巧用事件檢視器維護伺服器安全
陳小兵
事件檢視器相當于作業系統的保健醫生,一些“頑疾”的蛛絲馬迹都會在事件檢視器中呈現,一個合格的系統管理者和安全維護人員會定期檢視應用程式、安全性和系統日志,檢視是否存在非法登入、系統是否非正常關機、程式執行錯誤等資訊,通過檢視事件屬性來判定錯誤産生的來源和解決方法,使作業系統和應用程式正常工作。本文介紹了事件檢視器的一些相關知識,最後給出了一個安全維護執行個體,對安全維護人員維護系統有一定的借鑒和參考。
事件檢視器是 Microsoft Windows 作業系統工具,事件檢視器相當于一本厚厚的系統日志,可以檢視關于硬體、軟體和系統問題的資訊,也可以監視Windows 作業系統中的安全事件。有三種方式來打開事件檢視器:
(1)單擊“開始”-“設定”-“控制台”-“管理工具”-“事件檢視器”,開事件檢視器視窗
(2)在“運作”對話框中手工鍵入“%SystemRoot%\system32\eventvwr.msc /s”打開事件檢視器視窗。
(3)在運作中直接輸入“eventvwr”或者“eventvwr.msc”直接打開事件檢視器。
在事件檢視器中一共記錄三種類型的日志,即:
(1)應用程式日志
包含由應用程式或系統程式記錄的事件,主要記錄程式運作方面的事件,例如資料庫程式可以在應用程式日志中記錄檔案錯誤,程式開發人員可以自行決定監視哪些事件。如果某個應用程式出現崩潰情況,那麼我們可以從程式事件日志中找到相應的記錄,也許會有助于你解決問題。
(2)安全性日志
記錄了諸如有效和無效的登入嘗試等事件,以及與資源使用相關的事件,例如建立、打開或删除檔案或其他對象,系統管理者可以指定在安全性日志中記錄什麼事件。預設設定下,安全性日志是關閉的,管理者可以使用組政策來啟動安全性日志,或者在系統資料庫中設定稽核政策,以便當安全性日志滿後使系統停止響應。
(3)系統日志
包含Windows XP的系統元件記錄的事件,例如在啟動過程中加載驅動程式或其他系統元件失敗将記錄在系統日志中,預設情況下Windows會将系統事件記錄到系統日志之中。 如果計算機被配置為域控制器,那麼還将包括目錄服務日志、檔案複制服務日志;如果機子被配置為域名系統(DNS)伺服器,那麼還将記錄DNS伺服器日志。當啟動Windows時,“事件日志”服務(EventLog)會自動啟動,所有使用者都可以檢視應用程式和系統日志,但隻有管理者才能通路安全性日志。
在事件檢視器中主要記錄五種事件,事件檢視器螢幕左側的圖示描述了 Windows 作業系統對事件的分類。事件檢視器顯示如下類型的事件:
(1)錯誤:重大問題,例如資料丢失或功能損失。例如,如果服務在啟動期間無法加載,便會記錄一個錯誤。
(2)警告:不一定重要的事件也能指出潛在的問題。例如,如果磁盤空間低,便會記錄一個警告。
(3) 資訊:描述應用程式、驅動程式或服務是否操作成功的事件。例如,如果網絡驅動程式成功加載,便會記錄一個資訊事件。
(4)成功稽核:接受稽核且取得成功的安全通路嘗試。例如,使用者對系統的成功登入嘗試将作為一個“成功稽核”事件被記錄下來。
(5)失敗稽核:接受稽核且未成功的安全通路嘗試。例如,如果使用者試圖通路網絡驅動器但未成功,該嘗試将作為“失敗稽核”被記錄下來。
在“運作”中輸入“eventvwr.msc”直接打開事件檢視器,在該視窗中單擊“系統”,如圖1所示,單擊視窗右邊的類型進行排序,可以看到類型中有警告、錯誤等多條資訊。
圖1 打開并檢視系統日志
選擇“錯誤”記錄,輕按兩下即可打開并檢視事件的屬性,如圖2所示,可以發現該事件為一個攻擊事件,其事件描述為:
<b>連接配接自</b><b> 211.99.226.9 </b><b>的一個匿名會話嘗試在此計算機上打開一個</b><b> LSA </b><b>政策句柄。嘗試被以</b><b>STATUS_ACCESS_DENIED </b><b>拒絕,</b><b> </b><b>以防止将安全敏感的資訊洩露給匿名呼叫者。</b>
