文章中我們介紹了事件查看器的運(yùn)行方式、記錄的日志類型和顯示的事件類型。在這篇文章中我們將給出事件查看器維護(hù)服務(wù)器安全的實(shí)例，相信對安全維護(hù)人員維護(hù)系統(tǒng)會有一定的借鑒和參考價(jià)值。

1.打開并查看事件查看器中的三類日志

在“運(yùn)行”中輸入“eventvwr.msc”直接打開事件查看器，在該窗口中單擊“系統(tǒng)”，如圖1所示，單擊窗口右邊的類型進(jìn)行排序，可以看到類型中有警告、錯誤等多條信息。

2.查看系統(tǒng)錯誤記錄詳細(xì)信息

選擇“錯誤”記錄，雙擊即可打開并查看事件的屬性，如圖2所示，可以發(fā)現(xiàn)該事件為一個攻擊事件，其事件描述為：

連接自 211.99.226.9 的一個匿名會話嘗試在此計(jì)算機(jī)上打開一個 LSA 策略句柄。嘗試被以 STATUS_ACCESS_DENIED 拒絕， 以防止將安全敏感的信息泄露給匿名呼叫者。

進(jìn)行此嘗試的應(yīng)用程序需要被更正。請與應(yīng)用程序供應(yīng)商聯(lián)系。 作為暫時(shí)的解決辦法，此安全措施可以通過設(shè)置： \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 值為 1 來禁用。 此消息將一天最多記錄一次。

說明：該描述信息表明IP地址為“211.99.226.9”的計(jì)算機(jī)在攻擊此服務(wù)器。

3.根據(jù)提示修補(bǔ)系統(tǒng)漏洞

根據(jù)描述信息，直接打開注冊表編輯器，依次層層展開找到鍵值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一個DWORD 的 “TurnOffAnonymousBlock Block DWORD” 鍵，并設(shè)置其值為“ 1”，如圖3所示。

說明：如果在事件屬性中未給出解決方案，除了在google中尋找解決方法外，還可以對錯誤信息進(jìn)行追蹤，以找到合適的解決方法，一般有兩種方式：

(1)微軟知識庫。微軟知識庫的文章是由微軟公司官方資料和微軟MVP撰寫的技術(shù)文章組成，主要解決微軟產(chǎn)品的問題及故障。當(dāng)微軟每一個產(chǎn)品的Bug和容易出錯的應(yīng)用點(diǎn)被發(fā)現(xiàn)后，都將有與其對應(yīng)的KB文章分析這項(xiàng)錯誤的解決方案。微軟知識庫的地址是:http://support.microsoft.com，在網(wǎng)頁左邊的“搜索(知識庫)”中輸入相關(guān)的關(guān)鍵字進(jìn)行查詢，事件發(fā)生源和ID等信息。當(dāng)然，輸入詳細(xì)描述中的關(guān)鍵詞也是一個好辦法，如果日志中有錯誤編號，輸入這個錯誤編號進(jìn)行查詢。

(2)通過Eventid.net網(wǎng)站來查詢

要查詢系統(tǒng)錯誤事件的解決方案，其實(shí)還有一個更好的地方，那就是Eventid.net網(wǎng)站地址是:http://www.eventid.net。這個網(wǎng)站由眾多微軟MVP(最有價(jià)值專家)主持，幾乎包含了全部系統(tǒng)事件的解決方案。登錄網(wǎng)站后，單擊“Search Events(搜索事件)”鏈接，出現(xiàn)事件搜索頁面。根據(jù)頁面提示，輸入Event ID(事件ID)和Event Source(事件源)，并單擊“Search”按鈕。Eventid.net的系統(tǒng)會找到所有相關(guān)的資源及解決方案。最重要的是，享受這些解決方案是完全免費(fèi)的。當(dāng)然，Eventid.net的付費(fèi)用戶則能享受到更好的服務(wù)，比如直接訪問針對某事件的知識庫文章集等。

4.多方復(fù)查

既然出現(xiàn)了LSA的匿名枚舉，那么一定會存在登錄信息，如圖4所示，單擊“安全性”查看事件屬性，先針對“審核失敗”進(jìn)行查看，可以看到IP地址“211.99.226.9”的多次連接失敗的審核信息。需要特別注意的是，事件查看器中記錄的日志必須先在安全策略中進(jìn)行設(shè)置，默認(rèn)情況下不記錄，只要啟用審核以后才記錄。然后依次查看審核成功的登錄記錄，如果發(fā)現(xiàn)該IP地址登錄成功，那么還需要對系統(tǒng)進(jìn)行徹底的安全檢查，包括修改登錄密碼，查看系統(tǒng)時(shí)候被攻擊者留下了后門。在本例中主要事件就是IP地址為211.99.226.9的服務(wù)器在進(jìn)行密碼攻擊掃描，根據(jù)事件屬性中提供的策略進(jìn)行設(shè)置后，即可解決該匿名枚舉的安全隱患。

【編輯推薦】

1. 工業(yè)標(biāo)準(zhǔn)服務(wù)器網(wǎng)絡(luò)安全解決方案
2. 分析企業(yè)服務(wù)器安全防護(hù)的3大切入點(diǎn)
3. 解析：服務(wù)器安全的三大紀(jì)律