windows系統(tǒng)中可以通過什么進行系統(tǒng)日志的審計

WindowsNT/2000的系統(tǒng)日志文件有應(yīng)用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系統(tǒng)日志SysEvent.Evt，根據(jù)系統(tǒng)開通的服務(wù)還會產(chǎn)生相應(yīng)的日志文件。例如，DNS服務(wù)器日志DNS Serv.evt，F(xiàn)TP日志、WWW日志等。

站在用戶的角度思考問題，與客戶深入溝通，找到阿榮網(wǎng)站設(shè)計與阿榮網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、域名注冊、虛擬空間、企業(yè)郵箱。業(yè)務(wù)覆蓋阿榮地區(qū)。

日志文件默認存放位置：%systemroot%\system32\config，默認文件大小512KB。這些日志文件在注冊表中的位置為HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，可以修改相應(yīng)鍵值來改變?nèi)罩疚募拇娣怕窂胶痛笮　?/p>

概述

查看系統(tǒng)日志方法：開始→設(shè)置→控制面板→管理工具中找到的“事件查看器”，或者在【開始】→【運行】→輸入 eventvwr.msc 也可以直接進入“事件查看器”在“事件查看器”當(dāng)中的系統(tǒng)日志中包含了windows XP 系統(tǒng)組建記錄的事件，在啟動過程中加載驅(qū)動程序和其他一些系統(tǒng)組建的成功與否都記錄在系統(tǒng)日志當(dāng)中。

可從以下哪幾方面審計windows系統(tǒng)是否存在后門

1、可以從查看服務(wù)信息審計。

2、可以從查看驅(qū)動信息審計。

3、可以從查看注冊表鍵值審計。

4、可以從查看系統(tǒng)日志審計等方面審計。

windows系統(tǒng)怎樣部署日志審計系統(tǒng)

微軟系統(tǒng)中任何關(guān)于如何限制或控制管理員權(quán)限的討論通常都會得到這樣的結(jié)果：你怎樣才能不把管理權(quán)限送給那些你不信任的人?這有一定道理，但是在沒有證據(jù)表明管理員做錯了事情的情況下，如何才能正確判斷一個管理員是否值得信任呢?再者，你如何證明你的判斷呢?你不能剝奪一個域管理員太多權(quán)限，尤其是在每個域都要管理的多網(wǎng)域環(huán)境下，所以說有時候限制管理員的權(quán)利和授權(quán)活動這項工作很難實現(xiàn)。輔助人員和供給人員通常也需要具有管理權(quán)利，而且有時政治需求還會需要更多的管理人員。所以，真正的問題是，你如何去審計一個管理員?雖然答案是只要啟用審計就行了，但是只是簡單地啟用審計功能并不能解決所有的問題。舉例來說，我最近與許多管理員一起進行了一項大型的活動目錄部署活動。他們有一個應(yīng)用程序，使用特定的用戶對象屬性提供對該應(yīng)用程序的連接。站在安全相關(guān)立場，他們發(fā)現(xiàn)管理員可以禁用審計功能，修改一些關(guān)鍵的屬性，并且可以對該應(yīng)用程序做壞事。然后該管理員可以重新啟用審計功能而不會被覺察---甚至WindowsServer2008R2的屬性審計功能也是如此。啟用審計功能的時候，系統(tǒng)可以記錄足夠的事件，從中可以看出誰改變了對象，以及誰改變了屬性。但是由于審計功能被禁用，所有這方面的證據(jù)都消失了。

Wazuh功能——審計 who-data

審核who-data

新版本3.4.0。

從3.4.0版本開始，Wazuh集成了一項新功能，可以從監(jiān)控文件中獲取who-data。

此信息包含對監(jiān)控文件進行更改的用戶，以及用于執(zhí)行這些更改的程序名或進程。

一、在Linux中審計who-data

who-data監(jiān)視功能使用Linux審計子系統(tǒng)獲取關(guān)于誰在監(jiān)視目錄中進行了更改的信息。這些更改產(chǎn)生審計事件，這些審計事件由syscheck處理并報告給經(jīng)理。

1、配置

首先，我們需要檢查審計守護進程是否安裝在我們的系統(tǒng)中。

在基于RedHat的系統(tǒng)中，Auditd通常是默認安裝的。如果沒有安裝，我們需要使用以下命令進行安裝:

# yum install audit

對于基于Debian的系統(tǒng)，請使用以下命令:

# apt install auditd

下一步是配置syscheck，以便在我們的ossec.conf文件的所選文件夾中啟用whodata監(jiān)視:

添加此配置后，我們需要重新啟動Wazuh來應(yīng)用更改。

我們可以檢查是否應(yīng)用了用于監(jiān)視所選文件夾的審計規(guī)則。要檢查這一點，我們需要執(zhí)行以下命令

# auditctl -l | grep wazuh_fim

并檢查是否添加了規(guī)則

當(dāng)代理停止時，我們可以使用相同的命令檢查添加的規(guī)則是否已成功刪除。

2、警報字段

當(dāng)啟用whodata時，在FIM警報中接收到以下字段:

3、警報的例子

在下面的示例中，我們可以看到用戶Smith是如何向文件/etc/hosts.添加新IP的允許使用具有sudo權(quán)限的nano編輯器:

日志格式警告:

JSON格式的警告:

二、在Windows中審計who-data

1、它是如何工作的

who-data監(jiān)視功能使用Microsoft Windows審計系統(tǒng)獲取關(guān)于誰在監(jiān)視目錄中進行了更改的信息。這些更改產(chǎn)生審計事件，這些審計事件由syscheck處理并報告給管理者。兼容大于Windows Vista的系統(tǒng)。

2、配置

要在whodata模式下啟動監(jiān)視，必須正確配置要監(jiān)視的目錄的SACL。Wazuh在啟動ossec.conf文件中標(biāo)記whodata="yes"的目錄時自動執(zhí)行此任務(wù):

系統(tǒng)審計策略也需要正確配置。對于大多數(shù)受支持的Windows系統(tǒng)，這部分也是自動完成的。如果您的系統(tǒng)優(yōu)于Windows Vista，但審計策略無法自配置，請參閱配置本地審計策略指南。

三、警報字段

啟用whodata時，將收到以下字段:

四、警報的例子

日志格式警告:

JSON格式的警告:

如何使用LC工具審計windows賬戶

LC工具不是審計工具，所以是無法進行賬戶的審計的。

LC工具是安裝于Windows操作系統(tǒng)的電腦，用于打印機打印各類標(biāo)簽編碼的軟件。并可以用于審計。

“Microsoft帳戶”（也稱“微軟賬戶”，英文"MicrosoftAccount"）是以前的“WindowsLiveID”的新名稱。你的Microsoft帳戶是你用于登錄Outlook、OneDrive、WindowsPhone或XboxLive等服務(wù)的電子郵件地址和密碼的組合。