イベントログ 特権使用診断

特権使用診断

Windowsサーバーのセキュリティ診断・特権使用の診断項目は、以下の通りです。
・ＯＳの一部として機能
・システム時刻の変更
・リモート強制シャットダウン
・デバイス ドライバのロード・アンロード
・監査ログとセキュリティ ログの管理
・システムのシャットダウン
・オブジェクト所有権の取得

ＯＳの一部として機能

イベントID 577 と 578で 説明に「SeTcbPrivilege」があるイベントは、ＯＳの一部として振る舞い ユーザーがセキュリティ特権を引き上げようとした可能性があることを示しています。たとえば、特権を使用する Administrators グループにユーザーが自分のアカウントを追加しようとする GetAdmin 攻撃があります。

システム時刻の変更

イベントID 577 と 578で 説明に「SeSystemtimePrivilege」があるイベントは、イベントが発生した本来の時刻を隠すために ユーザーがシステム時刻を変更しようとした可能性があることを示しています。

リモート強制シャットダウン

イベントID 577 と 578で 説明に 「SeRemoteShutdownPrivilege」があるイベントは、リモートコンピュータからのシャットダウンを示します。イベントの詳細には、ユーザー権利が割り当てられている特定のセキュリティ識別子 (SID)、および権限が割り当てられているセキュリティ プリンシパルのユーザー名が含まれます。

デバイス ドライバのロード・アンロード

イベントID 577 と 578で 説明に 「SeLoadDriverPrivilege」があるイベントは、不正なデバイスドライバ、またはトロイの木馬型デバイス ドライバをユーザーがロードしようとした可能性があることを示しています。

監査ログとセキュリティ ログの管理

イベントID 577 と 578で 説明に 「SeSecurityPrivilege」があるイベントは、特権を使用してイベント ログが消去されたことを示します。

システムのシャットダウン

イベントID 577 で 説明に 「SeShutdownPrivilege」があるイベントは、コンピュータをシャットダウンしようとした場合に発生します。

オブジェクト所有権の取得

イベントID 577 と 578で 説明に 「SeTakeOwnershipPrivilege」があるイベントは、攻撃者がオブジェクトの所有権を奪うことで現在のセキュリティ設定をバイパスしようとした可能性があることを示しています。

特権使用に関するイベントログは、イベントログ・セキュリティに記録されます。

イベントID= 577

ユーザーが、アクセスが制限されたシステム サービス操作を実行しようとしました。

イベントID= 578

既に開かれている handle で保護されたオブジェクトに対して特権が使用されました。

Windows Vista以降の 特権使用診断

Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID= 4673

特権のあるサービスが呼び出されました。

イベントID= 4674

特権のあるオブジェクトで操作が試行されました。

イベントID= 4616

システム時刻の変更

イベントID= 1102

イベントログ消去

イベントID= 1100

イベントログサービスのシャットダウン