【IT專(zhuān)家網(wǎng)獨(dú)家】許多網(wǎng)絡(luò)病毒或木馬程序攻擊系統(tǒng)后,常常會(huì)偷偷修改系統(tǒng)登錄賬號(hào),以便達(dá)到隱藏攻擊痕跡的目的!為了有效保護(hù)系統(tǒng)的運(yùn)行安全性�,我們應(yīng)該想辦法及時(shí)將潛藏在系統(tǒng)中的各種網(wǎng)絡(luò)病毒或木馬程序“揪”出來(lái),那么我們?cè)撊绾尾拍茉诘谝粫r(shí)間內(nèi)知道系統(tǒng)中的某個(gè)用戶(hù)賬號(hào)被偷偷修改了呢?盡管借助一些專(zhuān)業(yè)的安全工具可以輕松地做到這一點(diǎn)�,不過(guò)在Windows Server 2008系統(tǒng)環(huán)境下,即使我們手頭沒(méi)有專(zhuān)業(yè)的安全工具幫忙�,也能赤手空拳地將偷改賬號(hào)的“惡劣”事件捕捉到;我們只要利用Windows Server 2008系統(tǒng)事件查看器新增加的綁定任務(wù)功能,就能在第一時(shí)間內(nèi)知道系統(tǒng)中的某個(gè)用戶(hù)賬號(hào)被偷偷修改了!
大家知道����,在舊版本系統(tǒng)環(huán)境下,我們常常會(huì)利用事件查看器來(lái)將一些影響系統(tǒng)安全運(yùn)行的事件記錄下來(lái)��,日后仔細(xì)分析這些安全日志內(nèi)容��,我們就能從中找到潛藏在本地系統(tǒng)中的一些安全隱患了�。不過(guò),讓人遺憾的是����,舊版本系統(tǒng)下的事件查看器程序只能記錄有安全威脅的操作事件,而無(wú)法及時(shí)向系統(tǒng)管理員發(fā)出安全警報(bào)信息�,那樣一來(lái)系統(tǒng)管理員就無(wú)法在第一時(shí)間知道本地系統(tǒng)存在安全威脅。到了Windows Server 2008系統(tǒng)環(huán)境下��,事件查看器程序的功能明顯增強(qiáng)����,系統(tǒng)管理員可以為特定的系統(tǒng)事件綁定任務(wù)計(jì)劃�����,一旦系統(tǒng)日后發(fā)生特定的系統(tǒng)事件時(shí)��,被綁定的任務(wù)計(jì)劃就能夠自動(dòng)觸發(fā)運(yùn)行��。
利用這樣的功能�����,我們就能及時(shí)追蹤偷改賬號(hào)事件�,并為偷改賬號(hào)事件綁定一個(gè)自動(dòng)報(bào)警的任務(wù)計(jì)劃;一旦該事件發(fā)生時(shí)�,自動(dòng)報(bào)警的任務(wù)計(jì)劃就能被觸發(fā)執(zhí)行,到時(shí)我們聽(tīng)到自動(dòng)報(bào)警提示后�����,就能在第一時(shí)間知道系統(tǒng)中的某些用戶(hù)賬號(hào)被偷偷修改了�。依照上面的分析,我們只要先在Windows Server 2008系統(tǒng)環(huán)境下修改系統(tǒng)審核策略����,讓系統(tǒng)對(duì)賬號(hào)管理事件進(jìn)行審核����,確保事件查看器程序能夠自動(dòng)記錄用戶(hù)賬號(hào)被偷偷修改的操作行為;之后��,我們需要手工觸發(fā)一個(gè)修改用戶(hù)賬號(hào)的事件�,并將自動(dòng)報(bào)警任務(wù)計(jì)劃附加到修改用戶(hù)賬號(hào)事件上;如此一來(lái)�����,日后Windows Server 2008系統(tǒng)中有系統(tǒng)用戶(hù)賬號(hào)被偷偷修改時(shí)����,自動(dòng)報(bào)警的任務(wù)計(jì)劃自然就會(huì)被執(zhí)行了,系統(tǒng)管理員收到報(bào)警信息后就知道系統(tǒng)中發(fā)生了偷改賬號(hào)事件;到時(shí)��,系統(tǒng)管理員就能立即采取針對(duì)性措施來(lái)查找安全隱患�����,保證在第一時(shí)間將系統(tǒng)隱患排除掉�。
在默認(rèn)狀態(tài)下,即使我們修改了某個(gè)系統(tǒng)用戶(hù)賬號(hào)的名稱(chēng)����,也不會(huì)從系統(tǒng)的事件查看器列表中看到對(duì)應(yīng)的操作記錄����,這是什么原因呢?其實(shí)很簡(jiǎn)單����,這是因?yàn)閃indows Server 2008系統(tǒng)在默認(rèn)狀態(tài)下并沒(méi)有自動(dòng)記錄用戶(hù)賬號(hào)被修改的操作行為,我們必須修改Windows Server 2008系統(tǒng)的審核策略���,才能讓事件查看器記錄用戶(hù)賬號(hào)被修改的事件�。在對(duì)賬號(hào)管理事件進(jìn)行審核時(shí)�,我們可以按照如下步驟進(jìn)行操作:
首先以系統(tǒng)管理員身份登錄進(jìn)Windows Server 2008系統(tǒng),單擊該系統(tǒng)桌面中的“開(kāi)始”/“運(yùn)行”命令�,在彈出的系統(tǒng)運(yùn)行文本框中輸入字符串命令“gpedit.msc”,單擊“確定”按鈕后���,進(jìn)入系統(tǒng)組策略編輯窗口;
其次在該編輯窗口的左側(cè)顯示窗格中����,將鼠標(biāo)定位于“計(jì)算機(jī)配置”節(jié)點(diǎn)選項(xiàng)上����,再依次點(diǎn)選該節(jié)點(diǎn)下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“審核策略”子項(xiàng),在“審核策略”子項(xiàng)下面找到目標(biāo)組策略選項(xiàng)“審核賬戶(hù)管理”�,并用鼠標(biāo)右鍵單擊該選項(xiàng)�����,從彈出的快捷菜單中選擇“屬性”命令���,打開(kāi)如圖1所示的目標(biāo)組策略屬性設(shè)置窗口;
在該屬性設(shè)置窗口中的“本地安全設(shè)置”標(biāo)簽頁(yè)面中����,將“成功”復(fù)選項(xiàng)選中,再單擊“確定”按鈕����,那樣一來(lái)Windows Server 2008系統(tǒng)就能對(duì)成功修改用戶(hù)賬號(hào)事件進(jìn)行審核了。同樣地�,我們也可以對(duì)修改用戶(hù)賬號(hào)失敗事件進(jìn)行審核,讓事件查看器程序也自動(dòng)記錄修改用戶(hù)賬號(hào)失敗的事件����。
上一頁(yè)12 下一頁(yè) 閱讀全文
