了解Windows安全事件,对安全事件进行故障诊断
了解Windows安全事件,对安全事件进行故障诊断
什么是安全事件
Windows 中发生的安全事件通常有两种严重类型。第一种是威胁网络完整性的隔离事件,例如意外被授予敏感权限的终端用户。另一个涉及多次失败的登录尝试,这表明可能存在危险的活动。
安全事件是指可能破坏实体敏感数据并最终破坏其网络完整性的事件。一些广为人知的攻击包括恶意软件、社会工程攻击、网络钓鱼诈骗、DDoS攻击、内部威胁攻击和密码攻击等。越来越明显的是,企业需要耗费更多的资源检测此类事件并对抗其安全能力。
与安全事件相关的事件 ID 及其含义
本部分探讨了表示安全事件的关键 Windows 事件 ID,并提供了有关其影响以及如何解决这些事件的见解。
帐户登录失败 - 事件ID 4625
每当登录请求失败时,此事件都会记录在Windows中。
发生此类事件的可能原因包括:
- 用户名或密码输入错误:这是登录失败的最常见原因。当用户输入错误的用户名或密码时将被拒绝登录,并记录为事件日志。
- 帐户因多次登录失败而被阻止:管理员为组织量身定制了各种策略,以减轻安全威胁,其中一个策略可能会限制用户的访问权限,因为他们多次尝试登录,但每次都失败了。
- 用户名或密码已过期:安全措施更加严格,保持网络免受威胁的要求需要一致的、更严格的指导方针和规范。因此,每个用户帐户都有一个使用期限,一旦帐户接近其到期日期,则必须更改用户凭证才能再次运行。
- 网络通信故障:当网络中的某个组件出现故障时,总是会遇到登录失败的情况。VPN 设置配置错误、网络设备出现问题、ISP 停机以及 SSL 等安全协议在空状态下运行,都是导致网络无法成功建立用户身份验证的一些情况。
修复Windows事件ID 4625的方法
在Windows环境中,有一些本地方法可以绕过事件ID 4625。尝试下面描述的解决方案来尝试修复错误。
清除过期的凭据:
- 使用凭据管理器,可以通过命令提示符访问存储的用户名和密码。
- 通过提示 cmdkey /list 命令,将显示已存储凭据的用户名列表。
- 然后运行 rundll32 keyngr.dll KRShowKeyMgr 命令,将给出相应的密码列表。
- 从服务器中清除失效的凭据并重新启动 PC。
重新加入域:
- 打开 run 命令。
- 在对话框中输入 regedit。在 Windows 注册表编辑器中导航到指定的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa。
- 在注册表编辑器的右窗格中,右键单击空白处,从菜单中选择“新建”,然后选择DWORD(32位)值将其重命名为“LmCompatibilityLevel”。
- 双击刚刚创建的LmCompatibilityLevel DWORD,并在Value data字段中输入1。
- 保存更改。
避开 NTLM 协议:
Microsoft 宣布,他们正在慢慢准备从进一步的推出中取消 NTLM,因为它被视为过时的协议。它容易受到暴力攻击,因为它的哈希算法很容易知道,而且没有加盐的密码也使它管理您的身份验证过程存在风险。因此,可以通过运行 secpol.msc 命令来拒绝所有传入的 NTLM 流量。
尝试使用显式凭据登录 - 事件ID 4648
当用户通过显式提供与相关帐户关联的凭据来尝试帐户登录时,将触发此事件。此事件日志可帮助您更大程度地授权人员访问并保护高价值账户。
使用 Windows 防范事件 ID 4648
采取措施避免此事件的发生至关重要,因为有人试图使用不同或新的凭据入侵您的系统。您可以尝试以下提到的技术之一来找到解决此问题的方法:
清除伪装成合法用户的账户凭证:
- 通过在Windows搜索栏上搜索打开事件查看器,通过展开显示在菜单左侧的Windows日志来选择“Security(安全)”。
- 在日志列表中查找事件ID 4648,并记录导致错误的帐户名。
- 打开“控制面板”,确保对话框中的“按条目查看”选项设置为“大图标”。
- 从对话框中显示的无数选项中选择用户帐户,打开窗口左侧的“管理凭据”,然后选择“Windows凭据”。
- 从显示的用户帐户列表中,选择要从网络中删除的帐户。
关闭远程访问:
可以使用设置应用程序立即禁用系统上的远程访问功能。
- 打开“设置”并导航到“系统”部分。
- 进入“远程桌面”选项。
- 然后,单击“远程桌面”选项旁边的开关来禁用它。
分配给新登录的特权 - 事件ID 4672
当具有管理员级别权限的用户登录到系统时,将注册此事件。此事件日志是通知具有敏感权限的用户登录,并增加对网络内发生的事情的警惕性。
以下是特权用户帐户的列表:
- SeTcbPrivilege 作为操作系统的一部分
- SeBackupPrivilege 备份文件和目录
- SeCreateTokenPrivilege 创建 Token 对象
- SeDebugPrivilege 调试程序
- SeEnableDelegationPrivilege 启用可信的计算机和用户帐户以进行委派
- SeAuditPrivilege 生成安全审计
- SeImpersonatePrivilege 身份验证后模拟客户端
- SeLoadDriverPrivilege 加载和卸载设备驱动程序
- SeSecurityPrivilege 管理和审核安全日志
- SeSystemEnvironmentPrivilege 修改固件环境值
- SeAssignPrimaryTokenPrivilege 替换进程级别标记
- SeRestorePrivilege 恢复文件和目录
