如圖
[attachment=1584]
對於“登陸/註銷”來說我們重點關註 “應用程序”和“系統”這2類,“登陸/註銷”這種行為壹般發生在系統用戶和數據庫用戶,下面以壹個例子來具體說明。
比如,我以administrator身份登陸3389端口的遠程終端,那麽日誌記錄壹般為4條,同時發生。
這個審核是默認開啟的,如果想修改可以在運行中輸入gpedit.msc打開組策略,在計算機配置-windows設置-安全設置-本地策略-審核策略,即可看到對系統登陸時間的審核。
[attachment=1585]
此類日誌保存在“安全性”這壹類中
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 帳戶登錄
事件 ID: 680
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
嘗試登錄的用戶: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登錄帳戶: administrator
源工作站: TAGggg-DDD3333
錯誤代碼: 0x0
這個日誌是記錄嘗試登陸的用戶,比如妳在登陸窗口測試用戶名和密碼的話,這裏都會記載下載,如果妳發現有不是系統用戶的記錄,那麽肯定是有人在猜妳的用戶名了
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/註銷
事件 ID: 552
日期: 2010-2-4
事件: 20:52:37
用戶: NT AUTHORITY\SYSTEM
計算機: TAGggg-DDD3333
描述:
使用明確憑據的登錄嘗試:
登錄的用戶:
用戶名: TAGggg-DDD3333$
域: WORKGROUP
登錄 ID: (0x0,0x3E7)
登錄 GUID: -
憑據被使用的用戶:
目標用戶名: administrator
目標域: TAGggg-DDD3333
目標登錄 GUID: -
目標服務器名稱: localhost
目標服務器信息: localhost
調用方進程 ID: 3224
源網絡地址: 142.97.167.96
源端口: 53637
如果登陸成功,那麽將在這裏記載,如果被人拿到了3389的賬號和密碼,那麽這裏將記載ip和方式,很明顯這裏是使用憑據登陸的。
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/註銷
事件 ID: 528
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
登錄成功:
用戶名: administrator
域: TAGggg-DDD3333
登錄 ID: (0x0,0x3B5BA)
登錄類型: 10
登錄進程: User32
身份驗證數據包: Negotiate
工作站名: TAGggg-DDD3333
登錄 GUID: -
調用方用戶名: TAGggg-DDD3333$
調用方域: WORKGROUP
調用方登錄 ID: (0x0,0x3E7)
調用方進程 ID: 3224
傳遞服務: -
源網絡地址: 142.97.167.96
源端口: 53637
這條日誌最為重要,他有3個地方說明了登陸方式是遠程連接登陸桌面的,第壹個地方是登錄方式為10,這種方式是遠程交互(RemoteInteractive),說明是通過終端服務、遠程桌面或遠程協助登陸的;第二個地方就是:登錄進程: User32 ,說明是調用了user32.exe進程來登陸的。 第三個地址我們在關註壹下調用方進程ID,打開任務管理器,可以看到3224的進程是winlogen.exe,這3點都說明了這個日誌是遠程連接日誌
[attachment=1586]
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/註銷
事件 ID: 576
日期: 2010-2-4
事件: 20:52:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
指派給新登錄的特殊權限:
用戶名:
域:
登錄 ID: (0x0,0x3B5BA)
特權: SeSecurityPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeLoadDriverPrivilege
SeImpersonatePrivilege
這個日誌是說明給予登陸用戶的權限。
好了,上面就是遠程登陸的日誌了。下面介紹關於mssql的登陸日誌。我將mssql的登陸日誌分為3類:普通用戶登陸,SA登陸和系統用戶登陸。
需要開啟sql server和windows身份驗證,審核全部。點擊mssql實例,右擊屬性,在“安全性”選項卡中選擇即可
[attachment=1587]
我們重點關註SA和系統用戶的登陸。
mssql的系統用戶的登陸日誌也保存在“安全性”這類日誌中,它的日誌和遠程登陸相似,主要區別在第三個日誌,比如
復制代碼
事件類型: 審核成功
事件來源: Security
事件種類: 登錄/註銷
事件 ID: 528
日期: 2010-2-4
事件: 21:50:34
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
登錄成功:
用戶名: administrator
域: TAGggg-DDD3333
登錄 ID: (0x0,0x48EF44)
登錄類型: 5
登錄進程: Advapi
身份驗證數據包: Negotiate
工作站名: TAGggg-DDD3333
登錄 GUID: -
調用方用戶名: TAGggg-DDD3333$
調用方域: WORKGROUP
調用方登錄 ID: (0x0,0x3E7)
調用方進程 ID: 444
傳遞服務: -
源網絡地址: -
源端口: -
可以看到這個日誌的源網絡地址和源端口為空。登錄類型為5,了解過windows登陸類型的知道這是以服務的方式來登陸的,登錄進程為Advapi ,是因mssql調用了LogonUser(管理員)(API call to LogonUser)”,從而產生了登錄事件,調用方進程ID為444即serverices.exe的進程,在看到這個日誌的最開始妳可能會以為被入侵了,其實不然,當然每個情況不壹樣,要具體分析,因為像黑洞的遠程登陸日誌應當也是這樣,他也是采用服務來登陸系統。我上面的這個mssql日誌比較特殊,因為我是調用administrator來啟動mssql的,而不是system,所以第壹眼看到這個日誌感覺可能中招了的想法是正確的,請仔細勘察。
MSSQL的用戶登陸日誌都保存在“應用程序”中,普通網站所用數據庫用戶的登陸,壹般為
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:41:06
用戶: N/A
計算機: TAGggg-DDD3333
描述:
18454:
用戶 'dbxxxxx' 登錄成功。連接: 非信任。
在系統用登陸mssql是在這裏也會有記載
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:42:37
用戶: TAGggg-DDD3333\administrator
計算機: TAGggg-DDD3333
描述:
18453:
用戶 TAGggg-DDD3333\administrator' 登錄成功。連接: 信任。
可能同時還伴隨會產生這樣壹個日誌
復制代碼
描述:
8128:
使用 'xplog70.dll' 版本 '2000.80.2039' 來執行擴展存儲過程 'xp_msver'。
壹個返回有關服務器的實際內部版本號的信息以及服務器環境的有關信息的擴展存儲
下面說SA的日誌。
sa登陸成功日誌:
事件類型: 信息
復制代碼
事件來源: MSSQLSERVER
事件種類: (4)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:21
用戶: N/A
計算機: TAGggg-DDD3333
描述:
18454:
用戶 'sa' 登錄成功。連接: 非信任。
如果看到這樣的日誌那麽妳的小心了,SA密碼已經被人拿去了。
如果執行遊覽文件功能,那麽會產生這樣的日誌
復制代碼
事件類型: 信息
事件來源: MSSQLSERVER
事件種類: (2)
事件 ID: 17055
日期: 2010-2-4
事件: 21:02:45
用戶: N/A
計算機: TAGggg-DDD3333
描述:
8128:
使用 'xpstar.dll' 版本 '2000.80.2039' 來執行擴展存儲過程 'xp_dirtree'。