禁用Windows事件日志记录

对手可能会禁用Windows事件日志记录，以限制可用于检测和审计的数据。Windows事件日志记录用户和系统活动，如登录尝试、进程创建等。(引用: Windows Log Events) 这些数据被安全工具和分析师用来生成检测。 EventLog服务维护来自各种系统组件和应用程序的事件日志。(引用: EventLog_Core_Technologies) 默认情况下，服务在系统启动时自动启动。由本地安全策略（secpol.msc）维护的审核策略定义了EventLog服务记录的系统事件。可以通过运行secpol.msc，然后导航到Security Settings\Local Policies\Audit Policy以获取基本审核策略设置，或Security Settings\Advanced Audit Policy Configuration以获取高级审核策略设置来更改安全审核策略设置。(引用: Audit_Policy_Microsoft)(引用: Advanced_sec_audit_policy_settings) auditpol.exe也可以用来设置审核策略。(引用: auditpol) 对手可能会针对系统范围的日志记录或特定应用程序的日志记录。例如，可以使用Set-Service -Name EventLog -Status Stopped或sc config eventlog start=disabled命令禁用Windows EventLog服务（然后手动停止服务，使用Stop-Service -Name EventLog）。(引用: Disable_Win_Event_Logging)(引用: disable_win_evt_logging) 此外，可以通过修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog中的“Start”值，然后重新启动系统以使更改生效来禁用服务。(引用: disable_win_evt_logging) 有几种方法可以通过注册表项修改禁用EventLog服务。首先，在没有管理员权限的情况下，对手可以修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security键中的“Start”值，然后重新启动系统以禁用安全事件日志。(引用: winser19_file_overwrite_bug_twitter) 其次，具有管理员权限的对手可以修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application中的相同值，以禁用整个事件日志。(引用: disable_win_evt_logging) 此外，对手可能会使用auditpol及其子命令在命令提示符中禁用审核或清除审核策略。为了启用或禁用指定的设置或审核类别，对手可能会使用/success或/failure参数。例如，auditpol /set /category:”Account Logon” /success:disable /failure:disable关闭帐户登录类别的审核。(引用: auditpol.exe_STRONTIC)(引用: T1562.002_redcanaryco) 要清除审核策略，对手可能会运行以下命令：auditpol /clear /y或auditpol /remove /allusers。(引用: T1562.002_redcanaryco) 通过禁用Windows事件日志记录，对手可以在留下更少的证据的情况下进行操作。