追踪偷改账号事件
大家知道,在旧版本系统环境下,我们常常会利用事件查看器来将一些影响系统安全运行的事件记录下来,日后仔细分析这些安全日志内容,我们就能从中找到潜藏在本地系统中的一些安全隐患了。不过,让人遗憾的是,旧版本系统下的事件查看器程序只能记录有安全威胁的操作事件,而无法及时向系统管理员发出安全警报信息,那样一来系统管理员就无法在第一时间知道本地系统存在安全威胁。到了Windows Server 2008系统环境下,事件查看器程序的功能明显增强,系统管理员可以为特定的系统事件绑定任务计划,一旦系统日后发生特定的系统事件时,被绑定的任务计划就能够自动触发运行。
利用这样的功能,我们就能及时追踪偷改账号事件,并为偷改账号事件绑定一个自动报警的任务计划;一旦该事件发生时,自动报警的任务计划就能被触发执行,到时我们听到自动报警提示后,就能在第一时间知道系统中的某些用户账号被偷偷修改了。依照上面的分析,我们只要先在Windows Server 2008系统环境下修改系统审核策略,让系统对账号管理事件进行审核,确保事件查看器程序能够自动记录用户账号被偷偷修改的操作行为;之后,我们需要手工触发一个修改用户账号的事件,并将自动报警任务计划附加到修改用户账号事件上;如此一来,日后Windows Server 2008系统中有系统用户账号被偷偷修改时,自动报警的任务计划自然就会被执行了,系统管理员收到报警信息后就知道系统中发生了偷改账号事件;到时,系统管理员就能立即采取针对性措施来查找安全隐患,保证在第一时间将系统隐患排除掉
审核账号管理事件
在默认状态下,即使我们修改了某个系统用户账号的名称,也不会从系统的事件查看器列表中看到对应的操作记录,这是什么原因呢?其实很简单,这是因为Windows Server 2008系统在默认状态下并没有自动记录用户账号被修改的操作行为,我们必须修改Windows Server 2008系统的审核策略,才能让事件查看器记录用户账号被修改的事件。在对账号管理事件进行审核时,我们可以按照如下步骤进行操作:
首先以系统管理员身份登录进Windows Server 2008系统,单击该系统桌面中的“开始”/“运行”命令,在弹出的系统运行文本框中输入字符串命令“gpedit.msc”,单击“确定”按钮后,进入系统组策略编辑窗口;
其次在该编辑窗口的左侧显示窗格中,将鼠标定位于“计算机配置”节点选项上,再依次点选该节点下面的“Windows设置”/“安全设置”/“本地策略”/“审核策略”子项,在“审核策略”子项下面找到目标组策略选项“审核账户管理”,并用鼠标右键单击该选项,从弹出的快捷菜单中选择“属性”命令,打开如图1所示的目标组策略属性设置窗口;
在该属性设置窗口中的“本地安全设置”标签页面中,将“成功”复选项选中,再单击“确定”按钮,那样一来Windows Server 2008系统就能对成功修改用户账号事件进行审核了。同样地,我们也可以对修改用户账号失败事件进行审核,让事件查看器程序也自动记录修改用户账号失败的事件。
创建修改账号事件
无论我们绑定什么任务到特定事件中,都需要先触发一个操作事件,换句话说我们必须先将修改用户账号事件添加到事件查看器的列表中,之后才能将自动报警任务绑定到修改用户账号事件上。由于在上面已经成功启用了审核账户管理功能,只要我们手工修改系统中的某个用户账号,那么系统就会自动对修改账号事件进行审核,并且将审核结果记录在事件查看器中了。下面就是具体的实现步骤
首先以系统管理员身份登录进Windows Server 2008系统,依次单击“开始”/“程序”/“管理工具”/“服务器管理器”命令,在弹出的服务器管理器窗口中,依次展开左侧显示区域中的“配置”/“本地用户和组”/“用户”分支选项;
其次在对应“用户”分支选项的右侧列表区域中,用鼠标右键单击某个用户账号名称,从弹出的快捷菜单中执行“属性”命令,打开目标用户账号的属性设置对话框,在该对话框中我们可以任意修改目标用户账号的属性信息,修改完毕后单击“确定”按钮关闭用户账号属性设置对话框;
接着在服务器管理器窗口的左侧显示区域中,依次展开“诊断”/“Windows日志”/“安全”分支选项,在对应“安全”分支选项的右侧显示区域中,我们能够非常清楚地看到与系统安全有关的事件记录,通过对日期和时间序列进行排序,就能快速地找到先前修改用户账号的事件了(如图2所示)。
图2 事件查看
绑定自动报警任务
完成上面的各项准备工作后,我们现在就能把自动报警任务计划附加到修改用户账号事件上了。选中如图2所示的修改用户账号事件,并用鼠标右键单击修改用户账号事件,从弹出的快捷菜单中执行“将任务附加到此事件”命令,打开一个标题为创建基本任务的向导设置窗口,在这里我们可以将基本任务的名称设置为“自动报警”,并单击该设置窗口中的“下一步”按钮;随后,我们将从屏幕上看到一些确认信息,在检查这些信息没有错误之后,继续单击向导设置窗口中的“下一步”按钮;
当向导窗口弹出希望该任务执行什么操作的提示时,我们会发现Windows Server 2008系统为用户提供了三种报警方式,一种是启动特定的应用程序,一种是发送电子邮件,还有一种是直接给用户发送消息提示;在这里我们可以选中“显示消息”选项(如图3所示),之后继续单击“下一步”按钮,在其后弹出的向导设置窗口中设置好消息框的标题内容以及详细的消息内容;例如,在这里我们可以将消息标题设置为“注意!有人偷改用户账号”,将消息内容设置为“系统发现某用户账号被偷偷修改,请及时检查系统安全性!”
图3 创建基本任务
设置好上面的各项信息后,再单击向导设置窗口中的“完成”按钮,随后屏幕上会自动出现一个提示窗口,告诉我们“任务查看器已经创建好计划的任务,若要修改该任务,请打开任务计划程序”,单击该提示窗口中的“确定”按钮退出绑定自动报警任务设置操作。
到了这里,我们的Windows Server 2008系统就具有监控偷改账号事件的“本领”了;日后,Windows Server 2008系统中无论哪一个用户账号被偷偷修改,系统都会在第一时间向系统管理员发出“系统发现某用户账号被偷偷修改,请及时检查系统安全性!”这样的报警提示了。到时,系统管理员就能立即采取针对性措施来查找安全隐患,保证在第一时间将系统隐患排除掉
本文作者: