操作系统安全第五章windows系统资源的安全保护-资料下载页

　　

【正文】 事件日志中会出现表 57所列举的事件 ID。  （ 6）策略更改  一个高级攻击者将会设法修改审核策略本身，以使他们进行的任何更改不会被审核到。如果审核策略被更改，将会发现修改审核策略的企图以及对其他策略和用户权限的更改。成员服务器和域控制器基本策略对成功和失败的审核策略更改默认启用审核。可以在事件日志中看到记录的如表 58所示的 ID事件：   事件日志分为应用程序日志、安全日志和系统日志三类，通过审核生成的每一个事件都可在事件查看器中查看。  （ 1）事件日志属性设置  若要设置事件日志在存储事件的方式，可直接在事件查看器窗口中进行设置，也可在组策略中对其进行定义。  1）通过 “ 事件查看器 ”设置  打开 “ 事件查看器 ” 窗口，在左侧窗口中，选择特定的事件日志（应用程序 /安全 /系统日志），右键单击，选择“ 属性 ” 命令，打开相应类型事件日志的属性设置对话框，根据需要对设置进行修改。  （ 1）事件日志属性设置  若要设置事件日志在存储事件的方式，可直接在事件查看器窗口中进行设置，也可在组策略中对其进行定义。  2）通过组策略设置  单击 “ 开始 ” ，在 “ 运行 ” 中输入 “ ”，打开 “ 组策略编辑器 ” 窗口，在左策窗口定位到 “ 计算机配置 \Windows 设置 \安全设置 \事件日志 \事件日志设置 ”（如图 ），根据需要对设置进行修改。  事件日志属性可进行设置的参数如下：  ●最大值：设置日志可以容纳的最大容量。表 59 列出了推荐的日志容量。  ●保留方法：确定当前日志已满时将如何处理。表 510列出了推荐的保留方法。  事件日志属性可进行设置的参数如下：  保留天数：设置了保留天数后，如果日志在还没有达到保留天数之前就已经填满，则不会继续记录日志，直到超过保留天数为止，此时将覆盖掉以前的日志。应该注意，应该根据保留天数设置足够大的最大容量，否则将错过重要的审核事件。  按需要改写事件：不受保留天数限制，只要日志记录超过最大值就覆盖以前的事件。但是攻击者可以利用这个设置来覆盖可能记录了攻击行为的重要信息。一般不推荐设置该选项。  不改写事件：日志记录达到最大值后，需要管理员手工清除日志，否则不会再记录任何事件。如果存在定期的日志检查制度，则可采取此项设置。  限制来宾的日志的访问：删除 Everyone组访问日志的能力。默认情况下，任何用户都可以访问应用程序日志和系统日志，管理员账号可以查看安全日志。  安全审核日志满后关闭计算机：日志记录已满且不能覆盖事件时，系统自动关闭。此时只有管理员用户才能登录。一般不推荐设置该选项。  （ 2）事件日志的筛选  在事件查看器中可以定义筛选器以查找特定的事件。打开 “ 事件查看器 ” 窗口，在左侧窗口中，选择其中特定类型的事件日志，单击右键，选择 “ 属性 ” 命令，切换到“ 筛选器 ” 选项卡，设定用于筛选的参数。  （ 2）事件日志的筛选 在这里可以定义下列属性以筛选事件项。  事件类型：设置事件为信息、警告、错误、成功审计、失败审计类型或其任意组合。  事件来源：生成该事件的特定服务或驱动程序。  类别：设置筛选特定的事件类别。  事件 ID：设置筛选特定的事件 ID。  用户：设置筛选由特定用户生成的事件。  计算机：设置筛选由特定计算机生成的事件。  日期间隔：设置筛选在特定的开始日期和结束日期之间发生的事件。  1. FTP日志分析  FTP日志和 WWW日志在默认情况下，每天生成一个日志文件，包含了该日的一切记录，文件名通常为 ex（年份）（月份）（日期）。例如 ex100730，就是 2022年 7月 30日产生的日志，用记事本可直接打开，普通的有入侵行为的日志可能是这样的：  Software: Microsoft Inter Information Services （微软 ）  Version: （版本 ）  Date: 20220730 0315 （服务启动日期时间）  Fields: time cip csmethod csuristem scstatus  0315 [1]USER administator 331（ IP地址为 administator试图登录）  0318 [1]PASS – 530（登录失败）  032:04 [1]USER nt 331（ IP地址为 nt的用户试图登录）  032:06 [1]PASS – 530（登录失败）  032:09 [1]USER cyz 331（ IP地址为 cyz的用户试图登录）  0322 [1]PASS – 530（登录失败）  0322 [1]USER administrator 331（ IP地址为 administrator试图登录）  0324 [1]PASS – 230（登录成功）  0321 [1]MKD nt 550（新建目录失败）  0325 [1]QUIT – 550（退出 FTP程序）  从日志里能看出 IP地址为 ，换了四次用户名和密码最终登录成功，攻击者的入侵时间、 IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用 Administrator用户名进入的，那么管理员就需要考虑此用户名是不是密码失窃，应该如何防范。  2. WWW日志分析  WWW服务同 FTP服务一样，日志文件保存在%systemroot%\system32\LogFiles\ W3SVC1目录下，默认是每天一个日志文件。在这里举个简单的例子：  Software: Microsoft Inter Information Services  Version:  Date: 20220730 03:091  Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)  20220730 03:091 80 GET / 200 Mozilla/+(patible\。+MSIE+\。+Windows+XP\。+DigExt)  20220419 03:094 80 GET / 200 Mozilla/+(patible\。+MSIE+\。+Windows+98\。+DigExt)  通过分析第五、六行，可以看出 2022年 7月 30日， IP地址为 用户通过访问 IP地址为 80端口，查看了一个页面，这位用户的浏览器为 patible\。 +MSIE+\。+Windows+XP+DigExt，有经验的管理员可结合安全日志、FTP日志和 WWW日志来确定是否发生了入侵行为、入侵者的 IP地址以及入侵时间。