门监视表明正常关机或从远程系统强制关机的所有事件，以及表明已修改了审核和安全日志的所有事件。

进程跟踪
假如要审核基于 Windows 2000 计算机中运行的进程的具体跟踪信息，事件日志会显示创建进程和结束进程的尝试。它还会记录进程尝试生成对象句柄的行为，或获取对象间接访问的行为。

由于生成的审核项很多，所以“成员服务器和域控制器基准策略”不会启用进程跟踪审核。但是，假如选择审核成功和失败，则事件日志中会记录下列事件 ID。

表 7：事件日志中的进程跟踪事件

事件 ID 说明
592
创建了新进程。

593
退出进程。

594
复制对象句柄。

595
获取了对象的间接访问。


Contoso 不监视任何进程跟踪事件，并且不在任何服务器策略中启用这些监视。

系统事件
系统事件是在用户或进程更改计算机环境的部分内容时生成的。您可以审核对系统进行更改的尝试，如关闭计算机或者更改系统时间。

假如审核系统事件，还应审核何时清除了安全日志。这非常重要，因为攻击者常会尝试在对环境进行更改之后清除他们的行踪。

“成员服务器和域控制器基准策略”会审核系统事件的成功和失败。这会在事件日志中生成下列事件 ID。

表 8：事件日志中的系统事件

事件 ID 说明
512
Windows 正在启动。

513
Windows 正在关机。

514
本地安全机构加载了身份验证程序包。

515
本地安全机构注册了一个受信任的登录进程。

516
为了对安全事件消息进行排队而分配的内部资源已用完，导致某些安全事件消息丢失。

517
清除了安全日志。

518
安全帐户治理器加载了一个通知程序包。


您可以使用下面这些事件 ID 来获取部分安全问题：

• 计算机关机/重新启动
事件 ID 513 会显示关闭 Windows 时的每个实例。了解服务器何时关机或重新启动非常重要。其中有部分合理的原因，如安装的某个驱动程序或应用程序要求重新启动，或要关机或重新启动服务器以便维护。但是，攻击者可能还会为了在启动过程中获取对于系统的访问权限来强制服务器重新启动。所有发生的计算机关机情况都应注重，并与事件日志进行比较。

很多攻击都涉及计算机重新启动。研究这些事件日志可确定服务器何时进行了重新启动，以及重新启动是计划的还是非计划的。事件 ID 513 显示 Windows 正在启动，同时，在系统日志中还会自动生成一系列其他事件。这些其他事件包括事件 ID 6005，表示已启动了事件日志服务。

除了此项之外，还请查找系统日志中存在的两个不同事件日志项中的其中一个。假如上一次关机正常（如治理员重新启动了计算机），系统日志中会记录事件 ID 6006，“the Event Log service was stopped”（事件日志服务已停止）。通过检查该项目的具体信息，可以确定哪个用户执行了这次关机。

查看更多 动易Cms教程  动易Cms模板