深入解析Windows Server 2008的自我監(jiān)控

　　自我監(jiān)控思路

　　大家知道，每一個(gè)Windows系統(tǒng)都自帶了事件查看器程序，不過與傳統(tǒng)操作系統(tǒng)不 一樣的是，Windows Server 2008系統(tǒng)將常用的任務(wù)計(jì)劃功能整合到事件查看器程序中了，有了這項(xiàng)功能的支持，我們可以在服務(wù)器系統(tǒng)中針對(duì)一些特殊系統(tǒng)事件附加任務(wù)計(jì)劃，讓該運(yùn)行任 務(wù)在特殊系統(tǒng)事件發(fā)生的那一刻及時(shí)提醒我們;當(dāng)Windows Server 2008系統(tǒng)中的需要被監(jiān)控的系統(tǒng)事件真正發(fā)生時(shí)，附加在該系統(tǒng)事件上的特定任務(wù)計(jì)劃就能被自動(dòng)觸發(fā)，到時(shí)它就能根據(jù)事先設(shè)置好的方式來提醒我們采取應(yīng)對(duì) 措施了，這樣一來就能實(shí)現(xiàn)不用外力工具，Windows Server 2008系統(tǒng)就能完成自我監(jiān)控的任務(wù)了。

　　依照上述思路，我們只要先在Windows Server 2008系統(tǒng)中對(duì)需要監(jiān)控的系統(tǒng)事件啟用審核功能，確保系統(tǒng)的事件查看器程序能夠自動(dòng)跟蹤、記憶目標(biāo)系統(tǒng)事件，接著人為創(chuàng)建一個(gè)特殊系統(tǒng)事件，讓事件查看 器程序自動(dòng)生成這個(gè)事件記錄，例如我們簡(jiǎn)單地注銷系統(tǒng)并重新登錄一次，那么Windows Server 2008系統(tǒng)的事件查看器程序就能自動(dòng)把這個(gè)系統(tǒng)登錄事件記憶保存下來，有了具體的事件記錄后，下面我們就能利用“任務(wù)附加到事件”功能，將自動(dòng)監(jiān)控報(bào)警 信息通過任務(wù)計(jì)劃的方式附加到具體的事件記錄上，日后當(dāng)相同的系統(tǒng)再次發(fā)生時(shí)，附加的任務(wù)計(jì)劃就能被自動(dòng)觸發(fā)，到時(shí)我們就能及時(shí)收到附加任務(wù)計(jì)劃發(fā)送出來 的報(bào)警信息了，看到報(bào)警信息后，我們要做的工作就是及時(shí)采取安全應(yīng)對(duì)措施，防范這類有安全威脅的系統(tǒng)事件再次發(fā)生，那樣一來Windows Server 2008系統(tǒng)的安全性在某種程度上又得到了更進(jìn)一步地強(qiáng)化。為方便敘述，本文就以自動(dòng)監(jiān)控系統(tǒng)登錄事件為例，讓W(xué)indows Server 2008系統(tǒng)對(duì)那些偷偷登錄系統(tǒng)的非法行為進(jìn)行自動(dòng)監(jiān)控，謹(jǐn)防惡意攻擊者暗地里攻擊Windows Server 2008系統(tǒng)。

　　審核待監(jiān)控事件

　　Windows Server 2008系統(tǒng)內(nèi)置的事件查看器程序在默認(rèn)狀態(tài)下，不會(huì)對(duì)類似系統(tǒng)登錄這樣的事件進(jìn)行跟蹤記錄的，也就是說平時(shí)我們登錄系統(tǒng)時(shí)，事件查看器程序并沒有這方面 的事件記錄，要想對(duì)系統(tǒng)登錄這樣的事件進(jìn)行監(jiān)控，我們首先要做的工作自然就是為待監(jiān)控事件啟用審核功能，讓事件查看器程序可以自動(dòng)記憶保存這些事件記錄。 在審核待監(jiān)控事件時(shí)，我們可以按照下面的操作來進(jìn)行：

　　首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中逐一點(diǎn)擊“設(shè)置”、“控制面板”選項(xiàng)，打開對(duì)應(yīng)系統(tǒng)的控制面板窗口，再用鼠標(biāo)雙擊該窗口中的“管理工具”圖標(biāo)選項(xiàng)，進(jìn)入Windows Server 2008系統(tǒng)的管理工具列表界面;

　　其次雙擊管理工具列表界面中的“本地安全策略”圖標(biāo)選項(xiàng)，在其后出現(xiàn)的本地安全策略編輯器界面中，依次展開左側(cè)子窗格區(qū)域中的“安全設(shè)置”/“本地策略”/“審核策略”分支選項(xiàng)，在“審核策略”分支選項(xiàng)下面，選中“審核登錄事件”選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，從彈出的快捷菜單中執(zhí)行“屬性”命令進(jìn)入如圖1所示的審核登錄事件屬性設(shè)置對(duì)話框;

　　下面同時(shí)將該設(shè)置對(duì)話框中的“成功”、“失敗”復(fù)選項(xiàng)都選中，再單擊“確定”按鈕保存好上述設(shè)置操作，如此一來日后任何一位用戶無(wú)論有沒有成功 登錄進(jìn)Windows Server 2008系統(tǒng)，對(duì)應(yīng)系統(tǒng)的事件查看器程序都會(huì)自動(dòng)把這次系統(tǒng)登錄事件記錄保存到事件查看器列表中，仔細(xì)查看這些記錄，我們就能大概判斷出當(dāng)前服務(wù)器系統(tǒng)中 是否存在非法登錄事件發(fā)生了。

　　手工生成目標(biāo)事件

　　考慮到任務(wù)計(jì)劃只能與具體的某件事件綁定在一起，為此要想利用任務(wù)計(jì)劃功能對(duì)目標(biāo)系統(tǒng)事件進(jìn)行自動(dòng)監(jiān)控報(bào)警，我們還需要手工創(chuàng)建一個(gè)與待監(jiān)控事件性質(zhì)一樣的具體事件記錄;例如，要手工生成系統(tǒng)登錄事件記錄時(shí)，我們只要在Windows Server 2008服務(wù)器系統(tǒng)桌面中依次單擊“開始”/“關(guān)機(jī)”選項(xiàng)，選中“待機(jī)”項(xiàng)目，單擊“確定”按鈕，將當(dāng)前系統(tǒng)注銷掉，之后重新以系統(tǒng)管理員賬號(hào)登錄一次 Windows Server 2008服務(wù)器系統(tǒng)，當(dāng)系統(tǒng)登錄操作成功后，對(duì)應(yīng)系統(tǒng)的事件查看器程序就會(huì)自動(dòng)將這次登錄操作記錄下來了。

　　在查看具體的事件記錄時(shí)，我們可以在Windows Server 2008服務(wù)器系統(tǒng)桌面中用鼠標(biāo)右鍵單擊“計(jì)算機(jī)”圖標(biāo)，從彈出的快捷菜單中點(diǎn)選“管理”命令，打開對(duì)應(yīng)系統(tǒng)的計(jì)算機(jī)管理控制臺(tái)界面;

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]