Machine Translated by Google

Tài liệu tham khảo của nhà phân tích

Nhật ký sự kiện windows

Phân tích

Phiên bản 20191223

Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Nội dung
Giới thiệu................................................. ................................................................. ................................... 2

Định dạng nhật ký sự kiện.................................................................. ................................................................. ................................... 3

Sự kiện quản lý tài khoản.................................................................. ................................................................. ..................... 4

Sự kiện đăng nhập và đăng nhập tài khoản.................................................. ................................................................. ............ 5

Truy cập vào các đối tượng được chia sẻ.................................................................. ................................................................. ...................... 11

Ghi nhật ký tác vụ theo lịch trình................................................................. ................................................................. ...................... 12

Kiểm tra quyền truy cập đối tượng.................................................................. ................................................................. ................... 13

Thay đổi chính sách kiểm toán................................................................. ................................................................. ................................... 16

Kiểm tra các dịch vụ Windows.................................................................. ................................................................. ................... 17

Kiểm tra mạng LAN không dây.................................................................. ................................................................. ................... 18

Theo dõi quá trình................................................................................. ................................................................. ................................... 19

Ghi nhật ký thực thi chương trình bổ sung.................................................. ................................................................. ...... 21

Kiểm tra việc sử dụng PowerShell................................................................. ................................................................. ................... 24

Trang 1 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Giới thiệu
Microsoft đã dần dần nâng cao hiệu suất và hiệu quả của các cơ sở kiểm toán của mình trong những năm qua.

Các hệ thống Windows hiện đại có thể ghi lại lượng thông tin khổng lồ với tác động hệ thống tối thiểu. Với sự giảm giá tương

ứng của phương tiện lưu trữ, những lý do để không kích hoạt và giữ lại những bằng chứng quan trọng này đơn giản là không thể xem xét

kỹ lưỡng. Định cấu hình ghi nhật ký đầy đủ trên hệ thống Windows và lý tưởng nhất là tổng hợp các nhật ký đó vào SIEM hoặc công

cụ tổng hợp nhật ký khác, là một bước quan trọng để đảm bảo rằng môi trường của bạn có thể hỗ trợ ứng phó sự cố hiệu quả.

Tài liệu này cung cấp cái nhìn tổng quan về một số nhật ký Windows quan trọng nhất và các sự kiện được ghi lại ở đó. Giống như tất cả

các tài liệu Tham khảo dành cho nhà phân tích của chúng tôi, bản PDF này nhằm mục đích cung cấp nhiều chi tiết hơn một bảng tóm tắt trong

khi vẫn đủ ngắn để dùng làm tài liệu tham khảo nhanh. Bản PDF cũng chứa các liên kết đến các nguồn tài nguyên bên ngoài để tham khảo

thêm.

Trang 2 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Định dạng nhật ký sự kiện

Theo mặc định, các hệ thống Windows hiện đại lưu trữ nhật ký trong thư mục %SystemRoot%\System32\winevt\logs ở định dạng Ghi nhật

ký sự kiện Windows XML nhị phân, được chỉ định bởi phần mở rộng .evtx. Nhật ký cũng có thể được lưu trữ từ xa bằng cách đăng ký nhật

ký. Để ghi nhật ký từ xa, một hệ thống từ xa chạy dịch vụ Windows Event Collector đăng ký đăng ký nhật ký do các hệ thống

khác tạo ra. Các loại nhật ký cần thu thập có thể được chỉ định ở cấp độ chi tiết và quá trình vận chuyển diễn ra qua HTTPS trên

cổng 5986 bằng WinRM.

GPO có thể được sử dụng để cấu hình các phương tiện ghi nhật ký từ xa trên mỗi máy tính.

Các sự kiện có thể được ghi vào nhật ký sự kiện Bảo mật, Hệ thống và Ứng dụng hoặc trên các hệ thống Windows hiện đại,

chúng cũng có thể xuất hiện trong một số tệp nhật ký khác. Nhật ký sự kiện Thiết lập ghi lại các hoạt động xảy ra trong quá trình

cài đặt Windows. Nhật ký sự kiện Nhật ký được chuyển tiếp là vị trí mặc định để ghi lại các sự kiện nhận được từ các hệ thống

khác. Nhưng cũng có nhiều nhật ký bổ sung, được liệt kê trong Nhật ký ứng dụng và dịch vụ trong Trình xem sự kiện, ghi lại chi tiết

liên quan đến các loại hoạt động cụ thể. Vì các tệp nhật ký này được nhắm mục tiêu nhiều hơn nhật ký Bảo mật nên chúng thường lưu

giữ thông tin về các sự kiện đã xảy ra trước khi nhật ký Bảo mật hiện tại bị ghi đè. Luôn tìm kiếm nhiều nguồn thông tin nhật ký

và đừng quên tìm các tệp nhật ký cũ hơn có thể được hệ thống sao lưu hoặc bản sao bóng ổ đĩa ghi lại.

ID sự kiện có một số trường chung:

• Tên nhật ký: Tên của Nhật ký sự kiện nơi sự kiện được lưu trữ. Hữu ích khi xử lý nhiều

nhật ký được lấy từ cùng một hệ thống.

• Nguồn: Dịch vụ, thành phần hoặc ứng dụng của Microsoft đã tạo ra sự kiện.

• ID sự kiện: Mã được gán cho từng loại hoạt động được kiểm toán.

• Cấp độ: Mức độ nghiêm trọng được gán cho sự kiện đang được đề cập.

• Người dùng: Tài khoản người dùng liên quan đến việc kích hoạt hoạt động hoặc bối cảnh người dùng mà nguồn đó

chạy như khi nó ghi lại sự kiện. Lưu ý rằng trường này thường chỉ ra “Hệ thống” hoặc người dùng không phải là nguyên nhân

khiến sự kiện được ghi lại.

• Mã hoạt động: Được gán bởi nguồn tạo nhật ký. Ý nghĩa của nó được để lại ở nguồn.

• Đã ghi: Ngày và giờ hệ thống cục bộ khi sự kiện được ghi lại.

• Hạng mục nhiệm vụ: Được phân công bởi nguồn tạo ra nhật ký. Ý nghĩa của nó được để lại ở nguồn.

• Từ khóa: Được gán theo nguồn và được sử dụng để nhóm hoặc sắp xếp các sự kiện. • Máy

tính: Máy tính mà sự kiện được ghi lại. Điều này rất hữu ích khi kiểm tra nhật ký

được thu thập từ nhiều hệ thống, nhưng không được coi là thiết bị gây ra sự kiện (chẳng hạn như khi bắt đầu đăng nhập từ xa,

trường Máy tính sẽ vẫn hiển thị tên của hệ thống ghi lại sự kiện chứ không phải nguồn kết nối) .

• Mô tả: Một khối văn bản chứa thông tin bổ sung cụ thể cho sự kiện đang được ghi lại

được ghi lại. Đây thường là lĩnh vực quan trọng nhất đối với nhà phân tích.

Trang 3 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Sự kiện quản lý tài khoản

Các sự kiện sau sẽ được ghi lại trên hệ thống nơi tài khoản được tạo hoặc sửa đổi, đây sẽ là hệ thống cục bộ cho tài

khoản cục bộ hoặc bộ điều khiển miền cho tài khoản miền.

Mã sự kiện Sự miêu tả
4720 Một tài khoản người dùng đã được tạo.

4722 Một tài khoản người dùng đã được kích hoạt.

4723 Một người dùng đã cố gắng thay đổi mật khẩu của tài khoản.

4724 Một nỗ lực đã được thực hiện để đặt lại mật khẩu của tài khoản.

4725 Một tài khoản người dùng đã bị vô hiệu hóa.

4726 Một tài khoản người dùng đã bị xóa.

4727 Một nhóm toàn cầu hỗ trợ bảo mật đã được tạo.

4728 Một thành viên đã được thêm vào nhóm toàn cầu hỗ trợ bảo mật.

4729 Một thành viên đã bị xóa khỏi nhóm toàn cầu hỗ trợ bảo mật.

4730 Một nhóm toàn cầu hỗ trợ bảo mật đã bị xóa.

4731 Một nhóm cục bộ hỗ trợ bảo mật đã được tạo.

4732 Một thành viên đã được thêm vào nhóm cục bộ hỗ trợ bảo mật.

4733 Một thành viên đã bị xóa khỏi nhóm cục bộ hỗ trợ bảo mật.

4734 Một nhóm cục bộ kích hoạt bảo mật đã bị xóa.

4735 Một nhóm cục bộ hỗ trợ bảo mật đã được thay đổi.

4737 Một nhóm toàn cầu hỗ trợ bảo mật đã được thay đổi.

4738 Một tài khoản người dùng đã được thay đổi.

4741 Một tài khoản máy tính đã được tạo.

4742 Một tài khoản máy tính đã được thay đổi.

4743 Một tài khoản máy tính đã bị xóa.

4754 Một nhóm phổ quát hỗ trợ bảo mật đã được tạo.

4755 Một nhóm phổ quát hỗ trợ bảo mật đã được thay đổi.

4756 Một thành viên đã được thêm vào nhóm phổ quát hỗ trợ bảo mật.

4757 Một thành viên đã bị xóa khỏi nhóm phổ quát hỗ trợ bảo mật.

4758 Một nhóm phổ quát hỗ trợ bảo mật đã bị xóa.

4798 Tư cách thành viên nhóm địa phương của người dùng đã được liệt kê. Số lượng lớn các

sự kiện này có thể là dấu hiệu của việc liệt kê tài khoản đối thủ.

