信息安全资料Windows应急响应和安全加固_第五讲.pdfVIP

“护网行动”系列课程

Windows应急响应

和安全加固

北京谷安天下科技有限公司

讲师：蔡老师网址：

电话：010

地址：北京市海淀区中关村南大街2号

/1

课程目录

•1、Windows操作系统的版本介绍；

•2、Windows应急响应的命令使用和安全检查分析；

•3、Windows操作系统的帐号角色权限；

•4、Windows操作系统帐号角色权限的安全检查分析；

•5、WindowsPowerShell的使用介绍；

•6、WindowsPowerShell安全检查和分析；

•7、Windows历年高危漏洞介绍和分析；

•8、Windows操作系统日志提取和分析；

/2

Windows操作系统日志提取和分析

/3

8.1Windows操作系统日志提取和分析

•提取日志，安全应急处理，溯源和分析，还原攻击的第一现场

/4

8.1Windows操作系统日志提取和分析

•1、Windows操作系统日志介绍：

•（1）Windows操作系统在运行生命周期，以特定数据结构方式存储、记录OS大量运行的日志信息。

•e.g.System、Security、Application......

•（2）包括：

•Windows事件日志（EventLog）；

•WindowsWebServerIIS日志；

•WindowsFTP日志；

•ExchangeServer邮件服务；

•MSSQLServer数据库日志等。

•（3）日志的9个元素：

•日期/时间、事件类型、用户、计算机、事件ID、来源、类别、描述、数据.........

•（4）系统内置3个核心日志文件（System、Security、Application），

•默认大小均为20480KB（20MB）。数据超过20MB，默认系统将优先覆盖过期日志记录。

•其它：应用程序、服务日志默认最大1024KB，超过最大限制也优先覆盖过期的日志记录。

/5

8.1Windows操作系统日志提取和分析

•1、Windows操作系统日志介绍：

•（5）Windows事件日志，共有五种事件类型：

•所有事件必须拥有五种事件类型中的一种，且只可以有一种。

•1）信息（Information）

•指应用程序、驱动程序、服务的成功操作的事件。

•2）警告（Warning）

•运行故障和警告信息。例如，删除硬盘操作。

•3）错误（Error）

•通常指功能和数据的丢失。e.g.如果一个服务不能作为系统引导被加载，即会产生一个错误事件。

•4）成功审核（Successaudit）

•成功审核的安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策

略更改、目录服务访问、账户登录等事件。

•e.g.所有成功登录系统的事件，都被记录“成功审核”事件。ID号4624。

•5）失败审核（Failureaudit）

•失败审核的安全登录尝试。

•e.g.用户试图通过RDP3389尝试的失败登录，都以失败审核事件记录下来。ID号4625。

/6

8.1Windows操作系统日志提取和分