Windows系统日志审计
02-15
实验背景
针对网络中Windows服务器攻击经常发生的情况,管理员需要在服务器工作出现异常情况后,进行快速的响应,并且需要及时定位受到入侵的服务,发现黑客入侵的手段,找到系统的脆弱点并且加以修补,Windows Server 提供的日志工具可以协助我们完成相关操作。
Windows系统中日志分为三种,分别是:应用程序日志、系统日志、安全日志;默认情况下,如果系统不对事件做审核则不会生成安全日志。
实验目标
掌握Windows日志系统的结构
能够根据需要设置审核条件
能够完成对帐号的审计操作
能够根据不同的应用要求
实验环境
Server:Windows Server 2003
Client:Windows
实验过程指导
(1)启动管理工具中的本地安全策略
(2)打开本地安全策略中的审核策略,根据需要对需要审核的项进行设置
(3)设置审核登录成功和失败的事件
(4)审核目录访问成功和失败的事件
(5)可根据实际的需要选择并设置审核选项,应用结果后可以使用两种方式进行测试:
A、使用远程3389端口对服务器进行枚举攻击
B、在本地尝试猜解管理员密码
(6)管理员以正确密码登录后通过事件查看器查看安全日志
(7)查看登录失败的日志信息
(8)通过实验回答下列问题
A、有哪些用户,通过哪些IP对本服务器进行扫描
B、有哪些用户名被猜解
C、有哪些用户曾经在本机成功登录
D、有哪些IP的破解未成功
E、如何规避和防范枚举攻击