4799 Thành viên nhóm cục bộ hỗ trợ bảo mật đã được liệt kê. Số lượng lớn các sự

kiện này có thể là dấu hiệu của việc liệt kê nhóm đối thủ.

Trang 4 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Sự kiện đăng nhập và đăng nhập tài khoản

Đăng nhập tài khoản là thuật ngữ của Microsoft để xác thực. Đăng nhập là thuật ngữ dùng để chỉ một tài khoản có

quyền truy cập vào tài nguyên. Cả hai sự kiện Đăng nhập tài khoản và Đăng nhập sẽ được ghi lại trong nhật ký sự kiện

Bảo mật. Việc xác thực (đăng nhập tài khoản) của các tài khoản miền được thực hiện bởi bộ điều khiển miền trong

mạng Windows. Các tài khoản cục bộ (những tài khoản tồn tại trong tệp SAM cục bộ chứ không phải là một phần của

Active Directory) được xác thực bởi hệ thống cục bộ nơi chúng tồn tại. Các sự kiện đăng nhập tài khoản sẽ được hệ

thống thực hiện xác thực ghi lại. Việc kiểm tra các sự kiện Đăng nhập và Đăng nhập tài khoản có thể dễ dàng được

thiết lập bởi Chính sách nhóm. Mặc dù Microsoft tiếp tục cho phép ghi nhật ký nhiều hơn theo mặc định khi các phiên bản

Windows mới được phát hành nhưng quản trị viên nên thường xuyên xem lại chính sách kiểm tra của mình để đảm bảo rằng

tất cả các hệ thống đều tạo nhật ký đầy đủ. Khả năng lưu trữ nhật ký sự kiện trên các hệ thống từ xa (sử dụng

tính năng ghi nhật ký từ xa gốc của Microsoft hoặc SIEM của bên thứ ba hoặc các công cụ khác) giúp bảo vệ nhật ký khỏi bị thay đổi hoặc
sự phá hủy.

Do đó, bộ điều khiển miền trong mạng của bạn sẽ có thể cung cấp tính toán khá tập trung về những tài khoản được xác thực trên toàn miền.

Hãy nhớ rằng để có được bức tranh đầy đủ, bạn sẽ cần truy vấn từng DC của mình vì DC thực hiện xác thực sẽ tạo nhật ký sự kiện liên

quan. Mặt khác, nếu bạn thấy rằng các máy chủ hoặc máy trạm thành viên đang thực hiện xác thực của riêng chúng thì đó là một dấu hiệu

tốt cho thấy tài khoản người dùng cục bộ đang được sử dụng. Vì điều này thường không được thực hiện trong hầu hết các môi trường nên

các sự kiện đăng nhập tài khoản trên bộ điều khiển không thuộc miền thường có thể là dấu hiệu của sự xâm phạm. Ngược lại, nhật ký sự kiện

đăng nhập được tạo bởi hệ thống đang được truy cập, do đó, các sự kiện đăng nhập sẽ được tạo bởi các hệ thống trên toàn mạng,

cung cấp một lý do khác để tổng hợp nhật ký vào một vị trí trung tâm.

ID sự kiện được quan tâm đặc biệt trên bộ điều khiển miền, giúp xác thực người dùng miền, bao gồm:

Mô tả ID sự kiện
4768 Việc phát hành TGT thành công cho thấy tài khoản người dùng đã được bộ điều khiển miền xác thực. Phần Thông tin Mạng của mô tả

sự kiện chứa thông tin bổ sung về máy chủ từ xa trong trường hợp có nỗ lực đăng nhập từ xa.

Trường Từ khóa cho biết nỗ lực xác thực thành công hay thất bại.
Trong trường hợp nỗ lực xác thực không thành công, mã kết quả trong mô tả sự kiện sẽ cung
cấp thông tin bổ sung về lý do thất bại, như được chỉ định trong RFC 4120.
Một số mã thường gặp hơn là:

Trang 5 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Mã kết quả ID sự kiện chung 4768

Số thập phân lục giác

Nghĩa
6 0x6 Tên người dùng không hợp lệ.

12 0xC Hạn chế chính sách cấm đăng nhập này (chẳng hạn như
hạn chế máy trạm hoặc hạn chế thời gian trong ngày).

18 0x12 Tài khoản bị khóa, vô hiệu hóa hoặc hết hạn.

23 0x17 Mật khẩu của tài khoản đã hết hạn.

24 0x18 Mật khẩu không đúng.

32 0x20 Vé đã hết hạn sử dụng (thường gặp trên tài khoản máy tính).

37 0x25 Độ lệch đồng hồ quá lớn.

Nguồn: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4768

Mã sự kiện Sự miêu tả
4769 Một tài khoản người dùng đã yêu cầu một phiếu dịch vụ cho một tài nguyên được chỉ định.
Mô tả sự kiện này hiển thị IP nguồn của hệ thống đã đưa ra yêu cầu, tài khoản người dùng
được sử dụng và dịch vụ sẽ được truy cập. Những sự kiện này cung cấp nguồn bằng chứng hữu
ích khi chúng theo dõi quyền truy cập của người dùng đã được xác thực trên mạng.
Trường Từ khóa cho biết yêu cầu phiếu dịch vụ thành công hay thất bại. Trong trường hợp
thất bại, mã kết quả cho biết lý do thất bại. Loại mã hóa vé cũng được ghi lại, điều này
có thể hữu ích trong việc phát hiện các cuộc tấn công chống lại Kerberos.
4770 Một vé dịch vụ đã được gia hạn. Tên tài khoản, tên dịch vụ, địa chỉ IP của khách hàng và
loại mã hóa được ghi lại.
4771 Tùy thuộc vào lý do đăng nhập Kerberos không thành công, ID sự kiện 4768 hoặc ID sự kiện 4771 sẽ được tạo.

Trong cả hai trường hợp, mã kết quả trong mô tả sự kiện đều cung cấp thông tin bổ sung về lý do lỗi.

4776 ID sự kiện này được ghi lại cho các lần thử xác thực NTLM. Phần Thông tin Mạng của mô tả sự kiện chứa thông tin

bổ sung về máy chủ từ xa trong trường hợp có nỗ lực đăng nhập từ xa. Trường Từ khóa cho biết nỗ lực xác thực

thành công hay thất bại. Trong trường hợp xác thực không thành công, mã lỗi trong mô tả sự kiện sẽ cung

cấp thêm chi tiết về lỗi, như được mô tả trong Bảng 8.3.

Một loạt sự kiện 4776 không thành công với Mã lỗi C000006A (mật khẩu không hợp lệ)
theo sau là Mã lỗi C0000234 (tài khoản bị khóa) có thể là dấu hiệu của một cuộc tấn công
đoán mật khẩu không thành công (hoặc người dùng đơn giản là quên mật khẩu tài
khoản) . Tương tự, một loạt sự kiện 4776 thất bại theo sau là sự kiện 4776 thành công có
thể cho thấy một cuộc tấn công đoán mật khẩu thành công. Sự hiện diện của ID sự kiện 4776
trên máy chủ hoặc máy khách thành viên là dấu hiệu cho thấy người dùng đang cố gắng xác
thực với tài khoản cục bộ trên hệ thống đó và bản thân nó có thể là nguyên nhân cần điều tra thêm.

Trang 6 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Mô tả mã lỗi ID sự kiện phổ biến 4776

Mã lỗi Nghĩa
0xC0000064 Tên người dùng không chính xác.

0xC000006A Mật khẩu không đúng.

0xC000006D Lỗi đăng nhập chung. Có thể tên người dùng hoặc mật khẩu không đúng hoặc Cấp độ xác

thực của Trình quản lý mạng LAN không khớp giữa máy tính nguồn và máy tính đích.

0xC000006F Đăng nhập tài khoản ngoài giờ cho phép.

0xC0000070 Đăng nhập tài khoản từ máy trạm trái phép.
0xC0000071 Đăng nhập tài khoản với mật khẩu đã hết hạn.
0xC0000072 Đăng nhập tài khoản vào tài khoản bị quản trị viên vô hiệu hóa.
0xC0000193 Đăng nhập tài khoản với tài khoản đã hết hạn.
0xC0000224 Đăng nhập tài khoản với Thay đổi mật khẩu ở lần đăng nhập tiếp theo được gắn cờ.

0xC0000234 Đăng nhập tài khoản với tài khoản bị khóa.

0xc0000371 Cửa hàng tài khoản cục bộ không chứa tài liệu bí mật cho tài khoản được chỉ định.

