文章中我們介紹了事件查看器的運(yùn)行方式、記錄的日志類型和顯示的事件類型。在這篇文章中我們將給出事件查看器維護(hù)服務(wù)器安全的實(shí)例�,相信對(duì)安全維護(hù)人員維護(hù)系統(tǒng)會(huì)有一定的借鑒和參考價(jià)值。
我們提供的服務(wù)有:網(wǎng)站設(shè)計(jì)制作���、成都做網(wǎng)站、微信公眾號(hào)開(kāi)發(fā)���、網(wǎng)站優(yōu)化�����、網(wǎng)站認(rèn)證�、富源ssl等���。為成百上千企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題�。提供周到的售前咨詢和貼心的售后服務(wù)�,是有科學(xué)管理、有技術(shù)的富源網(wǎng)站制作公司
1.打開(kāi)并查看事件查看器中的三類日志
在“運(yùn)行”中輸入“eventvwr.msc”直接打開(kāi)事件查看器����,在該窗口中單擊“系統(tǒng)”,如圖1所示,單擊窗口右邊的類型進(jìn)行排序��,可以看到類型中有警告�、錯(cuò)誤等多條信息。
2.查看系統(tǒng)錯(cuò)誤記錄詳細(xì)信息
選擇“錯(cuò)誤”記錄�,雙擊即可打開(kāi)并查看事件的屬性,如圖2所示���,可以發(fā)現(xiàn)該事件為一個(gè)攻擊事件�����,其事件描述為:
連接自 211.99.226.9 的一個(gè)匿名會(huì)話嘗試在此計(jì)算機(jī)上打開(kāi)一個(gè) LSA 策略句柄����。嘗試被以 STATUS_ACCESS_DENIED 拒絕���, 以防止將安全敏感的信息泄露給匿名呼叫者�。
進(jìn)行此嘗試的應(yīng)用程序需要被更正����。請(qǐng)與應(yīng)用程序供應(yīng)商聯(lián)系。 作為暫時(shí)的解決辦法�����,此安全措施可以通過(guò)設(shè)置: \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 值為 1 來(lái)禁用���。 此消息將一天最多記錄一次���。
說(shuō)明:該描述信息表明IP地址為“211.99.226.9”的計(jì)算機(jī)在攻擊此服務(wù)器。
3.根據(jù)提示修補(bǔ)系統(tǒng)漏洞
根據(jù)描述信息����,直接打開(kāi)注冊(cè)表編輯器,依次層層展開(kāi)找到鍵值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一個(gè)DWORD 的 “TurnOffAnonymousBlock Block DWORD” 鍵���,并設(shè)置其值為“ 1”�,如圖3所示����。
說(shuō)明:如果在事件屬性中未給出解決方案,除了在google中尋找解決方法外��,還可以對(duì)錯(cuò)誤信息進(jìn)行追蹤�,以找到合適的解決方法,一般有兩種方式:
(1)微軟知識(shí)庫(kù)���。微軟知識(shí)庫(kù)的文章是由微軟公司官方資料和微軟MVP撰寫(xiě)的技術(shù)文章組成��,主要解決微軟產(chǎn)品的問(wèn)題及故障�。當(dāng)微軟每一個(gè)產(chǎn)品的Bug和容易出錯(cuò)的應(yīng)用點(diǎn)被發(fā)現(xiàn)后,都將有與其對(duì)應(yīng)的KB文章分析這項(xiàng)錯(cuò)誤的解決方案��。微軟知識(shí)庫(kù)的地址是:http://support.microsoft.com��,在網(wǎng)頁(yè)左邊的“搜索(知識(shí)庫(kù))”中輸入相關(guān)的關(guān)鍵字進(jìn)行查詢����,事件發(fā)生源和ID等信息。當(dāng)然����,輸入詳細(xì)描述中的關(guān)鍵詞也是一個(gè)好辦法,如果日志中有錯(cuò)誤編號(hào)���,輸入這個(gè)錯(cuò)誤編號(hào)進(jìn)行查詢�。
(2)通過(guò)Eventid.net網(wǎng)站來(lái)查詢
要查詢系統(tǒng)錯(cuò)誤事件的解決方案��,其實(shí)還有一個(gè)更好的地方�����,那就是Eventid.net網(wǎng)站地址是:http://www.eventid.net。這個(gè)網(wǎng)站由眾多微軟MVP(最有價(jià)值專家)主持�����,幾乎包含了全部系統(tǒng)事件的解決方案�。登錄網(wǎng)站后�����,單擊“Search Events(搜索事件)”鏈接���,出現(xiàn)事件搜索頁(yè)面����。根據(jù)頁(yè)面提示�,輸入Event ID(事件ID)和Event Source(事件源),并單擊“Search”按鈕���。Eventid.net的系統(tǒng)會(huì)找到所有相關(guān)的資源及解決方案��。最重要的是�����,享受這些解決方案是完全免費(fèi)的���。當(dāng)然�,Eventid.net的付費(fèi)用戶則能享受到更好的服務(wù)�����,比如直接訪問(wèn)針對(duì)某事件的知識(shí)庫(kù)文章集等���。
4.多方復(fù)查
既然出現(xiàn)了LSA的匿名枚舉�����,那么一定會(huì)存在登錄信息����,如圖4所示����,單擊“安全性”查看事件屬性,先針對(duì)“審核失敗”進(jìn)行查看���,可以看到IP地址“211.99.226.9”的多次連接失敗的審核信息�。需要特別注意的是,事件查看器中記錄的日志必須先在安全策略中進(jìn)行設(shè)置���,默認(rèn)情況下不記錄���,只要啟用審核以后才記錄。然后依次查看審核成功的登錄記錄���,如果發(fā)現(xiàn)該IP地址登錄成功��,那么還需要對(duì)系統(tǒng)進(jìn)行徹底的安全檢查,包括修改登錄密碼����,查看系統(tǒng)時(shí)候被攻擊者留下了后門。在本例中主要事件就是IP地址為211.99.226.9的服務(wù)器在進(jìn)行密碼攻擊掃描���,根據(jù)事件屬性中提供的策略進(jìn)行設(shè)置后���,即可解決該匿名枚舉的安全隱患。
當(dāng)前題目:事件查看器維護(hù)服務(wù)器安全的實(shí)例
網(wǎng)頁(yè)路徑:
http://uogjgqi.cn/article/dhcihde.html
