<系統(tǒng)安全運(yùn)維> ?Server 2008 R2 事件查看器實(shí)現(xiàn)日志分析?

在 windows server 2008 R2 中，可以通過點(diǎn)擊 "開始" -> "管理工具" -> "事件查看器" ，來打開并查看各種類型的系統(tǒng)內(nèi)置日志記錄；讓我們來做一個(gè)實(shí)際練習(xí)：使用事件查看器檢查各種帳戶的登錄事件，包括系統(tǒng)內(nèi)置的特殊帳戶，以及大家熟悉的 administrator 管理員帳戶。

一般而言，在啟動服務(wù)器后，一個(gè)叫做 winlogon.exe 的進(jìn)程會先以?

NT AUTHORITY\SYSTEM?(帳戶域\帳戶權(quán)限)登錄，然后進(jìn)入要求用戶鍵入 ctrl + alt + del 并輸入帳密的登錄界面，此時(shí)，winlogon.exe?檢查并驗(yàn)證用戶的輸入，通常的做法是將用戶鍵入的密碼以某種哈希算法生成密文，將其與 SAM 數(shù)據(jù)庫文件中的密文進(jìn)行比對，如果一致則該賬戶通過驗(yàn)證并登錄，然后賦予相應(yīng)的權(quán)限。

所有這些過程都會被記錄進(jìn)系統(tǒng)內(nèi)置的"安全"類型日志，可以通過事件查看器瀏覽；

除了 winlogon.exe 進(jìn)程外，其它一些系統(tǒng)進(jìn)程也會在用戶登錄前，使用特殊帳戶先行登錄。這些登錄事件同樣可以在事件查看器中一覽無遺，

(例如，一個(gè)叫做 services.exe 的系統(tǒng)服務(wù)進(jìn)程，使用 NT AUTHORITY\SYSTEM (帳戶域\帳戶權(quán)限)登錄，然后它會創(chuàng)建數(shù)個(gè) svchost.exe 子進(jìn)程，而每個(gè)?svchost.exe 進(jìn)程都會啟動并納宿一些基本的 windows 服務(wù)，而許多用戶空間的應(yīng)用程序?qū)⑹褂眠@些服務(wù)，實(shí)現(xiàn)它們的功能)

下面結(jié)合圖片講解事件查看器在這兩個(gè)場景中的應(yīng)用：

一,首先按照上述步驟打開事件查看器,在左側(cè)窗口中展開 "Windows 日志"節(jié)點(diǎn),選取"安全"項(xiàng)目,此時(shí)在中間的窗口會列出自系統(tǒng)安裝以來,記錄的所有安全事件,假設(shè)我們要查看最近 24 小時(shí)以內(nèi)的帳戶登錄與驗(yàn)證,審核,權(quán)力指派等事件,可以在"安全"項(xiàng)目上右擊鼠標(biāo),在彈出的上下文菜單中選擇"篩選當(dāng)前日志(L)"

二,在打開的對話框中,切換到"篩選器"標(biāo)簽,在"記錄時(shí)間(G)"右側(cè)的下拉列表中,選擇"近 24 小時(shí)",然后點(diǎn)擊下方的確定按鈕

三,顯示出篩選的結(jié)果,下面這張圖顯示了在 24 小時(shí)內(nèi)紀(jì)錄的 73 項(xiàng)安全事件(Microsoft Windows 安全審核是準(zhǔn)確的稱呼),你可以按照日期與時(shí)間列排序事件,或者按照事件ID,任務(wù)類別(我覺得翻譯成事件類別會比較好理解)來排序時(shí)間,

我們關(guān)注的是"登錄"與"特殊登錄"事件,因此需要選擇以任務(wù)類別排序.

下圖中沒有按照任務(wù)類別排序,而是默認(rèn)按照日期與時(shí)間排序,其優(yōu)點(diǎn)是,可以追蹤在系統(tǒng)啟動過程中,哪個(gè)系統(tǒng)進(jìn)程使用哪個(gè)系統(tǒng)內(nèi)置帳戶登錄,并且可以直觀地看出它們之間的先后次序.

