Server--R-事件查看器实现日志研究分析.docx

Server--R-事件查看器实现日志分析————————————————————————————————作者:————————————————————————————————日期: Server2008R2事件查看器实现日志分析在 windows server2008R2中,可以通过点击 "开始"->"管理工具"->"事件查看器" ,来打开并查看各种类型的系统内置日志记录;让我们来做一个实际练习:使用事件查看器检查各种帐户的登录事件,包括系统内置的特殊帐户,以及大家熟悉的administrator管理员帐户。一般而言,在启动服务器后,一个叫做  的进程会先以 NTAUTHORITY\SYSTEM (帐户域\帐户权限)登录,然后进入要求用户键入ctrl+alt+del并输入帐密的登录界面,此时, 检查并验证用户的输入,通常的做法是将用户键入的密码以某种哈希算法生成密文,将其与SAM 数据库文件中的密文进行比对,如果一致则该账户通过验证并登录,然后赋予相应的权限。所有这些过程都会被记录进系统内置的"安全"类型日志,可以通过事件查看器浏览;除了  进程外,其它一些系统进程也会在用户登录前,使用特殊帐户先行登录。这些登录事件同样可以在事件查看器中一览无遗,(例如,一个叫做  的系统服务进程,使用 NTAUTHORITY\SYSTEM (帐户域\帐户权限)登录,然后它会创建数个 ,而每个  进程都会启动并纳宿一些基本的windows服务,而许多用户空间的应用程序将使用这些服务,实现它们的功能)下面结合图片讲解事件查看器在这两个场景中的应用:一,首先按照上述步骤打开事件查看器,在左侧窗口中展开 "Windows日志"节点,选取"安全"项目,此时在中间的窗口会列出自系统安装以来,记录的所有安全事件,假设我们要查看最近24小时以内的帐户登录与验证,审核,权力指派等事件,可以在"安全"项目上右击鼠标,在弹出的上下文菜单中选择"筛选当前日志(L)"二,在打开的对话框中,切换到"筛选器"标签,在"记录时间(G)"右侧的下拉列表中,选择"近24小时",然后点击下方的确定按钮三,显示出筛选的结果,下面这张图显示了在24小时内纪录的73项安全事件(MicrosoftWindows安全审核是准确的称呼),你可以按照日期与时间列排序事件,或者按照事件ID,任务类别(我觉得翻译成事件类别会比较好理解)来排序时间,我们关注的是"登录"与"特殊登录"事件,,而是默认按照日期与时间排序,其优点是,可以追踪在系统启动过程中,哪个系统进程使用哪个系统内置帐户登录,并且可以直观地看出它们之间的先后次序.    通过上面的分析,你是否已经直观地感受到事件查看器的强大功能?下面让我们再看另一个例子:使用事件查看器浏览,因远程过程调用(RPC)服务启动失败,;RPC监听在本地环回()地址的135端口,出于安全考虑,很多人会将这个端口关闭,以阻止蠕虫病毒与攻击者入侵,但是我们会发现这个地址上的135端口始终关不掉而因此忧心忡忡;其实,:135是必须的,如果该端口不打开,则说明RPC服务没有启动,从而导致很多依赖RPC的其它系统服务无法启动,再说,除非你手动通过  服务管理器来禁用它,否则通过其它手段是很难关闭的(包括修改注册表键值),我们真正应该关闭并警惕的,是那些监听在非本地环回的135端口,:135,因为这个地址是可以与远程主机的地址通信的,攻击者可以扫描监听在这个地址端口上的程序漏洞,并远程执行恶意代码(通过Metasploit即可办到),,,本地环回的135端口是必须打开的,这并非是恶意软件,木马程序开放的端口,,并且系统提示RPC服务启动失败,无法读取用户profile,那么可以进入安全模式,运行  ,找到其中的 RemoteProcedureCall(RPC) 以及 RPCEndpointMapper(RpcEptMapper) ,将这两个服务设置为自动启动,然后运行msconfig,在"服务"标签中,确保勾选了 RPCEndpointMapper ,点确定后重启