Всем привет, мы снова встретились, я ваш друг Цюаньчжаньцзюнь.

Среда, используемая в этой статьедля Метод строительства, представленный в моем предыдущем блоге.。Пожалуйста, перейдите по конкретной ссылкепересылка журналов Windows_пересылка журналов leeezp-CSDN blog_windows Установить ewk (es+winlogbeat+kibana) Переслать блог хоста log_leeezp — блог CSDN

В этой статье описывается соответствие между событиями Windows и журналами.

0x00 Вход в систему подключения к удаленному рабочему столу (mstsc)

Добавьте фильтрацию host.name, event.action, winlog.event_data.LogonProcessName, winlog.event_data.LogonType,process.name, winlog.event_id в кибане.

Есть три события для успешного входа в систему:

Тип входа в систему 10,RemoteInteractive

Это означает «удаленный вход по протоколу rdp».

Fantastic Windows Logon types and Where to Find Credentials in Them

Идентификатор события — 4648, что означает «

Это событие генерируется, когда процесс пытается войти в учетную запись, явно указав учетные данные учетной записи.

Чаще всего это происходит в конфигурациях пакетного типа (например, запланированных задачах) или при использовании команды «RUNAS».

”

4648 (S) Попытка войти в систему, используя явные учетные данные. (Windows 10) – Безопасность Windows Microsoft Docs

Если вход не удался и вы не видите журнал в средстве просмотра событий Windows — Журнал Windows — Безопасность, это может быть связано с тем, что аудит локальной политики безопасности Windows не включен. (может быть связано с версией Windows или локальной конфигурацией)

Откройте локальную политику безопасности и введите secpol.msc в cmd. Если сообщается об ошибке «Попытка сослаться на несуществующий токен»,

Скопируйте C:\Windows\System32\secpol.msc в другой каталог, например на рабочий стол, и дважды щелкните его, чтобы открыть.

В «Политике аудита» — «Аудит событий входа в систему» ​​включите журналы «Успех» и «Неудача»:

После настройки вход в систему mstsc снова завершается неудачей. В журнале безопасности можно увидеть сигнал тревоги о сбое входа в систему с идентификатором 4625:

Если локальная политика безопасности не настроена на включение аудита входа в систему, есть еще одно место, где вы можете найти некоторые подсказки в журналах:

Hi,

You may view the Remote Desktop connection client ip address information in the following logs:

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-LocalSessionManager

Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Event Viewer\Windows Logs\Security  (Event ID: 4624, Logon Type: 10)

-TP

Logging IP adderess during remote desktop connection

Я Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager

Он точно соответствует 15 неудачным попыткам входа в мой словарь паролей.

Не удалось войти в систему. Я не знаю, почему существует журнал успешной аутентификации 1149.

Этот журнал можно использовать для аудита неудачных удаленных входов в систему, но нельзя проверять успешные входы в систему. Чтобы успешно войти в систему, вам все равно необходимо заранее включить локальную политику безопасности для аудита событий входа в систему.

В журнале успешного взрыва среди многих 4625 фигурирует 4624, а тип входа — все 10.

Если вы видите 4778 или 4779, это означает, что вошедший в систему пользователь мог быть удален во время взрыва.

0x01 вход в учетную запись администратора UAC

Генерируются три события:

consent.exe означает“когда пользовательвключатьКонтроль учетных записей пользователей（UAC）функция,Когда программа хочет изменить или использовать некоторые функции, которые можно выполнить только с относительно высокими разрешениями.、Также, когда вы используетеадминистраторКогда учетная запись запускает программу,Появится диалоговое окно,Спрашивает, хотите ли вы разрешить программе изменять настройки компьютера.,Процесс этого диалогового окна — согласие.exe».

согласие.exe_Энциклопедия Baidu

4672 (S) Специальные разрешения, назначенные новым логинам. (Windows 10) – Безопасность Windows Microsoft Docs

Ошибка 4672 часто запускается при входе в систему пользователей с правами администратора или выше.

0x02 mimikatz sekurlsa::ekeys отображает ключи шифрования Kerberos

По умолчанию Windows не оставляет журнал безопасности для этой операции. (Протестировано в нескольких средах Win7)

Включите локальную безопасность — аудит привилегированного использования

Выполнить привилегию mimikatz::debug при запуске::ekeys

SeTcbPrivilege

Эта привилегия отмечает, что ее владелец является частью операционной системы. Процесс с этой привилегией может использовать LsaLogonUser() для выполнения таких операций, как создание токена входа, и, следовательно, может действовать как любой пользователь.

После многих тестов тревоги двух файловых систем появились практически одновременно с этой тревогой, что можно расценивать как события, генерируемые этой операцией одновременно.

Заявление об авторских правах: Содержание этой статьи добровольно предоставлено пользователями Интернета, а мнения, выраженные в этой статье, представляют собой только точку зрения автора. Данный сайт лишь предоставляет услуги по хранению информации, не имеет никаких прав собственности и не несет соответствующей юридической ответственности. Если вы обнаружите на этом сайте какое-либо подозрительное нарушение авторских прав/незаконный контент, отправьте электронное письмо, чтобы сообщить. После проверки этот сайт будет немедленно удален.

Издатель: Лидер стека программистов полного стека, укажите источник для перепечатки: https://javaforall.cn/195996.html Исходная ссылка: https://javaforall.cn