Windows 2000 审核和入侵检测(3)_动易Cms教程

683
用户在未注销的情况下断开终端服务会话。此事件是在用户通过网络连接终端服务会话时生成的。它出现在终端服务器上。


使用登录事件项可诊断下面的安全事件：

• 本地登录尝试失败
下列任意事件 ID 都表示登录尝试失败：529、530、531、532、533、534 和 537。假如攻击者使用本地帐户的用户名和密码组合，但并未猜出，则看到事件 529 和 534。但是，假如用户忘记了密码，或通过“网上邻居”浏览网络，也可能产生这些事件。

在大型环境中，可能很难有效说明这些事件。作为一种规则，假如这些模式重复发生，或符合其他一些非正常因素，则应研究这些模式。例如，半夜，在发生若干 529 事件后发生了 528 事件，可能表示密码攻击成功（或治理员非常疲惫）。

• 帐户滥用
事件 530、531、532 和 533 表示用户帐户被滥用。这些事件表示输入的帐户/密码组合是正确的，但由于其他一些限制而阻止了成功登录。只要有可能，请仔细研究这些事件，确定是否发生了滥用，或是否需要修改当前的限制。例如，可能需要延长帐户的登录时间。

• 帐户锁定
事件 539 表示帐户已被锁定。这表示密码攻击已失败。您应查找同一用户帐户以前产生的 529 事件，尝试弄清登录的模式。

• 终端服务攻击
终端服务会话可能停留在连接状态，使一些进程得以在会话结束后继续运行。事件 ID 683 表示用户没有从终端服务会话注销，事件 ID 682 表示发生了到上一个已断开连接会话的连接。


Contoso 监视大量的登录尝试失败和大量帐户锁定。在这样的环境中，由于一些合理的原因，常要让用户将终端服务会话保持断开状态。

帐户登录事件
当用户登录域时，这种登录在域控制器中处理。假如在域控制器中审核帐户登录事件，则会在验证该帐户的域控制器上记录此登录尝试。帐户登录事件是在身份验证程序包验证用户的凭据时创建的。只有使用域凭据，才会在域控制器的事件日志中生成帐户登录事件。假如提供的凭据为本地安全帐户治理器 (SAM) 数据库凭据，则会在服务器的安全事件日志中创建帐户登录事件。

因为帐户登录事件可能会记录在域的任何有效域控制器中，所以必须确保将各域控制器中的安全日志合并，以分析该域中的所有帐户登录事件。

注重：与登录事件相同，帐户登录事件既包括计算机登录事件，也包括用户登录事件。

作为“成员服务器和域控制器基准策略”的一部分，成功和失败的帐户登录事件都应启用审核。因此，应能看到网络登录和终端服务身份验证的下列事件 ID。

表 2：事件日志中的帐户登录事件

事件 ID 说明
672
身份验证服务 (AS) 票证已成功签发和验证。

673
已授予票证授予服务 (TGS) 票证。

674
安全主要对象续订了 AS 票证或 TGS 票证。

675
预身份验证失败。

676
身份验证票证请求失败。

677
未授予 TGS 票证。

678
某个帐户已成功映射到域帐户。

680
标识成功登录的帐户。此事件还指出了验证帐户的身份验证程序包。

681
尝试域帐户登录。

682
用户重新连接一个已断开的终端服务会话。

683
用户在没有注销的情况下断开了终端服务会话。


对于每个这样的事件，事件日志都会显示每个特定登录的具体信息。使用帐户登录事件项可诊断下面的安全事件：

• 域登录尝试失败
事件 ID 675 和 677 表明登录域的尝试失败。

• 时间同步问题
假如客户计算机的时间与身份验证域控制器的时间不同，多了五分钟（默认情况），则安全日志中显示事件 ID 675。

• 终端服务攻击
终端服务会话可能停留在连接状态，使一些进程得以在会话结束之后继续运行。事件 ID 683 表示用户没有从终端服务会话注销，事件 ID 682 则表示发生了到上一个已断开连接会话的连接。要防止断开连接，或要终止这些已断开的会话，请在“终端服务配置”控制台中的 RDP-TCP 协议属性中定义“time interval to end disconnected session”（结束已断开会话的时间间隔）。

查看更多 动易Cms教程  动易Cms模板