巧用事件查看器维护服务器安全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
陈小兵
事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人员维护系统有一定的借鉴和参考。

(一)事件查看器相关知识

1.事件查看器

事件查看器是 Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查看器:
  (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口
  (2)在“运行”对话框中手工键入“%SystemRoot%\system32\eventvwr.msc /s”打开事件查看器窗口。
  (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。

2.事件查看器中记录的日志类型

  在事件查看器中一共记录三种类型的日志,即:
(1)应用程序日志
   包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
  (2)安全性日志
  记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
  (3)系统日志
  包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。 如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。
在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件:
(1)错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。
(2)警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告。
 (3) 信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。
 (4)成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。
 (5)失败审核:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。

(二)维护服务器安全实例

1.打开并查看事件查看器中的三类日志

   在“运行”中输入“eventvwr.msc”直接打开事件查看器,在该窗口中单击“系统”,如图1所示,单击窗口右边的类型进行排序,可以看到类型中有警告、错误等多条信息。
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
图1 打开并查看系统日志

2.查看系统错误记录详细信息

   选择“错误”记录,双击即可打开并查看事件的属性,如图2所示,可以发现该事件为一个***事件,其事件描述为:
连接自 211.99.226.9 的一个匿名会话尝试在此计算机上打开一个 LSA 策略句柄。尝试被以 STATUS_ACCESS_DENIED 拒绝, 以防止将安全敏感的信息泄露给匿名呼叫者。
 进行此尝试的应用程序需要被更正。请与应用程序供应商联系。 作为暂时的解决办法,此安全措施可以通过设置:  \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 值为 1 来禁用。 此消息将一天最多记录一次。
图2 查看系统错误事件属性
说明:该描述信息表明IP地址为“211.99.<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />226.9”的计算机在***此服务器。

3.根据提示修补系统漏洞

根据描述信息,直接打开注册表编辑器,依次层层展开找到键值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一个DWORD 的 “TurnOffAnonymousBlock Block DWORD” 键,并设置其值为“ 1”,如图3所示。
3 修复系统存在的安全隐患
说明:如果在事件属性中未给出解决方案,除了在google中寻找解决方法外,还可以对错误信息进行追踪,以找到合适的解决方法,一般有两种方式:
 (1)微软知识库。微软知识库的文章是由微软公司官方资料和微软MVP撰写的技术文章组成,主要解决微软产品的问题及故障。当微软每一个产品的Bug和容易出错的应用点被发现后,都将有与其对应的KB文章分析这项错误的解决方案。微软知识库的地址是:http://support.microsoft.com,在网页左边的“搜索(知识库)”中输入相关的关键字进行查询,事件发生源和ID等信息。当然,输入详细描述中的关键词也是一个好办法,如果日志中有错误编号,输入这个错误编号进行查询。
 (2)通过Eventid.net网站来查询
要查询系统错误事件的解决方案,其实还有一个更好的地方,那就是Eventid.net网站地址是:http://www.eventid.net。这个网站由众多微软MVP(最有价值专家)主持,几乎包含了全部系统事件的解决方案。登录网站后,单击“Search Events(搜索事件)”链接,出现事件搜索页面。根据页面提示,输入Event ID(事件ID)和Event Source(事件源),并单击“Search”按钮。Eventid.net的系统会找到所有相关的资源及解决方案。最重要的是,享受这些解决方案是完全免费的。当然,Eventid.net的付费用户则能享受到更好的服务,比如直接访问针对某事件的知识库文章集等。

4.多方复查

既然出现了LSA的匿名枚举,那么一定会存在登录信息,如图4所示,单击“安全性”查看事件属性,先针对“审核失败”进行查看,可以看到IP地址“211.99.226.9”的多次连接失败的审核信息。需要特别注意的是,事件查看器中记录的日志必须先在安全策略中进行设置,默认情况下不记录,只要启用审核以后才记录。然后依次查看审核成功的登录记录,如果发现该IP地址登录成功,那么还需要对系统进行彻底的安全检查,包括修改登录密码,查看系统时候被***者留下了后门。在本例中主要事件就是IP地址为211.99.226.9的服务器在进行密码***扫描,根据事件属性中提供的策略进行设置后,即可解决该匿名枚举的安全隐患。

 

巧用事件查看器维护服务器安全相关推荐

  1. IIS事件查看器_WebServer事件查看器_帮助查看IIS-Web服务器事件执行日志

    IIS服务器是我们常用的Web站点部署工具,而我们有时可能遇到IIS服务器的应用程序池莫名其妙的关闭了,或者是其他未知原因等等,我们这是可以通过微软提供的WebServer(Web服务事件查看器),来 ...

