1、预备知识
Windows操作系统提供了应用程序日志、安全日志、系统日志、FTP日志、WWW日志、DNS服务器日志等涉及系统各个环节的信息,这些信息都以文件形式存储在磁盘上,保存日志信息的文件称为日志文件。
(1)日志的功能
操作系统的日志是一种非常关键的服务组件,因为系统日志通常会记录一些操作内容,可以让用户充分了解系统的运行环境。
系统日志用于跟踪记录各种系统事件;应用程序日志记录由应用程序或系统产生的事件,如应用程序产生的装载动态链接库(dll)失败的信息都将被记录在该日志中;安全日志记录登录、打开或关闭网络、改变访问权限、系统启动或关闭事件,以及创建、打开或删除文件等资源使用相关联的事件。
(2)日志分析
在windows日志中记录了大量的操作事件,为了方便用户对时间的管理,每种类型的事件被赋予了一个唯一的编号:事件ID。通过分析事件ID可以发现影响windows系统安全的因素,还可以通过查询ID的方式快速找到需要关注的日志警报信息。在windows系统中,可以在“事件查看器”中通过查看系统日志的“事件ID”来查看某一类型的事件。
2、实验清单
windows Server 2003操作系统
3、实验步骤
(1)安装IIS
- “开始”——“控制面板”——“添加或删除程序”
- 选择添加或删除Windows组件
- 按下图选择
注:在安装过程中需要一个i386的补丁程序
- 打开“管理工具”可以看到IIS已经安装。
(2)iis的日志文件在C:\WINDOWS\system32\LogFiles\W3SVC1中
注:安装完iis后并不会出现W3SVC*文件夹,必须自己访问一下127.0.0.1,才会生成W3SVC*文件夹
(3)在cmd命令行中输入“cd C:\WINDOWS\system32\LogFiles\W3SVC1”命令,切换到W3SVC1目录下;
(4)输入“net stop w3svc”命令,停止w3svc服务;
(5)输入“del *”命令,删除所有日志文件;
(6)输入“net start w3svc”命令,启动w3svc服务;
(7)用"dir"命令查看W3SVC1目录下的文件。
4、任务与思考
出于安全考虑,在提供重要服务的系统中如何将日志单独保存和加强管理?
具体可以通过修改日志文件的存放文件夹(必须在NTFS分区中)的访问权限来实现。一般情况下,对于everyone账户可只分配“读取”权限,对System账户取消“完全控制”和“修改”权限的分配。这样,当攻击者试图清除Windows日志时,就会被拒绝。
由于攻击者容易在日志文件中留下操作的痕迹,因此管理员可以通过设置入侵检测系统规则,建立系统受到入侵时的特征库,通过将系统运行情况与该特征库进行比较,判定是否有入侵行为发生。
扫一扫
783
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
