रैंडी फ्रेंकलिन स्मिथ (CISA, SSCP, सुरक्षा MVP) ने अपने शस्त्रागार में एक बहुत ही
उपयोगी दस्तावेज बताया है कि कौन सी घटनाओं (इवेंट आईडी) के बारे में विंडोज सूचना सुरक्षा सुनिश्चित करने के हिस्से के रूप में निगरानी की जानी चाहिए। यह दस्तावेज़ बेहद उपयोगी जानकारी प्रदान करता है जो आपको एक नियमित ऑडिट प्रणाली से अधिकतम "निचोड़ने" की अनुमति देगा। हमने इस सामग्री का अनुवाद तैयार किया है। इच्छुक पार्टियों को बिल्ली का स्वागत है।
हमने अपने पोस्ट में पहले से ही
एक ऑडिट कैसे सेट किया जाए, इसके बारे में विस्तार से लिखा है। लेकिन ईवेंट लॉग में होने वाली सभी ईवेंट आईडी के लिए, कई महत्वपूर्ण लोगों पर ध्यान देना आवश्यक है। सभी को तय करने के लिए कौन से हैं। हालांकि, रैंडी फ्रैंकलिन स्मिथ 10 महत्वपूर्ण विंडोज सुरक्षा घटनाओं पर ध्यान केंद्रित करने का सुझाव देते हैं।
डोमेन नियंत्रक
इवेंट आईडी - (श्रेणी) - विवरण1)
675 या 4771(ऑडिट लॉगिन इवेंट्स)किसी डोमेन नियंत्रक पर इवेंट 675/4771 डोमेन खाते के साथ वर्कस्टेशन पर केर्बरोस के माध्यम से लॉग इन करने के असफल प्रयास को इंगित करता है। आमतौर पर इसका कारण अनुचित पासवर्ड है, लेकिन त्रुटि कोड इंगित करता है कि प्रमाणीकरण असफल क्यों था। Kerberos त्रुटि कोड तालिका नीचे दिखाई गई है।
2)
676, या असफल 672 या 4768(ऑडिट लॉगिन इवेंट्स)अन्य प्रकार के विफल प्रमाणीकरण के लिए इवेंट 676/4768 लॉग किया गया है। Kerberos कोड तालिका नीचे दिखाई गई है।
ध्यान: विंडोज 2003 सर्वर में, एक विफलता घटना 676 के बजाय 672 दर्ज की गई है।
3)
681 या फेल 680 या 4776(ऑडिट लॉगिन इवेंट्स)डोमेन नियंत्रक पर इवेंट 681/4776 के माध्यम से एक असफल लॉगिन प्रयास इंगित करता है
एक डोमेन खाते के साथ NTLM। त्रुटि कोड इंगित करता है कि प्रमाणीकरण असफल क्यों था।
NTLM त्रुटि कोड नीचे सूचीबद्ध हैं।
ध्यान: विंडोज 2003 सर्वर में, एक विफलता घटना 681 के बजाय 680 के रूप में दर्ज की गई है।
4)
642 या 4738(खाता प्रबंधन लेखा परीक्षा)घटना 642/4738 निर्दिष्ट खाते में परिवर्तन को इंगित करता है, जैसे कि पासवर्ड रीसेट करना या पहले से निष्क्रिय खाते को सक्रिय करना। घटना का विवरण परिवर्तन के प्रकार के अनुसार निर्दिष्ट किया गया है।
5)
632 या 4728; 636 या 4732; 660 या 4756 है(खाता प्रबंधन लेखा परीक्षा)सभी तीन घटनाओं से संकेत मिलता है कि निर्दिष्ट उपयोगकर्ता एक विशिष्ट समूह में जोड़ा गया है। वैश्विक, स्थानीय और यूनिवर्सल प्रत्येक आईडी के लिए क्रमशः नामित किए गए हैं।
6)
624 या 4720(खाता प्रबंधन लेखा परीक्षा)एक नया उपयोगकर्ता खाता बनाया गया है।
)
६४४ या ४ )
४०(खाता प्रबंधन लेखा परीक्षा)कई लॉगिन प्रयासों के बाद निर्दिष्ट उपयोगकर्ता खाता अवरुद्ध कर दिया गया था
) ५१
110 या ११०२(ऑडिट सिस्टम ईवेंट)निर्दिष्ट उपयोगकर्ता ने सुरक्षा लॉग को साफ़ किया
लॉग इन और आउट (लॉगऑन / लॉगऑफ़)
इवेंट आईडी विवरण528 या 4624 - सफल लॉगिन
529 या 4625 - लॉगिन विफलता - अज्ञात उपयोगकर्ता नाम या अमान्य पासवर्ड
530 या 4625 लॉगिन विफलता - संकेतित समय अवधि के लिए लॉगिन विफल रहा।
531 या 4625 - लोगन विफलता - खाता अस्थायी रूप से निष्क्रिय कर दिया गया
532 या 4625 - लॉगिन विफलता - निर्दिष्ट खाता समाप्त हो गया है
533 या 4625 - लोगन विफलता - उपयोगकर्ता को इस कंप्यूटर पर लॉग ऑन करने की अनुमति नहीं है