Nguồn: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4776

Trên các hệ thống đang được truy cập, ID sự kiện cần lưu ý bao gồm:

Mã sự kiện Sự miêu tả
4624 Đăng nhập vào hệ thống đã xảy ra. Loại 2 biểu thị đăng nhập tương tác (thường là cục
bộ), trong khi Loại 3 biểu thị đăng nhập từ xa hoặc mạng. Mô tả sự kiện sẽ
chứa thông tin về máy chủ và tên tài khoản liên quan. Để đăng nhập từ xa, hãy tập trung
vào phần Thông tin mạng của mô tả sự kiện để biết thông tin máy chủ từ xa. Mối tương
quan với các sự kiện 4768, 4769 hoặc 4776 liên quan có thể mang lại thông tin chi tiết

bổ sung về máy chủ từ xa. Sự khác biệt trong mục nhập bản ghi giữa tên máy chủ được ghi
và địa chỉ IP được chỉ định của nó có thể là dấu hiệu của các cuộc tấn công
chuyển tiếp Khối tin nhắn máy chủ (SMB), trong đó kẻ tấn công chuyển tiếp yêu cầu từ
một hệ thống bằng địa chỉ IP không được liên kết với hệ thống đó.

Các trường Tên quy trình người gọi và ID quy trình người gọi trong phần Thông tin quy trình của mô

tả sự kiện có thể cung cấp thêm chi tiết về quy trình bắt đầu đăng nhập.

Các kết nối Giao thức máy tính từ xa (RDP) thành công thường đăng nhập dưới dạng Loại đăng nhập 10 trong

ID sự kiện 4624. Điều này ghi lại đăng nhập tương tác từ xa thành công và có thể dẫn đến thông tin

đăng nhập của người dùng được lưu vào bộ nhớ đệm trong RAM và có thể trên đĩa. Việc sử dụng chế độ

Quản trị viên bị hạn chế có thể ảnh hưởng đến điều này. Đăng nhập RDP không thành công thường dẫn đến

Kiểu đăng nhập 3.

Sự kiện đăng nhập chứa mã Loại trong mô tả sự kiện:

Trang 7 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Sự kiện đăng nhập chứa mã Loại trong mô tả sự kiện:

Mô tả mã loại sự kiện đăng nhập

Đăng nhập kiểu 2 Sự miêu tả

Tương tác, chẳng hạn như đăng nhập bằng bàn phím và màn hình của hệ thống hoặc từ xa bằng cách sử dụng các

công cụ truy cập từ xa của bên thứ ba như VNC hoặc psexec bằng khóa chuyển -u. Đăng nhập kiểu này sẽ lưu

thông tin xác thực của người dùng vào bộ nhớ đệm trong RAM trong suốt thời gian của phiên và có thể lưu thông

tin xác thực của người dùng vào bộ nhớ đệm trên đĩa.

3 Mạng, chẳng hạn như quyền truy cập vào thư mục dùng chung trên máy tính này từ nơi khác trên mạng. Điều này

thể hiện đăng nhập không tương tác, không lưu trữ thông tin xác thực của người dùng trong RAM hoặc trên

đĩa.

4 Batch (cho biết một nhiệm vụ theo lịch trình). Kiểu đăng nhập hàng loạt được sử dụng bởi các máy chủ

hàng loạt, trong đó các quy trình có thể được thực thi thay mặt người dùng mà không cần sự can thiệp

trực tiếp của họ.

5 Dịch vụ cho biết rằng một dịch vụ đã được khởi động bởi Trình quản lý kiểm soát dịch vụ.
7 Mở khóa cho biết rằng máy trạm không được giám sát có màn hình được bảo vệ bằng mật khẩu đã được mở khóa

số 8
NetworkCleartext chỉ ra rằng người dùng đã đăng nhập vào máy tính này từ mạng và mật

khẩu của người dùng đã được chuyển đến gói xác thực ở dạng chưa băm. Xác thực tích hợp đóng

gói tất cả thông tin xác thực băm trước khi gửi chúng qua mạng. Thông tin xác thực không

truyền qua mạng ở dạng văn bản gốc (còn gọi là văn bản rõ ràng). Thông thường, biểu thị đăng

nhập vào Dịch vụ thông tin Internet (IIS) với xác thực cơ bản.

9 NewCredentials cho biết rằng người dùng đã đăng nhập bằng thông tin xác thực thay thế để thực hiện các

hành động như với RunAs hoặc ánh xạ ổ đĩa mạng. Nếu bạn muốn theo dõi người dùng đang cố gắng đăng nhập

bằng thông tin xác thực thay thế, hãy tìm ID sự kiện 4648.

10 RemoteInteractive chỉ ra rằng Dịch vụ đầu cuối, Máy tính từ xa hoặc Hỗ trợ từ xa dành cho đăng nhập

tương tác. Xem ghi chú về RDP ở cuối phần này để biết thêm chi tiết.

11 CachedInteractive (đăng nhập bằng thông tin đăng nhập tên miền được lưu trong bộ nhớ cache, chẳng hạn

như khi đăng nhập vào máy tính xách tay khi không có mạng). Bộ điều khiển miền không được

liên hệ để xác minh thông tin xác thực, do đó không có mục đăng nhập tài khoản nào được tạo.

Bảng bao gồm các chi tiết từ:

www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624 và https://docs.microsoft.com/

en-us/previous-versions/windows/it-pro/windows-server-2003/cc787567(v=ws.10 ).

Trang 8 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Mã sự kiện Sự miêu tả
4625 Một nỗ lực đăng nhập không thành công. Số lượng lớn những thứ này trên toàn mạng có thể là dấu
hiệu của các cuộc tấn công đoán mật khẩu hoặc dò mật khẩu. Một lần nữa, phần Thông tin mạng
của mô tả sự kiện có thể cung cấp thông tin có giá trị về máy chủ từ xa đang cố gắng đăng nhập
vào hệ thống. Lưu ý rằng đăng nhập không thành công qua RDP có thể đăng nhập dưới dạng Loại 3
thay vì Loại 10, tùy thuộc vào hệ thống liên quan.

Bạn có thể xác định thêm về lý do thất bại bằng cách tham khảo phần Thông tin lỗi trong
mô tả sự kiện.

Mã trạng thái được tìm thấy trong ID sự kiện 4625 cung cấp thêm chi tiết về sự kiện:

Mã trạng thái lỗi đăng nhập phổ biến

Mã trạng thái Mô tả Hiện

0XC000005E tại không có máy chủ đăng nhập nào có sẵn để phục vụ yêu cầu đăng nhập.

0xC0000064 Người dùng đăng nhập bằng tài khoản người dùng sai chính tả hoặc sai.

0xC000006A Người dùng đăng nhập bằng mật khẩu sai chính tả hoặc sai.

0XC000006D Điều này có thể là do tên người dùng không hợp lệ hoặc thông tin xác thực không chính xác.

0XC000006E Tên người dùng không xác định hoặc mật khẩu sai.

0xC000006F Người dùng đăng nhập ngoài giờ được phép.

0xC0000070 Người dùng đăng nhập từ máy trạm trái phép.

0xC0000071 Người dùng đăng nhập bằng mật khẩu đã hết hạn.

0xC0000072 Người dùng đăng nhập vào tài khoản bị quản trị viên vô hiệu hóa.

0XC00000DC Cho biết Máy chủ ở trạng thái sai để thực hiện thao tác mong muốn.

0XC0000133 Đồng hồ giữa bộ điều khiển miền và máy tính khác quá không đồng bộ.

0XC000015B Người dùng chưa được cấp loại đăng nhập được yêu cầu (còn được gọi là quyền đăng nhập)
tại máy này.

0XC000018C Yêu cầu đăng nhập không thành công vì mối quan hệ tin cậy giữa miền chính và miền tin cậy
không thành công.

0XC0000192 Đã cố gắng đăng nhập nhưng dịch vụ Netlogon chưa được khởi động.

0xC0000193 Người dùng đăng nhập bằng tài khoản đã hết hạn.

0XC0000224 Người dùng được yêu cầu thay đổi mật khẩu ở lần đăng nhập tiếp theo.

0XC0000225 Rõ ràng là một lỗi trong Windows chứ không phải là một rủi ro.

0xC0000234 Người dùng đăng nhập với tài khoản bị khóa.

0XC00002EE Lý do thất bại: Đã xảy ra lỗi trong quá trình đăng nhập.

0XC0000413 Lỗi đăng nhập: Máy bạn đang đăng nhập được bảo vệ bởi tường lửa xác thực. Tài

khoản được chỉ định không được phép xác thực với máy.

