【IT專家網獨家】許多網絡病毒或木馬程序攻擊系統後,常常會偷偷修改系統登錄賬號,以便達到隱藏攻擊痕跡的目的!為了有效保護系統的運行安全性,我們應該想辦法及時將潛藏在系統中的各種網絡病毒或木馬程序“揪”出來,那麼我們該如何才能在第一時間內知道系統中的某個用戶賬號被偷偷修改了呢?盡管借助一些專業的安全工具可以輕松地做到這一點,不過在Windows Server 2008系統環境下,即使我們手頭沒有專業的安全工具幫忙,也能赤手空拳地將偷改賬號的“惡劣”事件捕捉到;我們只要利用Windows Server 2008系統事件查看器新增加的綁定任務功能,就能在第一時間內知道系統中的某個用戶賬號被偷偷修改了!
大家知道,在舊版本系統環境下,我們常常會利用事件查看器來將一些影響系統安全運行的事件記錄下來,日後仔細分析這些安全日志內容,我們就能從中找到潛藏在本地系統中的一些安全隱患了。不過,讓人遺憾的是,舊版本系統下的事件查看器程序只能記錄有安全威脅的操作事件,而無法及時向系統管理員發出安全警報信息,那樣一來系統管理員就無法在第一時間知道本地系統存在安全威脅。到了Windows Server 2008系統環境下,事件查看器程序的功能明顯增強,系統管理員可以為特定的系統事件綁定任務計劃,一旦系統日後發生特定的系統事件時,被綁定的任務計劃就能夠自動觸發運行。
利用這樣的功能,我們就能及時追蹤偷改賬號事件,並為偷改賬號事件綁定一個自動報警的任務計劃;一旦該事件發生時,自動報警的任務計劃就能被觸發執行,到時我們聽到自動報警提示後,就能在第一時間知道系統中的某些用戶賬號被偷偷修改了。依照上面的分析,我們只要先在Windows Server 2008系統環境下修改系統審核策略,讓系統對賬號管理事件進行審核,確保事件查看器程序能夠自動記錄用戶賬號被偷偷修改的操作行為;之後,我們需要手工觸發一個修改用戶賬號的事件,並將自動報警任務計劃附加到修改用戶賬號事件上;如此一來,日後Windows Server 2008系統中有系統用戶賬號被偷偷修改時,自動報警的任務計劃自然就會被執行了,系統管理員收到報警信息後就知道系統中發生了偷改賬號事件;到時,系統管理員就能立即采取針對性措施來查找安全隱患,保證在第一時間將系統隱患排除掉。
在默認狀態下,即使我們修改了某個系統用戶賬號的名稱,也不會從系統的事件查看器列表中看到對應的操作記錄,這是什麼原因呢?其實很簡單,這是因為Windows Server 2008系統在默認狀態下並沒有自動記錄用戶賬號被修改的操作行為,我們必須修改Windows Server 2008系統的審核策略,才能讓事件查看器記錄用戶賬號被修改的事件。在對賬號管理事件進行審核時,我們可以按照如下步驟進行操作:
首先以系統管理員身份登錄進Windows Server 2008系統,單擊該系統桌面中的“開始”/“運行”命令,在彈出的系統運行文本框中輸入字符串命令“gpedit.msc”,單擊“確定”按鈕後,進入系統組策略編輯窗口;
其次在該編輯窗口的左側顯示窗格中,將鼠標定位於“計算機配置”節點選項上,再依次點選該節點下面的“Windows設置”/“安全設置”/“本地策略”/“審核策略”子項,在“審核策略”子項下面找到目標組策略選項“審核賬戶管理”,並用鼠標右鍵單擊該選項,從彈出的快捷菜單中選擇“屬性”命令,打開如圖1所示的目標組策略屬性設置窗口;
在該屬性設置窗口中的“本地安全設置”標簽頁面中,將“成功”復選項選中,再單擊“確定”按鈕,那樣一來Windows Server 2008系統就能對成功修改用戶賬號事件進行審核了。同樣地,我們也可以對修改用戶賬號失敗事件進行審核,讓事件查看器程序也自動記錄修改用戶賬號失敗的事件。
上一頁12 下一頁 閱讀全文
