计算机系统安全维护之计算机管理与记录清除.ppt

第06讲 计算机管理与记录清除 6.1 计算机管理 6.2　记录清除方法 * * 目标、重点、难点 目标：掌握计算机管理的使用和记录清除方法． 重点：计算机管理的使用和记录清除方法 难点：计算机管理的使用 控制面板（control panel)是Windows图形用户界面一部分，可通过开始菜单访问。它允许用户查看并操作基本的系统设置和控制，比如添加硬件，添加/删除软件，控制用户帐户，更改辅助功能选项，等等。 微软管理控制台（简称为MMC）是一个集成管理工具的工作平台，通过它可以创建、保存或打开系统管理工具，从而管理计算机的硬件、软件和Windows 系统的网络组件，以及进行系统的维护，MMC 本身并不执行管理功能，它只是集成众多的管理工具，接纳并管理执行各种系统功能的工具。 “计算机管理”包含内容及其作用 计算机管理和组策略一样都是mmc的管理单元。 计算机管理中，主要是对磁盘、用户、共享文件夹、设备等进行管理，而组策略则是对用户和计算机设置、安全策略等进行配置，相当于更改注册表，这两个其实没有可比性。 6.1 计算机管理 计算机管理中的配置功能，同组策略，控制面板一样，相当于是把注册表可视化了。 计算机管理，除了提供一定的配置功能，还提供便于管理的查看或监视功能。 6.1.1 事件查看器 无论是普通计算机用户，还是专业计算机系统管理员，在操作计算机的时候都会遇到某些系统错误。很多朋友经常为无法找到出错原因，解决不了故障问题感到困扰。事实上，利用Windows内置的事件查看器，加上适当的网络资源，就可以很好地解决大部分的系统问题。 什么是事件 系统中的一个操作过程就是一个事件。一个事件可分为事件头和事件类型两个部分。 事件查看器的启动 可以通过单击鼠标右键至我的电脑，在弹出的快捷菜单下选择管理，会弹出计算机管理菜单，选择菜单下的事件查看器即可，单击会出现三个选项，其中的系统可以帮助用户查看电脑的上次开关机时间。 点击“开始→运行”，输入eventvwr，点击“确定”，就可以打开事件查看器。 事件查看器的功能 　　 微软在以Windows NT为内核的操作系统中集成有事件查看器，这些操作系统包括Windows 2000/NT/XP/2003等。事件查看器可以完成许多工作，比如审核系统事件和存放系统、安全及应用程序日志等。 　　系统日志中存放了Windows操作系统产生的信息、警告或错误。通过查看这些信息、警告或错误，我们不但可以了解到某项功能配置或运行成功的信息，还可了解到系统的某些功能运行失败，或变得不稳定的原因。  　　 安全日志中存放了审核事件是否成功的信息。通过查看这些信息，我们可以了解到这些安全审核结果为成功还是失败。 　　 应用程序日志中存放应用程序产生的信息、警告或错误。通过查看这些信息、警告或错误，我们可以了解到哪些应用程序成功运行，产生了哪些错误或者潜在错误。程序开发人员可以利用这些资源来改善应用程序。 　　 　　运行 Windows Server?2003 家族操作系统且配置为域控制器的计算机以另外两种日志记录事件： 目录服务日志 目录服务日志包含 Windows Active Directory 服务记录的事件。例如，在目录服务日志中记录服务器和全局编录间的连接问题。 文件复制服务日志 “文件复制”服务日志包含 Windows 文件复制服务记录的事件。例如，在文件复制日志中，记录着文件复制失败和域控制器（利用关于系统卷更改的信息）更新时发生的事件。 运行 Windows 并配置为域名系统 (DNS) 服务器的计算机在其他日志中记录事件： DNS 服务器日志 DNS 服务器日志包含 Windows DNS 服务记录的事件。 根据所安装服务的情况，计算机可能会提供其他类型的事件和事件日志。　 查看事件的详细信息 选中事件查看器左边的树形结构图中的日志类型（应用程序、安全性或系统），在右侧的详细资料窗格中将会显示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息。在日志属性窗口中我们可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。这对我们寻找解决错误是最重要的。 搜索事件 如果系统中的事件过多，我们将会很难找到真正导致系统问题的事件。这