534 या 4625 या 5461 - लॉगिन इनकार - इस कंप्यूटर पर उपयोगकर्ता को अनुरोधित लॉगिन प्रकार की अनुमति नहीं थी
535 या 4625 - लॉगिन विफलता - निर्दिष्ट खाता पासवर्ड समाप्त हो गया है
539 या 4625 - लॉगिन अस्वीकृत - खाता लॉक आउट
540 या 4624 - सफल नेटवर्क लॉगऑन (विंडोज 2000, एक्सपी, 2003 केवल)
लोगन प्रकार
लॉगिन प्रकार - विवरण2 - इंटरएक्टिव (कीबोर्ड या सिस्टम स्क्रीन से इनपुट)
3 - नेटवर्क (उदाहरण के लिए, नेटवर्क या IIS लॉगिन पर कहीं से भी इस कंप्यूटर पर एक साझा फ़ोल्डर से कनेक्ट करना - विंडोज सर्वर 2000 या बाद के संस्करण में 528 में कभी लॉग-इन न करें। देखें घटना 540)
4 - बैच (उदाहरण के लिए, एक निर्धारित कार्य)
5 - सेवा (सेवा प्रारंभ)
7 - अनलॉक (उदाहरण के लिए, एक पासवर्ड-संरक्षित स्क्रीनसेवर के साथ एक अनअटेंडेड वर्कस्टेशन)
8 - NetworkCleartext (सादा पाठ में भेजे गए क्रेडेंशियल के साथ लॉगिन। अक्सर "मूल प्रमाणीकरण" के साथ IIS लॉगिन को संदर्भित करता है)
9 - नए क्रेडेंशियल्स
10 - RemoteInteractive (टर्मिनल सेवा, दूरस्थ डेस्कटॉप, या दूरस्थ सहायता)
11 - कैश्ड निष्क्रिय (कैश्ड डोमेन अनुमतियों के साथ लॉगऑन, उदाहरण के लिए, कार्यस्थान पर लॉगिंग करना जो नेटवर्क में नहीं है)
कर्बेरोस विफलता कोड
त्रुटि कोड - कारण6 - उपयोगकर्ता नाम मौजूद नहीं है
12 - काम करने वाली मशीन का प्रतिबंध; लॉगिन समय सीमा
18 - खाता निष्क्रिय, अवरुद्ध या समाप्त हो गया है
23 - उपयोगकर्ता पासवर्ड समाप्त हो गया है
24 - पूर्व-प्रमाणीकरण विफल; आमतौर पर इसका कारण गलत पासवर्ड है
32 - आवेदन की समय सीमा समाप्त हो गई है। यह एक सामान्य घटना है जिसे कंप्यूटर खातों में लॉग इन किया जाता है।
३ - एक वर्किंग मशीन पर समय लंबे समय के लिए डोमेन नियंत्रक पर समय के साथ सिंक्रनाइज़ नहीं किया गया है
NTLM त्रुटि कोड
त्रुटि कोड (दशमलव प्रणाली) - त्रुटि कोड (हेक्साडेसिमल सिस्टम) - विवरण3221225572 - C0000064 - यह उपयोगकर्ता नाम नहीं है
3221225578 - C000006A - उपयोगकर्ता नाम सही है, लेकिन पासवर्ड गलत है
3221226036 - C0000234 - उपयोगकर्ता खाता बंद है
3221225586 - C0000072 - खाता निष्क्रिय कर दिया गया है
3221225583 - C000006F - उपयोगकर्ता निर्दिष्ट समय अवधि (कार्य समय) के बाहर प्रवेश करने की कोशिश कर रहा है
3221225584 - C0000070 - वर्कस्टेशन सीमा
3221225875 - C0000193 - खाता समाप्त हो गया है
3221225585 - C0000071 - पासवर्ड की समय सीमा समाप्त हो गई है
3221226020 - C0000224 - उपयोगकर्ता को अगले लॉगिन पर पासवर्ड बदलना होगा
एक बार फिर, रैंडी फ्रैंकलिन स्मिथ की
वेबसाइट www.ultimatewindowssecurity.com/securitylog/quickref/Default.aspx पर दस्तावेज़ डाउनलोड करने के लिए लिंक को डुप्लिकेट
करें । इस तक पहुंचने के लिए आपको एक छोटा फॉर्म भरना होगा।
पुनश्च क्या आप इवेंट लॉग के साथ काम को पूरी तरह से स्वचालित करना चाहते हैं? नेटवर्क्स इवेंट लॉग मैनेजर 4.0 के नए संस्करण का प्रयास करें, जो इवेंट लॉग एकत्र करता है और रिपोर्ट बनाता है, और वास्तविक समय अलर्ट उत्पन्न करता है। कार्यक्रम नेटवर्क पर कई कंप्यूटरों से डेटा एकत्र करता है, आपको महत्वपूर्ण घटनाओं की चेतावनी देता है और संग्रहीत लॉग डेटा का विश्लेषण करने की सुविधा के लिए सभी घटनाओं पर डेटा को एक संपीड़ित प्रारूप में संग्रहीत करता है। कार्यक्रम का एक मुफ्त संस्करण 10 डोमेन नियंत्रकों और 100 कंप्यूटरों के लिए उपलब्ध है।