Windows系统日志审计

02-15

实验背景

针对网络中Windows服务器攻击经常发生的情况,管理员需要在服务器工作出现异常情况后,进行快速的响应,并且需要及时定位受到入侵的服务,发现黑客入侵的手段,找到系统的脆弱点并且加以修补,Windows Server 提供的日志工具可以协助我们完成相关操作。

Windows系统中日志分为三种,分别是:应用程序日志、系统日志、安全日志;默认情况下,如果系统不对事件做审核则不会生成安全日志。

Windows系统日志审计

实验目标

掌握Windows日志系统的结构

能够根据需要设置审核条件

能够完成对帐号的审计操作

能够根据不同的应用要求

实验环境

Server:Windows Server 2003

Client:Windows

实验过程指导

(1)启动管理工具中的本地安全策略

Windows系统日志审计

(2)打开本地安全策略中的审核策略,根据需要对需要审核的项进行设置

(3)设置审核登录成功和失败的事件

Windows系统日志审计

(4)审核目录访问成功和失败的事件

Windows系统日志审计

(5)可根据实际的需要选择并设置审核选项,应用结果后可以使用两种方式进行测试:

A、使用远程3389端口对服务器进行枚举攻击

B、在本地尝试猜解管理员密码

(6)管理员以正确密码登录后通过事件查看器查看安全日志

Windows系统日志审计

(7)查看登录失败的日志信息

Windows系统日志审计

(8)通过实验回答下列问题

A、有哪些用户,通过哪些IP对本服务器进行扫描

B、有哪些用户名被猜解

C、有哪些用户曾经在本机成功登录

D、有哪些IP的破解未成功

E、如何规避和防范枚举攻击