|
為了親身體驗Windows Server 2008系統(tǒng)與眾不同的試用感覺��,相信很多用戶創(chuàng)建條件、強行為自己的計算機升級安裝了該系統(tǒng)。盡管該系統(tǒng)的運行穩(wěn)定性以及安全防范性能得到了顯著提升, 不過在Internet網(wǎng)絡病毒與木馬瘋狂肆虐的今天�����,Windows Server 2008系統(tǒng)仍然還會時刻受到各式各樣的安全威脅��,比方說核心共享內(nèi)容被遠程修改���、系統(tǒng)被非法入侵等���,事實上不少安全威脅在真正發(fā)生之前都存在一些征兆現(xiàn) 象,如果我們能夠及時監(jiān)控到這些可疑跡象�,那么就能將安全隱患消除掉,那么我們該采取什么措施來自動監(jiān)控Windows Server 2008系統(tǒng)的可疑事件呢����?這樣的任務在Windows Server 2008系統(tǒng)下很簡單就能做到����,因為該系統(tǒng)新增加了“任務附加到事件”功能,我們可以深入挖掘該功能�,來實現(xiàn)Windows Server 2008系統(tǒng)自我監(jiān)控的目的!
自我監(jiān)控思路
大家知道,每一個Windows系統(tǒng)都自帶了事件查看器程序�����,不過與傳統(tǒng)操作系統(tǒng)不 一樣的是,Windows Server 2008系統(tǒng)將常用的任務計劃功能整合到事件查看器程序中了���,有了這項功能的支持�,我們可以在服務器系統(tǒng)中針對一些特殊系統(tǒng)事件附加任務計劃�����,讓該運行任 務在特殊系統(tǒng)事件發(fā)生的那一刻及時提醒我們;當Windows Server 2008系統(tǒng)中的需要被監(jiān)控的系統(tǒng)事件真正發(fā)生時�,附加在該系統(tǒng)事件上的特定任務計劃就能被自動觸發(fā),到時它就能根據(jù)事先設置好的方式來提醒我們采取應對 措施了���,這樣一來就能實現(xiàn)不用外力工具�,Windows Server 2008系統(tǒng)就能完成自我監(jiān)控的任務了����。
依照上述思路,我們只要先在Windows Server 2008系統(tǒng)中對需要監(jiān)控的系統(tǒng)事件啟用審核功能�,確保系統(tǒng)的事件查看器程序能夠自動跟蹤、記憶目標系統(tǒng)事件���,接著人為創(chuàng)建一個特殊系統(tǒng)事件����,讓事件查看 器程序自動生成這個事件記錄,例如我們簡單地注銷系統(tǒng)并重新登錄一次����,那么Windows Server 2008系統(tǒng)的事件查看器程序就能自動把這個系統(tǒng)登錄事件記憶保存下來,有了具體的事件記錄后��,下面我們就能利用“任務附加到事件”功能�,將自動監(jiān)控報警 信息通過任務計劃的方式附加到具體的事件記錄上,日后當相同的系統(tǒng)再次發(fā)生時�����,附加的任務計劃就能被自動觸發(fā)�,到時我們就能及時收到附加任務計劃發(fā)送出來 的報警信息了,看到報警信息后����,我們要做的工作就是及時采取安全應對措施,防范這類有安全威脅的系統(tǒng)事件再次發(fā)生��,那樣一來Windows Server 2008系統(tǒng)的安全性在某種程度上又得到了更進一步地強化���。為方便敘述,本文就以自動監(jiān)控系統(tǒng)登錄事件為例�,讓Windows Server 2008系統(tǒng)對那些偷偷登錄系統(tǒng)的非法行為進行自動監(jiān)控,謹防惡意攻擊者暗地里攻擊Windows Server 2008系統(tǒng)。
審核待監(jiān)控事件
Windows Server 2008系統(tǒng)內(nèi)置的事件查看器程序在默認狀態(tài)下��,不會對類似系統(tǒng)登錄這樣的事件進行跟蹤記錄的����,也就是說平時我們登錄系統(tǒng)時,事件查看器程序并沒有這方面 的事件記錄��,要想對系統(tǒng)登錄這樣的事件進行監(jiān)控���,我們首先要做的工作自然就是為待監(jiān)控事件啟用審核功能����,讓事件查看器程序可以自動記憶保存這些事件記錄��。 在審核待監(jiān)控事件時����,我們可以按照下面的操作來進行:
首先打開Windows Server 2008系統(tǒng)的“開始”菜單,從中逐一點擊“設置”�����、“控制面板”選項�����,打開對應系統(tǒng)的控制面板窗口,再用鼠標雙擊該窗口中的“管理工具”圖標選項��,進入Windows Server 2008系統(tǒng)的管理工具列表界面;
其次雙擊管理工具列表界面中的“本地安全策略”圖標選項���,在其后出現(xiàn)的本地安全策略編輯器界面中����,依次展開左側(cè)子窗格區(qū)域中的“安全設置”/“本地策略”/“審核策略”分支選項�,在“審核策略”分支選項下面,選中“審核登錄事件”選項����,并用鼠標右鍵單擊該選項,從彈出的快捷菜單中執(zhí)行“屬性”命令進入如圖1所示的審核登錄事件屬性設置對話框;
下面同時將該設置對話框中的“成功”����、“失敗”復選項都選中,再單擊“確定”按鈕保存好上述設置操作�����,如此一來日后任何一位用戶無論有沒有成功 登錄進Windows Server 2008系統(tǒng)���,對應系統(tǒng)的事件查看器程序都會自動把這次系統(tǒng)登錄事件記錄保存到事件查看器列表中�����,仔細查看這些記錄��,我們就能大概判斷出當前服務器系統(tǒng)中 是否存在非法登錄事件發(fā)生了���。
手工生成目標事件
考慮到任務計劃只能與具體的某件事件綁定在一起,為此要想利用任務計劃功能對目標系統(tǒng)事件進行自動監(jiān)控報警��,我們還需要手工創(chuàng)建一個與待監(jiān)控事件性質(zhì)一樣的具體事件記錄;例如���,要手工生成系統(tǒng)登錄事件記錄時�����,我們只要在Windows Server 2008服務器系統(tǒng)桌面中依次單擊“開始”/“關機”選項�����,選中“待機”項目��,單擊“確定”按鈕���,將當前系統(tǒng)注銷掉�����,之后重新以系統(tǒng)管理員賬號登錄一次 Windows Server 2008服務器系統(tǒng)��,當系統(tǒng)登錄操作成功后��,對應系統(tǒng)的事件查看器程序就會自動將這次登錄操作記錄下來了�。
在查看具體的事件記錄時����,我們可以在Windows Server 2008服務器系統(tǒng)桌面中用鼠標右鍵單擊“計算機”圖標,從彈出的快捷菜單中點選“管理”命令��,打開對應系統(tǒng)的計算機管理控制臺界面;
本文出自:億恩科技【www.allwellnessguide.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
