巧用事件查看器维护服务器安全
陈小兵
事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人员维护系统有一定的借鉴和参考。
(一)事件查看器相关知识
1.事件查看器
事件查看器是
Microsoft Windows
操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视
Windows
操作系统中的安全事件。有三种方式来打开事件查看器:
(
1
)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口
(
2
)在“运行”对话框中手工键入“%
SystemRoot
%\
system32
\
eventvwr
.
msc /s
”打开事件查看器窗口。
(
3
)在运行中直接输入“
eventvwr
”或者“
eventvwr.msc
”直接打开事件查看器。
2.事件查看器中记录的日志类型
在事件查看器中一共记录三种类型的日志,即:
(
1
)应用程序日志
包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
(
2
)安全性日志
记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
(
3
)系统日志
包含
Windows XP
的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下
Windows
会将系统事件记录到系统日志之中。
如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(
DNS
)服务器,那么还将记录
DNS
服务器日志。当启动
Windows
时,“事件日志”服务
(EventLog)
会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。
在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了
Windows
操作系统对事件的分类。事件查看器显示如下类型的事件:
(
1
)错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。
(
2
)警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告。
(
3
)
信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。
(
4
)成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。
(
5
)失败审核:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。
(二)维护服务器安全实例
1.打开并查看事件查看器中的三类日志
在“运行”中输入“
eventvwr.msc
”直接打开事件查看器,在该窗口中单击“系统”,如图
1
所示,单击窗口右边的类型进行排序,可以看到类型中有警告、错误等多条信息。
图
1
打开并查看系统日志
2.查看系统错误记录详细信息
选择“错误”记录,双击即可打开并查看事件的属性,如图
2
所示,可以发现该事件为一个攻击事件,其事件描述为:
连接自
211.99.226.9
的一个匿名会话尝试在此计算机上打开一个
LSA
策略句柄。尝试被以
STATUS_ACCESS_DENIED
拒绝,
以防止将安全敏感的信息泄露给匿名呼叫者。
进行此尝试的应用程序需要被更正。请与应用程序供应商联系。
作为暂时的解决办法,此安全措施可以通过设置:
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD
值为
1
来禁用。
此消息将一天最多记录一次。
图
2
查看系统错误事件属性
说明:该描述信息表明
IP
地址为“
211.99.
226.9
”
的计算机在攻击此服务器。
3.根据提示修补系统漏洞
根据描述信息,直接打开注册表编辑器,依次层层展开找到键值“
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous
”新建一个
DWORD
的
“
TurnOffAnonymousBlock Block DWORD
”
键,并设置其值为“
1
”,如图
3
所示。
图
3
修复系统存在的安全隐患
说明
:如果在事件属性中未给出解决方案,除了在
google
中寻找解决方法外,还可以对错误信息进行追踪,以找到合适的解决方法,一般有两种方式:
(
1
)微软知识库。微软知识库的文章是由微软公司官方资料和微软
MVP
撰写的技术文章组成,主要解决微软产品的问题及故障。当微软每一个产品的
Bug
和容易出错的应用点被发现后,都将有与其对应的
KB
文章分析这项错误的解决方案。微软知识库的地址是
:http://support.microsoft.com
,在网页左边的“搜索
(
知识库
)
”中输入相关的关键字进行查询,事件发生源和
ID
等信息。当然,输入详细描述中的关键词也是一个好办法,如果日志中有错误编号,输入这个错误编号进行查询。
(
2
)通过
Eventid.net
网站来查询
要查询系统错误事件的解决方案,其实还有一个更好的地方,那就是
Eventid.net
网站地址是
:http://www.eventid.net
。这个网站由众多微软
MVP(
最有价值专家
)
主持,几乎包含了全部系统事件的解决方案。登录网站后,单击“
Search Events(
搜索事件
)
”链接,出现事件搜索页面。根据页面提示,输入
Event ID(
事件
ID)
和
Event Source(
事件源
)
,并单击“
Search
”按钮。
Eventid.net
的系统会找到所有相关的资源及解决方案。最重要的是,享受这些解决方案是完全免费的。当然,
Eventid.net
的付费用户则能享受到更好的服务,比如直接访问针对某事件的知识库文章集等。
4.多方复查
既然出现了
LSA
的匿名枚举,那么一定会存在登录信息,如图
4
所示,单击“安全性”查看事件属性,先针对“审核失败”进行查看,可以看到
IP
地址“
211.99.
226.9
”
的多次连接失败的审核信息。需要特别注意的是,事件查看器中记录的日志必须先在安全策略中进行设置,默认情况下不记录,只要启用审核以后才记录。然后依次查看审核成功的登录记录,如果发现该IP
地址登录成功,那么还需要对系统进行彻底的安全检查,包括修改登录密码,查看系统时候被攻击者留下了后门。在本例中主要事件就是
IP
地址为
211.99.226.9
的服务器在进行密码攻击扫描,根据事件属性中提供的策略进行设置后,即可解决该匿名枚举的安全隐患。
本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/222614
