Chinaunix首页 | 论坛 | 博客
  • 博客访问: 283203
  • 博文数量: 54
  • 博客积分: 992
  • 博客等级: 大尉
  • 技术积分: 609
  • 用 户 组: 普通用户
  • 注册时间: 2011-04-12 20:40
文章分类

全部博文(54)

文章存档

2013年(1)

2012年(16)

2011年(37)

分类: WINDOWS

2012-02-24 17:11:03

从本篇终于要开心对windows日志进行分析了,首先从最基本的登录活动开始。这也是任何日志分析最基础的开始,涉及到对用户活动的分析,总要从登录开始咯。等等,在开始这激动人心的时刻之前,我们还是想讲清楚windows登录活动的一些原理,然后再分析相关的日志也不迟:)

从windows2000开始,审核策略选项里面涉及到登录的有两项:分别是“审核帐户登录事件”和“审核登录事件”。那么有些人可能不太明白了,为什么用户的登录要有两类事件来记录呢?ok,这里简单的解释一下(来自Randy大神,具体有待考证)。

在windows2000之前,例如NT的时候windows系统只审核登录事件。这样如果使用域帐户登录某台工作站的话,域控服务器(DC)上是没有该用户的登录记录的,只会记录在被访问的工作站上(当然前提是工作站开启了登录审核)。因此DC不记录域用户的认证活动使得想要对域用户的登录活动进行监控十分困难,得收集整个网络中所有工作站和服务器的安全日志。因此呢,微软从windows2000开始增加了一个新的特色功能,也就是“审核帐户登录事件”。但是这个叫法与原来的“审核登录事件”很像,容易让人产生混淆。因此Randy大神认为称之为“审核认证事件”更为恰当!也就是说在windows中认证和登录活动是相关但是不同的两个活动,特别是在它们发生在不同的系统上时表现更为明显!

因此想要有效地使用这两个审计策略,需要很好地理解相关的原理,明白在windows系统中认证和登录是如何发生的。另一个容易让人混淆的是登录使用帐户的类型,是本地还是域帐户,因为这会影响到什么事件记录在哪些系统上。接下来就对windows帐户类型简单介绍下。

windows系统支持两种帐户类型:域帐户(存储在AD中)和本地帐户(存储在本地的SAM文件中)。这样的话也很简单了,使用域帐户登录的话,由DC来完成对用户的认证;如果本地帐户登录的话则由要登录的工作站自己来完成认证。所以需要特别关注使用本地帐户的登录活动,因为攻击者通常会使用本地帐户来进行登录尝试。

接下来我们看看windows的登录方式都有哪些。

     windows一共支持5种登录会话类型,都分别描述了用户如何登入系统的方式。本地和域帐户都支持这5种类型。每种登录类型有一个对应的登录权限。登录帐户的类型和登录的方式都会影响到审核日志的具体内容和事件ID,每种类型及其权限如下表所示:

登录类型 登录权限 典型情况
本地交互式:使用本地的控制台登录 本地登录 使用域或者本地帐户登录本地主机
网络方式:从网络上的某个主机访问windows资源 从网络访问主机 例如访问一台主机的某个共享文件夹
远程交换式:通过远程桌面、终端服务或远程帮助登录某个远程主机 运行通过终端服务登录 使用本地mstsc客户端远程登录某台主机
批作业:用于作为一个指定的帐户来运行一个计划任务 作为批作业登录 指定计划任务时指定的以某个具体帐户来运行
服务方式:用于以指定的帐户来运行某个服务 以服务方式登录 指在指定服务运行时以本地系统帐户或者是具体某个帐户运行

当我们尝试网络登录登录时,比如访问某台主机的共享文件夹,工作站默认会再次使用用户登录时输入的凭证。但是用户也可以指定一个不同的本地或者域帐户,例如映射本地磁盘到某个共享文件夹时。

登录VS认证小结

因此,在windows中登录和认证是关联但是不同的两个活动。简言之登录活动发生在最终被访问的主机上,认证活动发生在存储用户帐户的主机上。也就是如果使用本地帐户登录某台主机,该主机同时“看到”认证和登录活动。如果是使用域帐户登录,那么DC可以“看到”认证活动,而被访问的真实主机只“看到”登录活动。

所以“审计帐户登录事件”是主要用于DC上的审计策略,但是在成员工作站上也有用,可以辨识对本地帐户的攻击。

既然通常DC来完成域帐户的认证,那么就会涉及到windows系统支持的2种认证协议:NTLM和Kerberos。

NTLM VS Kerberos

当用户使用域帐户登录windows2000及之后版本的操作系统时,工作站首先会尝试通过Kerberos协议联系DC。(如果系统没收到响应的话,会回退使用NTLM)。并且Widows2000及之后的版本使用不同的事件ID记录NTLM和Kerberos活动,所以比较容易区分。由于Kerberos提供了客户端和服务器间的双向认证(NTLM只支持客户端向服务器的认证)。并且NTLM的安全性较Kerberos弱一些,更容易被嗅探数据包进行破解。而且如果外部的攻击者攻击某个域的帐户,通常会看到NTLM认证事件,而不是Kerberos。因为他们不是本域的成员或信任域,登录尝试会使用NTLM。

NTLM和Kerberos协议的工作机理这里暂时不详细说明了,而且由于自己目前对域这一块不是很熟悉,暂且跳过使用域帐户登录方式的日志分析,先从本地用户方式的认证开始。以后有机会再搭建域的实验环境,然后进行使用域帐户的登录活动分析。
阅读(7623) | 评论(0) | 转发(0) |
0

上一篇:cisco路由器端口映射

下一篇:域用户被锁

给主人留下些什么吧!~~