来自 新葡亰服务器 2019-09-27 02:39 的文章
当前位置: 澳门新葡亰app > 新葡亰服务器 > 正文

拜见毕竟有未有人偷偷登入过大家的管理器, 

【谁登了我的电脑?教你如何查看Windows事件日志】,windows日志

来源:数据安全与取证(ID:Cflab_net)

原创:Wendy

出于工作需要,除了自己的Mac笔记本,Wendy还配了一个Windows台式机。笔记本随身携带倒没什么,但最近总觉得每次上班打开Windows台式机后跟前一天离开的时候不一样!但到处问也不是太好,只有自己动手查?。

好在不难,如果你刚好也有这种怀疑的话,赶快来和我一起实践一下!看看究竟有没有人偷偷登录过我们的电脑。

正文

我们都知道,电脑的任何活动都会留下痕迹的,这也是为什么我们能进行计算机取证。今天就给大家分享一个简单的方法,告诉你如何查看电脑的登录情况。

1. 右键“我的电脑”,选择管理,打开「事件查看器」;或者同时按下 Windows键 + R键,输入“eventvwr.msc”直接打开「事件查看器」。

2. 在「事件查看器」窗口,展开Windows日志,选择“安全”,登录日志就显示出来了。

3. 接下来你会在窗口中看到一个列表,包括 “关键字”、 “日期和时间”、“来源”、“事件ID”、“任务类别”。

每当用户执行了某些操作,审核日志就会记录一个审核项,我们可以审核操作中的成功尝试和失败尝试。

安全审核对于任何企业系统来说都极其重要,因为审核日志能记录是否发生了违反安全的事件如果检测到入侵,正确的审核设置所生成的审核日志则能包含有关入侵的重要信息

我们看到,任务栏里面能展示许多时间有关信息:登录时间、退出时间以及其他等等细节。

4. 筛选「事件ID」。在窗口的右栏里有筛选器,我们可以根据自己的情况有目的地筛选日志记录。

在我的情况中,需要筛选的事件ID是“4624”,这个ID表示成功登陆

在日志中,不同的登录情况有不同的事件ID编号,如“4672”表示有特殊权限的登录,这些编号是有规定的,大家自己可以去查查看哦。

5. 查看某一条登陆记录的详细信息。点击「详细信息」查看「友好视图」,如下图:

或者也可以查看「XML」视图:

这两个视图里包含了许多的信息!每一条信息都有其特定含义,而我在今天这篇文章里要分享的是「Logon Type」,即登录类型通过登录类型我们知道此次登录是在什么状态下登录的。

如上图中显示的 “LogonType 5” 是什么意思呢?我们来看一张表。

在这张表中不同数字对应不同类型的登录,而LogonType 5代表的就是电脑的后台服务以我的账户登录过。

此外,我在自己的电脑中还发现了许多2、3的登录类型,“2”表示我用键盘和鼠标登录,而“3”意味着有人曾经用远程登录过我的电脑——没错,我找到了下班时间悄悄远程登录的“嫌疑人”,就是必哥。?

是不是很赞?

学会查看Windows日志是一项很实用的技巧,经常应用在取证中,我们曾经在企业内部调查中通过Windows日志找到员工盗取文件的证据。

Windows日志包含的信息很多,今天分享的只是冰山一角,但它的实用性不言而喻,赶快实践一下吧!


事件查看器相当于操作系统的保健医生,一些“顽疾”的蛛丝马迹都会在事件查看器中呈现,一个合格的系统管理员和安全维护人员会定期查看应用程序、安全性和系统日志,查看是否存在非法登录、系统是否非正常关机、程序执行错误等信息,通过查看事件属性来判定错误产生的来源和解决方法,使操作系统和应用程序正常工作。本文介绍了事件查看器的一些相关知识,最后给出了一个安全维护实例,对安全维护人员维护系统有一定的借鉴和参考。

  (一)事件查看器相关知识

  1.事件查看器

  事件查看器是 Microsoft Windows 操作系统工具,事件查看器相当于一本厚厚的系统日志,可以查看关于硬件、软件和系统问题的信息,也可以监视Windows 操作系统中的安全事件。有三种方式来打开事件查看器:

  (1)单击“开始”-“设置”-“控制面板”-“管理工具”-“事件查看器”,开事件查看器窗口

  (2)在“运行”对话框中手工键入“%SystemRoot%system32eventvwr.msc /s”打开事件查看器窗口。

  (3)在运行中直接输入“eventvwr”或者“eventvwr.msc”直接打开事件查看器。

  2.事件查看器中记录的日志类型

  在事件查看器中一共记录三种类型的日志,即:

  (1)应用程序日志

  包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。

  (2)安全性日志

  记录了诸如有效和无效的登录尝试等事件,以及与资源使用相关的事件,例如创建、打开或删除文件或其他对象,系统管理员可以指定在安全性日志中记录什么事件。默认设置下,安全性日志是关闭的,管理员可以使用组策略来启动安全性日志,或者在注册表中设置审核策略,以便当安全性日志满后使系统停止响应。