Nguồn: https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4625

Trang 9 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Mã sự kiện Sự miêu tả

4634/4647 Người dùng đăng xuất được ghi lại bằng ID sự kiện 4634 hoặc ID sự kiện 4647. Việc thiếu sự kiện hiển thị đăng

xuất không nên bị coi là quá đáng ngờ vì Windows không nhất quán trong việc ghi nhật ký ID sự

kiện 4634 trong nhiều trường hợp. Trường ID đăng nhập có thể được sử dụng để liên kết sự kiện đăng nhập

ID sự kiện 4624 với sự kiện đăng xuất liên quan (ID đăng nhập là duy nhất giữa các lần khởi động

lại trên cùng một máy tính). Đăng nhập loại 3 (Mạng) thường sẽ ngắt kết nối ngay sau khi yêu cầu

hoàn tất và không cho biết lượng thời gian thực tế mà người dùng đã tham gia vào bất kỳ hoạt động cụ thể

nào. Đăng nhập tương tác (chủ yếu là loại 2, nhưng cũng có loại 10 và 11 nếu chúng tồn tại) có thể mang

lại cảm giác tốt hơn về thời lượng phiên, nhưng Windows không quá nhất quán trong việc ghi nhật ký ID

sự kiện 4634 và có thể ngắt kết nối các phiên do không hoạt động sau khi người dùng chủ động dừng tương

tác với một phiên.

4648 Đăng nhập đã được thử bằng thông tin xác thực rõ ràng. Khi người dùng cố gắng sử dụng thông

tin đăng nhập khác với thông tin được sử dụng cho phiên đăng nhập hiện tại (bao gồm cả việc bỏ qua Kiểm

soát tài khoản người dùng [UAC] để mở một quy trình có quyền quản trị viên), sự kiện này sẽ được

ghi lại.
4672 ID sự kiện này được ghi lại khi một số đặc quyền nhất định liên quan đến quyền truy cập nâng cao

hoặc quyền truy cập của quản trị viên được cấp cho lần đăng nhập. Giống như tất cả các sự kiện đăng nhập,

nhật ký sự kiện sẽ được tạo bởi hệ thống đang được truy cập.

4778 Sự kiện này được ghi lại khi một phiên được kết nối lại với trạm Windows. Điều này có thể xảy ra cục bộ khi bối

cảnh người dùng được chuyển đổi thông qua chuyển đổi người dùng nhanh. Nó cũng có thể xảy ra khi một phiên được

kết nối lại qua RDP. Kết nối ban đầu qua RDP được ghi lại bằng ID sự kiện 4624 như đã đề cập trước đó. Để phân
biệt giữa RDP và chuyển đổi phiên cục bộ, hãy xem trường Tên phiên trong mô tả sự kiện. Nếu là cục

bộ, trường sẽ chứa Bảng điều khiển và nếu ở xa, trường sẽ bắt đầu bằng RDP. Đối với các phiên RDP, thông tin

máy chủ từ xa sẽ nằm trong phần Thông tin mạng của mô tả sự kiện.

4779 Sự kiện này được ghi lại khi phiên bị ngắt kết nối. Điều này có thể xảy ra cục bộ khi bối cảnh người

dùng được chuyển đổi thông qua chuyển đổi người dùng nhanh. Nó cũng có thể xảy ra khi một phiên

được kết nối lại qua RDP. Đăng xuất hoàn toàn khỏi phiên RDP được ghi lại bằng ID sự kiện 4637 hoặc 4647

như đã đề cập trước đó. Để phân biệt giữa RDP và chuyển đổi phiên cục bộ, hãy xem trường Tên phiên trong

mô tả sự kiện. Nếu là cục bộ, trường sẽ chứa Bảng điều khiển và nếu ở xa, trường sẽ bắt đầu bằng

RDP. Đối với các phiên RDP, thông tin máy chủ từ xa sẽ nằm trong phần Thông tin mạng của mô tả sự

kiện.

Thông tin bổ sung về Phiên RDP có thể được tìm thấy trong

%SystemRoot%\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Tệp

nhật ký hoạt động. ID sự kiện 21 trong nhật ký này hiển thị các sự kiện đăng nhập phiên, cả cục bộ và từ xa, bao gồm cả IP mà

kết nối được thực hiện nếu ở xa. ID sự kiện 24 trong nhật ký này hiển thị việc ngắt kết nối phiên, bao gồm cả IP mà kết nối

được thực hiện nếu điều khiển từ xa. Đối với đăng nhập cục bộ, trường Địa chỉ mạng nguồn của mô tả sự kiện sẽ đọc ĐỊA PHƯƠNG thay

vì cung cấp IP từ xa.

Thông tin về Phiên RDP cũng có thể được tìm thấy trong tệp nhật ký %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-TerminalServices-

RemoteConnectionManager%4Operational. ID sự kiện 1149 trong nhật ký này sẽ hiển thị tài khoản người dùng và IP nguồn được sử dụng để bắt

đầu phiên RDP.

Trang 10 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Truy cập vào các đối tượng được chia sẻ

Những kẻ tấn công thường xuyên tận dụng thông tin xác thực hợp lệ để truy cập dữ liệu từ xa thông qua chia sẻ

quản trị hoặc do người dùng tạo. Làm như vậy sẽ tạo ra các sự kiện Đăng nhập và Đăng nhập tài khoản như đã đề cập ở trên,

nhưng cũng có thể bật tính năng ghi nhật ký bổ sung trong Bảng điều khiển quản lý chính sách nhóm bằng cách điều hướng đến Cấu

hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Cấu hình chính sách kiểm tra nâng cao -> Chính sách kiểm

tra -> Truy cập đối tượng -> Chia sẻ tệp kiểm tra. Sau khi được bật, các ID sự kiện sau sẽ được ghi vào Nhật ký bảo mật:

ID sự kiện chia sẻ mạng

Mã sự kiện Sự miêu tả
5140 Một đối tượng chia sẻ mạng đã được truy cập. Mục sự kiện cung cấp tên tài khoản và địa chỉ nguồn của tài

khoản đã truy cập đối tượng. Lưu ý rằng mục này sẽ hiển thị rằng chia sẻ đã được truy cập nhưng không
hiển thị những tệp trong chia sẻ đã được truy cập. Một số lượng lớn các sự kiện này từ một tài

khoản có thể là dấu hiệu cho thấy một tài khoản đang được sử dụng để thu thập hoặc ánh xạ dữ

liệu trên mạng.

5142 Một đối tượng chia sẻ mạng đã được thêm vào.

5143 Một đối tượng chia sẻ mạng đã được sửa đổi.

5144 Đối tượng chia sẻ mạng đã bị xóa.

5145 Một đối tượng chia sẻ mạng đã được kiểm tra để xem liệu máy khách có thể được cấp quyền truy cập

mong muốn hay không. Lỗi chỉ được ghi lại nếu quyền bị từ chối ở cấp độ chia sẻ tệp. Nếu quyền

bị từ chối ở cấp độ NTFS thì không có mục nào được ghi lại.

Nếu kiểm tra chia sẻ tệp chi tiết được bật trong Bảng điều khiển quản lý chính sách nhóm bằng cách điều hướng đến

Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Cấu hình chính sách kiểm tra nâng cao -> Chính

sách kiểm tra -> Truy cập đối tượng -> Kiểm tra chia sẻ tệp chi tiết, thì mỗi tệp trong mỗi chia sẻ được truy cập sẽ tạo

ra một mục nhật ký ID sự kiện 5145. Như bạn có thể tưởng tượng, mức độ ghi nhật ký này có thể tạo ra một lượng lớn kết quả.

Hệ thống bắt đầu truy cập cũng có thể hiển thị bằng chứng về các kết nối trong khóa đăng ký

NTUSER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2.

Trang 11 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Ghi nhật ký tác vụ theo lịch trình

Nếu lịch sử được bật trong ứng dụng Trình lập lịch tác vụ, thông qua Trình xem sự kiện hoặc bằng lệnh wevtutil (xem tại đây để

biết thêm chi tiết), thì %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-

TaskScheduler%4Nhật ký hoạt động sẽ ghi lại hoạt động liên quan đến các tác vụ đã lên lịch trên hệ thống cục bộ như sau:

ID sự kiện hoạt động nhiệm vụ đã lên lịch

Mã sự kiện Sự miêu tả
106 Đã tạo nhiệm vụ theo lịch trình. Mục nhập hiển thị tài khoản người dùng đã lên lịch tác vụ và tên

người dùng được gán cho tác vụ. Ngày và giờ đã ghi hiển thị thời điểm tác vụ được lên lịch. Tìm ID sự
kiện liên quan 200 và 201 để biết thêm thông tin.

140 Đã cập nhật nhiệm vụ theo lịch trình. Mục nhập hiển thị tài khoản người dùng đã cập nhật tác vụ

và tên của tác vụ. Ngày và giờ đã ghi hiển thị thời điểm tác vụ được cập nhật. Tìm ID sự

kiện liên quan 200 và 201 để biết thêm thông tin.

141 Đã xóa nhiệm vụ theo lịch trình. Mục nhập hiển thị tài khoản người dùng đã xóa tác vụ và tên của tác
vụ.

200 Nhiệm vụ theo lịch trình được thực hiện. Hiển thị tên tác vụ và đường dẫn đầy đủ đến tệp

thực thi trên đĩa đã chạy (được liệt kê dưới dạng Hành động). Tương quan điều này với ID sự kiện

106 được liên kết để xác định tài khoản người dùng đã lên lịch tác vụ.

