巧用事件查看器维护服务器安全

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:


巧用事件查看器维护服务器安全

陈小兵
事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人员维护系统有一定的借鉴和参考。

(一)事件查看器相关知识

1.事件查看器

事件查看器是  Microsoft Windows  操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视 Windows  操作系统中的安全事件。有三种方式来打开事件查看器:
   1 )单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口
   2 )在“运行”对话框中手工键入“% SystemRoot %\ system32 eventvwr msc /s ”打开事件查看器窗口。
   3 )在运行中直接输入“ eventvwr ”或者“ eventvwr.msc ”直接打开事件查看器。

2.事件查看器中记录的日志类型

   在事件查看器中一共记录三种类型的日志,即:
1 )应用程序日志
    包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。
   2 )安全性日志
   记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。
   3 )系统日志
   包含 Windows XP 的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下 Windows 会将系统事件记录到系统日志之中。   如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统( DNS )服务器,那么还将记录 DNS 服务器日志。当启动 Windows 时,“事件日志”服务 (EventLog) 会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。
在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了  Windows  操作系统对事件的分类。事件查看器显示如下类型的事件:
1 )错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。
2 )警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告。
  3   信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。
  4 )成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。
  5 )失败审核:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。

(二)维护服务器安全实例

1.打开并查看事件查看器中的三类日志

    在“运行”中输入“ eventvwr.msc ”直接打开事件查看器,在该窗口中单击“系统”,如图 1 所示,单击窗口右边的类型进行排序,可以看到类型中有警告、错误等多条信息。
打开并查看系统日志

2.查看系统错误记录详细信息

    选择“错误”记录,双击即可打开并查看事件的属性,如图 2 所示,可以发现该事件为一个攻击事件,其事件描述为:
连接自  211.99.226.9  的一个匿名会话尝试在此计算机上打开一个  LSA  策略句柄。尝试被以 STATUS_ACCESS_DENIED  拒绝,   以防止将安全敏感的信息泄露给匿名呼叫者。
  进行此尝试的应用程序需要被更正。请与应用程序供应商联系。   作为暂时的解决办法,此安全措施可以通过设置:   \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD  值为  1  来禁用。   此消息将一天最多记录一次。
查看系统错误事件属性
说明:该描述信息表明 IP 地址为“ 211.99. 226.9 的计算机在攻击此服务器。

3.根据提示修补系统漏洞

根据描述信息,直接打开注册表编辑器,依次层层展开找到键值“ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous ”新建一个 DWORD    TurnOffAnonymousBlock Block DWORD   键,并设置其值为“  1 ”,如图 3 所示。
修复系统存在的安全隐患
说明 :如果在事件属性中未给出解决方案,除了在 google 中寻找解决方法外,还可以对错误信息进行追踪,以找到合适的解决方法,一般有两种方式:
  1 )微软知识库。微软知识库的文章是由微软公司官方资料和微软 MVP 撰写的技术文章组成,主要解决微软产品的问题及故障。当微软每一个产品的 Bug 和容易出错的应用点被发现后,都将有与其对应的 KB 文章分析这项错误的解决方案。微软知识库的地址是 :http://support.microsoft.com ,在网页左边的“搜索 ( 知识库 ) ”中输入相关的关键字进行查询,事件发生源和 ID 等信息。当然,输入详细描述中的关键词也是一个好办法,如果日志中有错误编号,输入这个错误编号进行查询。
 ( 2 )通过 Eventid.net 网站来查询
要查询系统错误事件的解决方案,其实还有一个更好的地方,那就是 Eventid.net 网站地址是 :http://www.eventid.net 。这个网站由众多微软 MVP( 最有价值专家 ) 主持,几乎包含了全部系统事件的解决方案。登录网站后,单击“ Search Events( 搜索事件 ) ”链接,出现事件搜索页面。根据页面提示,输入 Event ID( 事件 ID) Event Source( 事件源 ) ,并单击“ Search ”按钮。 Eventid.net 的系统会找到所有相关的资源及解决方案。最重要的是,享受这些解决方案是完全免费的。当然, Eventid.net 的付费用户则能享受到更好的服务,比如直接访问针对某事件的知识库文章集等。

4.多方复查

既然出现了 LSA 的匿名枚举,那么一定会存在登录信息,如图 4 所示,单击“安全性”查看事件属性,先针对“审核失败”进行查看,可以看到 IP 地址“ 211.99. 226.9 的多次连接失败的审核信息。需要特别注意的是,事件查看器中记录的日志必须先在安全策略中进行设置,默认情况下不记录,只要启用审核以后才记录。然后依次查看审核成功的登录记录,如果发现该IP 地址登录成功,那么还需要对系统进行彻底的安全检查,包括修改登录密码,查看系统时候被攻击者留下了后门。在本例中主要事件就是 IP 地址为 211.99.226.9 的服务器在进行密码攻击扫描,根据事件属性中提供的策略进行设置后,即可解决该匿名枚举的安全隐患。
 

