事件查看器相當(dāng)于操作系統(tǒng)的保健醫(yī)生,一些“頑疾”的蛛絲馬跡都會(huì)在事件查看器中呈現(xiàn),一個(gè)合格的系統(tǒng)管理員和安全維護(hù)人員會(huì)定期查看應(yīng)用程序、安全性和系統(tǒng)日志,查看是否存在非法登錄、系統(tǒng)是否非正常關(guān)機(jī)、程序執(zhí)行錯(cuò)誤等信息,通過(guò)查看事件屬性來(lái)判定錯(cuò)誤產(chǎn)生的來(lái)源和解決方法,使操作系統(tǒng)和應(yīng)用程序正常工作。本文介紹了事件查看器的一些相關(guān)知識(shí),最后給出了一個(gè)安全維護(hù)實(shí)例,對(duì)安全維護(hù)人員維護(hù)系統(tǒng)有一定的借鑒和參考。
(一)事件查看器相關(guān)知識(shí)
1.事件查看器
事件查看器是 Microsoft Windows 操作系統(tǒng)工具,事件查看器相當(dāng)于一本厚厚的系統(tǒng)日志,可以查看關(guān)于硬件、軟件和系統(tǒng)問(wèn)題的信息,也可以監(jiān)視Windows 操作系統(tǒng)中的安全事件。有三種方式來(lái)打開(kāi)事件查看器:
(1)單擊“開(kāi)始”-“設(shè)置”-“控制面板”-“管理工具”-“事件查看器”,開(kāi)事件查看器窗口
(2)在“運(yùn)行”對(duì)話(huà)框中手工鍵入“%SystemRoot%\system32\eventvwr.msc /s”打開(kāi)事件查看器窗口。
(3)在運(yùn)行中直接輸入“eventvwr”或者“eventvwr.msc”直接打開(kāi)事件查看器。
2.事件查看器中記錄的日志類(lèi)型
在事件查看器中一共記錄三種類(lèi)型的日志,即:
(1)應(yīng)用程序日志
包含由應(yīng)用程序或系統(tǒng)程序記錄的事件,主要記錄程序運(yùn)行方面的事件,例如數(shù)據(jù)庫(kù)程序可以在應(yīng)用程序日志中記錄文件錯(cuò)誤,程序開(kāi)發(fā)人員可以自行決定監(jiān)視哪些事件。如果某個(gè)應(yīng)用程序出現(xiàn)崩潰情況,那么我們可以從程序事件日志中找到相應(yīng)的記錄,也許會(huì)有助于你解決問(wèn)題。
(2)安全性日志
記錄了諸如有效和無(wú)效的登錄嘗試等事件,以及與資源使用相關(guān)的事件,例如創(chuàng)建、打開(kāi)或刪除文件或其他對(duì)象,系統(tǒng)管理員可以指定在安全性日志中記錄什么事件。默認(rèn)設(shè)置下,安全性日志是關(guān)閉的,管理員可以使用組策略來(lái)啟動(dòng)安全性日志,或者在注冊(cè)表中設(shè)置審核策略,以便當(dāng)安全性日志滿(mǎn)后使系統(tǒng)停止響應(yīng)。
(3)系統(tǒng)日志
包含Windows XP的系統(tǒng)組件記錄的事件,例如在啟動(dòng)過(guò)程中加載驅(qū)動(dòng)程序或其他系統(tǒng)組件失敗將記錄在系統(tǒng)日志中,默認(rèn)情況下Windows會(huì)將系統(tǒng)事件記錄到系統(tǒng)日志之中。 如果計(jì)算機(jī)被配置為域控制器,那么還將包括目錄服務(wù)日志、文件復(fù)制服務(wù)日志;如果機(jī)子被配置為域名系統(tǒng)(DNS)服務(wù)器,那么還將記錄DNS服務(wù)器日志。當(dāng)啟動(dòng)Windows時(shí),“事件日志”服務(wù)(EventLog)會(huì)自動(dòng)啟動(dòng),所有用戶(hù)都可以查看應(yīng)用程序和系統(tǒng)日志,但只有管理員才能訪(fǎng)問(wèn)安全性日志。
在事件查看器中主要記錄五種事件,事件查看器屏幕左側(cè)的圖標(biāo)描述了 Windows 操作系統(tǒng)對(duì)事件的分類(lèi)。事件查看器顯示如下類(lèi)型的事件:
(1)錯(cuò)誤:重大問(wèn)題,例如數(shù)據(jù)丟失或功能損失。例如,如果服務(wù)在啟動(dòng)期間無(wú)法加載,便會(huì)記錄一個(gè)錯(cuò)誤。
(2)警告:不一定重要的事件也能指出潛在的問(wèn)題。例如,如果磁盤(pán)空間低,便會(huì)記錄一個(gè)警告。
(3) 信息:描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)是否操作成功的事件。例如,如果網(wǎng)絡(luò)驅(qū)動(dòng)程序成功加載,便會(huì)記錄一個(gè)信息事件。
(4)成功審核:接受審核且取得成功的安全訪(fǎng)問(wèn)嘗試。例如,用戶(hù)對(duì)系統(tǒng)的成功登錄嘗試將作為一個(gè)“成功審核”事件被記錄下來(lái)。
(5)失敗審核:接受審核且未成功的安全訪(fǎng)問(wèn)嘗試。例如,如果用戶(hù)試圖訪(fǎng)問(wèn)網(wǎng)絡(luò)驅(qū)動(dòng)器但未成功,該嘗試將作為“失敗審核”被記錄下來(lái)。
(二)維護(hù)服務(wù)器安全實(shí)例
1.打開(kāi)并查看事件查看器中的三類(lèi)日志
