<系统安全运维>Server 2008 R2 事件查看器实现日志分析

<系统安全运维>Server2008R2事件查看器实现日志分析

<系统的安全 *** 作和维护>:Server2008R2事件查看器实现日志分析

在windowsserver2008R2中，可以点击“开始”->:“管理工具”->:“事件查看器”打开查看系统内置的各类日志记录；我们来做一个实际的练习:使用事件查看器查看各种账号的登录事件，包括系统内置的特殊账号和熟悉的管理员账号。

一般来说，启动服务器后，会启动一个名为winlogon.exe的进程

ntauthority\system(账户域\账户权限)登录，然后进入要求用户键入ctrl+alt+del并输入账户密码的登录界面。此时，winlogon.exe检查并验证用户。通常的做法是将用户输入的密码通过某种哈希算法生成密文，与SAM数据库文件中的密文进行比较。如果一致，则验证该账户并登录，然后授予相应的权限。

所有这些过程都会被记录在系统内置的“安全”类日志中，可以通过事件查看器浏览；

除了winlogon.exe进程之外，其他一些系统进程也会在用户登录之前使用特殊帐户登录。这些登录事件也可以在事件查看器中查看。

(比如一个名为services.exe的系统服务进程用ntauthority\system(accountdomain\accountrights)登录，然后它会创建几个，每个svchost.exe进程都会启动并托管一些基本的windows服务，用户空之间的很多应用都会使用这些服务来实现它们的功能)

事件查看器在这两种场景中的应用将在下面的图片中解释:

首先按照上面的步骤打开事件查看器，展开左侧窗口的“WindowsLog”节点，选择“Security”项。此时，自系统安装以来记录的所有安全事件将在中间窗口中列出。假设我们要检查帐户登录和验证、审计和

其次，在打开对话框中，切换到“过滤器”选项卡，从”右侧的下拉列表中选择“最近24小时”，然后点击下方的确定。

第三，显示筛选的结果。下图显示了24小时内记录的73起安全事件(MicrosoftWindows安全审计是一个准确的名称)。可以按日期和时间对事件进行排序，也可以按事件ID和任务类别对时间进行排序(我觉得如果翻译成事件类别会更容易理解)。

我们关注的是“登录”，以及“特殊登录”事件，所以需要选择任务类别进行排序。

下图没有按任务类别排序，而是默认按日期和时间排序。它的好处是你可以在系统启动时跟踪哪个系统进程使用哪个系统内置账号登录，可以直观的看到它们之间的先后顺序。

通过以上分析，你有没有直观感受到事件查看器的强大功能？

我们再来看另一个例子:使用事件查看器浏览，由于远程过程调用(RPC)服务启动失败，我们无法以管理员身份登录windowsserver2008R2的事件日志。

先纠正一个常见的误解；

RPC侦听本地环回(127.0.0.1)地址的端口135。出于安全考虑，很多人会关闭这个端口，以防止蠕虫和****，但我们会发现这个地址的135端口始终无法关闭，所以我们很担心。

其实127.0.0.1:135是必要的。如果这个端口没有打开，就意味着RPC服务没有启动，导致很多其他依赖RPC的系统服务没有启动。

此外，除非您通过services.msc服务管理器手动禁用它，否则很难通过其他方式(包括修改注册表项)关闭它。

我们真正应该关闭并注意的是那些监听非本地回环的端口135，比如192.168.0.1:135。因为这个地址可以和远程主机的地址进行通信，***用户可以扫描监听这个地址端口的程序漏洞，远程执行恶意代码(可以通过Metasploit完成)，从而***我们的服务器。

如果无法关闭，您还可以使用windows高级防火墙来禁止此地址端口上的入站和出站流量。

总之，本地回环端口135必须打开，不是恶意软件和***程序打开的端口，否则连windows桌面都无法登录。

如果您无法登录windowsserver2008R2服务器的桌面，并且系统提示您RPC服务启动失败并且您无法读取用户配置文件，您可以进入安全模式并运行services.msc。找到远程过程调用(RPC)和RPC端点映射器(rpceptmapper)，设置这两个服务自动启动，然后运行msconfig。

在“Services”选项卡中，确保选中RPCEndpointMapper，单击“OK”,然后重新启动系统，进入正常模式，您应该可以使用管理员帐户登录。

下图显示了事件查看器中的RPC服务启动失败消息:

要深入理解RPC-EPMAP(RPC端点映射器，以下简称RPC端点映射器)使用的135端口和RPCSS(远程过程调用，以下简称RPC)使用的动态端口，可以考虑下面的例子:

现在有两台windowsserver2008R2服务器A和B，A的IP是192.168.5.1；b的IP是192.168.5.2，A需要在两台计算机上启用RPC-EPMAP和RPC服务，以便“远程管理”b上的windows高级安全防火墙，首先输入:

netsh advfirewall set currentprofile settings remotemanagement enable

这相当于在此服务器上的高级安全windows防火墙中，启用当前活动配置文件(私有/公共/域)的入站策略的预定义规则中的两个规则“windows防火墙远程管理(RPC)”和“windows防火墙远程管理(RPC-EPMAP)”。再看B的高级安全防火墙，发现RPC-EPMAP的本地端口是端点映射器，其实就是TCP的11。RPC的本地端口是一个动态端口:

