Win2008安全配置与维护-副本解读.ppt

认识Windows Server 2008安全记录 可以在事件查看器查看到很多事件日志，包括应用程序日志、安全日志、系统日志、目录服务日志、DNS服务日志和文件复制服务日志等。通过查看这些事件，管理员可以了解系统和网络的情况，也能跟踪安全事件。当系统出现故障问题时，可以通过日志记录进行查错或恢复系统。 安全事件是记录关于审核的结果，打开计算机的审核功能后，计算机或用户的行为会触发系统安全记录事件。例如，管理员删除域中的用户账户，会触发系统写入目录服务访问策略事件记录；修改一个文件内容，会触发系统写入对象访问策略事件记录。 查看安全记录 只要做了审核策略，被审核的事件都会被记录到安全记录中，可以通过事件查看器查到每一条安全记录。选择“开始| 管理工具 | 事件查看器”或者在命令行中输入eventvwr.msc命令，便可打开“事件查看器”控制台查看安全记录。 安全记录的内容包括： 类型：包括审核成功或失败。 日期：事件发生的日期。 时间：事件发生的时间。 来源：事件种类，安全事件为Security。 分类：审核策略，例如登录/注销、目录服务访问、账户登录等。 事件：指定事件标识符，标明事件ID，为整数值。 用户：触发事件的用户名称。 计算机：指定事件发生的计算机名称，一般是本地计算机名称。 事件ID可以用来识别登录事件，系统使用多为默认的事件ID，一般值都小于1 024字节。 常见的事件ID如表14.1所示。 数据备份、恢复(windows server backup) Windows server backup 不是默认安装，需手动安装（服务器管理器—功能—添加功能-- Windows server backup ） Windows server backup可对整个磁盘分区或文件文件夹进行备份。 系统盘恢复 Win2008安全配置与维护 网络安全现状 新华网 ８月９日电（记者徐扬）２０１０年，中国内地共有近３．５万家网站被黑客篡改，其中被篡改的政府网站达４６３５个。这是国家互联网应急中心９日在大连举行的“中国计算机网络安全年会”上发布的。 ????监测显示，２０１０年被篡改的政府网站数量比２００９年上升６７．６％。中央和省部级政府网站安全状况明显优于地市以下级别的政府网站，但仍有约６０％的部委级网站存在不同程度的安全隐患。 ????在国家互联网应急中心监测的政府网站中，２０１０年被篡改的政府网站比例达到１０．３％，即全国有约十分之一的政府网站遭遇了黑客篡改。 黑客常用攻击方法 1、获取口令 2、放置特洛伊木马程序 3、网络监听 4、寻找系统漏洞 5、利用帐号进行攻击 6、偷取特权  1、获取口令 1：通过网络监听获得用户口令，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大。 2：是在获取用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令。 2、放置特洛伊木马程序 特洛伊木马程序常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就留在用户的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告用户IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的 。 3、网络监听 网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，NetXray ，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。  4、寻找系统漏洞 许多系统都有这样那样的安全漏洞（Bugs），这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，这都会给黑客带来可乘之机，应及时加以修正。  5、利用帐号进行攻击 有的黑客会利用操作系统提供的缺省账户和密码进行攻击，Guest缺省账户。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。 6、偷取特权 利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得