当前位置: 首页 > 图文教程 > 操作系统 > Windows > Windows Server 2008病毒偷改账号的安全隐患

Windows
Windows Server 2008下高效域管理体验
Windows Server 2008 core管理与配置
Windows PowerShell不一样的系统管理体验
活动目录迁移需要的步骤
给Windows Server 2008设一个简单密码
部署NAP For DHCP 限制非法客户端
Windows Remote Shell(WinRM)使用介绍
微软新品Windows Server 2008 Foundation详情
Windows Server Core 网络的基本配置
Windows Server core的便捷操作和远程管理
Vista和Server08 SP2 RTM-Escrow发放给测试者
slmgr.vbs介绍与VA2.0部署
通过Windows Server终端服务实现远程管理
深入Windows Server 2008的自我监控
群集共享卷文件(CSV)四种模式的区别
Windows Server 2008 R2热添加删除虚拟存诸
部署基于Windows 2008防火墙策略提升域安全
调整服务 解决Windows Server 2008疑难病症
Windows Server 2008 R2的八大优势
Windows Server 2008禁止模块安装提升网络性能

Windows Server 2008病毒偷改账号的安全隐患


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2010-01-16   浏览: 63 ::
收藏到网摘: n/a

  【IT专家网独家】许多网络病毒或木马程序攻击系统后,常常会偷偷修改系统登录账号,以便达到隐藏攻击痕迹的目的!为了有效保护系统的运行安全性,我们应该想办法及时将潜藏在系统中的各种网络病毒或木马程序“揪”出来,那么我们该如何才能在第一时间内知道系统中的某个用户账号被偷偷修改了呢?尽管借助一些专业的安全工具可以轻松地做到这一点,不过在Windows Server 2008系统环境下,即使我们手头没有专业的安全工具帮忙,也能赤手空拳地将偷改账号的“恶劣”事件捕捉到;我们只要利用Windows Server 2008系统事件查看器新增加的绑定任务功能,就能在第一时间内知道系统中的某个用户账号被偷偷修改了!

 

  大家知道,在旧版本系统环境下,我们常常会利用事件查看器来将一些影响系统安全运行的事件记录下来,日后仔细分析这些安全日志内容,我们就能从中找到潜藏在本地系统中的一些安全隐患了。不过,让人遗憾的是,旧版本系统下的事件查看器程序只能记录有安全威胁的操作事件,而无法及时向系统管理员发出安全警报信息,那样一来系统管理员就无法在第一时间知道本地系统存在安全威胁。到了Windows Server 2008系统环境下,事件查看器程序的功能明显增强,系统管理员可以为特定的系统事件绑定任务计划,一旦系统日后发生特定的系统事件时,被绑定的任务计划就能够自动触发运行。

  利用这样的功能,我们就能及时追踪偷改账号事件,并为偷改账号事件绑定一个自动报警的任务计划;一旦该事件发生时,自动报警的任务计划就能被触发执行,到时我们听到自动报警提示后,就能在第一时间知道系统中的某些用户账号被偷偷修改了。依照上面的分析,我们只要先在Windows Server 2008系统环境下修改系统审核策略,让系统对账号管理事件进行审核,确保事件查看器程序能够自动记录用户账号被偷偷修改的操作行为;之后,我们需要手工触发一个修改用户账号的事件,并将自动报警任务计划附加到修改用户账号事件上;如此一来,日后Windows Server 2008系统中有系统用户账号被偷偷修改时,自动报警的任务计划自然就会被执行了,系统管理员收到报警信息后就知道系统中发生了偷改账号事件;到时,系统管理员就能立即采取针对性措施来查找安全隐患,保证在第一时间将系统隐患排除掉。

  

  在默认状态下,即使我们修改了某个系统用户账号的名称,也不会从系统的事件查看器列表中看到对应的操作记录,这是什么原因呢?其实很简单,这是因为Windows Server 2008系统在默认状态下并没有自动记录用户账号被修改的操作行为,我们必须修改Windows Server 2008系统的审核策略,才能让事件查看器记录用户账号被修改的事件。在对账号管理事件进行审核时,我们可以按照如下步骤进行操作:

  首先以系统管理员身份登录进Windows Server 2008系统,单击该系统桌面中的“开始”/“运行”命令,在弹出的系统运行文本框中输入字符串命令“gpedit.msc”,单击“确定”按钮后,进入系统组策略编辑窗口;