在“運(yùn)行”中輸入“eventvwr.msc”直接打開(kāi)事件查看器,在該窗口中單擊“系統(tǒng)”,如圖1所示,單擊窗口右邊的類(lèi)型進(jìn)行排序,可以看到類(lèi)型中有警告、錯(cuò)誤等多條信息。
2.查看系統(tǒng)錯(cuò)誤記錄詳細(xì)信息
選擇“錯(cuò)誤”記錄,雙擊即可打開(kāi)并查看事件的屬性,如圖2所示,可以發(fā)現(xiàn)該事件為一個(gè)攻擊事件,其事件描述為:
連接自 211.99.226.9 的一個(gè)匿名會(huì)話(huà)嘗試在此計(jì)算機(jī)上打開(kāi)一個(gè) LSA 策略句柄。嘗試被以 STATUS_ACCESS_DENIED 拒絕, 以防止將安全敏感的信息泄露給匿名呼叫者。
進(jìn)行此嘗試的應(yīng)用程序需要被更正。請(qǐng)與應(yīng)用程序供應(yīng)商聯(lián)系。 作為暫時(shí)的解決辦法,此安全措施可以通過(guò)設(shè)置: \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 值為 1 來(lái)禁用。 此消息將一天最多記錄一次。
說(shuō)明:該描述信息表明IP地址為“211.99.226.9”的計(jì)算機(jī)在攻擊此服務(wù)器。
3.根據(jù)提示修補(bǔ)系統(tǒng)漏洞
根據(jù)描述信息,直接打開(kāi)注冊(cè)表編輯器,依次層層展開(kāi)找到鍵值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一個(gè)DWORD 的 “TurnOffAnonymousBlock Block DWORD” 鍵,并設(shè)置其值為“ 1”
說(shuō)明:如果在事件屬性中未給出解決方案,除了在google中尋找解決方法外,還可以對(duì)錯(cuò)誤信息進(jìn)行追蹤,以找到合適的解決方法,一般有兩種方式:
(1)微軟知識(shí)庫(kù)。微軟知識(shí)庫(kù)的文章是由微軟公司官方資料和微軟MVP撰寫(xiě)的技術(shù)文章組成,主要解決微軟產(chǎn)品的問(wèn)題及故障。當(dāng)微軟每一個(gè)產(chǎn)品的Bug和容易出錯(cuò)的應(yīng)用點(diǎn)被發(fā)現(xiàn)后,都將有與其對(duì)應(yīng)的KB文章分析這項(xiàng)錯(cuò)誤的解決方案。微軟知識(shí)庫(kù)的地址是:http://support.microsoft.com,在網(wǎng)頁(yè)左邊的“搜索(知識(shí)庫(kù))”中輸入相關(guān)的關(guān)鍵字進(jìn)行查詢(xún),事件發(fā)生源和ID等信息。當(dāng)然,輸入詳細(xì)描述中的關(guān)鍵詞也是一個(gè)好辦法,如果日志中有錯(cuò)誤編號(hào),輸入這個(gè)錯(cuò)誤編號(hào)進(jìn)行查詢(xún)。
(2)通過(guò)Eventid.net網(wǎng)站來(lái)查詢(xún)
要查詢(xún)系統(tǒng)錯(cuò)誤事件的解決方案,其實(shí)還有一個(gè)更好的地方,那就是Eventid.net網(wǎng)站地址是:http://www.eventid.net。這個(gè)網(wǎng)站由眾多微軟MVP(最有價(jià)值專(zhuān)家)主持,幾乎包含了全部系統(tǒng)事件的解決方案。登錄網(wǎng)站后,單擊“Search Events(搜索事件)”鏈接,出現(xiàn)事件搜索頁(yè)面。根據(jù)頁(yè)面提示,輸入Event ID(事件ID)和Event Source(事件源),并單擊“Search”按鈕。Eventid.net的系統(tǒng)會(huì)找到所有相關(guān)的資源及解決方案。最重要的是,享受這些解決方案是完全免費(fèi)的。當(dāng)然,Eventid.net的付費(fèi)用戶(hù)則能享受到更好的服務(wù),比如直接訪(fǎng)問(wèn)針對(duì)某事件的知識(shí)庫(kù)文章集等。
4.多方復(fù)查
既然出現(xiàn)了LSA的匿名枚舉,那么一定會(huì)存在登錄信息,如圖4所示,單擊“安全性”查看事件屬性,先針對(duì)“審核失敗”進(jìn)行查看,可以看到IP地址“211.99.226.9”的多次連接失敗的審核信息。需要特別注意的是,事件查看器中記錄的日志必須先在安全策略中進(jìn)行設(shè)置,默認(rèn)情況下不記錄,只要啟用審核以后才記錄。然后依次查看審核成功的登錄記錄,如果發(fā)現(xiàn)該IP地址登錄成功,那么還需要對(duì)系統(tǒng)進(jìn)行徹底的安全檢查,包括修改登錄密碼,查看系統(tǒng)時(shí)候被攻擊者留下了后門(mén)。在本例中主要事件就是IP地址為211.99.226.9的服務(wù)器在進(jìn)行密碼攻擊掃描,根據(jù)事件屬性中提供的策略進(jìn)行設(shè)置后,即可解決該匿名枚舉的安全隱患。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)如何用事件查看器維護(hù)服務(wù)器安全
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083933793.html