?

?

在 windows server 2008 R2 中，可以通過點(diǎn)擊?"開始" -> "管理工具" -> "事件查看器"?，來打開并查看各種類型的系統(tǒng)內(nèi)置日志記錄；讓我們來做一個實(shí)際練習(xí)：使用事件查看器檢查各種帳戶的登錄事件，包括系統(tǒng)內(nèi)置的特殊帳戶，以及大家熟悉的 administrator 管理員帳戶。

一般而言，在啟動服務(wù)器后，一個叫做?winlogon.exe?的進(jìn)程會先以?

NT AUTHORITY\SYSTEM?(帳戶域\帳戶權(quán)限)登錄，然后

進(jìn)入要求用戶鍵入 ctrl + alt + del 并輸入帳密的登錄界面，此時，winlogon.exe?檢查并驗(yàn)證用戶的輸入，通常的做法是將用戶鍵入的密碼以某種哈希算法生成密文，將其與 SAM 數(shù)據(jù)庫文件中的密文進(jìn)行比對，如果一致則該賬戶通過驗(yàn)證并登錄，然后賦予相應(yīng)的權(quán)限。

所有這些過程都會被記錄進(jìn)系統(tǒng)內(nèi)置的"安全"類型日志，可以通過事件查看器瀏覽；

除了?winlogon.exe?進(jìn)程外，其它一些系統(tǒng)進(jìn)程也會在用戶登錄前，使用特殊帳戶先行登錄。這些登錄事件同樣可以在事件查看器中一覽無遺，

(例如，一個叫做?services.exe?的系統(tǒng)服務(wù)進(jìn)程，使用?NT AUTHORITY\SYSTEM?(帳戶域\帳戶權(quán)限)登錄，然后它會創(chuàng)建數(shù)個?svchost.exe子進(jìn)程，而每個?svchost.exe?進(jìn)程都會啟動并納宿一些基本的 windows 服務(wù)，而許多用戶空間的應(yīng)用程序?qū)⑹褂眠@些服務(wù)，實(shí)現(xiàn)它們的功能)

下面結(jié)合圖片講解事件查看器在這兩個場景中的應(yīng)用：

一,首先按照上述步驟打開事件查看器,在左側(cè)窗口中展開?"Windows 日志"節(jié)點(diǎn),選取"安全"項(xiàng)目,此時在中間的窗口會列出自系統(tǒng)安裝以來,記錄的所有安全事件,假設(shè)我們要查看最近 24 小時以內(nèi)的帳戶登錄與驗(yàn)證,審核,權(quán)力指派等事件,可以在"安全"項(xiàng)目上右擊鼠標(biāo),在彈出的上下文菜單中選擇"篩選當(dāng)前日志(L)"

二,在打開的對話框中,切換到"篩選器"標(biāo)簽,在"記錄時間(G)"右側(cè)的下拉列表中,選擇"近 24 小時",然后點(diǎn)擊下方的確定按鈕

三,顯示出篩選的結(jié)果,下面這張圖顯示了在 24 小時內(nèi)紀(jì)錄的 73 項(xiàng)安全事件(Microsoft Windows 安全審核是準(zhǔn)確的稱呼),你可以按照日期與時間列排序事件,或者按照事件ID,任務(wù)類別(我覺得翻譯成事件類別會比較好理解)來排序時間,

我們關(guān)注的是"登錄"與"特殊登錄"事件,因此需要選擇以任務(wù)類別排序.

下圖中沒有按照任務(wù)類別排序,而是默認(rèn)按照日期與時間排序,其優(yōu)點(diǎn)是,可以追蹤在系統(tǒng)啟動過程中,哪個系統(tǒng)進(jìn)程使用哪個系統(tǒng)內(nèi)置帳戶登錄,并且可以直觀地看出它們之間的先后次序.

?

?

?

?

通過上面的分析,你是否已經(jīng)直觀地感受到事件查看器的強(qiáng)大功能?

下面讓我們再看另一個例子:使用事件查看器瀏覽,因遠(yuǎn)程過程調(diào)用(RPC)服務(wù)啟動失敗,導(dǎo)致我們無法以管理員登錄 windows server 2008 R2 的事件記錄.

先糾正一個普遍存在的錯誤理解;

RPC 監(jiān)聽在本地環(huán)回(127.0.0.1)地址的 135 端口,出于安全考慮,很多人會將這個端口關(guān)閉,以阻止蠕蟲病毒與攻擊者入侵,但是我們會發(fā)現(xiàn)這個地址上的 135 端口始終關(guān)不掉而因此憂心忡忡;

其實(shí),127.0.0.1:135 是必須的,如果該端口不打開,則說明 RPC 服務(wù)沒有啟動,從而導(dǎo)致很多依賴 RPC 的其它系統(tǒng)服務(wù)無法啟動,

再說,除非你手動通過?services.msc?服務(wù)管理器來禁用它,否則通過其它手段是很難關(guān)閉的(包括修改注冊表鍵值),

我們真正應(yīng)該關(guān)閉并警惕的,是那些監(jiān)聽在非本地環(huán)回的 135 端口,例如 192.168.0.1:135 ,因?yàn)檫@個地址是可以與遠(yuǎn)程主機(jī)的地址通信的,攻擊者可以掃描監(jiān)聽在這個地址端口上的程序漏洞,并遠(yuǎn)程執(zhí)行惡意代碼(通過 Metasploit 即可辦到),從而入侵我們的服務(wù)器.

如果關(guān)不掉,也可以使用 windows 高級防火墻來禁止該地址端口上的出入站流量.

總之,本地環(huán)回的 135 端口是必須打開的,這并非是惡意軟件,木馬程序開放的端口,否則你連 windows 桌面都無法登錄.

如果無法登錄 windows server 2008 R2 服務(wù)器的桌面,并且系統(tǒng)提示 RPC 服務(wù)啟動失敗,無法讀取用戶 profile ,那么可以進(jìn)入安全模式,運(yùn)行?services.msc?,找到其中的?Remote Procedure Call (RPC)?以及?RPC Endpoint Mapper(RpcEptMapper)?,將這兩個服務(wù)設(shè)置為自動啟動,然后運(yùn)行 msconfig ,

在"服務(wù)"標(biāo)簽中,確保勾選了?RPC Endpoint Mapper?,點(diǎn)確定后重啟系統(tǒng),以正常模式進(jìn)入,應(yīng)該就能用管理員賬戶登錄了.

下圖給出了一個事件查看器中的一項(xiàng) RPC 服務(wù)啟動失敗信息:

?

?

?http://www.2cto.com/Article/201501/368084.html

總結(jié)

以上是生活随笔為你收集整理的Server 2008 R2 事件查看器实现日志分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。