whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows セキュリティ診断 特権使用

イベントログ概要 : 2009.09.11 Friday


概要
Windowsサーバーのセキュリティ診断・特権使用について説明します。

診断項目は、以下の通りです。
・OSの一部として機能
・システム時刻の変更
・リモート強制シャットダウン
・デバイス ドライバのロード・アンロード
・監査ログとセキュリティ ログの管理
・システムのシャットダウン
・オブジェクト所有権の取得


OSの一部として機能

イベントID 577 と 578で 説明に「SeTcbPrivilege」があるイベントは、OSの一部として振る舞い ユーザーがセキュリティ特権を引き上げようとした可能性があることを示しています。たとえば、特権を使用する Administrators グループにユーザーが自分のアカウントを追加しようとする GetAdmin 攻撃があります。

システム時刻の変更

イベントID 577 と 578で 説明に「SeSystemtimePrivilege」があるイベントは、イベントが発生した本来の時刻を隠すために ユーザーがシステム時刻を変更しようとした可能性があることを示しています。

リモート強制シャットダウン

イベントID 577 と 578で 説明に 「SeRemoteShutdownPrivilege」があるイベントは、リモートコンピュータからのシャットダウンを示します。イベントの詳細には、ユーザー権利が割り当てられている特定のセキュリティ識別子 (SID)、および権限が割り当てられているセキュリティ プリンシパルのユーザー名が含まれます。

デバイス ドライバのロード・アンロード

イベントID 577 と 578で 説明に 「SeLoadDriverPrivilege」があるイベントは、不正なデバイスドライバ、またはトロイの木馬型デバイス ドライバをユーザーがロードしようとした可能性があることを示しています。

監査ログとセキュリティ ログの管理

イベントID 577 と 578で 説明に 「SeSecurityPrivilege」があるイベントは、特権を使用してイベント ログが消去されたことを示します。

システムのシャットダウン

イベントID 577 で 説明に 「SeShutdownPrivilege」があるイベントは、コンピュータをシャットダウンしようとした場合に発生します。

オブジェクト所有権の取得

イベントID 577 と 578で 説明に 「SeTakeOwnershipPrivilege」があるイベントは、攻撃者がオブジェクトの所有権を奪うことで現在のセキュリティ設定をバイパスしようとした可能性があることを示しています。


特権使用に関するイベントログは、イベントログ・セキュリティに記録されます。
イベントID 意味
577 ユーザーが、アクセスが制限されたシステム サービス操作を実行しようとしました。
578 既に開かれている handle で保護されたオブジェクトに対して特権が使用されました。


Windows Vista,Windows 7,Windows Server 2008 特権使用の診断
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID 意味
4673特権のあるサービスが呼び出されました。
4674特権のあるオブジェクトで操作が試行されました。
  
4616システム時刻の変更
1102イベントログ消去
1100イベントログサービスのシャットダウン


セキュリティ診断の省力化には・・・
セキュリティ診断は 上記の通りなのですが、実際の運用で手作業でイベントログをチェックするのはとても困難です。

そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベントログ分析ツール WhiteFox EventLog Analyzer」というツールを販売しています。
イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。





お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