巧用事件查看器維護(hù)服務(wù)器安全<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

陳小兵

事件查看器相當(dāng)于操作系統(tǒng)的保健醫(yī)生，一些“頑疾”的蛛絲馬跡都會(huì)在事件查看器中呈現(xiàn)，一個(gè)合格的系統(tǒng)管理員和安全維護(hù)人員會(huì)定期查看應(yīng)用程序、安全性和系統(tǒng)日志，查看是否存在非法登錄、系統(tǒng)是否非正常關(guān)機(jī)、程序執(zhí)行錯(cuò)誤等信息，通過查看事件屬性來判定錯(cuò)誤產(chǎn)生的來源和解決方法，使操作系統(tǒng)和應(yīng)用程序正常工作。本文介紹了事件查看器的一些相關(guān)知識(shí)，最后給出了一個(gè)安全維護(hù)實(shí)例，對(duì)安全維護(hù)人員維護(hù)系統(tǒng)有一定的借鑒和參考。

（一）事件查看器相關(guān)知識(shí)

1.事件查看器

事件查看器是 Microsoft Windows 操作系統(tǒng)工具，事件查看器相當(dāng)于一本厚厚的系統(tǒng)日志，可以查看關(guān)于硬件、軟件和系統(tǒng)問題的信息，也可以監(jiān)視Windows 操作系統(tǒng)中的安全事件。有三種方式來打開事件查看器：

? （1）單擊“開始”－“設(shè)置”－“控制面板”－“管理工具”－“事件查看器”，開事件查看器窗口

? （2）在“運(yùn)行”對(duì)話框中手工鍵入“％SystemRoot％＼system32＼eventvwr．msc /s”打開事件查看器窗口。

? （3）在運(yùn)行中直接輸入“eventvwr”或者“eventvwr.msc”直接打開事件查看器。

2.事件查看器中記錄的日志類型

? 在事件查看器中一共記錄三種類型的日志，即：

（1）應(yīng)用程序日志

? ?包含由應(yīng)用程序或系統(tǒng)程序記錄的事件，主要記錄程序運(yùn)行方面的事件，例如數(shù)據(jù)庫程序可以在應(yīng)用程序日志中記錄文件錯(cuò)誤，程序開發(fā)人員可以自行決定監(jiān)視哪些事件。如果某個(gè)應(yīng)用程序出現(xiàn)崩潰情況，那么我們可以從程序事件日志中找到相應(yīng)的記錄，也許會(huì)有助于你解決問題。

? （2）安全性日志

? 記錄了諸如有效和無效的登錄嘗試等事件，以及與資源使用相關(guān)的事件，例如創(chuàng)建、打開或刪除文件或其他對(duì)象，系統(tǒng)管理員可以指定在安全性日志中記錄什么事件。默認(rèn)設(shè)置下，安全性日志是關(guān)閉的，管理員可以使用組策略來啟動(dòng)安全性日志，或者在注冊(cè)表中設(shè)置審核策略，以便當(dāng)安全性日志滿后使系統(tǒng)停止響應(yīng)。

? （3）系統(tǒng)日志

? 包含Windows XP的系統(tǒng)組件記錄的事件，例如在啟動(dòng)過程中加載驅(qū)動(dòng)程序或其他系統(tǒng)組件失敗將記錄在系統(tǒng)日志中，默認(rèn)情況下Windows會(huì)將系統(tǒng)事件記錄到系統(tǒng)日志之中。 如果計(jì)算機(jī)被配置為域控制器，那么還將包括目錄服務(wù)日志、文件復(fù)制服務(wù)日志；如果機(jī)子被配置為域名系統(tǒng)（DNS）服務(wù)器，那么還將記錄DNS服務(wù)器日志。當(dāng)啟動(dòng)Windows時(shí)，“事件日志”服務(wù)(EventLog)會(huì)自動(dòng)啟動(dòng)，所有用戶都可以查看應(yīng)用程序和系統(tǒng)日志，但只有管理員才能訪問安全性日志。

在事件查看器中主要記錄五種事件，事件查看器屏幕左側(cè)的圖標(biāo)描述了 Windows 操作系統(tǒng)對(duì)事件的分類。事件查看器顯示如下類型的事件：

（1）錯(cuò)誤：重大問題，例如數(shù)據(jù)丟失或功能損失。例如，如果服務(wù)在啟動(dòng)期間無法加載，便會(huì)記錄一個(gè)錯(cuò)誤。

（2）警告：不一定重要的事件也能指出潛在的問題。例如，如果磁盤空間低，便會(huì)記錄一個(gè)警告。

?（3） 信息：描述應(yīng)用程序、驅(qū)動(dòng)程序或服務(wù)是否操作成功的事件。例如，如果網(wǎng)絡(luò)驅(qū)動(dòng)程序成功加載，便會(huì)記錄一個(gè)信息事件。

?（4）成功審核：接受審核且取得成功的安全訪問嘗試。例如，用戶對(duì)系統(tǒng)的成功登錄嘗試將作為一個(gè)“成功審核”事件被記錄下來。

?（5）失敗審核：接受審核且未成功的安全訪問嘗試。例如，如果用戶試圖訪問網(wǎng)絡(luò)驅(qū)動(dòng)器但未成功，該嘗試將作為“失敗審核”被記錄下來。

（二）維護(hù)服務(wù)器安全實(shí)例

1.打開并查看事件查看器中的三類日志

?? 在“運(yùn)行”中輸入“eventvwr.msc”直接打開事件查看器，在該窗口中單擊“系統(tǒng)”，如圖1所示，單擊窗口右邊的類型進(jìn)行排序，可以看到類型中有警告、錯(cuò)誤等多條信息。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

圖1 打開并查看系統(tǒng)日志

2.查看系統(tǒng)錯(cuò)誤記錄詳細(xì)信息

?? 選擇“錯(cuò)誤”記錄，雙擊即可打開并查看事件的屬性，如圖2所示，可以發(fā)現(xiàn)該事件為一個(gè)***事件，其事件描述為：

連接自 211.99.226.9 的一個(gè)匿名會(huì)話嘗試在此計(jì)算機(jī)上打開一個(gè) LSA 策略句柄。嘗試被以 STATUS_ACCESS_DENIED 拒絕， 以防止將安全敏感的信息泄露給匿名呼叫者。

?進(jìn)行此嘗試的應(yīng)用程序需要被更正。請(qǐng)與應(yīng)用程序供應(yīng)商聯(lián)系。 作為暫時(shí)的解決辦法，此安全措施可以通過設(shè)置：? \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 值為 1 來禁用。 此消息將一天最多記錄一次。

圖2 查看系統(tǒng)錯(cuò)誤事件屬性

說明：該描述信息表明IP地址為“211.99.<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />226.9”的計(jì)算機(jī)在***此服務(wù)器。

3.根據(jù)提示修補(bǔ)系統(tǒng)漏洞

根據(jù)描述信息，直接打開注冊(cè)表編輯器，依次層層展開找到鍵值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一個(gè)DWORD 的 “TurnOffAnonymousBlock Block DWORD” 鍵，并設(shè)置其值為“ 1”，如圖3所示。

圖3 修復(fù)系統(tǒng)存在的安全隱患

說明：如果在事件屬性中未給出解決方案，除了在google中尋找解決方法外，還可以對(duì)錯(cuò)誤信息進(jìn)行追蹤，以找到合適的解決方法，一般有兩種方式：

?（1）微軟知識(shí)庫。微軟知識(shí)庫的文章是由微軟公司官方資料和微軟MVP撰寫的技術(shù)文章組成，主要解決微軟產(chǎn)品的問題及故障。當(dāng)微軟每一個(gè)產(chǎn)品的Bug和容易出錯(cuò)的應(yīng)用點(diǎn)被發(fā)現(xiàn)后，都將有與其對(duì)應(yīng)的KB文章分析這項(xiàng)錯(cuò)誤的解決方案。微軟知識(shí)庫的地址是:http://support.microsoft.com，在網(wǎng)頁左邊的“搜索(知識(shí)庫)”中輸入相關(guān)的關(guān)鍵字進(jìn)行查詢，事件發(fā)生源和ID等信息。當(dāng)然，輸入詳細(xì)描述中的關(guān)鍵詞也是一個(gè)好辦法，如果日志中有錯(cuò)誤編號(hào)，輸入這個(gè)錯(cuò)誤編號(hào)進(jìn)行查詢。

　（2）通過Eventid.net網(wǎng)站來查詢

要查詢系統(tǒng)錯(cuò)誤事件的解決方案，其實(shí)還有一個(gè)更好的地方，那就是Eventid.net網(wǎng)站地址是:http://www.eventid.net。這個(gè)網(wǎng)站由眾多微軟MVP(最有價(jià)值專家)主持，幾乎包含了全部系統(tǒng)事件的解決方案。登錄網(wǎng)站后，單擊“Search Events(搜索事件)”鏈接，出現(xiàn)事件搜索頁面。根據(jù)頁面提示，輸入Event ID(事件ID)和Event Source(事件源)，并單擊“Search”按鈕。Eventid.net的系統(tǒng)會(huì)找到所有相關(guān)的資源及解決方案。最重要的是，享受這些解決方案是完全免費(fèi)的。當(dāng)然，Eventid.net的付費(fèi)用戶則能享受到更好的服務(wù)，比如直接訪問針對(duì)某事件的知識(shí)庫文章集等。

4.多方復(fù)查

既然出現(xiàn)了LSA的匿名枚舉，那么一定會(huì)存在登錄信息，如圖4所示，單擊“安全性”查看事件屬性，先針對(duì)“審核失敗”進(jìn)行查看，可以看到IP地址“211.99.226.9”的多次連接失敗的審核信息。需要特別注意的是，事件查看器中記錄的日志必須先在安全策略中進(jìn)行設(shè)置，默認(rèn)情況下不記錄，只要啟用審核以后才記錄。然后依次查看審核成功的登錄記錄，如果發(fā)現(xiàn)該IP地址登錄成功，那么還需要對(duì)系統(tǒng)進(jìn)行徹底的安全檢查，包括修改登錄密碼，查看系統(tǒng)時(shí)候被***者留下了后門。在本例中主要事件就是IP地址為211.99.226.9的服務(wù)器在進(jìn)行密碼***掃描，根據(jù)事件屬性中提供的策略進(jìn)行設(shè)置后，即可解決該匿名枚舉的安全隱患。

?

總結(jié)

以上是生活随笔為你收集整理的巧用事件查看器维护服务器安全的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。