巧用Windows Server 2008考核功效[Windows安全]

　　Windows Server 2008系统凭仗其超强的系统功效、较高的智能化程度以及更甚一筹的安全性能,吸引了很多朋友成立条件前来尝鲜试用.在与Windows Server 2008系统密切接触一段时间后,我们发现平常不怎么起眼的“考核”功效变得愈加强盛了,巧妙借助该功效,我们可以对服务器系统的一切操作举行跟踪监督,并能按照监督后果来快速排查服务器系统弊端以及保障服务器系统的运行安全.目前,本文就对Windows Server 2008系统的考核功效举行发掘,以便利各位朋友操纵该功效更好地服务自己.

　　启用配置考核功效

　　Windows Server 2008系统的考核功效在默许状况下并没有启用,我们必须针对特定系统事件来启用、配置它们的考核功效,这样一来该功效才会对相同范例的系统事件举行监督、记录,网络管理员日后只要翻开对应系统的日记记录就可以查看到考核功效的监督后果了.考核功效的利用范围很遍及,不但可以对服务器系统中的一些操作行为举行跟踪、监督,并且还能按照服务器系统的运行状况对运行弊端举行快速解除.当然,需求提醒各位朋友的是,考核功效的启用常常要损耗服务器系统的一些贵重资源,并会造成服务器系统的运行性能下降,这是因为Windows Server 2008系统必须腾出一部份空间资源来保存考核功效的监督、记录后果.为此,在服务器系统空间资源有限的情形下,我们应当谨严利用考核功效,确保该功效只对一些分外重要的操作举行监督、记录.

　　在启用、配置Windows Server 2008系统的考核功效时,我们可以先以系统超级权限登录进入对应系统,翻开该系统桌面中的“开始”菜单,从中顺次点选“设置”、“掌握面板”号令,在弹出的系统掌握面板窗口中顺次单击“系统和保护”、“管理工具”图标,在后来呈现的管理工具列表窗口中,找到“本地安全战略”图标,并用鼠标双击该图标,翻开本地安全战略掌握台窗口.

　　其次在目标掌握台窗口的左侧显示窗格中,顺次展开“安全设置”/“本地战略”/“考核战略”分支选项,在对应“考核战略”分支选项的右侧显示窗格中,我们会发现Windows Server 2008系统包含九项考核战略,也就是说服务器系统可以答应对九大类操作举行跟踪、记录.

　　考核进程跟踪战略,是专门用来对服务器系统的后台程序运行状况举行跟踪记录的,比方服务器系统后台忽然运行或关闭了什么程序,handle句柄能否举行了文件复制或系统资源的拜候等操作,考核功效都可以对它们举行跟踪、记录,并将监督、记录的内容自动保存到对应系统的日记文件中.

　　考核帐户管理战略,是专门用来跟踪、监督服务器系统登录账号的改正、删除、增添操作的,任何增添用户账号操作、删除用户账号操作、改正用户账号操作,城市被考核功效自动记录下来.

　　考核特权利用战略,是专门用来跟踪、监督用户在服务器系统运行历程中履行除注销操作、登录操作以外的其他特权操作的,任何对服务器系统运行安全有影响的一些特权操作城市被考核功效记录保存到系统的安整日记中,网络管理员按照日记内容就简单找到影响服务器运行安全的一些蛛丝马迹.

　　启用差别的考核战略,Windows Server 2008系统就会对差别范例的操作举行跟踪、记录,网络管理员应当按照自己的安全要求以及服务器系统的性能配置,来启用合适自己的考核战略,而不要盲目地启用全部考核战略,那样一来考核功效的作用反而得不到充分施展.

　　比方说,如果我们想对服务器系统的登录状况举行跟踪、监督,以便确认局域网中能否存在不法登录行为时,那我们便可以直接用鼠标双击这里的考核登录事件战略,翻开对应战略的选项设置对话框,选中此中的“成功”和“失利”选项,再单击“肯定”按钮,如此一来Windows Server 2008系统日后就会自动对本地服务器系统的全部系统登录操作举行跟踪、记录,无论是登录服务器成功的操作还是登录服务器失利的操作,我们都能通过事件查看器找到对应的操作记录,细心解析这些登录操作的记录我们就可以发现本地服务器中能否真的存在不法登录乃至不法入侵行为.

　　查看考核功效记录

　　启用、配置好符合的考核战略后,Windows Server 2008系统就会自动对特定范例的操作举行跟踪、记录,并将记录内容保存到对应系统的日记文件中了,今后网络管理员可以按照日记内容,探求服务器系统中能否存在安全威胁.在查看考核功效记录下来的日记内容时,我们必须借助事件查看器功效来完成,下面就是查看考核功效记录的具体操作步骤:

　　首先以超级管理员权限进入Windows Server 2008系统,顺次单击该系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”号令,翻开对应系统的服务器管理器掌握台窗口;

　　其次在该掌握台窗口的左侧显示区域中,将鼠标定位于“诊断”分支选项,并从该分支选项下面顺次点选“事件查看器”/“Windows日记”子项,在目标子项下面我们会看到“利用程序”、“安全”、“安装程序”、“系统”、“转发事件”这五个类别的事件记录;

　　用鼠标选中某个类别选项时,我们就可以清楚地看到对应类别下的全部事件记录,再用鼠标双击指定的记录选项时,就可以翻开目标事件记录的具体信息界面,在该界面中我们便可以具体查看到目标事件的根源、具体的事件内容、事件ID以及其他相关信息等.