 本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/222614


相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
打赏
0
0
0
0
342
分享
相关文章
服务器的使用安全如何保障
德迅卫士主机安全软件,采用自适应安全架构,有效解决传统专注防御手段的被动处境,精准捕捉每一个安全隐患,为您的主机筑起坚不可摧的安全防线
端到端的ECS可观测性方案,助力云上业务安全稳定
本文介绍了云原生时代保障业务系统可靠性的方法和挑战,重点探讨了阿里云ECS在提升业务稳定性、性能监控及自动化恢复方面的能力。文章分为以下几个部分:首先,阐述了业务可靠性的三个阶段(事前预防、事中处理、事后跟进);其次,分析了云上业务系统面临的困难与挑战,并提出了通过更实时的监测和自动化工具有效规避风险;接着,详细描述了ECS实例稳定性和性能问题的解决方案;然后,介绍了即将发布的ECS Lens产品,它将全面提升云上业务的洞察能力和异常感知能力;最后,通过具体案例展示了如何利用OS自动重启和公网带宽自适应调节等功能确保业务连续性。总结部分强调了ECS致力于增强性能和稳定性的目标。
阿里云国际站注册教程:阿里云服务器安全设置
阿里云国际站注册教程:阿里云服务器安全设置 在云计算领域,阿里云是一个备受推崇的品牌,因其强大的技术支持和优质的服务而受到众多用户的青睐。本文将为您介绍阿里云国际站的注册过程,并重点讲解如何进行阿里云服务器的安全设置。
Web服务器安全最佳实践
【8月更文第28天】随着互联网的发展,Web服务器成为了企业和组织的重要组成部分。然而,这也使得它们成为黑客和恶意软件的目标。为了确保数据的安全性和系统的稳定性,采取适当的安全措施至关重要。本文将探讨一系列保护Web服务器的最佳策略和技术,并提供一些实用的代码示例。
429 1
Swift 是苹果公司开发的现代编程语言,具备高效、安全、简洁的特点,支持类型推断、闭包、泛型等特性,广泛应用于苹果各平台及服务器端开发
Swift 是苹果公司开发的现代编程语言,具备高效、安全、简洁的特点,支持类型推断、闭包、泛型等特性,广泛应用于苹果各平台及服务器端开发。基础语法涵盖变量、常量、数据类型、运算符、控制流等,高级特性包括函数、闭包、类、结构体、协议和泛型。
43 2
|
2月前
|
Linux服务器安全
人们常误认为服务器因存于数据中心且数据持续使用而无需加密。然而,当驱动器需维修或处理时,加密显得尤为重要,以防止数据泄露。Linux虽有dm-crypt和LUKS等内置加密技术,但在集中管理、根卷加密及合规性等方面仍存不足。企业应选择具备强大验证、简单加密擦除及集中管理等功能的解决方案,以弥补这些缺口。
39 0
Java Socket编程教程:构建安全可靠的客户端-服务器通信
【6月更文挑战第21天】构建安全的Java Socket通信涉及SSL/TLS加密、异常处理和重连策略。示例中,`SecureServer`使用SSLServerSocketFactory创建加密连接,而`ReliableClient`展示异常捕获与自动重连。理解安全意识,如防数据截获和中间人攻击,是首要步骤。通过良好的编程实践,确保网络应用在复杂环境中稳定且安全。
123 0
守护数字资产:服务器迁移期间的安全挑战与对策
【10月更文挑战第4天】在数字化转型的浪潮中,服务器迁移成为企业不可避免的任务。然而,迁移过程中的安全挑战不容忽视。本文从安全考量的角度,探讨了服务器迁移期间可能遇到的安全问题,并提供了相应的对策和代码示例。
118 3
HTML5 服务器发送事件(Server-Sent Events)详解
**服务器发送事件(Server-Sent Events, SSE)** 是一种用于构建单向实时通信的技术,允许服务器主动向客户端(通常是浏览器)推送更新。SSE 提供了一个简单的 API,非常适合实时应用,如新闻更新、天气变化、社交媒体通知等。SSE 基于 HTTP 协议,通过长连接实现数据传输。其主要优点包括简洁的 API、持久连接和自动重连功能。大多数现代浏览器都内置了对 SSE 的支持。通过简单的服务器端和客户端代码,可以轻松实现数据的实时推送和接收。
自动化监控和响应ECS系统事件
阿里云提供的ECS系统事件用于记录云资源信息,如实例启停、到期通知等。为实现自动化运维,如故障处理与动态调度,可使用云助手插件`ecs-tool-event`。该插件定时获取并转化ECS事件为日志存储,便于监控与响应,无需额外开发,适用于大规模集群管理。详情及示例可见链接文档。
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等