201 Nhiệm vụ theo lịch trình đã hoàn thành. Hiển thị tên tác vụ và đường dẫn đầy đủ đến tệp thực

thi trên đĩa đã chạy (được liệt kê dưới dạng Hành động). Tương quan điều này với ID sự kiện 106

được liên kết để xác định tài khoản người dùng đã lên lịch tác vụ.

Ngoài ra, hãy xem phần Kiểm tra quyền truy cập đối tượng để biết thêm ID sự kiện có thể được ghi lại liên quan đến các tác vụ đã lên

lịch.

Trang 12 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Kiểm tra truy cập đối tượng

Kiểm tra quyền truy cập đối tượng không được bật theo mặc định nhưng phải được bật trên các hệ thống nhạy cảm. Để làm như

vậy, chỉ cần đặt sử dụng Chính sách bảo mật cục bộ để đặt Cài đặt bảo mật -> Chính sách cục bộ -> Chính sách kiểm tra -> Quyền truy

cập đối tượng kiểm tra vào Đã bật để thành công và thất bại. Khi bật kiểm tra truy cập đối tượng, một số hoạt động được ghi

lại theo mặc định và những hoạt động khác cần được cấu hình rõ ràng. Lý do cho điều này là quyền truy cập đối tượng diễn ra

liên tục trên hệ thống, do đó nhật ký này được thiết kế chi tiết hơn để cho phép các đối tượng quan trọng nhận được kiểm tra bổ

sung mà không làm quá tải các nhật ký đang cố ghi lại tất cả quyền truy cập đối tượng trên hệ thống.

Các sự kiện kiểm tra quyền truy cập đối tượng được lưu trữ trong Nhật ký bảo mật. Nếu bật tính năng kiểm tra quyền truy cập đối tượng,

các tác vụ đã lên lịch sẽ được ghi nhật ký bổ sung. ID sự kiện liên quan đến tác vụ đã lên lịch là:

ID sự kiện nhiệm vụ đã lên lịch

ID sự kiện Sự miêu tả
4698 Một tác vụ theo lịch trình đã được tạo. Mô tả sự kiện chứa tài khoản người dùng đã tạo tác vụ trong

phần Chủ đề. Chi tiết XML của tác vụ đã lên lịch cũng được ghi lại trong mô tả sự kiện trong phần

Mô tả tác vụ và bao gồm Tên tác vụ. Các thẻ quan tâm bổ sung bao gồm:

• <Ngày> hiển thị thời gian của sự kiện được ghi lại và khớp với trường Đã ghi của chính sự kiện đó.

• <Tác giả> hiển thị cho người dùng ban đầu đã tạo tác vụ, điều này không thay đổi nếu người dùng

khác cập nhật tác vụ sau đó (xem ID sự kiện 4702 để biết thêm thông tin về cách xác
định xem tác vụ theo lịch trình có được cập nhật hay không).

• <Mô tả> hiển thị mô tả được người dùng nhập vào.

• <Triggers> cung cấp thông tin về thời điểm tác vụ được lên lịch chạy.

• <ID người dùng> hiển thị bối cảnh người dùng mà tác vụ sẽ chạy trong đó, có thể khác với tài

khoản được sử dụng để lên lịch tác vụ. Nếu <Loại đăng nhập> hiển thị Mật khẩu thì mật

khẩu cho tài khoản được liệt kê trong <ID người dùng> đã được nhập vào thời điểm tác vụ được

lên lịch, điều này có thể cho thấy tài khoản đã bị xâm phạm thêm.

• <Command> hiển thị đường dẫn đến tệp thực thi sẽ chạy. Mọi đối số được chỉ định sẽ được liệt kê

trong thẻ <Arguments>.

4699 Một nhiệm vụ theo lịch trình đã bị xóa. Phần Chủ đề của mô tả sự kiện chứa Tên tài khoản đã xóa nhiệm
vụ cũng như Tên nhiệm vụ.

4700 Một tác vụ theo lịch trình đã được kích hoạt. Xem ID sự kiện 4698 để biết thêm chi tiết.

4701 Tác vụ đã lên lịch đã bị vô hiệu hóa. Xem ID sự kiện 4698 để biết thêm chi tiết.

4702 Một nhiệm vụ theo lịch trình đã được cập nhật. Người dùng bắt đầu cập nhật sẽ xuất hiện trong phần Chủ

đề của mô tả sự kiện. Chi tiết về nhiệm vụ sau khi sửa đổi được liệt kê trong XML trong phần mô tả sự kiện.

So sánh với các mục nhập ID sự kiện 4702 hoặc 4698 trước đó cho tác vụ này để xác định những thay đổi nào

đã được thực hiện. Xem ID sự kiện 4698 để biết thêm chi tiết.

Trang 13 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Ngoài các tác vụ đã lên lịch, các đối tượng tệp riêng lẻ thường xuyên được kiểm tra để truy cập đối tượng. Ngoài việc bật

tùy chọn Thành công và/hoặc Thất bại đối với Quyền truy cập đối tượng kiểm toán như đã đề cập trước đó, để kiểm tra quyền truy

cập vào từng tệp hoặc thư mục riêng lẻ, bạn cũng cần đặt rõ ràng các quy tắc kiểm tra trong hộp thoại Thuộc tính của tệp hoặc

thư mục bằng cách chọn tab Bảo mật , nhấp vào Nâng cao, chọn tab Kiểm tra và đặt loại kiểm tra cũng như (các) tài khoản người

dùng cần đặt kiểm tra. Hướng dẫn chi tiết có thể được tìm thấy ở đây:

https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/apply-a-basic-audit-policy-on-a-
file-or-folder

Để một tiến trình sử dụng một đối tượng hệ thống, chẳng hạn như một tập tin, nó phải có được một điều khiển đối tượng đó. Sau khi

bật kiểm tra, bạn có thể sử dụng ID sự kiện được mô tả bên dưới để xem quyền truy cập vào các tệp và thư mục quan trọng bằng cách theo

dõi việc cấp và sử dụng các thẻ điều khiển cho các đối tượng đó.

ID sự kiện xử lý đối tượng

Mã sự kiện Sự miêu tả

4656 Một tay cầm cho một đối tượng đã được yêu cầu. Khi một quá trình cố gắng giành được quyền điều khiển

đối tượng được kiểm tra, sự kiện này sẽ được tạo. Chi tiết về đối tượng mà bộ điều khiển được yêu cầu

và ID bộ điều khiển được gán cho bộ điều khiển được liệt kê trong phần Đối tượng của mô tả sự kiện. Yêu

cầu xử lý thành công hay thất bại sẽ được biểu thị trong trường Từ khóa. Tài khoản được sử dụng để yêu cầu

xử lý cũng như ID đăng nhập liên quan của tài khoản đó được ghi lại trong phần Chủ đề của mô tả sự kiện.

Chi tiết về quy trình yêu cầu xử lý được liệt kê trong phần Thông tin quy trình của mô tả sự kiện.

Thông tin yêu cầu truy cập hiển thị loại quyền truy cập được yêu cầu. Lưu ý rằng việc có được một

điều khiển cho một đối tượng không có nghĩa là tất cả các quyền được yêu cầu đã thực sự được sử dụng. Tìm

kiếm các mục nhập ID sự kiện 4663 bổ sung có cùng ID xử lý (được giữ duy nhất giữa các lần khởi động

lại) để xác định quyền nào đã được sử dụng. Bạn cũng có thể cố gắng xác định các hành động khác được thực

hiện bởi cùng một người dùng trong phiên đó bằng cách tìm kiếm các lần xuất hiện của ID đăng nhập (cũng là

duy nhất giữa các lần khởi động lại).

4657 Giá trị đăng ký đã được sửa đổi. Tài khoản người dùng và quy trình chịu trách nhiệm mở tay cầm được liệt

kê trong mô tả sự kiện. Phần Đối tượng chứa thông tin chi tiết về sửa đổi, bao gồm trường Tên đối

tượng, cho biết đường dẫn và tên đầy đủ của khóa đăng ký nơi giá trị được sửa đổi. Trường Tên Giá trị

Đối tượng chứa tên của giá trị khóa đăng ký đã sửa đổi. Lưu ý rằng sự kiện này chỉ tạo ra khi giá trị

khóa được sửa đổi chứ không phải nếu chính khóa đó được sửa đổi.

4658 Tay cầm của một đối tượng đã được đóng lại. Tài khoản người dùng và quy trình chịu trách nhiệm mở tay cầm

được liệt kê trong mô tả sự kiện. Để xác định chính đối tượng, hãy tham khảo ID sự kiện 4656 trước đó

với cùng ID xử lý.

4660 Một đối tượng đã bị xóa. Tài khoản người dùng và quy trình chịu trách nhiệm mở tay cầm được liệt kê trong mô tả

sự kiện. Để xác định chính đối tượng, hãy tham khảo ID sự kiện 4656 trước đó với cùng ID xử lý.