通過上面的分析,你是否已經(jīng)直觀地感受到事件查看器的強(qiáng)大功能?

下面讓我們再看另一個(gè)例子:使用事件查看器瀏覽,因遠(yuǎn)程過程調(diào)用(RPC)服務(wù)啟動失敗,導(dǎo)致我們無法以管理員登錄 windows server 2008 R2 的事件記錄.

先糾正一個(gè)普遍存在的錯(cuò)誤理解;

RPC 監(jiān)聽在本地環(huán)回(127.0.0.1)地址的 135 端口,出于安全考慮,很多人會將這個(gè)端口關(guān)閉,以阻止蠕蟲病毒與***者***,但是我們會發(fā)現(xiàn)這個(gè)地址上的 135 端口始終關(guān)不掉而因此憂心忡忡;

其實(shí),127.0.0.1:135 是必須的,如果該端口不打開,則說明 RPC 服務(wù)沒有啟動,從而導(dǎo)致很多依賴 RPC 的其它系統(tǒng)服務(wù)無法啟動,

再說,除非你手動通過 services.msc 服務(wù)管理器來禁用它,否則通過其它手段是很難關(guān)閉的(包括修改注冊表鍵值),

我們真正應(yīng)該關(guān)閉并警惕的,是那些監(jiān)聽在非本地環(huán)回的 135 端口,例如 192.168.0.1:135 ,因?yàn)檫@個(gè)地址是可以與遠(yuǎn)程主機(jī)的地址通信的,***者可以掃描監(jiān)聽在這個(gè)地址端口上的程序漏洞,并遠(yuǎn)程執(zhí)行惡意代碼(通過 Metasploit 即可辦到),從而***我們的服務(wù)器.

如果關(guān)不掉,也可以使用 windows 高級防火墻來禁止該地址端口上的出入站流量.

總之,本地環(huán)回的 135 端口是必須打開的,這并非是惡意軟件,***程序開放的端口,否則你連 windows 桌面都無法登錄.

如果無法登錄 windows server 2008 R2 服務(wù)器的桌面,并且系統(tǒng)提示 RPC 服務(wù)啟動失敗,無法讀取用戶 profile ,那么可以進(jìn)入安全模式,運(yùn)行?services.msc?,找到其中的?Remote Procedure Call (RPC) 以及?RPC Endpoint Mapper(RpcEptMapper)?,將這兩個(gè)服務(wù)設(shè)置為自動啟動,然后運(yùn)行 msconfig ,

在"服務(wù)"標(biāo)簽中,確保勾選了?RPC Endpoint Mapper ,點(diǎn)確定后重啟系統(tǒng),以正常模式進(jìn)入,應(yīng)該就能用管理員賬戶登錄了.

下圖給出了一個(gè)事件查看器中的一項(xiàng) RPC 服務(wù)啟動失敗信息:

為了深入理解RPC-EPMAP（即RPC Endpoint Mapper，下文簡稱RPC端點(diǎn)映射）使用的135端口，以及RPCSS（遠(yuǎn)程過程調(diào)用，下文簡稱RPC）使用的動態(tài)端口，考慮下面的例子：

現(xiàn)在有2臺windows server 2008 R2 服務(wù)器A與B，A的IP為192.168.5.1；B的IP為192.168.5.2，A要“遠(yuǎn)程管理”B上的windows高級安全防火墻，就需要在兩臺計(jì)算機(jī)上都啟用RPC-EPMAP與RPC服務(wù)，首先在B的命令行輸入：

netsh?advfirewall?set?currentprofile?settings?remotemanagement?enable

這等同于將該服務(wù)器上的高級安全windows防火墻中，針對當(dāng)前活動的配置文件（專用/公用/域）的入站策略的預(yù)定義規(guī)則中的 “windows防火墻遠(yuǎn)程管理（RPC）”以及“windows防火墻遠(yuǎn)程管理（RPC-EPMAP）”這2條規(guī)則啟用，查看B的高級安全防火墻，發(fā)現(xiàn)RPC-EPMAP的本地端口為終結(jié)點(diǎn)映射器，實(shí)際上就是TCP的135端口（后面截圖會驗(yàn)證）；RPC的本地端口為動態(tài)端口：

然后在A計(jì)算機(jī)上，通過MMC去遠(yuǎn)程連接B（192.168.5.2）的高級安全防火墻：

?

