windowsserver偷改账号.pdf

windowsserver:偷改账号 Windows Server 2008系统早知道 疯狂代码 http://CrazyC/ ĵ http:/CrazyC/ServerTech/Article50044.html 　　许多网络病毒或木马攻击系统后常常会偷偷修改系统登录账号以便达到隐藏攻击痕迹目!为了有效保 护系统运行安全性我们应该想办法及时将潜藏在系统中各种网络病毒或木马“揪”出来那么我们该如何才能在 第时间内知道系统中某个用户账号被偷偷修改了呢?尽管借助些专业安全工具可以轻松地做到这点不过在 Windows Server 2008系统环境下即使我们手头没有专业安全工具帮忙也能赤手空拳地将偷改账号“恶劣”事 件捕捉到;我们只要利用Windows Server 2008系统事件查看器新增加绑定任务功能就能在第时间内知道系统中 某个用户账号被偷偷修改了! 　　追踪偷改账号事件 　　大家知道在旧版本系统环境下我们常常会利用事件查看器来将些影响系统安全运行事件记录下来日后仔细 分析这些安全日志内容我们就能从中找到潜藏在本地系统中些安全隐患了不过让人遗憾是旧版本系统下事件查 看器只能记录有安全威胁操作事件而无法及时向系统管理员发出安全警报信息那样来系统管理员就无法在第时 间知道本地系统存在安全威胁到了Windows Server 2008系统环境下事件查看器功能明显增强系统管理员可以 为特定系统事件绑定任务计划旦系统日后发生特定系统事件时被绑定任务计划就能够自动触发运行 　　利用这样功能我们就能及时追踪偷改账号事件并为偷改账号事件绑定个自动报警任务计划;旦该事件发生时 自动报警任务计划就能被触发执行到时我们听到自动报警提示后就能在第时间知道系统中某些用户账号被偷偷 修改了依照上面分析我们只要先在Windows Server 2008系统环境下修改系统审核策略让系统对账号管理事件 进行审核确保事件查看器能够自动记录用户账号被偷偷修改操作行为;的后我们需要手工触发个修改用户账号事 件并将自动报警任务计划附加到修改用户账号事件上;如此来日后Windows Server 2008系统中有系统用户账号 被偷偷修改时自动报警任务计划自然就会被执行了系统管理员收到报警信息后就知道系统中发生了偷改账号事 件;到时系统管理员就能立即采取针对性措施来查找安全隐患保证在第时间将系统隐患排除掉 　　审核账号管理事件 　　在默认状态下即使我们修改了某个系统用户账号名称也不会从系统事件查看器列表中看到对应操作记录这 是什么原因呢?其实很简单这是Windows Server 2008系统在默认状态下并没有自动记录用户账号被修改操作 行为我们必须修改Windows Server 2008系统审核策略才能让事件查看器记录用户账号被修改事件在对账号管 理事件进行审核时我们可以按照如下步骤进行操作 　　首先以系统管理员身份登录进Windows Server 2008系统单击该系统桌面中“开始”/“运行”命令在弹 出系统运行文本框中输入串命令“gpedit.msc”单击“确定”按钮后进入系统组策略编辑窗口; 　　其次在该编辑窗口左侧显示窗格中将鼠标定位于“计算机配置”节点选项上再依次点选该节点下面 “Windows设置”/“安全设置”/“本地策略”/“审核策略”子项在“审核策略”子项下面找到目标组策略 选项“审核账户管理”并用鼠标右键单击该选项从弹出快捷菜单中选择“属性”命令打开如图1所示目标组策略 属性设置窗口; 　　在该属性设置窗口中“本地安全设置”标签页面中将“成功”复选项选中再单击“确定”按钮那样来 Windows Server 2008系统就能对成功修改用户账号事件进行审核了同样地我们也可以对修改用户账号失败事 件进行审核让事件查看器也自动记录修改用户账号失败事件 　　创建修改账号事件 　　无论我们绑定什么任务到特定事件中都需要先触发个操作事件换句话说我们必须先将修改用户账号事件添 加到事件查看器列表中的后才能将自动报警任务绑定到修改用户账号事件上由于在上面已经成功启用了审核账 户管理功能只要我们手工修改系统中某个用户账号那么系统就会自动对修改账号事件进行审核并且将审核结果 记录在事件查看器中了下面就是具体实现步骤 　　首先以系统管理员身份登录进Windows Server 2008系统依次单击“开始”/“”/“管理工具”/“服务 器管理器”命令在弹出服务器管理器窗口中依次展开左侧显示区域中“配置”/“本地用户和组”/“用户”分