许多网络病毒或木马程序攻击系统后,常常会偷偷修改系统登录账号,以便达到隐藏攻击痕迹的目的!为了有效 保护系统的运行安全性,我们应该想办法及时将潜藏在系统中的各种网络病毒或木马程序“揪”出来,那么我们该 如何才能在第一时间内知道系统中的某个用户账号被偷偷修改了呢?尽管借助一些专业的安全工具可以轻松地做到 这一点,不过在Windows Server 2008系统环境下,即使我们手头没有专业的安全工具帮忙,也能赤手空拳地将偷 改账号的“恶劣”事件捕捉到;我们只要利用Windows Server 2008系统事件查看器新增加的绑定任务功能,就能在 第一时间内知道系统中的某个用户账号被偷偷修改了!
追踪偷改账号事件
大家知道,在旧版本系统环境下,我们常常会利用事件查看器来将一些影响系统安全运行的事件记录下来,日 后仔细分析这些安全日志内容,我们就能从中找到潜藏在本地系统中的一些安全隐患了。不过,让人遗憾的是,旧 版本系统下的事件查看器程序只能记录有安全威胁的操作事件,而无法及时向系统管理员发出安全警报信息,那样 一来系统管理员就无法在第一时间知道本地系统存在安全威胁。到了Windows Server 2008系统环境下,事件查看 器程序的功能明显增强,系统管理员可以为特定的系统事件绑定任务计划,一旦系统日后发生特定的系统事件时, 被绑定的任务计划就能够自动触发运行。
利用这样的功能,我们就能及时追踪偷改账号事件,并为偷改账号事件绑定一个自动报警的任务计划;一旦该事 件发生时,自动报警的任务计划就能被触发执行,到时我们听到自动报警提示后,就能在第一时间知道系统中的某 些用户账号被偷偷修改了。依照上面的分析,我们只要先在Windows Server 2008系统环境下修改系统审核策略, 让系统对账号管理事件进行审核,确保事件查看器程序能够自动记录用户账号被偷偷修改的操作行为;之后,我们 需要手工触发一个修改用户账号的事件,并将自动报警任务计划附加到修改用户账号事件上;如此一来,日后 Windows Server 2008系统中有系统用户账号被偷偷修改时,自动报警的任务计划自然就会被执行了,系统管理员 收到报警信息后就知道系统中发生了偷改账号事件;到时,系统管理员就能立即采取针对性措施来查找安全隐患, 保证在第一时间将系统隐患排除掉。
审核账号管理事件
在默认状态下,即使我们修改了某个系统用户账号的名称,也不会从系统的事件查看器列表中看到对应的操作 记录,这是什么原因呢?其实很简单,这是因为Windows Server 2008系统在默认状态下并没有自动记录用户账号被 修改的操作行为,我们必须修改Windows Server 2008系统的审核策略,才能让事件查看器记录用户账号被修改的 事件。在对账号管理事件进行审核时,我们可以按照如下步骤进行操作:
首先以系统管理员身份登录进Windows Server 2008系统,单击该系统桌面中的“开始”/“运行”命令,在弹 出的系统运行文本框中输入字符串命令“gpedit.msc”,单击“确定”按钮后,进入系统组策略编辑窗口;
其次在该编辑窗口的左侧显示窗格中,将鼠标定位于“计算机配置”节点选项上,再依次点选该节点下面的 “Windows设置”/“安全设置”/“本地策略”/“审核策略”子项,在“审核策略”子项下面找到目标组策略选项 “审核账户管理”,并用鼠标右键单击该选项,从弹出的快捷菜单中选择“属性”命令,打开如图1所示的目标组 策略属性设置窗口;
在该属性设置窗口中的“本地安全设置”标签页面中,将“成功”复选项选中,再单击“确定”按钮,那样一 来Windows Server 2008系统就能对成功修改用户账号事件进行审核了。同样地,我们也可以对修改用户账号失败 事件进行审核,让事件查看器程序也自动记录修改用户账号失败的事件。