剖析Windows2008审核潜能
是登录服务器成功的操作还是登录服务器失败的操作,我们都能通过事件查看器找到对应的操作记录,仔细分析这些登录操作的记录我们就能发现本地服务器中是否真的存在非法登录甚至非法入侵行为。
剖析Windows2008审核潜能,查看审核功能记录 启用、配置好合适的审核策略后,Windows Server 2008系统就会自动对特定类型的操作进行跟踪、记录,并将记录内容保存到对应系统的日志文件中了,以后网络管理员可以根据日志内容,寻找服务器系统中是否存在安全威胁。在查看审核功能记录下来的日志内容时,我们必须借助事件查看器功能来完成,下面就是查看审核功能记录的具体操作步骤: 首先以超级管理员权限进入Windows Server 2008系统,依次单击该系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”命令,打开对应系统的服务器管理器控制台窗口; 其次在该控制台窗口的左侧显示区域中,将鼠标定位于“诊断”分支选项,并从该分支选项下面依次点选“事件查看器”/“Windows日志”子项,在目标子项下面我们会看到“应用程序”、“安全”、“安装程序”、“系统”、“转发事件”这五个类别的事件记录。 用鼠标选中某个类别选项时,我们就能从图3界面的中间显示区域中清楚地看到对应类别下的所有事件记录,再用鼠标双击指定的记录选项时,就能打开目标事件记录的详细信息界面,在该界面中我们就可以详细查看到目标事件的来源、具体的事件内容、事件ID以及其他相关信息等。 发现重要的事件内容时,我们还可以对其执行一些操作;比方说,为了日后有空时能对重要事件内容进行仔细分析,我们可以将重要事件内容先保存起来,以防止清理日志时被意外删除掉,在保存重要事件内容时,我们只要用鼠标右键单击目标事件内容,从弹出的快捷菜单中执行“将事件另存为”命令,之后设置好保存路径以及具体的文件名称,再单击“保存”按钮就可以了,日后只需要再执行右键菜单中的“打开保存的日志”命令,就能将以前保存好的日志文件调用出来了。要是发现服务器系统中保存的事件内容太多时,我们应该定期执行右键菜单中的“清除日志”命令来清空日志记录,以便腾出更多的宝贵空间资源。在日志记录较多的情况下,要想快速寻找自己想要的事件记录是一件不容易的事情,此时我们不妨执行“筛选当前日志”命令来对日志记录进行筛选。 剖析Windows2008审核潜能,实战应用审核功能 审核功能在现实环境中对Windows Server 2008系统尤为重要,因为服务器系统在局域网环境中很容易受到攻击,网络管理员可以利用审核功能来对各种攻击行为进行跟踪监控,遇到有潜在安全威胁的事件发生时,我们可以想方设法地将审核功能监控到的事件内容通知给网络管理员,网络管理员就能立即查明事件原因,并对症下药地解决问题,从而保障服务器系统不受非法攻击了。 例如,一些木马程序常常会在服务器系统中偷偷创建用户账号,以便窃取服务器系统的超级管理员权限,此时我们可以通过用户账号监控来确定服务器系统中究竟是否存在非法用户账号,然后进一步确定究竟是哪一个用户账号是非法账号。需要说明的是,要想让Windows Server 2008系统自动将非法账号创建的事件通知给网络管理员时,必须确保对应系统的Task Scheduler服务处于正常的运行状态。 首先依次单击Windows Server 2008系统桌面中的“开始”/“运行”命令,在弹出的系统运行对话框中,执行字符串命令“secpol.msc”,打开服务器系统的本地安全策略控制台窗口; 其次在该控制台窗口的左侧显示区域,依次展开“安全设置”、“本地策略”、“审核策略”分支选项,在对应“审核策略”分支选项的右侧显示区域中,双击“审核账户管理”策略选项,打开策略选项设置对话框,选中“成功”和“失败”选项,再单击“确定”按钮关 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |