企业如何用事件查看器维护服务器安全.doc

企业如何用事件查看器维护服务器安全.doc 企业如何用事件业看器业业服业器安全 　　事件业看器相于操作系业的保健生～一些“业疾”的蛛业业迹都在事件业当医会 看器中呈业～一合格的系业管理业和安全业业人业定期业看业用程序、安全性和系业个会 日志～业看是否存在非法登业、系业是否非正常业机、程序业行业业等信息～通业业看事件性判定业业业生的源和解方法～使操作系业和业用程序正常工作。本文介属来来决 业了事件业看器的一些相业知业～最后业出了一安全业业业例～业安全业业人业业业系业有一个 定的借业和考。参 　　;一,事件业看器相业知业 　　1.事件业看器 　　事件业看器是 Microsoft Windows 操作系业工具～事件业看器相于一本厚厚当 的系业日志～可以业看业于硬件、业件和系业业业的信息～也可以业业Windows 操作系业中的安全事件。有三业方式打业事件业看器,来 　　;1,业业“业始”-“业置”-“控制面板”-“管理工具”-“事件业看器”～业事件业看器口窗 　　;2,在“行”业业中手工业入“运框%SystemRoot%\system32\eventvwr.msc /s”打业事件业看器口。窗 　　;3,在行中直接业入“运eventvwr”或者“eventvwr.msc”直接打业事件业看器。 　　2.事件业看器中业业的日志业型 　　在事件业看器中一共业业三业业型的日志～,即 　　;1,业用程序日志 　　包含由业用程序或系业程序业业的事件～主要业业程序行方面的事件～例如运数 据业程序可以在业用程序日志中业业文件业业～程序业业人业可以自行定业业些事件。决哪 如果某业用程序出业崩业情～那业我业可以程序事件日志中到相业的业业～也业个况从找 会你决有助于解业业。 　　;2,安全性日志 　　业业了业如有效和无效的登业业业等事件～以及业源使用相业的事件～例如业建、与 打业或业除文件或其他业象～系业管理业可以指定在安全性日志中业业什业事件。默业业置下～安全性日志是业业的～管理业可以使用业策略业安全性日志～或者在注 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 来启册 中业置业核策略～以便安全性日志业后使系业停止业。当响 　　;3,系业日志 　　包含Windows XP的系业业件业业的事件～例如在业业程中加业业业程序或其他系启 业业件失业业业在系业日志中～默业情下将况Windows系业事件业业到系业日志之中。会将 如果业算机被配置业域控制器～那业业包括目业服业日志、文件业制服业日志将;如果机子被配置业域名系业;DNS,服业器～那业业业业将DNS服业器日志。业当启Windows业～“事件日志”服业;EventLog,自业业～所有用业都可以业看业用程序和系业日志会启～但只有管理业才能业业安全性日志。 　　在事件业看器中主要业业五业事件～事件业看器幕左业的业业描述了 屏Windows 操作系业业事件的分业。事件业看器业示如下业型的事件, 　　;1,业业,重大业业～例如据业失或功能业失。例如～如果服业在业期业无法数启 加业～便业业一业业。会个 　　;2,警告,不一定重要的事件也能指出在的业业。例如～如果磁业空业低～潜 便业业一警告。会个 　　;3, 信息,描述业用程序、业业程序或服业是否操作成功的事件。例如～如果业业业程序成功加业～便业业一信息事件。网会个 　　;4,成功业核,接受业核且取得成功的安全业业业业。例如～用业业系业的成功登业业业作业一“成功业核”事件被业业下。将个来 　　;5,失业业核,接受业核且未成功的安全业业业业。例如～如果用业业业业业业业业器但网未成功～业业业作业“失业业核”被业业下。将来 　　;二,业业服业器安全业例 　　1.打业业看事件业看器中的三业日志并 　　在“行”中业入“运eventvwr.msc”直接打业事件业看器～在业口中业业“系窗 业”～如业1所示～业业口右业的业型业行排序～可以看到业型中有警告、业业等多信窗条 息。 　　2.业看系业业业业业业业信息 　　业业“业业”业业～业可打业业看事件的业性～如业双即并属2所示～可以业业业事件业一个攻业事件～其事件描述业, 　　业接自 211.99.226.9 的一匿名业业业在此业算机上打业一 个会个LSA 策略句柄。业业被以 STATUS_ACCESS_DENIED 拒业～ 以防止安全敏感的信息泄露业匿名将 呼叫者。 　　业行此业业的业用程序需要被更正。业业用程序供业商业系。 作业业业的解业法～与决 此安全措施可以通业业置, \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 业业 1 来将禁用。 此消息一天最多业业一次。　　业明,业描述信息表明IP地址业“211.99.226.9”的业算机在攻业此服业器。　　3.根据提示修业系业漏洞 　　根据描述信息～直接打业注表业业器～册找依次业业展业到业业 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一个DWORD 的 “TurnOffAnonymousBlock Block DWORD” 业～业置其业业“ 并1” 　　业明,如果在事件性中未业出解方属决案～除了在google中业解方法找决外～业可以业业业信息业行追踪～以到合找决两适的解方法～一般有业方式, 　　;1,微业知业业。微业知业业的文章是由微业公司官方业料和微业MVP撰写的技业文章业成～主要解决当个微业业品的业业及故障。微业每一业品的Bug和容易出业的业用点被业业后～都有其业业的将与KB文章分析业业业业的解方决案。微业知业业的地址是,～在业左业的“网搜索;知业业,”中业入相业的业业字业行业业～事件业生源和ID等信息。当个然～业入业业描述中的业业业也是一好业法～如果日志中有业业业～业入业业业业业业行业业。号个号 　　;2,通业Eventid.net网来站业业 　　要业业系业业业事件的解方决个案～其业业有一更好的地方～那就是Eventid.net网站地址是,。业个网众站由多微业MVP;最有价业业家,主持～几决网乎包含了全部系业事件的解方案。登业站后～业业“Search Events;搜索事件,”业接～出业事件搜索业面。根据业面提示～业入Event ID;事件ID,和 Event Source;事件源,～业业“并Search”按业。Eventid.net的系业到所有相业会找的业源及解方决决当案。最重要的是～享受业些解方案是完全免业的。然～Eventid.net的付业用业业能享受到更好的服业～比如直接业业业业某事件的知业业文章集等。　　4.多方业业 　　既然出业了LSA的匿名枚业～那业一定存在登业信息～如业会4所示～业业“安全性”业看事件性～属先业业“业核失业”业行业看～可以看到IP地址“211.99.226.9”的多次业接失业的业核信息。需要特业注意的是～事件业看器中业业的日志必业先在安全策略中业行业置～默业情下不业业～只要用业核以后才业业。况启然后依次业看业核成功的登业业业～如果业业业IP地址登业成功～那业业需要业系业业行业底的安全业业～包括修改登业密业～业看系业业候被攻业者留下了后业。在本例中主要事件就是IP地址业211.99.226.9的服业器在业行密业攻业业描～根据事件性中属提供的策略业行业置后～即决可解业匿名枚业的安全业患。