4663 Một nỗ lực đã được thực hiện để truy cập một đối tượng. Sự kiện này được ghi lại khi một quá trình cố gắng

tương tác với một đối tượng, thay vì chỉ lấy một điều khiển đối tượng. Điều này có thể được sử dụng để

giúp xác định loại hành động nào có thể đã được thực hiện trên một đối tượng (ví dụ: chỉ đọc hoặc sửa đổi

dữ liệu). Xem ID sự kiện 4656 để biết thêm chi tiết.

Trang 14 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Kể từ Windows 8/Server 2012, tính năng ghi nhật ký bổ sung cũng có thể được bật trong Bảng điều khiển quản lý chính sách nhóm bằng

cách điều hướng đến Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Cấu hình chính sách kiểm tra nâng cao

-> Chính sách kiểm tra -> Truy cập đối tượng - > Kiểm tra bộ nhớ có thể tháo rời. Sau khi được bật, Windows sẽ tạo các mục nhập ID sự

kiện 4663 bổ sung (xem ở trên) bất cứ khi nào tài khoản truy cập vào đối tượng hệ thống tệp trên bộ nhớ di động. Điều này có thể giúp xác

định khi nào người dùng đang sao chép dữ liệu đến hoặc từ phương tiện bên ngoài.

Trang 15 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Thay đổi chính sách kiểm toán

Khi chính sách kiểm tra thay đổi, nó sẽ tác động đến bằng chứng có sẵn cho các nhà điều tra và người xử lý sự cố, cho dù thay đổi

đó được thực hiện một cách cố ý bởi kẻ tấn công hay bởi quản trị viên hợp pháp. May mắn thay, các hệ thống Windows hiện đại

thực hiện rất tốt việc ghi lại những thay đổi này khi chúng xảy ra. ID sự kiện được sử dụng cho quá trình kiểm tra này là

4719:

• 4719 – Chính sách kiểm tra hệ thống đã được thay đổi. Phần Thay đổi chính sách kiểm toán sẽ liệt kê cụ thể

những thay đổi đã được thực hiện đối với chính sách kiểm toán. Phần Chủ đề của mô tả sự kiện có thể hiển thị tài khoản đã thực

hiện thay đổi, nhưng thường (chẳng hạn như khi thay đổi được thực hiện thông qua Chính sách Nhóm), phần này chỉ báo cáo

tên của hệ thống cục bộ. Thật không may, việc kiểm tra quyền truy cập Dịch vụ Thư mục là một lĩnh vực mà Windows vẫn chưa rõ

ràng. Bạn có thể tìm thêm

thông tin ở đây và đây, và có một số công cụ của bên thứ ba cung cấp khả năng hiển thị bổ sung và trách nhiệm

giải trình trong các sửa đổi đối với Đối tượng Chính sách Nhóm.

• 1102 - Bất kể cài đặt trong chính sách kiểm tra là gì, nếu nhật ký sự kiện Bảo mật bị xóa, ID sự kiện 1102 sẽ được

ghi lại làm mục nhập đầu tiên trong nhật ký trống mới. Bạn có thể cho biết tên tài khoản người dùng đã xóa nhật

ký trong thông tin chi tiết của mục nhập. Một sự kiện tương tự, với ID 104, sẽ được tạo trong Nhật ký hệ thống nếu nó

bị xóa.

Trang 16 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Kiểm tra dịch vụ Windows

Nhiều cuộc tấn công dựa vào các dịch vụ Windows để thực thi lệnh từ xa hoặc để duy trì tính ổn định trên hệ thống. Mặc

dù hầu hết các sự kiện chúng tôi đã đề cập cho đến nay đều được tìm thấy trong Nhật ký sự kiện bảo mật, Windows ghi lại

các sự kiện liên quan đến việc bắt đầu và dừng dịch vụ trong Nhật ký sự kiện hệ thống. Các sự kiện sau đây thường đáng chú ý:

• 6005 – Dịch vụ nhật ký sự kiện đã được bắt đầu. Điều này sẽ xảy ra vào lúc khởi động hệ thống và bất cứ khi nào

hệ thống được khởi động bằng tay. Vì dịch vụ nhật ký sự kiện rất quan trọng đối với vấn đề bảo mật nên nó sẽ có ID sự kiện riêng.

• 6006 – Dịch vụ nhật ký sự kiện đã bị dừng. Mặc dù điều này rõ ràng xảy ra khi tắt hệ thống hoặc

khởi động lại, sự xuất hiện của nó vào những thời điểm khác có thể là dấu hiệu của những nỗ lực độc hại nhằm tránh ghi

nhật ký hoạt động hoặc sửa đổi nhật ký.

• 7034 – Một dịch vụ bị chấm dứt đột ngột. Mô tả sự kiện sẽ hiển thị tên của

dịch vụ và có thể hiển thị số lần dịch vụ này gặp sự cố.

• 7036 – Một dịch vụ đã bị dừng hoặc bắt đầu. Mặc dù dịch vụ nhật ký sự kiện có ID sự kiện riêng nhưng các dịch vụ khác

được ghi lại dưới cùng một ID sự kiện. Mô tả sự kiện cung cấp tên của dịch vụ nhưng không cung cấp thông tin

chi tiết về tài khoản người dùng nào đã yêu cầu dịch vụ dừng. Mô tả sẽ chỉ ra rằng dịch vụ đã chuyển sang

trạng thái đang chạy khi nó được khởi động hoặc chuyển sang trạng thái dừng khi nó bị dừng.

• 7040- Kiểu bắt đầu của một dịch vụ đã bị thay đổi. Mô tả sự kiện sẽ hiển thị tên của

dịch vụ đã được thay đổi và mô tả sự thay đổi đã được thực hiện.

• 7045 – Một dịch vụ đã được hệ thống cài đặt. Tên của dịch vụ được tìm thấy trong trường Tên dịch vụ của mô tả sự kiện và

đường dẫn đầy đủ đến tệp thực thi liên quan được tìm thấy trong trường Tên tệp dịch vụ. Đây có thể là một sự kiện đặc

biệt quan trọng vì nhiều công cụ, chẳng hạn như psexec, tạo ra một dịch vụ trên hệ thống từ xa để thực thi các lệnh.

Nhiều công cụ trong số này sẽ tạo ra một dịch vụ được đặt tên ngẫu nhiên (nổi bật trong nhật ký là rất bất thường)

hoặc sẽ chạy tệp thực thi từ các vị trí như thư mục Temp. Điều đáng lưu ý là một số dịch vụ hợp pháp, như

Windows Defender, cũng có thể sử dụng các tên có phần ngẫu nhiên, do đó, cần kiểm tra cẩn thận mọi mục nhập kỳ

lạ để xác định xem chúng có độc hại hay không.

Nếu bạn đã bật Cấu hình chính sách kiểm tra nâng cao > Chính sách kiểm tra hệ thống > Hệ thống > Tiện ích mở rộng hệ thống bảo

mật kiểm tra trong GPO của mình thì hệ thống Windows 10 và Server 2016/2019 cũng sẽ ghi lại ID sự kiện 4697 trong nhật ký sự kiện

Bảo mật.

Trang 17 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Kiểm tra mạng LAN không dây

Windows duy trì nhật ký sự kiện dành riêng cho hoạt động mạng cục bộ không dây (WLAN) và với các điểm truy

cập giả mạo là vectơ tấn công phổ biến cho các cuộc tấn công trung gian và phần mềm độc hại, có thể đáng để

xem xét các kết nối bất thường trên các thiết bị có Wi-Fi. -Fi khả năng, đặc biệt là những người được phép

rời khỏi môi trường của bạn. Nhật ký được đặt tại %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-

WLAN-AutoConfig%4Operational.evtx. ID sự kiện quan tâm là:

ID sự kiện kết nối Wi-Fi

Mã sự kiện Sự miêu tả
8001 Dịch vụ WLAN đã kết nối thành công với mạng không dây. Mô tả sự kiện cung
cấp Chế độ kết nối cho biết đây là kết nối tự động dựa trên cấu hình đã định
cấu hình (và Tên cấu hình liên quan) hay kết nối thủ công. SSID của điểm truy cập,
cơ chế xác thực và cơ chế mã hóa của nó cũng được ghi lại.

8002 Dịch vụ WLAN không kết nối được với mạng không dây. Một lần nữa, mô tả sự kiện
sẽ chứa Chế độ kết nối, Tên hồ sơ liên quan và SSID cùng với trường Lý do lỗi.