　　发现重要的事件内容时,我们还可以对其履行一些操作;比方说,为了日后有空时能对重要事件内容举行细心解析,我们可以将重要事件内容先保存起来,以避免清理日记时被不测删撤除,在保存重要事件内容时,我们只要用鼠标右键单击目标事件内容,从弹出的快速菜单中履行“将事件另存为”号令,之后设置好保存途径以及具体的文件名称,再单击“保存”按钮便可以了,日后只需求再履行右键菜单中的“翻开保存的日记”号令,就可以将从前保存好的日记文件调用出来了.如果发现服务器系统中保存的事件内容太多时,我们应当按期履行右键菜单中的“排除日记”号令来清空日记记录,以便腾出更多的贵重空间资源.在日记记录较多的情形下,要想快速探求自己想要的事件记录是一件不简单的事情,此时我们无妨履行“挑选当前日记”号令来对日记记录举行挑选.

　　实战利用考核功效

　　考核功效在实际环境中对Windows Server 2008系统尤为重要,因为服务器系统在局域网环境中很简单遭到攻击,网络管理员可以操纵考核功效来对各种攻击行为举行跟踪监控,碰到有潜在安全威胁的事件发生时,我们可以千方百计地将考核功效监控到的事件内容告诉给网络管理员,网络管理员就可以当即查明事件缘由,并对症下药地办理问题,从而保障服务器系统不受不法攻击了.

　　比方,一些木马程序常常会在服务器系统中偷偷成立用户账号,以便盗取服务器系统的超级管理员权限,此时我们可以通过用户账号监控来肯定服务器系统中毕竟能否存在不法用户账号,然后进一步肯定毕竟是哪一个用户账号是不法账号.需求阐明的是,要想让Windows Server 2008系统自动将不法账号成立的事件告诉给网络管理员时,必须确保对应系统的Task Scheduler服务处于正常的运行状况.

　　首先顺次单击Windows Server 2008系统桌面中的“开始”/“运行”号令,在弹出的系统运行对话框中,履行字符串号令“secpol.msc”,翻开服务器系统的本地安全战略掌握台窗口;

　　其次在该掌握台窗口的左侧显示区域,顺次展开“安全设置”、“本地战略”、“考核战略”分支选项,在对应“考核战略”分支选项的右侧显示区域中,双击“考核账户管理”战略选项,翻开如图4所示的战略选项设置对话框,选中“成功”和“失利”选项,再单击“肯定”按钮关闭战略选项设置对话框,这样一来无论用户账户成立成功还是成立失利,Windows Server 2008系统城市自动记录下用户账号成立事件;

　　为了把用户账号成立事件内容自动告诉给网络管理员,我们还需求针对该事件附加履行自动报警的任务筹划.在附加自动报警任务时,我们先顺次单击Windows Server 2008系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”号令,翻开对应系统的服务器管理器掌握台窗口;在该掌握台窗口的左侧区域顺次点选“诊断”/“事件查看器”/“Windows日记”/“系统”子项,再从“系统”子项下面找到成立用户账号事件,假如找不到该事件内容时,我们还需求采取手工办法随便在服务器系统中成立一个用户账号,这样一来用户账号成立事件就会呈目前事件查看器中了.

　　用鼠标右键单击用户账号成立事件,从弹出的快速菜单中履行“将任务附加到此事件”意成立一个用户账号时,Windows Server 2008系统屏幕被骗即呈现了一个自动报警提醒窗口,奉告网络管理员说“服务器系统中大概有不法账号被成立,请网络管理员当即处理相关事件!”,这就意味着此时有人在服务器系统中偷偷号令,翻开任务筹划增添向导对话框,之后设置好新任务的名称,比方这里我们将新任务取名为“自动报警用户账号成立情形”,当屏幕上呈现如图5所示的设置对话框时,选中“显示消息”选项,再设置好需求报警的标题与内容,在这里我们将标题设置为“自动报警用户账号成立情形”,将报警内容设置为“服务器系统中大概有不法账号被成立,请网络管理员当即处理相关事件!”最后单击“完成”按钮,这样一来Windows Server 2008系统日后就可以把考核功效记录下来的用户账号成立情形自动报告给网络管理员了.

　　当我们尝试通过远程桌面方法在服务器系统中随成立用户账号了,网络管理员按照这个自动报警提醒信息,就可以在第一时间采纳办法来办理相关问题,从而保障Windows Server 2008服务器系统不受不法攻击了.