<b> </b><b>進行此嘗試的應用程式需要被更正。請與應用程式供應商聯系。</b><b> </b><b>作為暫時的解決辦法,此安全措施可以通過設定:</b><b> \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD </b><b>值為</b><b> 1 </b><b>來禁用。</b><b> </b><b>此消息将一天最多記錄一次。</b>
圖2 檢視系統錯誤事件屬性
<b>說明:該描述資訊表明</b><b>IP</b><b>位址為“</b><b>211.99.226.9”的計算機在攻擊此伺服器。</b>
根據描述資訊,直接打開系統資料庫編輯器,依次層層展開找到鍵值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”建立一個DWORD 的 “TurnOffAnonymousBlock Block DWORD” 鍵,并設定其值為“ 1”,如圖3所示。
<b></b>
<b>圖</b><b>3 </b><b>修複系統存在的安全隐患</b>
<b>說明</b>:如果在事件屬性中未給出解決方案,除了在google中尋找解決方法外,還可以對錯誤資訊進行追蹤,以找到合适的解決方法,一般有兩種方式:
(1)微軟知識庫。微軟知識庫的文章是由微軟公司官方資料和微軟MVP撰寫的技術文章組成,主要解決微軟産品的問題及故障。當微軟每一個産品的Bug和容易出錯的應用點被發現後,都将有與其對應的KB文章分析這項錯誤的解決方案。微軟知識庫的位址是:http://support.microsoft.com,在網頁左邊的“搜尋(知識庫)”中輸入相關的關鍵字進行查詢,事件發生源和ID等資訊。當然,輸入較長的描述中的關鍵詞也是一個好辦法,如果日志中有錯誤編号,輸入這個錯誤編号進行查詢。
(2)通過Eventid.net網站來查詢
要查詢系統錯誤事件的解決方案,其實還有一個更好的地方,那就是Eventid.net網站位址是:http://www.eventid.net。這個網站由衆多微軟MVP(最有價值專家)主持,幾乎包含了全部系統事件的解決方案。登入網站後,單擊“Search Events(搜尋事件)”連結,出現事件搜尋頁面。根據頁面提示,輸入Event ID(事件ID)和Event Source(事件源),并單擊“Search”按鈕。Eventid.net的系統會找到所有相關的資源及解決方案。最重要的是,享受這些解決方案是完全免費的。當然,Eventid.net的付費使用者則能享受到更好的服務,比如直接通路針對某事件的知識庫文章集等。
既然出現了LSA的匿名枚舉,那麼一定會存在登入資訊,如圖4所示,單擊“安全性”檢視事件屬性,先針對“稽核失敗”進行檢視,可以看到IP位址“211.99.226.9”的多次連接配接失敗的稽核資訊。需要特别注意的是,事件檢視器中記錄的日志必須先在安全政策中進行設定,預設情況下不記錄,隻要啟用稽核以後才記錄。然後依次檢視稽核成功的登入記錄,如果發現該IP位址登入成功,那麼還需要對系統進行徹底的安全檢查,包括修改登入密碼,檢視系統時候被攻擊者留下了後門。在本例中主要事件就是IP位址為211.99.226.9的伺服器在進行密碼攻擊掃描,根據事件屬性中提供的政策進行設定後,即可解決該匿名枚舉的安全隐患。
<b> </b>
<b> 本文轉自 simeon2005 51CTO部落格,原文連結:http://blog.51cto.com/simeon/222614</b>
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)