イベントログ 特権使用診断
ここでは、Windowsサーバーのセキュリティ診断・特権使用について説明します。
Windowsサーバーのセキュリティ診断・特権使用の診断項目は、以下の通りです。
・OSの一部として機能
・システム時刻の変更
・リモート強制シャットダウン
・デバイス ドライバのロード・アンロード
・監査ログとセキュリティ ログの管理
・システムのシャットダウン
・オブジェクト所有権の取得
イベントID 577 と 578で 説明に「SeTcbPrivilege」があるイベントは、OSの一部として振る舞い ユーザーがセキュリティ特権を引き上げようとした可能性があることを示しています。たとえば、特権を使用する Administrators グループにユーザーが自分のアカウントを追加しようとする GetAdmin 攻撃があります。
イベントID 577 と 578で 説明に「SeSystemtimePrivilege」があるイベントは、イベントが発生した本来の時刻を隠すために ユーザーがシステム時刻を変更しようとした可能性があることを示しています。
イベントID 577 と 578で 説明に 「SeRemoteShutdownPrivilege」があるイベントは、リモートコンピュータからのシャットダウンを示します。イベントの詳細には、ユーザー権利が割り当てられている特定のセキュリティ識別子 (SID)、および権限が割り当てられているセキュリティ プリンシパルのユーザー名が含まれます。
イベントID 577 と 578で 説明に 「SeLoadDriverPrivilege」があるイベントは、不正なデバイスドライバ、またはトロイの木馬型デバイス ドライバをユーザーがロードしようとした可能性があることを示しています。
イベントID 577 と 578で 説明に 「SeSecurityPrivilege」があるイベントは、特権を使用してイベント ログが消去されたことを示します。
イベントID 577 で 説明に 「SeShutdownPrivilege」があるイベントは、コンピュータをシャットダウンしようとした場合に発生します。
イベントID 577 と 578で 説明に 「SeTakeOwnershipPrivilege」があるイベントは、攻撃者がオブジェクトの所有権を奪うことで現在のセキュリティ設定をバイパスしようとした可能性があることを示しています。
特権使用に関するイベントログは、イベントログ・セキュリティに記録されます。
ユーザーが、アクセスが制限されたシステム サービス操作を実行しようとしました。
既に開かれている handle で保護されたオブジェクトに対して特権が使用されました。
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。
特権のあるサービスが呼び出されました。
特権のあるオブジェクトで操作が試行されました。
システム時刻の変更
イベントログ消去
イベントログサービスのシャットダウン