Trang 18 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Theo dõi quá trình

Không giống như nhiều shell Linux (chẳng hạn như bash), shell cmd.exe của Windows không duy trì lịch sử các lệnh do

người dùng chạy. Điều này đã tạo ra một lỗ hổng đáng chú ý về khả năng người xử lý sự cố hiểu được hành động mà kẻ tấn công thực

hiện trên máy chủ bị xâm nhập. Sự gia tăng của các cuộc tấn công “Living of the Land” không dựa vào phần mềm độc hại mà thay

vào đó sử dụng các lệnh Windows tích hợp sẵn chỉ khiến điểm mù này trở nên nguy hiểm hơn. Trong khi trong những ngày đầu

của Windows, việc tạo quy trình kiểm tra được coi là quá chuyên sâu về hệ thống, thì các hệ thống Windows hiện đại đã tăng

đáng kể hiệu quả của các cơ sở kiểm tra, cho phép sử dụng tính năng theo dõi quy trình để đạt hiệu quả cao. Việc bổ sung khả năng

ghi nhật ký dòng lệnh đầy đủ trong các sự kiện tạo quy trình đã đi một chặng đường dài để loại bỏ các điểm mù khỏi trình

xử lý sự cố và cung cấp dấu vết mà chúng ta có thể theo dõi để phát hiện các hành động do kẻ tấn công thực hiện.

Mặc dù không phải lúc nào cũng được yêu cầu trên mọi hệ thống, nhưng việc kích hoạt tính năng này trên các hệ thống quan trọng

đang ngày càng trở thành thông lệ tiêu chuẩn trong các môi trường chú trọng đến bảo mật. Điều này yêu cầu thiết lập hai

cài đặt Chính sách nhóm riêng biệt. Tất nhiên, đầu tiên là Cấu hình máy tính -> Cài đặt Windows -> Cài đặt bảo mật -> Chính

sách cục bộ -> Chính sách kiểm tra -> Theo dõi quá trình kiểm tra. Tuy nhiên, để hưởng lợi đầy đủ từ việc theo dõi quá trình, bạn

cũng nên kích hoạt khả năng nắm bắt dòng lệnh trong các sự kiện đó. Điều này yêu cầu cài đặt thứ hai nằm ở Cấu hình máy tính ->

Mẫu quản trị -> Hệ thống -> Tạo quy trình kiểm tra -> Bao gồm dòng lệnh trong các sự kiện tạo quy trình. Hãy nhớ rằng một

số đối số dòng lệnh có thể chứa thông tin nhạy cảm như mật khẩu, vì vậy hãy đảm bảo quyền truy cập vào các nhật ký đó một cách

phù hợp và giúp người dùng biết về sự thay đổi trong chính sách kiểm tra. Sau khi được bật, ID sự kiện 4688 trong Nhật ký bảo mật

sẽ cung cấp nhiều thông tin liên quan đến các quy trình đã chạy trên hệ thống:

Mã sự kiện Sự miêu tả

4688 Một quy trình mới đã được tạo ra. Mô tả sự kiện cung cấp ID quy trình và Tên quy trình, ID quy

trình của người tạo, Tên quy trình của người tạo và Dòng lệnh quy trình (nếu được bật

riêng, như đã nêu trước đó trong phần này).

Ngoài các chi tiết về quy trình, chi tiết về tài khoản người dùng được sử dụng để khởi chạy quy

trình cũng được ghi lại trong phần Chủ đề.

Trong các hệ thống trước Windows 10/Server 2016 chỉ có một Chủ đề. Tuy nhiên, trong Windows 10

và Server 2016/2019, chúng tôi hiện nhận được thông tin chi tiết về Chủ đề người tạo và Chủ

đề mục tiêu.

Chủ đề người tạo (giống như Chủ đề trước Windows 10/Server 2016) liệt kê bối cảnh người

dùng mà Quy trình người tạo đang chạy. Chủ đề mục tiêu liệt kê bối cảnh người dùng mà quy trình

mới được tạo đang chạy. Ngoài các chi tiết về bối cảnh người dùng, chúng tôi còn nhận được

thông tin trong trường Loại độ cao mã thông báo về các đặc quyền quản trị của người dùng có thể

đã được chỉ định cho quy trình. Mã thông báo Loại 1 biểu thị mã thông báo đầy đủ, với tất cả

các đặc quyền có sẵn cho tài khoản người dùng đó, chẳng hạn như khi người dùng là tài khoản quản

trị viên tích hợp hoặc Kiểm soát truy cập người dùng (UAC) bị tắt. Loại 2 cho biết rằng mã

thông báo đầy đủ đã được cấp bởi người dùng chỉ định bỏ qua UAC, chẳng hạn như thông qua tùy

chọn Chạy với tư cách quản trị viên. Mã thông báo Loại 3 cho biết đặc quyền của quản trị viên đã

bị xóa do UAC.

Ngoài ID sự kiện 4688, việc kích hoạt theo dõi quy trình cũng có thể dẫn đến các mục nhật ký bảo mật bổ sung từ Windows Filtering

Platform liên quan đến kết nối mạng và cổng nghe như sau:

Trang 19 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

ID sự kiện Windows Filtering Platform (WFP)

Mã sự kiện Sự miêu tả
5031 Dịch vụ tường lửa của Windows đã chặn một ứng dụng chấp nhận các kết nối đến trên mạng.

5152 WFP đã chặn một gói tin.

5154 WFP đã cho phép một ứng dụng hoặc dịch vụ lắng nghe các kết nối đến trên một cổng.

5156 WFP đã cho phép kết nối.

5157 WFP đã chặn một kết nối.

5158 WFP đã cho phép liên kết với một cổng cục bộ.

5159 WFP đã chặn liên kết tới một cổng cục bộ.

Mô tả sự kiện của các sự kiện Nền tảng lọc Windows rất tự giải thích và chi tiết, bao gồm thông tin về số cổng và IP cục bộ và từ xa cũng

như ID tiến trình và Tên quy trình liên quan.

Có thể thấy, thông tin được ghi lại bằng cách kích hoạt kiểm tra theo dõi quy trình có thể có giá trị to lớn

nhưng cũng có thể tạo ra một lượng lớn dữ liệu. Thử nghiệm với môi trường thử nghiệm của bạn để tìm ra sự

cân bằng có thể tăng cường kiểm tra bảo mật một cách thích hợp trong môi trường sản xuất của bạn.

Trang 20 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Ghi nhật ký thực thi chương trình bổ sung

Nếu AppLocker được định cấu hình trong môi trường của bạn (một bước có thể giúp làm đối thủ thất vọng và cần được xem

xét), nhật ký sự kiện AppLocker chuyên dụng cũng sẽ được tạo. Được trình bày trong Trình xem sự kiện trong Nhật ký ứng

dụng và dịch vụ\Microsoft\Windows\AppLocker, các nhật ký sự kiện này được lưu trữ cùng với các nhật ký sự kiện khác

trong C:\Windows\System32\winevt\Logs và có các tên như Microsoft-Windows-AppLocker%4EXE và DLL.evtx. Có các

nhật ký riêng biệt bao gồm các tệp thực thi và thư viện liên kết động

(DLL), trình cài đặt Microsoft (MSI) và tập lệnh, triển khai ứng dụng đóng gói và thực thi ứng dụng đóng gói. Nhật ký sự

kiện được tạo sẽ khác nhau tùy thuộc vào việc AppLocker được đặt ở chế độ chỉ kiểm tra hay chế độ chặn.
Bạn có thể tìm thấy thông tin chi tiết về ID sự kiện cụ thể có thể áp dụng cho trường hợp của bạn tại đây.

Cũng nên nhớ rằng hệ thống chống vi-rút hoặc hệ thống phát hiện và phản hồi điểm cuối khác của bạn có thể tạo nhật ký hữu

ích có thể ghi lại các tệp được quét và/hoặc bị chặn. Ví dụ: Windows Defender duy trì nhật ký sự kiện tại C:

\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4Operational.evtx

và Microsoft-Windows-Windows Defender%4WHC.evtx chứa thông tin về phần mềm độc hại tiềm ẩn đã được phát hiện và các tập lệnh

đáng ngờ đã chạy (theo báo cáo của Giao diện quét phần mềm độc hại [AMSI]). ID sự kiện có thể được quan tâm trong

nhật ký này bao gồm:

ID sự kiện đáng ngờ của Bộ bảo vệ Windows

Mã sự kiện Sự miêu tả
1006 Công cụ chống phần mềm độc hại đã tìm thấy phần mềm độc hại hoặc phần mềm không mong muốn khác.

1007 Nền tảng chống phần mềm độc hại đã thực hiện hành động để bảo vệ hệ thống của bạn khỏi

phần mềm độc hại hoặc phần mềm không mong muốn khác.

1008 Nền tảng chống phần mềm độc hại đã cố gắng thực hiện một hành động để bảo vệ hệ thống của bạn

khỏi phần mềm độc hại hoặc phần mềm không mong muốn khác nhưng hành động đó không thành công.

1013 Nền tảng chống phần mềm độc hại đã xóa lịch sử phần mềm độc hại và phần mềm không mong muốn
khác.

1015 Nền tảng chống phần mềm độc hại đã phát hiện hành vi đáng ngờ.

1116 Nền tảng chống phần mềm độc hại đã phát hiện phần mềm độc hại hoặc phần mềm không mong muốn
khác.

1117 Nền tảng chống phần mềm độc hại đã thực hiện hành động để bảo vệ hệ thống của bạn khỏi

phần mềm độc hại hoặc phần mềm không mong muốn khác.

