安全事件日志中的登录事件

windows日志ID

表 1：安全事件日志中的登录事件

事件 ID	说明
528	用户成功登录计算机。
529	用户使用系统未知的用户名登录，或已知用户使用错误的密码登录。
530	用户帐户在许可的时间范围外登录。
531	用户使用已禁用的帐户登录。
532	用户使用过期帐户登录。
533	不允许用户登录计算机。
534	用户使用不许可的登录类型（如网络、交互、批量、服务或远程交互）进行登录。
535	指定帐户的密码已过期。
536	Net Logon 服务未处于活动状态。
537	登录由于其他原因而失败。
538	用户注销。
539	试图登录时帐户已被锁定。此事件表示密码***失败，并导致该帐户被锁定。
540	网络登录成功。此事件表示远程用户已成功从该网络连接到服务器上的本地资源，同时为该网络用户生成了一个令牌。
682	用户重新连接了已断开的终端服务会话。此事件表示前面已连接了一个终端服务会话。
683	用户在未注销的情况下断开终端服务会话。此事件是在用户通过网络连接终端服务会话时生成的。它出现在终端服务器上。

使用登录事件项可诊断下面的安全事件：

•	本地登录尝试失败下列任意事件 ID 都表示登录尝试失败：529、530、531、532、533、534 和 537。如果*者使用本地帐户的用户名和密码组合，但并未猜出，则看到事件 529 和 534。但是，如果用户忘记了密码，或通过“网上邻居”浏览网络，也可能产生这些事件。在大型环境中，可能很难有效说明这些事件。作为一种规则，如果这些模式重复发生，或符合其他一些非正常因素，则应研究这些模式。例如，半夜，在发生若干 529 事件后发生了 528 事件，可能表示密码*成功（或管理员非常疲惫）。
•	帐户滥用事件 530、531、532 和 533 表示用户帐户被滥用。这些事件表示输入的帐户/密码组合是正确的，但由于其他一些限制而阻止了成功登录。只要有可能，请仔细研究这些事件，确定是否发生了滥用，或是否需要修改当前的限制。例如，可能需要延长帐户的登录时间。
•	帐户锁定事件 539 表示帐户已被锁定。这表示密码***已失败。您应查找同一用户帐户以前产生的 529 事件，尝试弄清登录的模式。
•	终端服务*** 终端服务会话可能停留在连接状态，使一些进程得以在会话结束后继续运行。事件 ID 683 表示用户没有从终端服务会话注销，事件 ID 682 表示发生了到上一个已断开连接会话的连接。

Contoso 监视大量的登录尝试失败和大量帐户锁定。在这样的环境中，由于一些合理的原因，常要让用户将终端服务会话保持断开状态。

帐户登录事件

当用户登录域时，这种登录在域控制器中处理。如果在域控制器中审核帐户登录事件，则会在验证该帐户的域控制器上记录此登录尝试。帐户登录事件是在身份验证程序包验证用户的凭据时创建的。只有使用域凭据，才会在域控制器的事件日志中生成帐户登录事件。如果提供的凭据为本地安全帐户管理器 (SAM) 数据库凭据，则会在服务器的安全事件日志中创建帐户登录事件。

因为帐户登录事件可能会记录在域的任何有效域控制器中，所以必须确保将各域控制器中的安全日志合并，以分析该域中的所有帐户登录事件。

注意：与登录事件相同，帐户登录事件既包括计算机登录事件，也包括用户登录事件。

作为“成员服务器和域控制器基准策略”的一部分，成功和失败的帐户登录事件都应启用审核。因此，应能看到网络登录和终端服务身份验证的下列事件 ID。

表 2：事件日志中的帐户登录事件

事件 ID	说明
672	身份验证服务 (AS) 票证已成功签发和验证。
673	已授予票证授予服务 (TGS) 票证。
674	安全主要对象续订了 AS 票证或 TGS 票证。
675	预身份验证失败。
676	身份验证票证请求失败。
677	未授予 TGS 票证。
678	某个帐户已成功映射到域帐户。
680	标识成功登录的帐户。此事件还指出了验证帐户的身份验证程序包。
681	尝试域帐户登录。
682	用户重新连接一个已断开的终端服务会话。
683	用户在没有注销的情况下断开了终端服务会话。

