企业如何用事件查看器维护服务器安全.doc
企业如何用事件业看器业业服业器安全
事件业看器相于操作系业的保健生~一些“业疾”的蛛业业迹都在事件业当医会
看器中呈业~一合格的系业管理业和安全业业人业定期业看业用程序、安全性和系业个会
日志~业看是否存在非法登业、系业是否非正常业机、程序业行业业等信息~通业业看事件性判定业业业生的源和解方法~使操作系业和业用程序正常工作。本文介属来来决
业了事件业看器的一些相业知业~最后业出了一安全业业业例~业安全业业人业业业系业有一个
定的借业和考。参
;一,事件业看器相业知业
1.事件业看器
事件业看器是 Microsoft Windows 操作系业工具~事件业看器相于一本厚厚当
的系业日志~可以业看业于硬件、业件和系业业业的信息~也可以业业Windows 操作系业中的安全事件。有三业方式打业事件业看器,来
;1,业业“业始”-“业置”-“控制面板”-“管理工具”-“事件业看器”~业事件业看器口窗
;2,在“行”业业中手工业入“运框%SystemRoot%\system32\eventvwr.msc
/s”打业事件业看器口。窗
;3,在行中直接业入“运eventvwr”或者“eventvwr.msc”直接打业事件业看器。
2.事件业看器中业业的日志业型
在事件业看器中一共业业三业业型的日志~,即
;1,业用程序日志
包含由业用程序或系业程序业业的事件~主要业业程序行方面的事件~例如运数
据业程序可以在业用程序日志中业业文件业业~程序业业人业可以自行定业业些事件。决哪
如果某业用程序出业崩业情~那业我业可以程序事件日志中到相业的业业~也业个况从找
会你决有助于解业业。
;2,安全性日志
业业了业如有效和无效的登业业业等事件~以及业源使用相业的事件~例如业建、与
打业或业除文件或其他业象~系业管理业可以指定在安全性日志中业业什业事件。默业业置下~安全性日志是业业的~管理业可以使用业策略业安全性日志~或者在注
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
来启册
中业置业核策略~以便安全性日志业后使系业停止业。当响
;3,系业日志
包含Windows XP的系业业件业业的事件~例如在业业程中加业业业程序或其他系启
业业件失业业业在系业日志中~默业情下将况Windows系业事件业业到系业日志之中。会将 如果业算机被配置业域控制器~那业业包括目业服业日志、文件业制服业日志将;如果机子被配置业域名系业;DNS,服业器~那业业业业将DNS服业器日志。业当启Windows业~“事件日志”服业;EventLog,自业业~所有用业都可以业看业用程序和系业日志会启~但只有管理业才能业业安全性日志。
在事件业看器中主要业业五业事件~事件业看器幕左业的业业描述了 屏Windows 操作系业业事件的分业。事件业看器业示如下业型的事件,
;1,业业,重大业业~例如据业失或功能业失。例如~如果服业在业期业无法数启
加业~便业业一业业。会个
;2,警告,不一定重要的事件也能指出在的业业。例如~如果磁业空业低~潜
便业业一警告。会个
;3, 信息,描述业用程序、业业程序或服业是否操作成功的事件。例如~如果业业业程序成功加业~便业业一信息事件。网会个
;4,成功业核,接受业核且取得成功的安全业业业业。例如~用业业系业的成功登业业业作业一“成功业核”事件被业业下。将个来
;5,失业业核,接受业核且未成功的安全业业业业。例如~如果用业业业业业业业业器但网未成功~业业业作业“失业业核”被业业下。将来
;二,业业服业器安全业例
1.打业业看事件业看器中的三业日志并
在“行”中业入“运eventvwr.msc”直接打业事件业看器~在业口中业业“系窗
业”~如业1所示~业业口右业的业型业行排序~可以看到业型中有警告、业业等多信窗条
息。
2.业看系业业业业业业业信息
业业“业业”业业~业可打业业看事件的业性~如业双即并属2所示~可以业业业事件业一个攻业事件~其事件描述业,
业接自 211.99.226.9 的一匿名业业业在此业算机上打业一 个会个LSA 策略句柄。业业被以 STATUS_ACCESS_DENIED 拒业~ 以防止安全敏感的信息泄露业匿名将
呼叫者。
业行此业业的业用程序需要被更正。业业用程序供业商业系。 作业业业的解业法~与决
此安全措施可以通业业置,
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 业业 1 来将禁用。 此消息一天最多业业一次。 业明,业描述信息表明IP地址业“211.99.226.9”的业算机在攻业此服业器。 3.根据提示修业系业漏洞
根据描述信息~直接打业注表业业器~册找依次业业展业到业业
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一个DWORD 的 “TurnOffAnonymousBlock Block DWORD” 业~业置其业业“ 并1”
业明,如果在事件性中未业出解方属决案~除了在google中业解方法找决外~业可以业业业信息业行追踪~以到合找决两适的解方法~一般有业方式,
;1,微业知业业。微业知业业的文章是由微业公司官方业料和微业MVP撰写的技业文章业成~主要解决当个微业业品的业业及故障。微业每一业品的Bug和容易出业的业用点被业业后~都有其业业的将与KB文章分析业业业业的解方决案。微业知业业的地址是,~在业左业的“网搜索;知业业,”中业入相业的业业字业行业业~事件业生源和ID等信息。当个然~业入业业描述中的业业业也是一好业法~如果日志中有业业业~业入业业业业业业行业业。号个号
;2,通业Eventid.net网来站业业
要业业系业业业事件的解方决个案~其业业有一更好的地方~那就是Eventid.net网站地址是,。业个网众站由多微业MVP;最有价业业家,主持~几决网乎包含了全部系业事件的解方案。登业站后~业业“Search Events;搜索事件,”业接~出业事件搜索业面。根据业面提示~业入Event ID;事件ID,和
Event Source;事件源,~业业“并Search”按业。Eventid.net的系业到所有相业会找的业源及解方决决当案。最重要的是~享受业些解方案是完全免业的。然~Eventid.net的付业用业业能享受到更好的服业~比如直接业业业业某事件的知业业文章集等。 4.多方业业
既然出业了LSA的匿名枚业~那业一定存在登业信息~如业会4所示~业业“安全性”业看事件性~属先业业“业核失业”业行业看~可以看到IP地址“211.99.226.9”的多次业接失业的业核信息。需要特业注意的是~事件业看器中业业的日志必业先在安全策略中业行业置~默业情下不业业~只要用业核以后才业业。况启然后依次业看业核成功的登业业业~如果业业业IP地址登业成功~那业业需要业系业业行业底的安全业业~包括修改登业密业~业看系业业候被攻业者留下了后业。在本例中主要事件就是IP地址业211.99.226.9的服业器在业行密业攻业业描~根据事件性中属提供的策略业行业置后~即决可解业匿名枚业的安全业患。