偷改帳號 Windows Server 2008系統早知道

許多網路病毒或木馬程式攻擊系統後，常常會偷偷修改系統登入帳號，以便達到隱藏攻擊痕迹的目的!為了有效 保護系統的運行安全性，我們應該想辦法及時將潛藏在系統中的各種網路病毒或木馬程式“揪”出來，那麼我們該 如何才能在第一時間內知道系統中的某個使用者帳號被偷偷修改了呢?儘管藉助一些專業的安全工具可以輕鬆地做到 這一點，不過在Windows Server 2008系統內容下，即使我們手頭沒有專業的安全工具幫忙，也能赤手空拳地將偷 改帳號的“惡劣”事件捕捉到;我們只要利用Windows Server 2008系統事件查看器新增加的綁定任務功能，就能在 第一時間內知道系統中的某個使用者帳號被偷偷修改了!

追蹤偷改帳號事件

大家知道，在舊版本系統內容下，我們常常會利用事件檢視器來將一些影響系統安全啟動並執行事件記錄下來，日 後仔細分析這些安全日誌內容，我們就能從中找到潛藏在本地系統中的一些安全隱患了。不過，讓人遺憾的是，舊 版本系統下的事件檢視器程式只能記錄有安全威脅的操作事件，而無法及時向系統管理員發出安全警報資訊，那樣 一來系統管理員就無法在第一時間知道本地系統存在安全威脅。到了Windows Server 2008系統內容下，事件查看 器程式的功能明顯增強，系統管理員可以為特定的系統事件綁定任務計劃，一旦系統日後發生特定的系統事件時， 被綁定的任務計劃就能夠自動觸發運行。

利用這樣的功能，我們就能及時追蹤偷改帳號事件，並為偷改帳號事件綁定一個自動警示的任務計劃;一旦該事 件發生時，自動警示的任務計劃就能被觸發執行，到時我們聽到自動警示提示後，就能在第一時間知道系統中的某 些使用者帳號被偷偷修改了。依照上面的分析，我們只要先在Windows Server 2008系統內容下修改系統稽核原則， 讓系統對帳號管理事件進行審核，確保事件檢視器程式能夠自動記錄使用者帳號被偷偷修改的操作行為;之後，我們 需要手工觸發一個修改使用者帳號的事件，並將自動警示任務計劃附加到修改使用者帳號事件上;如此一來，日後 Windows Server 2008系統中有系統使用者帳號被偷偷修改時，自動警示的任務計劃自然就會被執行了，系統管理員 收到警示資訊後就知道系統中發生了偷改帳號事件;到時，系統管理員就能立即採取針對性措施來尋找安全隱患， 保證在第一時間將系統隱患排除掉。

審核帳號管理事件

在預設狀態下，即使我們修改了某個系統使用者帳號的名稱，也不會從系統的事件檢視器列表中看到對應的操作 記錄，這是什麼原因呢?其實很簡單，這是因為Windows Server 2008系統在預設狀態下並沒有自動記錄使用者帳號被 修改的操作行為，我們必須修改Windows Server 2008系統的稽核原則，才能讓事件檢視器記錄使用者帳號被修改的 事件。在對帳號管理事件進行審核時，我們可以按照如下步驟進行操作：

首先以系統管理員身份登入進Windows Server 2008系統，單擊該系統案頭中的“開始”/“運行”命令，在彈 出的系統運行文字框中輸入字串命令“gpedit.msc”，單擊“確定”按鈕後，進入系統組策略編輯視窗;

其次在該編輯視窗的左側顯示窗格中，將滑鼠定位於“電腦配置”節點選項上，再依次點選該節點下面的 “Windows設定”/“安全設定”/“本地策略”/“稽核原則”子項，在“稽核原則”子項下面找到目標組策略選項 “審核賬戶管理”，並用滑鼠右鍵單擊該選項，從彈出的捷徑功能表中選擇“屬性”命令，開啟如圖1所示的目標組 策略屬性設定視窗;

在該屬性設定視窗中的“本地安全設定”標籤頁面中，將“成功”複選項選中，再單擊“確定”按鈕，那樣一 來Windows Server 2008系統就能對成功修改使用者帳號事件進行審核了。同樣地，我們也可以對修改使用者帳號失敗 事件進行審核，讓事件檢視器程式也自動記錄修改使用者帳號失敗的事件。