1118 Nền tảng chống phần mềm độc hại đã cố gắng thực hiện một hành động để bảo vệ hệ thống của bạn

khỏi phần mềm độc hại hoặc phần mềm không mong muốn khác nhưng hành động đó không thành công.

1119 Nền tảng chống phần mềm độc hại đã gặp phải lỗi nghiêm trọng khi cố gắng thực hiện hành động

đối với phần mềm độc hại hoặc phần mềm không mong muốn khác.

5001 Bảo vệ thời gian thực bị vô hiệu hóa.

5004 Cấu hình bảo vệ thời gian thực đã thay đổi.

5007 Cấu hình nền tảng chống phần mềm độc hại đã thay đổi.

5010 Tính năng quét phần mềm độc hại và phần mềm không mong muốn khác bị tắt.

5012 Quét virus bị vô hiệu hóa.

Bạn có thể tìm thêm thông tin chi tiết về bản ghi nhật ký sự kiện của Windows Defender tại đây.

Trang 21 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Bảo vệ khỏi sự khai thác của Windows là một tính năng của Windows 10 có thể cung cấp khả năng phòng thủ tuyệt vời trước một

loạt kỹ thuật khai thác của đối thủ. Tính năng này có thể bảo vệ cả hệ điều hành và các ứng dụng riêng lẻ khỏi các

vectơ tấn công thông thường, ngăn chặn việc khai thác khi việc đó có thể dẫn đến xâm phạm hệ thống. Mặc dù một số tính

năng bảo vệ chống khai thác được bật theo mặc định nhưng nhiều tính năng bị tắt do có khả năng can thiệp vào phần mềm

hợp pháp. Khi được bật, tính năng này sẽ ghi lại các hoạt động của nó trong các tệp nhật ký C:

\Windows\System32\winevt\Logs\Microsoft-Windows-Security-Mitigations%4KernelMode.evtx và

Microsoft-Windows-Security-Mitigations%4UserMode.evtx.
Nhiều thông tin thêm có thế được tìm thấy ở đây.

Một tùy chọn khác để nâng cao khả năng hiển thị các quy trình chạy trên hệ thống trong môi trường của bạn là triển khai Sysmon, một tiện

ích miễn phí của Sysinternals, hiện là một phần của Microsoft. Sysmon có thể được tải xuống miễn phí tại đây.

Khi được triển khai trên hệ thống, Sysmon sẽ cài đặt dưới dạng dịch vụ hệ thống và trình điều khiển thiết bị để tạo nhật

ký sự kiện liên quan đến các quy trình, kết nối mạng và sửa đổi thời gian tạo tệp. Nó tạo ra một danh mục nhật ký

mới được trình bày trong Trình xem sự kiện trong Nhật ký ứng dụng và dịch

vụ\Microsoft\Windows\Sysmon\Operational và được lưu trữ trong C:

\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx . Một ví dụ về ID sự kiện hữu ích do Sysmon tạo

bao gồm:

ID sự kiện được tạo bởi Sysmon

Mã sự kiện Sự miêu tả
1 Tạo quy trình (bao gồm nhiều chi tiết như ID tiến trình, đường dẫn đến tệp thực thi, hàm

băm của tệp thực thi, dòng lệnh được sử dụng để khởi chạy, tài khoản người dùng được sử

dụng để khởi chạy, ID tiến trình gốc, đường dẫn và dòng lệnh để thực thi chính, v.v.).

2 Một quá trình đã thay đổi thời gian tạo tập tin.

3 Kết nối mạng.

4 Trạng thái dịch vụ Sysmon đã thay đổi.

5 Quá trình chấm dứt.

6 Đã tải trình điều khiển.

7 Đã tải hình ảnh (ghi lại thời điểm mô-đun được tải trong một quy trình cụ thể).

số 8
CreateRemoteThread (tạo một luồng trong một tiến trình khác).

9 RawAccessRead (quyền truy cập thô vào dữ liệu ổ đĩa bằng ký hiệu \\.\).

10 ProcessAccess (mở quyền truy cập vào không gian bộ nhớ của tiến trình khác).

11 FileCreate (tạo hoặc ghi đè một tập tin).

12 Khóa đăng ký hoặc giá trị được tạo hoặc xóa.

13 Sửa đổi giá trị đăng ký.

14 Khóa đăng ký hoặc giá trị được đổi tên.

15 FileCreateStreamHash (tạo luồng dữ liệu thay thế).

16 Thay đổi cấu hình Sysmon.

17 Đã tạo đường ống có tên.

Trang 22 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

18 Đường ống được đặt tên được kết nối.

19 Đã phát hiện hoạt động WMIEventFilter.

20 Đã phát hiện hoạt động WMIEventConsumer.

21 Đã phát hiện hoạt động WMIEventConsumerToFilter.

22 Sự kiện truy vấn DNS (Windows 8 trở lên)

255 Lỗi hệ thống

Trang 23 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

Kiểm tra việc sử dụng PowerShell

Microsoft tiếp tục tăng số lượng nhật ký có sẵn xung quanh PowerShell để giúp chống lại việc sử dụng bất chính. Một lần nữa,

các phương tiện ghi nhật ký này phải được kích hoạt thông qua Chính sách nhóm, cụ thể là tại Cấu hình máy tính -> Chính

sách -> Mẫu quản trị -> Cấu phần Windows -> Windows PowerShell. Có thể có ba loại ghi nhật ký cơ bản, tùy thuộc vào phiên

bản Windows được đề cập.

• Ghi nhật ký mô-đun

o Ghi nhật ký các sự kiện thực hiện đường ống;

o Nhật ký vào nhật ký sự kiện.

• Ghi nhật ký khối tập lệnh

o Ghi lại các lệnh đã được giải mã được gửi tới PowerShell;

o Chỉ ghi lại các lệnh chứ không ghi lại kết quả đầu ra;

o Nhật ký vào nhật ký sự kiện.

• Phiên mã

o Ghi lại đầu vào và đầu ra của PowerShell;

o Sẽ không ghi lại đầu ra của các chương trình bên ngoài đang chạy, chỉ PowerShell;

o Ghi nhật ký vào tệp văn bản ở vị trí do người dùng chỉ định.

Sau khi được bật, những nhật ký này có thể cung cấp nhiều thông tin liên quan đến việc sử dụng PowerShell trên hệ thống của

bạn. Nếu bạn thường xuyên chạy nhiều tập lệnh PowerShell, điều này có thể tạo ra một lượng lớn dữ liệu, vì vậy hãy nhớ kiểm tra

và điều chỉnh các cơ sở kiểm tra để đạt được sự cân bằng giữa khả năng hiển thị và tải trước khi triển khai những thay đổi đó

trong sản xuất.

Các mục nhật ký sự kiện PowerShell xuất hiện trong các nhật ký sự kiện khác nhau. Bên trong %SystemRoot%\System32\winevt\

Logs\Microsoft-Windows-PowerShell%4Operational.evtx bạn sẽ tìm thấy hai sự kiện cần lưu ý cụ thể:

Mã sự kiện Sự miêu tả

4103 Hiển thị việc thực hiện quy trình từ cơ sở ghi nhật ký mô-đun. Bao gồm bối cảnh người dùng được
sử dụng để chạy các lệnh. Trường tên máy chủ sẽ chứa Bảng điều khiển nếu

được thực thi cục bộ hoặc sẽ hiển thị nếu chạy từ hệ thống từ xa.

4104 Hiển thị các mục ghi nhật ký khối tập lệnh. Ghi lại các lệnh được gửi tới PowerShell chứ không

phải đầu ra. Ghi lại chi tiết đầy đủ của từng khối chỉ trong lần sử dụng đầu tiên để tiết kiệm

không gian. Sẽ hiển thị dưới dạng sự kiện ở cấp độ Cảnh báo nếu Microsoft coi hoạt động

đó là Đáng ngờ.

Các mục bổ sung có thể được tìm thấy trong %SystemRoot%\System32\winevt\Logs\Windows PowerShell.evtx

nhật ký:

Mã sự kiện Sự miêu tả

400 Cho biết sự bắt đầu thực hiện lệnh hoặc phiên. Trường tên máy chủ hiển thị nếu

(cục bộ) Bảng điều khiển hoặc phiên từ xa gây ra việc thực thi.

Trang 24 trên 25
Machine Translated by Google

Phân tích nhật ký sự kiện Windows

Phiên bản 20191223

800 Hiển thị chi tiết thực hiện đường ống. UserID hiển thị tài khoản được sử dụng. Trường tên máy

chủ hiển thị nếu Bảng điều khiển (cục bộ) hoặc phiên từ xa gây ra việc thực thi. Vì nhiều tập

lệnh độc hại mã hóa các tùy chọn bằng Base64, hãy kiểm tra trường HostApplication để biết các

tùy chọn được mã hóa bằng tham số -enc hoặc -EncodedCommand.

Hãy nhớ rằng PowerShell Remote yêu cầu quyền truy cập được xác thực, vì vậy hãy tìm cả các sự kiện Đăng nhập tài khoản và

Đăng nhập được liên kết.

Trang 25 trên 25