仔細(xì)檢視上面2張圖，它驗(yàn)證了前面我們討論的關(guān)于RPC使用的端口的內(nèi)容；如果在services.msc 中，將B上的RPC-EPMAP 服務(wù)停止或禁用，（如果無法禁用，根據(jù)netstat -ano 列出的B上打開TCP 135端口的PID，就可以在任務(wù)管理器中找到啟動RPC-EPMAP 服務(wù)的svchost.exe進(jìn)程，將其殺掉，TCP 135端口就關(guān)閉了）

此時(shí)我們就無法在A上遠(yuǎn)程管理B上的高級安全防火墻。由此可知，RPC-EPMAP是很重要的基礎(chǔ)系統(tǒng)服務(wù)，不僅遠(yuǎn)程管理防火墻和RPC動態(tài)端口服務(wù)依賴于它，一堆系統(tǒng)服務(wù)也構(gòu)建在它之上。

下面是services.msc中關(guān)于該服務(wù)的解釋：

解析RPC接口標(biāo)識符以傳輸端點(diǎn)，如果此服務(wù)被停止或禁用（實(shí)質(zhì)上就是關(guān)閉了本地環(huán)回或0.0.0.0上的TCP135端口），使用遠(yuǎn)程過程調(diào)用（RPC）服務(wù)的 程序?qū)o法正常運(yùn)行。

綜上所述，在服務(wù)器上，我們應(yīng)該通過正確的配置防火墻策略來在出入站方向限制對本地打開的TCP 135端口發(fā)起的連接，而不是盲目的將其關(guān)閉，作為生產(chǎn)服務(wù)器關(guān)閉該端口的后果是很嚴(yán)重的。

**********************

關(guān)于日志存儲與清除的一般性原則

如果你任職的企業(yè)組織對于系統(tǒng)日志的存儲要求比較嚴(yán)格,例如,每一種類型的操作都要記錄下來并持續(xù)保留一段時(shí)間,那么就要制訂好日志的存儲與清除策略.

在事件查看器左側(cè)的日志樹中,只有"windows 日志"以及"應(yīng)用程序和服務(wù)日志"這兩個(gè)節(jié)點(diǎn)下的日志,可以自定義日志文件大小與存儲路徑;

在"自定義視圖"節(jié)點(diǎn)下的所有日志都無法調(diào)整大小與改變路徑,這是因?yàn)?自定義視圖日志僅僅是根據(jù)用戶創(chuàng)建的過濾規(guī)則,然后在前述兩個(gè)日志樹中查找匹配的日志條目并匯總在一起顯示,并沒有創(chuàng)建這些篩選出來的日志副本,只能通過原始日志修改.

作為服務(wù)器操作系統(tǒng),windows server 2008 R2 明顯考慮到了企業(yè)組織對于日志"備案"的需求,因此當(dāng)管理員因試圖清除某個(gè)系統(tǒng)日志文件中的內(nèi)容時(shí),會給出明顯的提示要求用戶首先備份該日志,也就是將其副本另行存儲,假設(shè)日后公司出現(xiàn)信息安全突發(fā)事件,這些備案的日志將會是追查取證的強(qiáng)有力工具.

*******************************

事件查看器還支持將自定義的任務(wù)"附加"到事件,舉例來說,特定事件發(fā)生時(shí),在桌面彈出信息提示框,或者運(yùn)行指定的程序腳本(支持 VBScript),或者向用戶發(fā)郵件等等.

讓我們來看一個(gè)例子:

Software Protection 服務(wù)與?SPP Notification Service 服務(wù)是微軟用來定期檢查用戶的 windows 產(chǎn)品許可證是否以過期,激活是否有效的兩個(gè)"軟件保護(hù)服務(wù)",

一般而言,MSDN 下載的 windows server 2008 R2 有一個(gè)免費(fèi)的"評估期限",為180天,過后需要用戶購買許可證來激活 windows ,當(dāng)然,加上最多五次,每次10天的寬容期,最長可免費(fèi)使用 230 天,試用期內(nèi)所有功能不受限制.

