RDP в журналах событий ОС Windows 10-forensic

Карасик

Пользователь
Регистрация
26 Янв 2019
Сообщения
2
Симпатии
0
Баллы
1
#1
RDP в журналах событий ОС Windows 10-forensic

Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования.

В этой статье мы рассмотрим процесс экспертизы событий event logs в Windows 10 Версия 1809 (Сборка ОС 17763.195), 64 и 32 разрядных операционных систем, относящейся к RDP (Remote Desktop Protocol) – специальный протокол, разработанный компанией Microsoft для удаленного управления ОС Windows (протокол удалённого рабочего стола).

Версии Windows начиная с Vista включают ряд новых событий, которые не регистрируются системами Windows XP. Выпуски Windows Server содержат большее количество и типы событий.

К примеру в Windows XP и Server 2003 было 9 категорий, а начиная с Windows Vista их более 50.
C:\Windows\system32>auditpol /get /category:*

Таким образом, точная идентификация версии операционной системы Windows должна быть очень тщательно продумана при разработке цифрового процесса компьютерно-технической экспертизы, основанного на журналах событий (event logs).

Расположение журналов событий Windows по умолчанию:
Windows 2000/Server2003/Windows XP:
\%SystemRoot%\System32\Config\*.evt

Windows Vista/7/Server2008/10/Server2012/Server2016:
\%SystemRoot%\System32\winevt\Logs\*.evtx

Расположение журналов может быть изменено пользователем, изменением значения ключа реестра "File" в "HKEY_LOCAL_MACHINE" на локальном компьютере:

Application Events (События приложения):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application
Hardware Events (Аппаратные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\HardwareEvents
Security Events (События безопасности):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
System Events (Системные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

Когда используется пользовательский путь, ключ создается в месте реестра:
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\[logname]
(например [logname] это: Microsoft-Windows-TerminalServices-LocalSessionManager/Admin)

Полезные события для криминалистического анализа
Коды входа в систему.

Одно из важных сведений, предоставляемых событием «Успешный/Неудачный вход в систему», является то, как пользователь/процесс пытался войти в систему (Тип входа в систему), но Windows отображает эту информацию в виде числа.

RDP Successful Logon - RDP Успешный вход

Рассмотрим практический пример с ПК physical IP 0.0.0.0 было подключение mstsc.exe к ПК distrusting IP 0.0.0.0 с учетной записью suspect
Осмотр событий ПК к которому мы подключились: host distrusting IP 0.0.0.0

Рассмотрим первое, место расположения Event ID 1149
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx это у нас Network Connection

Рассмотрим второе, место расположения Event ID 4624
%SystemRoot%\System32\Winevt\Logs\Security.evtx это у нас Authentication
на screen мы видим "Тип входа" выше есть "Список типа входа и их описание", так же видим host и IP

Рассмотрим третье и четвертое, место расположения Event ID 21 и ID 22
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx это у нас Logon
в данном конкретном примере мы видим что пользователь осуществил вход в систему в 13:07, а наше удаленное подключение было в 17:44, но обратите внимание чуть выше в 17:44 есть код event ID 25
и снова мы наблюдаем IP адрес подключившегося, для сравнения в 17:47 был осуществлен локальный вход в систему, рассмотрим его на screen ниже
Мы явно видим что вход в систему локальный - Адрес сети источника: ЛОКАЛЬНЫЕ

Осмотр событий ПК c которого осуществилось подключение мы подключились c: host physical IP 0.0.0.0
Event ID 5379
%SystemRoot%\System32\Winevt\Logs\Security.evtx это у нас запротоколирована по отдельности каждая цифра и символ введенные в GUI mstsc.exe в поле "Компьютер" с 17:43:31 по 17:43:56
В коде события 5379 изменяются значения "TargetName" и "Type"

Event ID 4648
Попытка входа в систему с использованием явных учетных данных
Event ID 4624
Это событие генерируется при создании сеанса входа (на конечном компьютере). Он генерируется на компьютере, к которому был получен доступ, где был создан сеанс.

Event ID 4672
Это событие генерируется для новых учетных записей, если для нового сеанса входа назначены какие-либо из следующих конфиденциальных привилегий
SeTcbPrivilege - действует как часть операционной системы
SeBackupPrivilege - Резервное копирование файлов и каталогов
SeCreateTokenPrivilege - создает объект токена
SeDebugPrivilege - отладка программ
SeEnableDelegationPrivilege - позволяет доверять учетные записи компьютеров и пользователей для делегирования.
SeAuditPrivilege - Генерация аудита безопасности
SeImpersonatePrivilege - выдавать себя за клиента после аутентификации
SeLoadDriverPrivilege - загрузка и выгрузка драйверов устройств
SeSecurityPrivilege - Управление журналом аудита и безопасности
SeSystemEnvironmentPrivilege - Изменить значения среды прошивки
SeAssignPrimaryTokenPrivilege - заменяет токен уровня процесса
SeRestorePrivilege - Восстановление файлов и каталогов,
SeTakeOwnershipPrivilege - стать владельцем файлов или других объектов.
 
Сверху