  (3)系统日志

  包含Windows XP的系统组件记录的事件,例如在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中,默认情况下Windows会将系统事件记录到系统日志之中。 如果计算机被配置为域控制器,那么还将包括目录服务日志、文件复制服务日志;如果机子被配置为域名系统(DNS)服务器,那么还将记录DNS服务器日志。当启动Windows时,“事件日志”服务(EventLog)会自动启动,所有用户都可以查看应用程序和系统日志,但只有管理员才能访问安全性日志。

  在事件查看器中主要记录五种事件,事件查看器屏幕左侧的图标描述了 Windows 操作系统对事件的分类。事件查看器显示如下类型的事件:

  (1)错误:重大问题,例如数据丢失或功能损失。例如,如果服务在启动期间无法加载,便会记录一个错误。

  (2)警告:不一定重要的事件也能指出潜在的问题。例如,如果磁盘空间低,便会记录一个警告。

  (3) 信息:描述应用程序、驱动程序或服务是否操作成功的事件。例如,如果网络驱动程序成功加载,便会记录一个信息事件。

  (4)成功审核:接受审核且取得成功的安全访问尝试。例如,用户对系统的成功登录尝试将作为一个“成功审核”事件被记录下来。

  (5)失败审核:接受审核且未成功的安全访问尝试。例如,如果用户试图访问网络驱动器但未成功,该尝试将作为“失败审核”被记录下来。

 

(二)维护服务器安全实例

  1.打开并查看事件查看器中的三类日志

  在“运行”中输入“eventvwr.msc”直接打开事件查看器,在该窗口中单击“系统”,如图1所示,单击窗口右边的类型进行排序,可以看到类型中有警告、错误等多条信息。

图片 1

  图1 打开并查看系统日志

  2.查看系统错误记录详细信息

  选择“错误”记录,双击即可打开并查看事件的属性,如图2所示,可以发现该事件为一个攻击事件,其事件描述为:

  连接自 211.99.226.9 的一个匿名会话尝试在此计算机上打开一个 LSA 策略句柄。尝试被以 STATUS_ACCESS_DENIED 拒绝, 以防止将安全敏感的信息泄露给匿名呼叫者。

  进行此尝试的应用程序需要被更正。请与应用程序供应商联系。 作为暂时的解决办法,此安全措施可以通过设置: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTurnOffAnonymousBlock DWORD 值为 1 来禁用。 此消息将一天最多记录一次。

图片 2

  图2 查看系统错误事件属性

  说明:该描述信息表明IP地址为“211.99.226.9”的计算机在攻击此服务器。

3.根据提示修补系统漏洞

  根据描述信息,直接打开注册表编辑器,依次层层展开找到键值“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsaTurnOffAnonymous”新建一个DWORD 的 “TurnOffAnonymousBlock Block DWORD” 键,并设置其值为“ 1”,如图3所示。

图片 3

  图3 修复系统存在的安全隐患

  说明:如果在事件属性中未给出解决方案,除了在google中寻找解决方法外,还可以对错误信息进行追踪,以找到合适的解决方法,一般有两种方式:

  (1)微软知识库。微软知识库的文章是由微软公司官方资料和微软MVP撰写的技术文章组成,主要解决微软产品的问题及故障。当微软每一个产品的Bug和容易出错的应用点被发现后,都将有与其对应的KB文章分析这项错误的解决方案。微软知识库的地址是:

  (2)通过Eventid.net网站来查询

  要查询系统错误事件的解决方案,其实还有一个更好的地方,那就是Eventid.net网站地址是: Events(搜索事件)”链接,出现事件搜索页面。根据页面提示,输入Event ID(事件ID)和Event Source(事件源),并单击“Search”按钮。Eventid.net的系统会找到所有相关的资源及解决方案。最重要的是,享受这些解决方案是完全免费的。当然,Eventid.net的付费用户则能享受到更好的服务,比如直接访问针对某事件的知识库文章集等。

  4.多方复查

  既然出现了LSA的匿名枚举,那么一定会存在登录信息,如图4所示,单击“安全性”查看事件属性,先针对“审核失败”进行查看,可以看到IP地址“211.99.226.9”的多次连接失败的审核信息。需要特别注意的是,事件查看器中记录的日志必须先在安全策略中进行设置,默认情况下不记录,只要启用审核以后才记录。然后依次查看审核成功的登录记录,如果发现该IP地址登录成功,那么还需要对系统进行彻底的安全检查,包括修改登录密码,查看系统时候被攻击者留下了后门。在本例中主要事件就是IP地址为211.99.226.9的服务器在进行密码攻击扫描,根据事件属性中提供的策略进行设置后,即可解决该匿名枚举的安全隐患。

图片 4

 

 

 

本文由澳门新葡亰app发布于新葡亰服务器,转载请注明出处:拜见毕竟有未有人偷偷登入过大家的管理器, 

关键词: