Windows系統日誌審計

 　　實驗背景

　　針對網路中Windows伺服器攻擊經常發生的情況，管理員需要在伺服器工作出現異常情況後，進行快速的響應，並且需要及時定位受到入侵的服務，發現駭客入侵的手段，找到系統的脆弱點並且加以修補，Windows Server 提供的日誌工具可以協助我們完成相關操作。

　　Windows系統中日誌分為三種，分別是：應用程式記錄檔、系統日誌、安全日誌;預設情況下，如果系統不對事件做審核則不會產生安全日誌。

　　實驗目標

　　掌握Windows日誌系統的結構

　　能夠根據需要設定審核條件

　　能夠完成對帳號的審計操作

　　能夠根據不同的應用要求

　　實驗環境

　　Server：Windows Server 2003

　　Client：Windows

　　實驗過程指導

　　(1)啟動管理工具中的本地安全性原則

　　(2)開啟本地安全性原則中的稽核原則，根據需要對需要審核的項進行設定

　　(3)設定審核登入成功和失敗的事件

　　(4)審核目錄訪問成功和失敗的事件

　　(5)可根據實際的需要選擇並設定審核選項，應用結果後可以使用兩種方式進行測試：

　　A、使用遠程3389連接埠對伺服器進行枚舉攻擊

　　B、在本地嘗試猜解管理員密碼

　　(6)管理員以正確密碼登入後通過事件檢視器查看安全日誌

　　(7)查看登入失敗的日誌資訊

　　(8)通過實驗回答下列問題

　　A、有哪些使用者，通過哪些IP對本伺服器進行掃描

　　B、有哪些使用者名稱被猜解

　　C、有哪些使用者曾經在本機成功登入

　　D、有哪些IP的破解未成功

　　E、如何規避和防範枚舉攻擊