我希望在 Windows 安全日志中找到一些内容,以便告诉我审核是否已被禁用 - 其想法是,如果有人想隐藏他们的活动,他们会关闭审核日志,做任何他们想做的事情,然后再将其重新打开。
我知道 Windows 安全事件“1100:事件日志服务已关闭”通常会在关机时发生,但如果有人将其关闭,则似乎不会记录此事件。Windows Server 2003 也没有类似的事件。
安全日志(或系统日志)中是否有事件代码可以告诉我何时有人手动关闭了审核?
任何帮助,将不胜感激。
答案1
标识已关闭审计的事件 ID 是什么?
您正在寻找 4719:系统审计策略已更改:
当审计策略被禁用时,无论“审计策略更改”子类别设置如何,都会记录此事件。此事件和其他几个事件可以帮助识别何时有人试图禁用审核以掩盖其踪迹。
4719:系统审计策略已更改
该计算机的系统级审计策略已被修改 - 通过本地安全策略、Active Directory 中的组策略或 audipol 命令。
据 Microsoft 称,无论“审计策略更改”子类别设置如何,只要禁用审计策略,就会记录此事件。此事件和其他几个事件可以帮助识别何时有人试图禁用审计以掩盖其踪迹。
如果使用组策略来配置审核策略,遗憾的是主题字段无法识别实际更改策略的人。在这种情况下,此事件始终显示本地计算机是更改策略的人,因为计算机是 gpupdate 运行的安全主体。
如果使用 auditpol 来配置审计策略,将正确反映主题中的用户:。
主题:
更改策略的用户的 ID 和登录会话 - 始终是本地系统 - 请参阅上面的注释。
- 安全 ID:帐户的 SID。
- 账户名:账户登录名。
- 帐户域:域或(本地帐户的情况下)计算机名称。
- 登录 ID 是一个半唯一(每次重启后唯一)的数字,用于标识登录会话。登录 ID 允许您向后关联登录事件 (4624) 以及在同一登录会话期间记录的其他事件。
请参阅下面的源链接以获取事件类别和子类别的完整列表。