什麼是事件查看器中的審核成功或審核失敗
為幫助解決問題,Windows 操作系統自帶的事件查看器顯示系統和應用程序消息的事件日誌,其中包括錯誤、警告和有關特定事件的信息,管理員可以分析這些信息以採取必要的措施。在這篇文章中,我們討論事件查看器中的審核成功或審核失敗。
什麼是事件查看器中的審核成功或審核失敗
在事件查看器中,Audit Success 是記錄成功的已審核安全訪問嘗試的事件,而 Audit Failure 是記錄失敗的已審核安全訪問嘗試的事件。我們將在以下小標題下討論該主題:
- 審計政策
- 啟用審計策略
- 使用事件查看器查找失敗或成功嘗試的來源
- 使用事件查看器的替代方法
讓我們詳細看看這些。
審計政策
審核策略定義記錄在安全日誌中的事件類型,這些策略生成事件,可以是成功事件或失敗事件。所有審計政策都會產生成功事件;但是,其中只有少數會生成 Failure 事件。可以配置兩種類型的審計策略,即:
審核失敗通常在登錄請求失敗時生成,儘管它們也可能由帳戶、對象、策略、特權和其他系統事件的更改生成。兩個最常見的事件是;
- 事件 ID 4771:Kerberos 預身份驗證失敗。此事件僅在域控制器上生成,如果為帳戶設置了不需要 Kerberos 預身份驗證選項則不會生成。有關此事件以及如何解決此問題的更多信息,請參閱Microsoft 文檔。
- 事件 ID 4625:帳戶登錄失敗。假定用戶已被鎖定,當帳戶登錄嘗試失敗時會生成此事件。有關此事件以及如何解決此問題的更多信息,請參閱Microsoft 文檔。
啟用審計策略
您可以通過本地組策略編輯器或組策略管理控制台或本地安全策略編輯器在客戶端或服務器計算機上啟用審核策略。在 Windows 服務器上,在您的域中,創建一個新的組策略對象,或者您可以編輯現有的 GPO。
在客戶端或服務器計算機上,在組策略編輯器中,導航至以下路徑:
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
在客戶端或服務器計算機上,在本地安全策略中,導航到以下路徑:
Security Settings > Local Policies > Audit Policy
- 在審核策略中,在右窗格中雙擊要編輯其屬性的策略。
- 在屬性面板中,您可以根據需要啟用成功或失敗策略。
使用事件查看器查找失敗或成功嘗試的來源
管理員和普通用戶可以在具有適當權限的情況下在本地或遠程計算機上打開事件查看器。事件查看器現在將在每次發生失敗或成功事件時記錄一個事件,無論是在客戶端計算機上還是在服務器計算機的域中。註冊失敗或成功事件時觸發的事件 ID 不同(請參閱上面的審計策略部分)。您可以導航到事件查看器> Windows 日誌>安全。中心的窗格列出了所有已設置用於審核的事件。您將必須通過註冊的事件來查找失敗或成功的嘗試。找到它們後,您可以右鍵單擊事件並選擇事件屬性更多細節。
使用事件查看器的替代方法
作為使用事件查看器的替代方法,有幾種第三方事件日誌管理器軟件可用於聚合和關聯來自各種來源的事件數據,包括基於雲的服務。如果需要從防火牆、入侵防禦系統 (IPS)、設備、應用程序、交換機、路由器、服務器等收集和分析數據,SIEM 解決方案是更好的選擇。
我希望你覺得這篇文章足夠有用!
為什麼審計成功和失敗的訪問嘗試很重要?
審核登錄事件對於檢測入侵嘗試是否成功至關重要,因為用戶登錄審核是檢測所有未經授權的域登錄嘗試的唯一方法。域控制器上不跟踪註銷事件。審計失敗的文件訪問嘗試也同樣重要,因為每次任何用戶嘗試訪問具有匹配 SACL 的文件系統對象失敗時都會生成審計條目。這些事件對於跟踪敏感或有價值且需要額外監視的文件對象的活動至關重要。
如何在 Active Directory 中啟用審核失敗日誌?
要在 Active Directory 中啟用審核失敗日誌,只需右鍵單擊要審核的 Active Directory 對象,然後選擇Properties。選擇安全選項卡,然後選擇高級。選擇審核選項卡,然後選擇添加。要查看 Active Directory 中的審核日誌,請單擊“開始” > “系統安全” > “管理工具” > “事件查看器” 。在 Active Directory 中,審核是收集和分析 AD 對象和組策略數據以主動提高安全性、及時檢測和響應威脅並保持 IT 運營平穩運行的過程。
發佈留言