  2. 服务器事件查看器根据登录id如何查找信息,Windows中如何查看日志(如查看远程登陆的IP地址)以及常用日志ID...

    概述 在Windows中可以使用 事件查看器 来查看相关日志,并结合日志ID进行日志筛选.常见的日志有: 4634 - 帐户被注销 4647 - 用户发起注销 4624 - 帐户已成功登录(可以查看 ...

  3. 服务器系统事件1014,如何排除每天都会在事件查看器中出现的来源:DNS Client Events 事件 ID:1014 的警告记录呢?...

    我的系统是 Windows Server 2008 R2 企业版,每天都能在事件查看器中看到来源:DNS Client Events 事件 ID:1014 的警告记录,具体摘取部分记录如下: 2012 ...

  4. Windows Server 2019或2016 无法运行服务器管理器、控制面板部分功能、事件查看器等解决办法

    问题: 将 Windows Server 2019或2016 .NET Framework移除. IIS卸载后,服务器管理器.控制面板部分功能.事件查看器等都无法正常开启. 解决: 打开CMD,输入D ...

  5. Windows 事件查看器(收集)

    事件查看器相当于一本厚厚的系统日志,可以查看关于硬件.软件和系统问题的信息,也可以监视 Windows 的安全事件 提示:除了可以在"控制面板→管理工具"中找到"事件查看 ...

  6. 搜索系统的蛛丝马迹——事件查看器

    阅读提示:如果你不关心系统的安全,不想找到产生故障的原因,不想知道前天什么时候上网.上了多长时间,那么本文肯定不适合你.因为在这里,除了可以学到关于事件查看器的基本知识,还会了解如何利用事件查看器里的 ...

  7. 如何在 Windows XP 的事件查看器中查看和管理事件日志

    事件查看器 在 Windows XP 中,事件是在系统或程序中发生的.要求通知用户的任何重要事情,或者是添加到日志中的项.事件日志服务在事件查看器中记录应用程序.安全和系统事件.通过 使用事件查看器中 ...

  8. 系统安全运维 Server 2008 R2 事件查看器实现日志分析

    <系统安全运维>  Server 2008 R2 事件查看器实现日志分析 在 windows server 2008 R2 中,可以通过点击 "开始" -> &q ...

  9. sql server (mssqlserver)无法启动,事件查看器提示SQL Server 无法生成 FRunCM 线程

    SQL Server服务无法启动时,时常会遇到以下提示: 本地计算机上的MSSQLSERVER服务启动后又停止了.一些服务自动停止,如果它们没有什么可做的,例如"性能日志和警报"服 ...

最新文章

  1. mysql 查询任务_mysql中怎样显示服务器正在执行的sql任务
  2. Oracle软件结构
  3. Swoole安装popen()找不到
  4. python列表去掉特定项_python实现删除列表中某个元素的3种方法
  5. 数据结构--二叉树--路径 假设二叉树采用二叉链表方式存储, root指向根结点,node 指向二叉树中的一个结点, 编写函数 path,计算root到 node 之间的路径,(该路径包括root结
  6. cad小插件文字刷_文字狗最佳排版神器 小恐龙公文排版助手Office WPS插件
  7. 2022年中国餐饮经营参数蓝皮书
  8. python中按照文件夹中文件的排列顺序读取文件内容
  9. 查看python下安装的包有哪些
  10. Linux内存初始化(四) 创建系统内存地址映射
  11. java 开发银行支付、对账时证书相关的操作总结
  12. Log4j2 高危漏洞分析
  13. 单元测试框架TestableMock快速入门(一):快速Mock任意调用
  14. excel图表交互联动_office2016下PPT图表进行交互联动的技巧
  15. Mat和IplImage转换
  16. 数据结构与算法的个人学习经验小结(总)
  17. 《操作系统原理》 记录 (41)
  18. k8s报错503或者其他网络错误 Readiness probe failed: HTTP probe failed with statuscode: 503
  19. 在Mac上安装使用Charles
  20. Android模拟电子墨水屏,彩色电子墨水屏手机海信A5proCC使用体验

热门文章

  1. 修改linux系统iqn,linux iSCSI target配置全过程
  2. zedgraph支持游标吗_经典格斗游戏中的隐藏人物,当年在游戏厅你能选出来吗
  3. python 网站 源码_在线浏览美图源码,附带python源码
  4. 6463: Tak and Hotels II(倍增)
  5. 打印菱形(曼哈顿距离法)
  6. sequel mysql8.0_sequel pro 无法链接mysql8.0以上高版本
  7. java两个线程交替执行
  8. linux系统服务命令systemctl使用说明
  9. 鸿蒙开发-基础组件介绍及chart组件使用
  10. Android中通过数组资源文件xml与适配器两种方式给ListView列表视图设置数据源