Windows 2000 审核和入侵检测(8)_动易Cms教程

假如这次重新启动是一种非预期的重新启动，系统日志中会记录事件 ID 6008，“the previous system shutdown at <time> on <date> was unexpected”（在 <time> ，<date> 发生的上次系统关机是非预期的。）这可能表明一个拒绝服务 (DoS) 导致了计算机关机。但请记住，这也可能由于电源故障或设备驱动程序故障。

假如由导致蓝屏的停止错误引发重新启动，系统日志中会记录事件 ID 1001，其中带有 Save Dump 的源数据。在事件具体信息中可以复查真正的停止错误消息。

注重：要将事件 ID 1001 项的记录包括在内，必须选中“将事件写入系统日志”选项，启用“系统控制面板”小程序中的恢复设置部分。

• 修改或清除安全日志
攻击者可能尝试修改安全日志、在攻击过程中禁用审核，或清除安全日志来防止检测。假如发现某时间段安全日志中没有任何项，应查看事件 ID 612 和 517，确定哪个用户修改了审核策略。出现的所有事件 ID 517 都应与一个表明清除安全日志的所有次数的物理日志进行比较。未授权的安全日志清除可能是要隐藏以前安全日志中存在的事件。清除了该日志的用户名包括在事件具体信息中。


Contoso 监视了计算机关机或重新启动，以及安全日志的清除操作。

策略更改
审核策略定义了要审核哪些环境更改，这可帮助您确定是否存在攻击环境的企图。但有心的攻击者会设法更改该审核策略本身，以便不被审核所进行的任何更改。

假如要审核策略更改，则将显示更改审核策略的尝试，以及对其他策略和用户权限的更改尝试。“成员服务器和域控制器基准策略”会审核策略更改的成功和失败。您会在事件日志中看到记录的下面这些事件。

表 9：事件日志中的策略更改事件

事件 ID 说明
608
分配了用户权限。

609
删除了用户权限。

610
创建了与另一个域之间的受信任关系。

611
删除了与另一个域之间的受信任关系。

612
更改了审核策略。

768
检测到一个目录林中的命名空间元素与另一目录林中的命名空间元素的冲突。（当一个目录林中的命名空间元素与另一目录林中的命名空间元素发生重叠，则会发生冲突。）


此处要查找的两个最重要的事件为事件 ID 608 和 609。一些攻击尝试可能会导致记录这些事件。假如分配了用户权限，下面的示例都会生成事件 ID 608，假如删除了用户权限，则都生成事件 ID 609。在每种情况下，事件具体信息都会包括该用户权限分配到的特定 SID，以及分配该权限的安全主要对象的用户名：

• 作为操作系统的一部分
请在事件具体信息中查找用户权限为 seTcbPrivilege 的事件 ID 608 和 609。

• 向该域添加工作站
请在事件具体信息中查找用户权限为 SeMachineAccountPrivilege 的事件。

• 备份文件和目录
请在事件具体信息中查找用户权限为 SeBackupPrivilege 的事件。

• 跳过遍历检查
请在事件具体信息中查找用户权限为 SeChangeNotifyPrivilege 的事件。此用户权限答应用户遍历目录树，即使该用户没有访问该目录的权限也可以执行此操作。

• 更改系统时间
请在事件具体信息中查找用户权限为 SeSystemtimePrivilege 的事件。此用户权限答应安全主要对象更改系统时间，可能会掩盖事件发生的时间。

• 创建永久的共享对象
请在事件具体信息中查找用户权限为 SeCreatePermanentPrivilege 的事件。此用户权限的持有者可以创建文件和打印共享。

• 调试程序
请在事件具体信息中查找用户权限为 SeDebugPrivilege 的事件。此用户权限的持有者可以连接到任何进程。在默认情况下，此权限只分配给治理员。

查看更多 动易Cms教程  动易Cms模板