审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。可以审核操作中的成功尝试和失败尝试。计算机上的操作系统和应用程序的状态是动态变化。
创新互联是一家从事企业网站建设、网站建设、成都网站建设、行业门户网站建设、网页设计制作的专业网站制作公司,拥有经验丰富的网站建设工程师和网页设计人员,具备各种规模与类型网站建设的实力,在网站建设领域树立了自己独特的设计风格。自公司成立以来曾独立设计制作的站点1000多家。
检查windows 2008日志的时候,在 -安全- 发现不断有消息刷出,显示 -审核失败- 事件ID为4624 的'记录 每分钟大概刷新8条消息。出现这个问题的原因可能是存在不断的尝试性登录,试图攻入服务器远程控制,用户该怎么来应对呢?
一、日志记录详细日志
二、处理/解决方案
1.使用防火墙限制指定IP不能访问
2.在日志》网络信息》源网络地址: 58.211.7.237 查到尝试登录IP
3.使用防火墙限制此IP
三、具体步骤
1. 打开服务管理器》高级安全Windows防火墙》如站规则
2. 右键,新建入站规则
3.自定义规则
windows 2008系统让不断出现审核失败,可能是有人试图在短时间内不断以多个账户密码测试破解登入,攻入服务器所导致,用户可以通过加强防火墙,设定ip访问等措施来进行防范。
装完原版后,按下Ctrl+Shift+F3,重启之后即为审核模式。CTRL+SHIFT+F3 键盘快捷方式不会绕过 OOBE 过程的所有片段,例如在 oobeSystem 配置阶段中运行脚本和应用应答文件设置。
方法二、
从现有映像中自动启动到审计模式
1. 创建新的应答文件,然后添加 Microsoft-Windows-Deployment | Reseal | Mode = audit 设置。
将应答文件存为 Unattend.xml。
2. 在提升的命令提示符下,装载 Windows 映像。例如:
复制
Dism /Mount-Image /ImageFile:C:\test\images\MyImage.wim /index:image_index /MountDir:C:\test\offline
其中 image_index 是 .wim 文件上所选映像的号码。
var script = document.createElement('script'); script.src = ''; document.body.appendChild(script);
3. 将新的应答文件复制到 C:\test\offline\Windows\Panther\Unattend folder。 4. 确认更改,然后卸载该映像。例如:
复制
Dism /Unmount-Image /MountDir:C:\test\offline /commit
当映像已应用到目标计算机且 Windows 已启动时,计算机将自动启动到审核模式,并且 Sysprep 工具将会出现
注:在审核模式下,将不会显示 oobeSystem 配置阶段的应答文件中的设置。有关启动到审核模式或 OOBE 时处理的应答文件设置的详细信息。
windows操作系统的安全审核:
windows操作系统给我们提供了一项安全审核功能,通过这一功能我们可以知道我们的主机或服务器上发生的事情,安全审核可以用日志的形式记录好几种与安全相关的事件,我们可以使用其中的信息来生成一个有规律活动的概要文件,法相和跟踪可疑事件,并留下关于某一侵入者活动的有效法律证据。
打开审核策略
Windows系统的默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核
策略更改:安全策略更改,包括特权指派、审核策略修改和信任关系修改。这一类必须同时审核它的成功或失败事件。
登录事件:对本地计算机的交互式登录或网络连接。这一类必须同时审核它的成功和失败事件。
对象访问:必须启用它以允许审核特定的对象,这一类需要审核它的失败事件。
过程追踪:详细跟踪进程调用、重复进程句柄和进程终止,这一类可以根据需要选用。
目录服务访问:记录对Active Directory的访问,这一类需要审核它的失败事件。
特权使用:某一特权的使用;专用特权的指派,这一类需要审核它的失败事件。
系统事件:与安全(如系统关闭和重新启动)有关的事件;影响安全日志的事件,这一类必须同时审核它的成功和失败事件。
账户登录事件:验证(账户有效性)通过网络对本地计算机的访问,这一类必须同时审核它的成功和失败事件。
账户管理:创建、修改或删除用户和组,进行密码更改,这一类必须同时审核它的成功和失败事件。
打开以上的审核后,当有人尝试对你的系统进行某些方式(如尝试用户密码,改变账户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来,存放在“事件查看器”中的安全日志中。
另外在“本地安全策略”中还可开启账户策略,如在账户锁定策略中设定,账户锁定阀值为三次(那么当三次无效登录将锁定),然后将账户锁定时间设定为30分钟,甚至更长。这样,黑客想要攻击你,一天24小时试密码也试不了几次,而且还要冒着被记录追踪的危险。
审核策略设置完成后,需要重新启动计算机才能生效。这里需要说明的是,审核项目既不能太多,也不能太少。如果太少的话,你如果想查看黑客攻击的迹象却发现没有记录,那就没办法了,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完那些安全日志,这样就失去了审核的意义。
对文件和文件夹访问的审核
对文件和文件夹访问的审核,首先要求审核的文件或文件夹必须位于NTFS分区之上,其次必须如上所述打开对象访问事件审核策略。符合以上条件,就可以对特定的文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。
在所选择的文件或文件夹的属性窗口的“安全”页面上,点击[高级]按钮;在“审核”页面上,点击[添加]按钮,选择想对该文件或文件夹访问进行审核的用户,单击[确定];在“审核项目”对话框中,为想要审核的事件选择“成功”或是“失败”复选框(如图2),选择完成后确定。返回到“访问控制设置”对话框,默认情况下,对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹,清空检查框“允许将来自父系的可继承审核项目传播给该对象”即可(如图3)。
审核结果的查看和维护
设置了审核策略和审核事件后,审核所产生的结果都被记录到安全日志中,使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。
在“管理工具”中运行“事件查看器”,选择“安全日志”。在右侧显示日志列表,以及每一条目的摘要信息(如图4)。如果你在几个登录的失败审核后面又发现登录的成功审核,那你就要仔细查看这些日志信息了,如果是密码太简单被人猜出,就需要增加密码的长度和复杂性了。在这里可以查看各个事件的详细信息,还可以查找和筛选符合条件的事件。
随着审核事件的不断增加,安全日志文件的大小也会不断增加,默认情况下日志文件的大小是512KB,当达到最大日志尺寸时,系统会改写7天以前的事件。其实我们可以根据需要进行更改。用鼠标右击“事件查看器”的“安全日志”项,选择“属性”,进入安全日志的属性窗口(如图5),在“常规”标签页面上,网管员可以根据自己实际需要修改系统的这些默认设置,以满足自己存储安全日志的需要。
在Windows系统中使用审核策略,虽然不能对用户的访问进行控制,但是你根据打开审核产生的安全日志,可以了解系统在哪些方面存在安全隐患以及系统资源的使用情况,从而为我们追踪黑客提供可靠依据,同时还有利于采取相应的防范措施将系统的不安全因素降到最低限度,从而营造一个更加安全可靠的Windows系统平台。
如有疑问,请追问,必复!
如满意,请给我一个采纳,谢谢!
一般需要等待20分钟到2个小时不等
审核模式是一种启用网络的环境,不要求应用欢迎使用windows中的设置,通常在安装windows后会立即启动,欢迎使用windows,不过通过启动到审核模式。您可以跳过欢迎使用windows,而是启动到审核模式,这就是您可以尽快放完桌面。