盡管在評估期過后,我們可以通過 services.msc 服務(wù)管理器來手動禁止該服務(wù)運(yùn)行,并且通過 msconfig 禁止它在系統(tǒng)啟動時(shí)運(yùn)行,但是這兩種辦法的效果都不太理想: 在內(nèi)核代碼的邏輯層面,系統(tǒng)可以"隨時(shí)"啟動這兩個(gè)服務(wù),檢查我們的授權(quán)狀態(tài),

系統(tǒng)運(yùn)行這兩個(gè)服務(wù)的時(shí)候,會被記錄并且可以在事件查看器中瀏覽,

但是注意,這兩個(gè)服務(wù)沒有"任務(wù)類別"的概念,而且屬于"應(yīng)用程序"日志節(jié)點(diǎn),因此需要通過"來源"為 Security-SPP,級別為"信息"的多種過濾手段來篩選,如下圖所示:

下面是過濾出來的一條 Secyrity-SPP 服務(wù)正在啟動的記錄,該事件的 ID 為 900,我們需要對該事件附加任務(wù),注意,不要對?Secyrity-SPP 服務(wù)后續(xù)的事件,如"完成授權(quán)檢查狀態(tài)(ID 1003)","軟件保護(hù)服務(wù)已啟動(ID 902)"附加事件,因?yàn)檫@個(gè)時(shí)候你再來改系統(tǒng)時(shí)間,重置寬限期就為時(shí)已晚,需要在它啟動的時(shí)候變更才有效.

單擊上面第一張圖右側(cè)的"將任務(wù)附加到此事件",就會打開一個(gè)創(chuàng)建基本任務(wù)的向?qū)?你可以設(shè)置當(dāng)事件被記錄時(shí)(即 Secyrity-SPP 服務(wù)運(yùn)行時(shí))的操作: 運(yùn)行其它應(yīng)用程序或腳本;發(fā)送電子郵件,向用戶顯示桌面消息等3個(gè)選項(xiàng).

這里我自定義了一串提示信息,提醒我當(dāng) windows 檢查我的許可證時(shí),立刻運(yùn)行激活工具重新激活(我的 230 天評估期已到;當(dāng)然你也可以重裝系統(tǒng)....),因?yàn)槲业募せ罟ぞ呒幢阍谠u估到期后依然可以激活,所以這里選擇發(fā)送提醒消息,如果你是通過重置5天寬限期,或者更改時(shí)間的辦法,可能就需要將"操作"選擇為"啟動程序",然后定位到你的重置腳本或改時(shí)間腳本,才能繞過驗(yàn)證.

注意,事件查看器實(shí)際上是借助 windows 任務(wù)計(jì)劃程序來支持"將任務(wù)附加到此事件"功能的,也就是說,經(jīng)過上圖的向?qū)гO(shè)置后,還需要在管理工具中打開任務(wù)計(jì)劃程序,點(diǎn)擊左側(cè)的"事件查看器任務(wù)"節(jié)點(diǎn),然后中間窗口會列出我們剛才附加的任務(wù),在其上右擊,選擇"啟動".作為測試,你可以手動運(yùn)行 Security-SPP 服務(wù),就會看到上面的小提示對話框,說明成功將自定義任務(wù)附加到事件!

以上例子僅是拋磚引玉,你可以附加任何任務(wù)到任何能夠記錄的事件,例如某個(gè)重要的系統(tǒng)目錄被訪問,讀取時(shí),設(shè)置特殊權(quán)限;以及遠(yuǎn)程登錄嘗試頻繁失敗時(shí),鎖定賬戶...只有想不到,沒有做不到,后續(xù)會介紹一些對比較敏感的安全事件執(zhí)行特定任務(wù)響應(yīng)的例子.

轉(zhuǎn)載于:https://blog.51cto.com/shayi1983/1598662

總結(jié)

以上是生活随笔為你收集整理的系统安全运维 Server 2008 R2 事件查看器实现日志分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。