  其次在该编辑窗口的左侧显示窗格中,将鼠标定位于“计算机配置”节点选项上,再依次点选该节点下面的“Windows设置”/“安全设置”/“本地策略”/“审核策略”子项,在“审核策略”子项下面找到目标组策略选项“审核账户管理”,并用鼠标右键单击该选项,从弹出的快捷菜单中选择“属性”命令,打开如图1所示的目标组策略属性设置窗口;

  在该属性设置窗口中的“本地安全设置”标签页面中,将“成功”复选项选中,再单击“确定”按钮,那样一来Windows Server 2008系统就能对成功修改用户账号事件进行审核了。同样地,我们也可以对修改用户账号失败事件进行审核,让事件查看器程序也自动记录修改用户账号失败的事件。


 

  无论我们绑定什么任务到特定事件中,都需要先触发一个操作事件,换句话说我们必须先将修改用户账号事件添加到事件查看器的列表中,之后才能将自动报警任务绑定到修改用户账号事件上。由于在上面已经成功启用了审核账户管理功能,只要我们手工修改系统中的某个用户账号,那么系统就会自动对修改账号事件进行审核,并且将审核结果记录在事件查看器中了。下面就是具体的实现步骤:

  首先以系统管理员身份登录进Windows Server 2008系统,依次单击“开始”/“程序”/“管理工具”/“服务器管理器”命令,在弹出的服务器管理器窗口中,依次展开左侧显示区域中的“配置”/“本地用户和组”/“用户”分支选项;

  其次在对应“用户”分支选项的右侧列表区域中,用鼠标右键单击某个用户账号名称,从弹出的快捷菜单中执行“属性”命令,打开目标用户账号的属性设置对话框,在该对话框中我们可以任意修改目标用户账号的属性信息,修改完毕后单击“确定”按钮关闭用户账号属性设置对话框;

  接着在服务器管理器窗口的左侧显示区域中,依次展开“诊断”/“Windows日志”/“安全”分支选项,在对应“安全”分支选项的右侧显示区域中,我们能够非常清楚地看到与系统安全有关的事件记录,通过对日期和时间序列进行排序,就能快速地找到先前修改用户账号的事件了(如图2所示)。

Windows Server 2008

图2 事件查看

 

  完成上面的各项准备工作后,我们现在就能把自动报警任务计划附加到修改用户账号事件上了。选中如图2所示的修改用户账号事件,并用鼠标右键单击修改用户账号事件,从弹出的快捷菜单中执行“将任务附加到此事件”命令,打开一个标题为创建基本任务的向导设置窗口,在这里我们可以将基本任务的名称设置为“自动报警”,并单击该设置窗口中的“下一步”按钮;随后,我们将从屏幕上看到一些确认信息,在检查这些信息没有错误之后,继续单击向导设置窗口中的“下一步”按钮;

  当向导窗口弹出希望该任务执行什么操作的提示时,我们会发现Windows Server 2008系统为用户提供了三种报警方式,一种是启动特定的应用程序,一种是发送电子邮件,还有一种是直接给用户发送消息提示;在这里我们可以选中“显示消息”选项(如图3所示),之后继续单击“下一步”按钮,在其后弹出的向导设置窗口中设置好消息框的标题内容以及详细的消息内容;例如,在这里我们可以将消息标题设置为“注意!有人偷改用户账号”,将消息内容设置为“系统发现某用户账号被偷偷修改,请及时检查系统安全性!”

Windows Server 2008

图3 创建基本任务

  设置好上面的各项信息后,再单击向导设置窗口中的“完成”按钮,随后屏幕上会自动出现一个提示窗口,告诉我们“任务查看器已经创建好计划的任务,若要修改该任务,请打开任务计划程序”,单击该提示窗口中的“确定”按钮退出绑定自动报警任务设置操作。

  到了这里,我们的Windows Server 2008系统就具有监控偷改账号事件的“本领”了;日后,Windows Server 2008系统中无论哪一个用户账号被偷偷修改,系统都会在第一时间向系统管理员发出“系统发现某用户账号被偷偷修改,请及时检查系统安全性!”这样的报警提示了。到时,系统管理员就能立即采取针对性措施来查找安全隐患,保证在第一时间将系统隐患排除掉。