Windows事件日志有多安全？

Question

只要阅读一下有关分析入侵的内容，我就读到了Windows事件日志可以被攻击者修改以掩盖它们的踪迹，这有多精确，对于系统分析人员来说又是什么选择呢？

Answer 1

对于这个问题，我将假设windows事件服务运行在被攻击的同一台机器上。

是的，如果攻击者控制了机器，就可以篡改审计日志以隐藏他们的踪迹。

通常，这可以通过将日志转发到集中日志记录服务来缓解。这有两个好处：

• 这使得篡改日志变得更加困难，而且；
• 事件来自跨网络，并被关联和查询。

如果您有一个很好的日志记录和监视策略，这将使您能够更快地检测、响应和恢复，从而限制安全事件的严重性。

强大的访问管理也有助于降低未经授权的个人修改日志的风险。写入权限应受到限制，对日志的手动更改应生成安全警报。