Windows日志审核说明
实验背景网络中频繁出现的Windows服务器的攻击,管理员需要在工作后,在服务器的异常情况快速反应,并及时定位入侵的服务需求,发现黑客工具,发现漏洞和修复,Windows服务器提供的日志工具可以帮助我们完成相关的操作。
Windows系统中有三种日志:应用程序日志、系统日志和安全日志;默认情况下,如果系统不审核事件,则不会生成安全日志。
实验目标
掌握windows日志系统的结构
可以根据需要设置审核条件
可以完成账号的审核操作。
可以根据不同的应用要求
实验环境
服务器:Windows Server 2003
客户端:Windows
实验过程指导
(1)在管理工具中启动本地安全策略
(2)在本地安全策略中打开审核策略,并设置需要审计的项目。
(3)建立一个审核登录成功和失败的事件
(4)审核目录访问的成功和失败事件。
(5)审计选项可以根据实际需要进行选择和设置,应用结果可以通过两种方式进行检验。
a,使用远程3389端口枚举服务器上的攻击
B,在本地级别猜管理员密码。
(6)管理员通过正确的密码登录后,通过事件查看器查看安全日志。
(7)查看登录失败的日志信息
(8)通过实验回答以下问题
a,哪些用户可以扫描该服务器的IP
B,猜什么名字
c,哪些用户已成功登录在这台机器上
d,IP尚未成功破解
e,如何避免和防范枚举攻击