- SeTakeOwnershipPrivilege 获取文件或其他对象的所有权
使用本地解决方案修复事件ID 4672
- 禁用系统上的防病毒软件。
- 关闭电脑上运行的所有后台应用程序。
- 在安全模式下重新启动 Windows。
在使用以下故障排除方法之前,请尝试遵循上述步骤:
更新 BIOS:
更新BIOS有助于在整个生命周期中保持系统的兼容性,BIOS升级是由制造商推出的,目的是消除高级安全威胁。
卸载最近的 Windows 更新:
- 打开 Settings(设置)。
- 进入 Windows 更新并选择更新历史记录。
- 然后,单击 卸载更新 按钮并选择最新更新。
- 然后选择最新的更新,单击“卸载更新”。
- 点击“卸载”并确认。
更新 GPU 驱动程序:
及时更新驱动程序将修复影响它们的错误,并安装最新功能以提高系统性能。在Windows中手动检查更新驱动程序以获得演练。
Kerberos身份验证事件 - 事件ID 4768
每当密钥分发中心尝试验证凭据时,事件ID 4768就会记录在域控制器上。如果认为凭证有效,就会发放授予 TGT,从而记录一个成功的Kerberos身份验证事件。如果发现凭据无效,将记录一个事件4768,类型为失败。
安全事故呈上升趋势,而克服缓解这些事故的有效手段是当务之急,合规性要求促使企业采用急需的实践和技术。在这一点上,监控事件的所有内容可以帮助查明异常情况和滥用特权的企图。
使用本地方案解析事件ID 4768
在开始解决问题之前,请确保您已经尝试了下面提到的步骤:
- 检查Windows服务器是否为最新版本。
- 服务器时间必须始终正确。
- 网络连接没有问题。
如果在执行步骤后仍然遇到错误,请尝试下面的方法尝试解决问题:
启用 VPN:
为系统中的其他用户启用VPN连接是解决此事件的一种方法。当用户尝试访问系统时,他们必须使用VPN访问本地网络。因此,Kerberos身份验证可以验证凭据,而不会出现任何其他问题,并且不会存储事件ID 4768。
卸载有问题的更新:
- 打开控制面板。
- 转到卸载或更改程序,然后单击查看已安装的更新。
- 卸载导致问题的更新。
部署防火墙:
- 打开控制面板,选择“系统和安全”。
- 导航到 Windows Defender 防火墙。
- 进入高级设置。
- 配置入站和出站规则。
使用防火墙可能是阻止任何未经请求的请求进入的最佳选择。Windows还提供了在服务器上配置入站和出站规则的选项,可以根据您的需要进行定制。
已发出Kerberos服务票证请求 - 事件ID 4769
该事件在请求Kerberos服务票证时生成,它包含与请求者、来源和安全标识符相关的所有信息。通过记录服务票证请求,可以评估网络中用户和设备之间的关键交互。
通过记录此事件,可以对敏感帐户(如管理员及其对应帐户)的活动保持警惕,并在发生安全漏洞时检测到安全漏洞。
使用 Windows 解决方法解决事件ID 4768 问题
启用登录失败的审核:
- 打开Windows PowerShell,单击“以管理员身份运行”。
- 在“PowerShell”窗口中运行 auditpol/set /subcategory:“logon”/failure:enable 命令。
启用后,系统将开始记录与登录失败相关的事件,这有助于识别未经授权的访问尝试。
重置Kerberos密码:
Kerberoasting是一种特定类型的攻击,攻击者利用Kerberos协议获取Active Directory用户帐户的密码散列。
要解决此问题,必须在Active Directory用户和计算机中重置用户的密码。这些是管理员独有的特权,因此需要与获得授权的相关人员取得联系,并请求重置密码。
加强身份验证级别:
- 打开 Run 命令。
- 在对话框中输入"gpedit.msc",然后按 Enter 键打开组策略编辑器。
- 导航到以下位置:计算机配置/Windows 设置/安全设置/本地策略/安全选项。
- 通过定位“网络安全:配置Kerberos允许的加密类型”的策略来配置Kerberos加密类型。双击此策略以打开其属性。
- 在“本地安全设置”中选择“AES256_HMAC_SHA1”。
- 单击“应用”,然后保存更改。
对安全事件进行故障诊断的工具
Eventlog Analyzer是一个全面的日志管理工具,可集中收集、监控、关联和存档的网络日志,它是一个一站式的解决方案,可以帮助组织排除错误,加强安全状态,并提高合规性。
通过为事件ID 4625、4648、4672、4768和4769设置自定义告警配置文件,增强安全监控:
- 进入EventLog Analyzer→告警→添加告警配置文件。
- 从相应的下拉列表中选择 Alert 和 Event ID。
- 选择 Equals 并添加事件ID 4625。重复此过程以添加事件 ID 4648、4672、4768 和 4769。
- 添加其他详细信息,例如警报名称、严重性和日志源。
- 在警报消息中包含设备名称、用户账户和域,并启用通知。
- 收到通知的安全管理员可以使用警报消息中的详细信息来检查这些事件是否在同一系统中多次记录。
基于事件 ID 的安全监控和修复的方法
- 集中式日志管理是开始消除安全事件的好方法。通过将日志统一在一个中心,作为所有数据的穹顶,管理员可以在应对看似不寻常的活动方面领先一步。
- 借助SIEM解决方案来自动化安全审计,从而更轻松地关联事件和探查松散的结局。
- 配置设置,优先考虑某些本质上至关重要的事件ID,并在出现时设置警报以便于及时调查它们。
- 为特定设备设置自定义警报,当设备超出范围并开始运行时。