学习指导：M2-5使用安全审计加强Windows主机的安全维护.pdfVIP

M2-5 使用安全审计加强Windows 主机的安全维护能力 1.1 场景表述 1.1.1 学习目的 学生通过该能力模块的学习,能够独立完成和熟练掌握 WindowsXP 的事件查看 器的查看，熟练利用新建警报功能实现对系统的监控。 1.1.2 学习要求 1.学习重点  掌握事件查看器的查看  熟练掌握新建警报并配置警报类型  通过系统监视器监控系统运行状态 1.1.3 学习重点和难点 1.学习重点  利用事件查看器来查看日志文件  新建警报选项监控系统运行  查看系统监视器来监控系统运行状态 2.学习难点 事件查看器： 解释事件标题包含的信息  日期  时间  用户  计算机。  事件 ID  来源  类型 1.2 知识准备 1.2.1 事件日志的种类 事件查看器对三个方面进行事件日志的收集： 1）应用程序 2 ）安全 3 ）系统 应用程序日志：应用程序日志包含应用程序或程序记录的事件。例如，数据库程序可 能会在应用程序日志中记录文件错误。由程序开发人员决定记录哪些事件。 系统日志：系统日志包含由 Windows 操作系统组件记录的事件。例如，驱动程序 或其他系统组件在启动过程中的加载故障会记录在系统日志中。由系统组件记录的事 件类型是由 Windows 操作系统预先定义的。 安全性日志：安全性日志可以记录安全事件，诸如有效和无效的登录尝试，以及与资 源使用相关的事件，例如创建、打开或删除文件。管理员可指定在安全性日志中记录 哪些事件。例如，如果您启用了登录审核，系统的登录尝试会被记录在安全性日志中。 1.3 操作步骤 〖步骤1 〗事件查看器 第一步：信息类型 单击“开始”，然后单击“控制面板”。单击“性能和维护”，再单击“管理工具”，然后双击“事件查看器”。 如图2-1 所示。 图2- 1 事件查看器 事件日志类型 基于 Windows XP 的计算机将事件记录在以下三种日志中： 1）应用程序日志 应用程序日志包含由程序记录的事件。例如，数据库程序可能在应用程序日志中记录文件错误。 写入到应用程序日志中的事件是由软件程序开发人员确定的。 2 ）安全日志 安全日志记录有效和无效的登录尝试等事件，以及与资源使用有关的事件（如创建、打开或删除 文件）。例如，在启用登录审核的情况下，每当用户尝试登录到计算机上时，都会在安全日志中 记录一个事件。您必须以 Administrator 或 Administrators 组成员的身份登录，才能打开、使 用安全日志及指定将哪些事件记录在安全日志中。 3）系统日志 系统日志包含 Windows XP 系统组件所记录的事件。例如，如果在启动过程中未能加载某个驱 动程序，则会在系统日志中记录一个事件。Windows XP 预先确定由系统组件记录的事件。 事件类型 所记录的每个事件的说明取决于事件类型。日志中的每个事件都可归类为以下类型之一：  信息 描述任务（如应用程序、驱动程序或服务）成功运行的事件。例如，当网络驱动程序成功加 载时将记录“信息”事件。  警告 不一定重要但可能表明将来有可能出现问题的事件。例如，当磁盘空间快用完时将记录“警 告”消息。  错误 描述重要问题（如关键任务失败）的事件。“错误”事件可能涉及数据丢失或功能缺失。例如， 当启动过程中无法加载服务时将记录“错误”事件。  成功审核（安全日志） 描述成功完成受审核安全事件的事件。例如，当用户登录到计算机上时将记录“成功审核”事 件。  失败审核（安全日志） 描述未成功完成的受审核安全事件的事件。例如，当用户无法访问网络驱动器时可能记录“失 败审核”事件。 图2- 2 应用程序日志类型 图2- 3 审核日志类型 第二步：分析信息、警告、错误信息 首先我们看一下事件的字段解释： 事件标题 事件标题包含以下关于事件的信息，如图2-4 所示