然后，在计算机A上，通过MMC远程连接到B的高级安全防火墙(192.168.5.2):

仔细看上面的两个图，它们验证了我们前面讨论的RPC使用的端口的内容；如果B上的RPC-EPMAP服务在services.msc中被停止或禁用，(如果无法禁用，根据netstat-ano列出的B上TCP135端口的PID，可以在任务管理器中找到启动RPC-EPMAP服务的svchost.exe进程，将其杀死，TCP135端口就会关闭)

此时，我们还不能在a上远程管理B上的高级安全防火墙，因此，RPC-EPMAP是一个非常重要的基础系统服务。不仅远程管理防火墙和RPC动态端口服务依赖于它，而且一堆系统服务也建立在它之上。

以下是services.msc中对该服务的解释:

解析RPC接口标识符以传输端点。如果此服务被停止或禁用(实际上关闭了0.0.0上的本地环回或TCP135端口)，使用远程过程调用(RPC)服务的程序将无法正常运行。

综上所述，在服务器端，我们应该正确配置防火墙策略，将发起的连接限制在本地开放的TCP135端口的入站和出站方向，而不是盲目关闭。由于生产服务器关闭了这个端口，后果非常严重。

**********************

日志存储和清理的一般原则

如果你所在的企业组织对系统日志的存储有严格的要求，比如每一种 *** 作都要记录并保存一段时间，那么就有必要制定一个日志的存储和清除策略。

在事件查看器左侧的日志树中，只有“windows日志”和“应用程序和服务日志”两个节点下的日志可以自定义日志文件大小和存储路径；

“自定义视图”节点下的所有日志都不能调整大小或更改。这是因为自定义视图日志只是基于用户创建的过滤规则，然后在上面两个日志树中找到匹配的日志条目，一起显示。这些过滤后的日志副本不是创建的，只能由原始日志修改。

作为一个服务器 *** 作系统，windowsserver2008R2显然考虑到了企业组织对日志归档的需求。因此，当管理员试图清除系统日志文件的内容时，他会给出一个明显的提示，要求用户先备份日志，即单独存储一份副本。假设未来公司出现信息安全突发事件，这些归档的日志将是追查取证的有力工具。

*******************************

事件查看器还支持将自定义的任务“附加”到事件中，例如，当特定事件发生时，桌面会d出信息提示框，或者运行指定的程序脚本(支持VBScript)，或者给用户发送邮件等。

让我们看一个例子:

软件保护服务和SPP通知服务服务是微软用来定期检查用户的windows产品许可证是否过期以及激活是否有效的两个“软件保护服务”。

一般来说，MSDN下载的windowsserver2008R2有180天的免费“评估期”。之后，用户需要购买许可证来激活windows。当然，加上最多五次10天的容忍期，最多可以免费使用230天。试用期间，所有功能不受限制。

评估期过后，我们可以通过services.msc服务管理器手动禁止服务运行，通过msconfig禁止其在系统启动时运行，但这两种方法的效果都不理想:在内核代码的逻辑层面，系统可以“随时”启动这两个服务，并检查我们的授权状态。

当系统运行这两个服务时，它们将被记录并在事件查看器中浏览。

但是注意，这两个服务没有“任务类别”的概念，属于“应用”日志节点，所以需要用“来源”为Security-SPP，级别为“信息”的多种过滤方式进行过滤，如下图:

以下是正在启动的secity-spp服务的筛选记录。这个事件的ID是900。我们需要将任务附加到此事件。请注意，不要将事件附加到secity-spp服务的后续事件中，例如“授权检查状态已完成(ID1003)”和“软件保护服务已启动(ID902)”，因为此时您可以更改系统时间并重置它。

单击上面第一个图右侧的“将任务附加到该事件”，将会打开一个创建基本任务的向导。可以设置记录事件时(即privacy-spp服务运行时)的 *** 作:运行其他应用程序或脚本；向用户发送电子邮件并显示桌面消息。

我在这里定制了一串提示来提醒我，当windows检查我的许可证时，它会立即运行激活工具来重新激活它(我的230天评估期已过；当然，你也可以重装系统...)，因为我的激活工具即使在评估过期后仍然可以激活，所以这里我选择发送提醒消息。如果您重置5天宽限期或更改时间，您可能需要选择“开始程序”作为“ *** 作”，然后找到您的重置脚本或更改时间脚本以绕过验证。

注意，事件查看器实际上是借助windows任务计划程序支持“将任务附加到此事件”的功能。也就是说，在上图的向导设置之后，你还需要打开管理工具中的任务调度器，点击左边的“事件查看器任务”节点，然后中间的窗口就会列出我们刚刚附加的任务。点击右键，选择“开始”可以手动运行Security-SPP服务，会看到上面的小提示对话框，表示自定义任务成功附加到事件中！

上面的例子只是一个有价值的例子。您可以将任何任务附加到可以记录的任何事件。比如，当重要的系统目录被访问和读取时，设置特殊权限；当远程登录尝试频繁失败时，锁定帐户...只有想不到，没有做不到。后续将介绍一些通过执行特定任务来响应敏感安全事件的示例。