Windowsイベントログはどの程度安全ですか、またどのように保護されますか？

Windowsのイベントログは、それが実行されているシステムと同じくらい安全です。システムのアカウント イベントの読み取り、書き込み、変更 のため、マシンを危険にさらしている人、または管理者権限を持つ人がイベントを変更できます。技術的には、書き込みできるのはLSASSだけですが、履歴から、Sasserや他のワームがこれを役に立たなくなった方法がわかります。

個人的には、改ざんに対して考えられる唯一の可能な防御策は、リモートロギングを使用することです。 eventlog-to-syslog 。これにより、ANYおよびALLエントリをリモートで保存できます。誰かが何かを迂回するために使用できる唯一の方法は、事実の後でしょう。つまり、変更できないログの最初のインスタンスは常に存在します。攻撃者がDIDマネージャーがログの改ざんを開始する場合、システムの呼び出しを（LSASS経由で）書き込む前に、システムコールをインターセプトして追跡を隠す必要があります。

それでも（ログを改ざんするために管理する）、攻撃者（攻撃者）が実行できる唯一のメカニズムは、前に戻ってエントリを非表示/変更することであり、syslogサーバーも侵害することです。

私の最初の答えを明確にするために3:42 PM ESTに編集されました...

最初から、WindowsがEventLogに関して何かを格納している方法を確認する必要があります。アプリケーション、セッション、プレゼンテーション、トランスポート層で行われます。これはすべてマシン自体で行われます。すべてのインスタンスはローカルに書き込まれます。これが問題の期間です。読み取り、書き込み、開始へのアクセス権を持つだれでも、capability（管理者でない限り、機能ではありません）で読み取りとファイルを書き込みます。

少し考えてみてください。これらの権限を持つマシンを使用している場合、変更を止める余地はほとんどありません。私がやっていることをログに記録しようとした場合でも、これらのログを変更できます。実際に、timestomp（counterforensicsプログラム）は、MACE時間を破壊するだけです。これを禁止する唯一のメカニズムは、ログをマシンから送信することです。マシンのローカルの誰かが[〜＃〜]能力[〜＃〜]を取得してイベントログを変更するのを止める、私が知っているメカニズムはありませんデータ。これは、読み取りと書き込みがマシン自体で行われるためです。 可能性があります。a）更新により障害が発生する可能性がありますb）昇格された特権を持つユーザーがデータを削除または変更できる可能性があります。

ログ（イベント）はローカルで保存、書き込み、変更されないため、リモートロギングの方が理にかなっています。エントリを操作（変更、消去）するには、誰かがロギングマシンにアクセスする必要があります。他の唯一のメカニズム（ローカルチェックサムなど）は[〜＃〜]常に[〜＃〜]常にスーパーユーザー（admin、rootなど）が必要なため、だまされてしまいます。マルウェアの作成者、ウイルス作成者、悪意のある攻撃者は、ほとんどの場合、イベントエントリを変更する傾向があります。これは、ローカルレベルではあまり実行できないことは明らかです。

「改ざん防止」については Manage Engineの主張 彼らはこれを行うことができます。ただし、リモートで実行しています。