域控场景下windows安全日志的分析--审计认证行为和命令的历史记录

最新推荐文章于 2023-10-30 11:05:33 发布

weixin_30852451

最新推荐文章于 2023-10-30 11:05:33 发布

阅读量5.4k

点赞数 1

CC 4.0 BY-SA版权

文章标签：操作系统 ldap

原文链接：http://www.cnblogs.com/KevinGeorge/p/8563458.html

本文介绍了如何在域控场景下分析Windows安全日志，包括审计认证行为、域账号锁定追查、登录类型解析，以及SSO加域LDAP认证环境下的登录认证失败日志追踪。通过查看事件ID、关键字、用户、计算机名等信息，可以有效地追溯异常登录和潜在的安全威胁。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、域控windows安全日志基本操作

1、打开powershell或者cmd

1 #gpedit.msc

打开配置：

关于账户安全性的策略配置在账户配置哪里

2、打开控制面板->系统与安全->事件查看器->windows日志->安全：

希望这里配置的时间足够长久，以便于查看日志

选择筛选器，筛选这一条：

来查看这个是很常用的一个，当然审核成功也很有用，那是你知道那个时间确定被入侵的时候用到。

2、场景分析：

2.1、域账号被锁定：

原因：可能是病毒、脚本、锁定账号名下的计划任务或者黑客攻击爆破等行为导致。

追查思路：找到时间ID4740，这个是域账号被锁定的标志，可以找到一些信息，运气好的话能定位到导致此问题的IP或者进程。至少可以确定准确的锁定时间，然后回溯之前的审计失败的认证尝试报文ID4625，找到源IP或者主机名。下一步再去排查相关的IP或者主机名。

#######################

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30852451

关注关注

1
点赞
踩
15

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

掌握大数据领域Kafka的安全认证机制

大数据洞察的博客

06-29

928

本文系统解析Apache Kafka安全认证机制的技术本质与工程实践，覆盖从基础概念到高级演进的全生命周期。通过第一性原理推导认证核心需求，分层拆解SSL/TLS、SASL（Kerberos/GSSAPI、PLAIN、SCRAM、OAUTHBEARER）等主流机制的技术架构，结合生产环境配置案例与性能优化策略，最终构建从理论验证到落地实施的完整知识体系。本文适配不同技术背景读者，既包含面向专家的协议细节分析，也提供面向入门者的类比教学与可视化指南。

Windows登录日志详解

weixin_33901641的博客

10-07

5298

2019独角兽企业重金招聘Python工程师标准>>> ...

参与评论您还未登录，请先登录后发表或查看评论

windows文件保护_等保测评2.0：Windows安全审计

weixin_39844549的博客

10-14

1483

请点击上面　　一键关注！原创作者：起于凡而非于凡，内容来源：FreeBuf一、说明本篇文章主要说一说windows系统中安全审计的控制点的相关内容和理解。二、测评项a)应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应对审计记录进行保护，定期备份，避免受到未...

获取服务器或域控登录日志工具

最新发布

weixin_46211944的博客

10-30

643

本工具仅面向合法授权的企业安全建设行为，如您需要测试本工具的可用性，请自行搭建靶机环境。在使用本工具时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。请勿对非授权目标进行扫描。如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，作者及本公众号将不承担任何法律及连带责任。项目地址：https://github.com/lele8/SharpUserIP。在域控或远程提取登录日志，快速获取域用户对应的 IP 地址。服务器登陆日志 (需管理员权限)获取服务器或域控登录日志工具。

常用服务器日志分析命令

weixin_33751566的博客

12-22

141

1. 查看有多少个IP访问：awk'{print$1}'log_file|sort|uniq|wc-l2. 查看一个页面被访问的次数grep"/index.php"log_file|wc-l3. 查看每一个IP访问多少个页面awk'{++S[$1]}END{for(ainS)printa,S[a]}'log_file>log.tx...

服务器系统日志有大量审核成功,有效管理服务器系统日志，大幅度提升企业运行效率！...

weixin_31600439的博客

08-06

361

原标题：有效管理服务器系统日志，大幅度提升企业运行效率！合适的日志管理能有效增加企业运行效率，降低数据分析负担，但并不是所有企业都能有效发挥日志的作用，如何有效管理服务器系统日志，是站长应该关心的问题。一、关联所需要的信息为了能够清晰地知道数据代表的意义与来源，写出有效的关联规则，日志管理系统必须有足够的上下数据进行对比分析。例如，为了确定某个特定流量、行为的来源，就需要确定IP的地址信息，这就...

开启本地及域控用户登录操作日志审计记录

m0_68941357的博客

11-17

7824

在(控制面板-->系统和安全-->查看事件日志-->Windows日志-->安全)里就能查看到登录日志。时间和登录成功与否都会有记录，再有人动你的电脑你就要采取措施啦！1.输入gpedit.msc 打开组策略管理器。

红队专题-漏洞挖掘-代码审计

aming小老弟

03-11

1242

其中 Web A 为存在 CSRF 漏洞的网站，Web B 为攻击者构建的恶意网站，User C 为 Web A 网站的合法用户。用户 C 打开浏览器，访问受信任网站 A，输入用户名和密码请求登录网站A在用户信息通过验证后，网站 A 产生 Cookie 信息并返回给浏览器，此时用户登录网站 A 成功，可以正常发送请求到网站A用户未退出网站 A 之前，在同一浏览器中，打开一个 TAB 页访问网站 B网站 B 接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点 A。

高效AD域控管理：批量操作工具详解

- 事件日志的记录，以便追踪操作历史，确保操作的可追溯性和可审计性使用这类工具的优势包括： - 显著提升管理效率，减少重复劳动，节省时间 - 减少人为操作错误，提高数据准确性 - 增强网络环境的安全性，...

