Windows系统日志审计

   实验背景

  针对网络中Windows服务器攻击经常发生的情况,管理员需要在服务器工作出现异常情况后,进行快速的响应,并且需要及时定位受到入侵的服务,发现黑客入侵的手段,找到系统的脆弱点并且加以修补,Windows Server 提供的日志工具可以协助我们完成相关操作。

  Windows系统中日志分为三种,分别是:应用程序日志、系统日志、安全日志;默认情况下,如果系统不对事件做审核则不会生成安全日志。


  实验目标

  掌握Windows日志系统的结构

  能够根据需要设置审核条件

  能够完成对帐号的审计操作

  能够根据不同的应用要求

  实验环境

  Server:Windows Server 2003

  Client:Windows

  实验过程指导

  (1)启动管理工具中的本地安全策略


  (2)打开本地安全策略中的审核策略,根据需要对需要审核的项进行设置

  (3)设置审核登录成功和失败的事件


  (4)审核目录访问成功和失败的事件


  (5)可根据实际的需要选择并设置审核选项,应用结果后可以使用两种方式进行测试:

  A、使用远程3389端口对服务器进行枚举攻击

  B、在本地尝试猜解管理员密码

  (6)管理员以正确密码登录后通过事件查看器查看安全日志


  (7)查看登录失败的日志信息


  (8)通过实验回答下列问题

  A、有哪些用户,通过哪些IP对本服务器进行扫描

  B、有哪些用户名被猜解

  C、有哪些用户曾经在本机成功登录

  D、有哪些IP的破解未成功

  E、如何规避和防范枚举攻击

时间: 2024-10-28 04:20:56

Windows系统日志审计的相关文章

执行Windows桌面审计时的四大注意事项

  你最近一次进行Windows桌面审计是什么时候呢?如果你像大多数和我工作的网络管理员一样,那么你很幸运,可以使用一个标准的桌面镜像.一个对所有桌面上的东西均进行的正式审计似乎是不可能的. 或许你想规范你的Windows配置设置.或者你需要更好地掌握终端安全.你甚至可能想清理组织的软件许可.不管你的目标是什么,有几件事需要你记住,这几件事能够将你的桌面审计效果最大化. 定义Windows审计的需求 首先,你为什么要审计Windows配置呢?50%任何成功的项目--审计或不审计--依赖于合理的设

《ELK Stack权威指南(第2版)》一3.5 Windows系统日志

3.5 Windows系统日志 Logstash社区有众多的Windows用户,本节单独介绍一下对Windows平台系统日志的收集处理.之前介绍过Linux上的系统日志,即syslog的处理.事实上,对于Windows平台,也有类似syslog的设计,叫eventlog.本节介绍如何处理Windows eventlog. 3.5.1 采集端配置 由于Logstash作者出身Linux运维,早期版本中出了不少Windows平台上独有的bug.所以,目前对Windows上的日志,推荐大家在尝试Log

怎么把java日志写到windows系统日志里啊?还有怎么生成一vbs了

问题描述 怎么把java日志写到windows系统日志里啊?还有怎么生成一vbs了 解决方案 解决方案二:这样有什么好处呢

windows系统日志的时间修改

问题描述 请教一下各位,能否更改现有日志里的时间.如果不行的话,能否写入新日志时自行指定日期时间?看了一下EventLog.WriteEntry里似乎不能自行指定日期.还望各位指点一二,谢谢 解决方案 解决方案二:这个真真是不可以的.能说说为什么要这么做吗?你想写自定义的时间,还是写到log内容里吧.解决方案三:篡改系统日志?这样做有任何意义?解决方案四:非要做也不是不可以全部读出来,正则匹配时间格式,然后你自己定义个规则怎么去改就行了

Java能正确解析读取windows系统日志evt文件不?用什么方法

问题描述 需要具体的代码...读出后要怎么直接存入SQL2000的数据库 解决方案 解决方案二:该回复于2011-04-07 08:39:48被版主删除解决方案三:该回复于2011-04-07 08:39:48被版主删除解决方案四:该回复于2011-04-07 10:02:52被版主删除

java读取windows系统日志文件,并读入SQL2000--光天化日跪求

问题描述 如题 解决方案 解决方案二:该回复于2011-04-07 08:39:48被版主删除解决方案三:该回复于2011-04-07 08:39:48被版主删除解决方案四:不好意思,没看见有人跪!

Win7系统日志怎么查看?

  Win7系统日志怎么查看? 1.点击开始然后单击控制面板进入win7控制面板. 2.单击"系统和安全"选项. 3.在右下方找到"查看事件日志"进入windows系统日志查看器. 4.如图,在日志查看器左侧可以选择查看不同类型日志,一般系统报错应该在"windows日志/系统"中找相关信息.双击单条日志可以查看详细信息,而右侧栏可以对日志进行删除.复制等操作.

Windows+APACHE服务经常故障怎么办

  圆嘟嘟选择的主机搭配是Windows 2003 Server+Apache+PHP+Mysql,当网站初步上线测试后,我在主机运维方面遇到了很多问题,这里先说一个比较罕见,而且也让我头疼好几天的问题,就是APACHE在运行一段不定时的时间后,就自动停止了,Windows系统日志显示是:Apache2 服务因 1 (0x1) 服务性错误而停止.而APACHE的error日志里最后的内容如下: [Thu Mar 21 01:08:09.187500 2013] [mpm_winnt:notice

云服务器 ECS 安全:ECS Windows的日志使用与简要分析说明

ECS Windows的日志使用与简要分析说明 简介 日志是记录系统中硬件.软件和系统问题的信息,同时还可以监视系统中发生的事件,当服务器被入侵或者系统(应用)出现问题时,管理员可以根据日志来迅速定位到问题的关键,然后对问题在进行快速的处理,这样才可以极大的提高我们的工作效率和服务器的安全性.Windows系统日志主要分为三种,分别是系统日志.应用程序日志和安全日志,还有应用程序和服务日志.接下来以Windows server 2008 R2为例来简单的介绍下四种日志的使用和简要分析. Wind