IIS 安全事件 审核解读

安全事件日志中的登录事件

事件 ID 说明
528 用户成功登录计算机。
529 用户使用系统未知的用户名登录，或已知用户使用错误的密码登录。
530 用户帐户在许可的时间范围外登录。
531 用户使用已禁用的帐户登录。
532 用户使用过期帐户登录。
533 不允许用户登录计算机。
534 用户使用不许可的登录类型（如网络、交互、批量、服务或远程交互）进行登录。
535 指定帐户的密码已过期。
536 Net Logon 服务未处于活动状态。
537 登录由于其他原因而失败。
538 用户注销。
539 试图登录时帐户已被锁定。此事件表示密码攻击失败，并导致该帐户被锁定。
540 网络登录成功。此事件表示远程用户已成功从该网络连接到服务器上的本地资源，同时为该网络用户生成了一个令牌。
682 用户重新连接了已断开的终端服务会话。此事件表示前面已连接了一个终端服务会话。
683 用户在未注销的情况下断开终端服务会话。此事件是在用户通过网络连接终端服务会话时生成的。它出现在终端服务器上。

使用登录事件项可诊断下面的安全事件：

本地登录尝试失败
下列任意事件 ID 都表示登录尝试失败：529、530、531、532、533、534 和 537。如果攻击者使用本地帐户的用户名和密码组合，但并未猜出，则看到事件 529 和 534。但是，如果用户忘记了密码，或通过“网上邻居”浏览网络，也可能产生这些事件。

在大型环境中，可能很难有效说明这些事件。作为一种规则，如果这些模式重复发生，或符合其他一些非正常因素，则应研究这些模式。例如，半夜，在发生若干 529 事件后发生了 528 事件，可能表示密码攻击成功（或管理员非常疲惫）。

帐户滥用
事件 530、531、532 和 533 表示用户帐户被滥用。这些事件表示输入的帐户/密码组合是正确的，但由于其他一些限制而阻止了成功登录。只要有可能，请仔细研究这些事件，确定是否发生了滥用，或是否需要修改当前的限制。例如，可能需要延长帐户的登录时间。

帐户锁定
事件 539 表示帐户已被锁定。这表示密码攻击已失败。您应查找同一用户帐户以前产生的 529 事件，尝试弄清登录的模式。

终端服务攻击
终端服务会话可能停留在连接状态，使一些进程得以在会话结束后继续运行。事件 ID 683 表示用户没有从终端服务会话注销，事件 ID 682 表示发生了到上一个已断开连接会话的连接。