【故障转移与备份】：保障域控组策略的高可用性与数据安全

文章首先介绍了故障转移的基础知识及其在域控制器中的实现方法，包括Active Directory站点和服务的使用，多宿主配置以及网络负载均衡。接着，文章强调了备份策略对于数据保护的重要性，并提出实施有效备份的策略与...

域控服务器排查命令,mimikatz利用zerologon攻击域控服务器相关命令（附蓝队自查方案）...

weixin_32019361的博客

08-02

1025

0x01 前言mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix官方利用截图如下 mimikatz相关命令lsadump::zerologon /target:dc.hacke.testlab /account:d...

基于AD Event日志监测域内信息探测行为

12-25

1396

01、简介当攻击者获得内网某台域内服务器的权限，就会以此为起始攻击点，尽可能地去收集域的信息，以获取域控权限作为内网的终极目标。例如，攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息，通过定位域管理员以找到最佳攻击路径，从而拿到域管理员权限。针对域内信息探测的行为，是攻击者入侵的前兆，基于AD Event日志检测攻击者的信息探测行为，就可以预先给安全管理员发出告警，帮助安全管理员找到网络中...

如何查询AD域账户相关事务日志

qq_39809652的博客

05-04

1万+

4. 在“事件来源”下拉菜单中，选择“Microsoft-Windows-Security-Auditing”。2. 在“事件查看器”窗口中，选择“Windows 日志” > “安全”。2. 在“事件查看器”窗口中，选择“Windows 日志” > “安全”。2. 在“事件查看器”窗口中，选择“Windows 日志” > “安全”。2. 在“事件查看器”窗口中，选择“Windows 日志” > “安全”。此时，您应该能够看到与 AD 账户修改的相关的所有事件。3. 在右侧窗格中，单击“过滤当前日志”。

AD域管理

weixin_30674525的博客

11-12

440

AD域管理用户账户控制首先登陆域控计算机。打开Active Directory用户和计算机。（路径：开始–>管理工具–> Active Directory用户和计算机）打开AD用户和计算机控制台后，首先选择被添加人的部门的组织单元（OU）。如果是开发人员择需要添加到Developer内，其他部门请添加到“市...

Windows服务器密码策略、账户锁定策略等安全设置

Fadess的博客

10-10

1万+

Windows服务器密码策略、账户锁定策略、审核策略、安全选项、会话时间限制安全设置

用服务器日志监控软件、服务器日志分析工具软件教你如何查看服务器日志？

热门推荐

Enweitech Software Works

02-15

1万+

这篇文章主要介绍了用服务器日志监控软件、服务器日志分析工具软件教你如何查看服务器日志？,需要的朋友可以参考下现在很多公司局域网都有自己的文件服务器，用于存储或共享一些文件供局域网用户访问使用。但是，在设置共享文件访问的过程中，经常出现共享文件被随意复制、修改甚至删除的情况发生，这使得共享文件的安全管理面临着较大风险。如何既可以让用户访问使用共享文件又可以阻止其对共享文件的不

AD域安全攻防实践（附攻防矩阵图）

03-11

3729

以域控为基础架构，通过域控实现对用户和计算机资源的统一管理，带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对域控的攻击技术，在Windows通用攻击技术的基础上自成一套技术体系，将AD域攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段，把域环境下众多且繁杂的攻击行为映射到ATT&CK，梳理成一个AD域攻防矩阵图。（1）域内信息收集当攻击者获得内网某台域...

域用户权限|查看日志

weixin_34255793的博客

10-31

1439

域用户权限|查看日志。如果委派特定用户查看DC的系统日志？回答：根据您的描述，我对这个问题的理解是：您想指定特定的用户允许查看DC上的事件日志。根据我的研究，要允许特定用户访问域控制器上的事件日志，请使用以下步骤： 1．以管理员身份登陆到域控制器。 2．打开文件%windir%\inf\Sceregvl.inf，加入以下内容到[Strings]之上： ...

ad域服务器用户登录限制,AD域监控用户登录, 活动目录监控用户, AD登录历史审核...

weixin_32334681的博客

07-31

1896

实时监控用户登录操作用户登录到其域计算机是在任何企业都会发生的日常活动。一开始，这看起来可能是一个简单的Active Directory事件，但分配有不同角色的管理员可将这个宝贵的数据用于各种审核、合规和操作需求。企业需要有关“AD用户登录日志”的审核详情以满足以下一个或多个操作需求。验证给定审核间隔/每个月的员工缺勤/出勤。确定在给定时刻可以访问Active Directory网络的用户总数。找...

Windows 2003域控与Cisco AP：PEAP-MS-CHAPv2无线认证配置指南

"该资源主要涉及在Windows域控环境下，结合证书服务器、IAS（Internet Authentication Service）以及Cisco AP，实现PEAP（Protected Extensible Authentication Protocol）进行统一的无线网络安全认证。这种方法确保...