大家好,又见面了,我是你们的朋友全栈君。
本文使用的环境为我前面博客中介绍的搭建方法。具体链接请参考windows日志转发_leeezp的博客-CSDN博客_windows日志转发 安装 ewk (es+winlogbeat+kibana) 转发主机日志_leeezp的博客-CSDN博客
这篇文章记录windows事件和日志的对应关系。
0x00 远程桌面连接登录(mstsc)
kibana 中添加过滤 host.name、event.action、winlog.event_data.LogonProcessName、winlog.event_data.LogonType、process.name、winlog.event_id。
登录成功有三条事件:
登录类型为 10,RemoteInteractive
意思是“通过rdp协议远程登录”。
Fantastic Windows Logon types and Where to Find Credentials in Them
事件id 为 4648,意思是“
当进程通过显式指定帐户的凭据尝试登录帐户时,将生成此事件。
这最常发生在批处理类型配置(如计划任务)中,或者使用”RUNAS”命令时
”
4648 (S) 尝试使用显式凭据登录。 (Windows 10) – Windows security | Microsoft Docs
登录失败如果在windows事件查看器 — Windows日志 — 安全 查看不到日志,可能是因为没有开启windows本地安全策略审核。(可能与windows版本或本地配置有关)
打开本地安全策略,cmd 输入 secpol.msc,如果报错“试图引用不存在的令牌”,
将 C:\Windows\System32\secpol.msc 复制到其他目录,比如 桌面,双击打开即可。
在 “审核策略” — “审核登录事件” 开启 “成功” 和 “失败”的日志:
设置完再次mstsc登录失败,在安全日志可以查看到登录失败 事件ID 4625 的告警:
如果没有配置本地安全策略开启登录审计,还有一个地方的日志可以发现一些端倪:
代码语言:javascript代码运行次数:0运行复制Hi,You may view the Remote Desktop connection client ip address information in the following logs:Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-LocalSessionManagerEvent Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManagerEvent Viewer\Windows Logs\Security (Event ID: 4624, Logon Type: 10)-TP
Logging IP adderess during remote desktop connection
我是在 Event Viewer\Applications and Services Logs\Microsoft\Windows\TerminalServices-RemoteConnectionManager
![Sunshine Office Anywhere(CRM集成版)[OA+CRM]](https://img.php.cn/upload/webcode/000/000/004/175791600555482.jpg)
CRM集成版基本功能: 内部邮件,短信息,个人文件柜,日程安排,名片录,网络硬盘,个人网址收藏,个人使用情况统计分析。 新闻管理,公告管理,日程安排查询,工作日志查询,公共网址管理,人事档案管理,组织机构信息查询。 企业文档管理,规章制度,电子刊物。 人力资源管理,档案管理,培训管理,奖惩管理,招聘信息,劳动合同 系统单位信息管理,部门信息管理,用户管理,用户角色设
刚好符合我密码字典里尝试的15次登录失败。
登录失败不清楚为什么会有1149 认证成功的日志。
这个日志可以用于远程登录失败的审计,无法审计登录成功。登录成功还是需要事先开启本地安全策略审核登录事件。
爆破成功的日志为很多 4625 中出现 4624,logintype 都是10。
如果看到 4778,4779 则表示 可能爆破时将正在登录的用户顶掉了。
0x01 UAC管理员账号登录
产生三条事件:
consent.exe 意思是“当用户开启用户账户控制(UAC)功能时,一个程序要更改或者使用一些比较高权限才能做的事情的功能的时候、还有当你使用管理员账户运行程序的时候,会弹出一个对话框,询问您是否允许程序修改计算机设置,这个对话框的进程就是consent.exe”。
consent.exe_百度百科
4672 (S) 分配给新登录的特殊权限。 (Windows 10) – Windows security | Microsoft Docs
4672 常常是管理员及以上权限的用户登录触发。
0x02 mimikatz sekurlsa::ekeys 显示Kerberos加密密钥
此操作默认windows是不会留下安全日志的。(多个win7环境测试)
打开本地安全的略–审核特权使用
执行 mimikatz privilege::debug sekurlsa::ekeys
SeTcbPrivilege
该特权标志着其拥有者是操作系统的一部分,拥有该特权的进程可利用LsaLogonUser()执行创建登录令牌等操作,因此可以充当任意用户
经多次测试,2个文件系统的告警几乎和此告警同时出现,可视为这个操作同时产生的事件。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/195996.html原文链接:https://javaforall.cn