对于每个这样的事件，事件日志都会显示每个特定登录的详细信息。使用帐户登录事件项可诊断下面的安全事件：

•	域登录尝试失败事件 ID 675 和 677 表明登录域的尝试失败。
•	时间同步问题如果客户计算机的时间与身份验证域控制器的时间不同，多了五分钟（默认情况），则安全日志中显示事件 ID 675。
•	终端服务*** 终端服务会话可能停留在连接状态，使一些进程得以在会话结束之后继续运行。事件 ID 683 表示用户没有从终端服务会话注销，事件 ID 682 则表示发生了到上一个已断开连接会话的连接。要防止断开连接，或要终止这些已断开的会话，请在“终端服务配置”控制台中的 RDP-TCP 协议属性中定义“time interval to end disconnected session”（结束已断开会话的时间间隔）。

Contoso 当前要监视数量巨大的失败域登录尝试。根据其环境的不同，其他一些事件无关紧要。配置这些设置时，他们确定的最好方法是，首先以一个相对较严格的设置开始，然后持续减少它的严格程度，直到一些非实质警告的数量减少。目前，他们监视的是 10 分钟时间段中发生 10 次失败登录的所有情况。这些数字在所有环境中可能都是不同的。

帐户管理

帐户管理审核用于确定何时创建、更改或删除了用户或组。这种审核可用于确定何时创建了安全主要对象，以及谁执行了该任务。

作为“成员服务器和域控制器基准策略”的一部分，帐户管理中的成功和失败都应启用审核。因此，应该会看到安全日志中记录的下列事件 ID。

表 3：事件日志中的帐户管理事件

事件 ID	说明
624	创建了用户帐户
625	用户帐户类型更改
626	启用了用户帐户
627	尝试进行了密码更改
628	设置了用户帐户密码。
629	禁用了用户帐户
630	删除了用户帐户
631	创建了启用安全的全局组
632	添加了启用安全的全局组成员
633	删除了启用安全的全局组成员
634	删除了启用安全的全局组
635	创建了禁用安全的本地组
636	添加了启用安全的本地组成员
637	删除了启用安全的本地组成员
638	删除了启用安全的本地组
639	更改了启用安全的本地组
641	更改了启用安全的全局组
642	更改了用户帐户
643	更改了域策略
644	锁定了用户帐户

使用安全日志项可诊断下面的帐户管理事件：

•	用户帐户的创建事件 ID 624 和 626 表明何时创建和启用了用户帐户。如果帐户创建限定在组织中的特定个人，则可使用这些事件表示是否有未授权的个人创建了用户帐户。
•	更改了用户帐户密码如果不是该用户修改密码，可能表明该帐户已被另一用户占用。请查看事件 ID 627 和 628，它们分别表明尝试进行了密码更改以及密码更改成功。请查看详细信息，确定是否是另一个帐户执行了该更改，该帐户是否是重置用户帐户密码的技术支持部门或其他服务部门的成员。
•	更改了用户帐户状态某个*者在过程中，可能会通过禁用或删除帐户来尝试掩盖**。出现的所有事件 ID 629 和 630 都应仔细研究，确保这些是授权的事务处理。另外，还要查看发生事件 ID 626 之后短时间内发生的事件 ID 629。这可能表明一个已禁用的帐户被启用，被使用，然后又再次被禁用。
•	安全组的修改成员身份更改为 Domain Administrator、 Administrator、Operator 组的任何成员，或更改为被委派了管理功能的自定义全局组、通用组或域本地组，这些情况都应进行复查。对于全局组成员身份修改，请查找事件 ID 632 和 633。对于域本地组成员身份修改，请查看事件 ID 636 和 637。
•	帐户锁定锁定帐户时，系统会在主域控制器 (PDC) 模拟器操作主机上记录两个事件。一个事件为 644，表示帐户名已被锁定；然后记录事件 642，表示该用户帐户已更改为表明帐户现已锁定。此事件只会记录在 PDC 模拟器上。

因为 Contoso 是一个较大的企业，所以每天有大量的帐户要维护。监视所有这些事件会导致环境中产生太多的警告，而这些警告不必全部进行合理的解决

转载于:https://blog.51cto.com/subraner/1111608