El virus de Windows Server 2008 roba los riesgos de seguridad de la cuenta

[Exclusivo de la red de expertos en TI] Muchos virus de red o troyanos atacan el sistema, a menudo modifican secretamente la cuenta de inicio de sesión del sistema, para lograr el propósito de ocultar las marcas de ataque. Para proteger de manera efectiva la seguridad operativa del sistema, debemos encontrar formas de hacerlo oportunamente Los diversos virus de red o troyanos ocultos en el sistema están "chirriantes", así que, ¿cómo podemos saber que una cuenta de usuario en el sistema se ha ocultado por primera vez? Incluso con algunas herramientas de seguridad profesionales, puede ser fácilmente Haga esto, pero en el entorno del sistema Windows Server 2008, incluso si no tenemos herramientas de seguridad profesionales para ayudar, podemos capturar los incidentes "malos" de robo de cuentas con las manos vacías; solo usamos los eventos del sistema de Windows Server 2008 para ver La función de tarea de enlace recién agregada puede saber que una cuenta de usuario en el sistema se modificó en secreto por primera vez.

Todos sabemos que en la versión anterior del entorno del sistema , a menudo usamos el visor de eventos para registrar algunos eventos que afectan el funcionamiento seguro del sistema, y ​​cuidadosamente Al analizar el contenido de estos registros de seguridad, podemos encontrar algunos riesgos de seguridad ocultos en el sistema local. Sin embargo, desafortunadamente, el programa del visor de eventos en la versión anterior del sistema solo puede registrar eventos operativos con amenazas de seguridad, y no puede enviar información de alerta de seguridad al administrador del sistema a tiempo, por lo que el administrador del sistema no puede estar en la primera El tiempo sabe que hay amenazas de seguridad en el sistema local. En el entorno del sistema Windows Server 2008, la función del programa del visor de eventos obviamente está mejorada, y el administrador del sistema puede vincular el plan de tareas para eventos específicos del sistema. Una vez que el evento del sistema ocurra en el futuro, el plan de tareas enlazado puede ser automáticamente Gatillo para correr.

Con esta función, podemos rastrear el evento de cambio de cuenta a tiempo y vincular un plan de tareas de alarma automático para robar el evento de cuenta; una vez que se produce el evento, el plan de tareas de alarma automática puede ser La ejecución del disparador, cuando escuchamos el aviso de alarma automática, podemos saber que algunas cuentas de usuario en el sistema se modificaron secretamente la primera vez. De acuerdo con el análisis anterior, solo necesitamos modificar la política de auditoría del sistema en el entorno del sistema Windows Server 2008, permitir que el sistema audite los eventos de administración de la cuenta y asegurarnos de que el programa del visor de eventos pueda registrar automáticamente el comportamiento de operación de la cuenta de usuario que se está modificando secretamente. Active manualmente un evento que modifique la cuenta de usuario y adjunte el plan de tareas de alarma automático al evento de modificación de la cuenta de usuario; por lo tanto, cuando la cuenta de usuario del sistema se modifique secretamente en el sistema de Windows Server 2008 en el futuro, el plan de tareas de alarma automática naturalmente Después de ejecutarse, el administrador del sistema sabe que el evento de cambio de cuenta ocurrió en el sistema. En ese momento, el administrador del sistema puede tomar medidas específicas para detectar riesgos de seguridad y asegurarse de que los peligros ocultos del sistema se eliminen por primera vez. Suéltalo

Por defecto, incluso si cambiamos el nombre de una cuenta de usuario del sistema, no veremos el registro de operación correspondiente de la lista del visor de eventos del sistema. ¿Qué es esto? El motivo es muy simple. Esto se debe a que el sistema Windows Server 2008 no registra automáticamente el comportamiento de modificación de la cuenta de usuario en el estado predeterminado. Debemos modificar la política de auditoría del sistema de Windows Server 2008 para que el visor de eventos registre la cuenta de usuario. Evento modificado. En la auditoría de eventos de administración de cuentas, podemos seguir los siguientes pasos:

Primero inicie sesión en el sistema Windows Server 2008 como administrador del sistema, haga clic en "Inicio" /"Ejecutar" en el escritorio del sistema Comando, ingrese el comando de cadena "gpedit.msc" en el cuadro de texto de ejecución del sistema emergente, haga clic en el botón "Aceptar", ingrese a la ventana de edición de políticas del grupo del sistema;

al lado izquierdo de la ventana de edición En el panel, coloque el mouse en la opción de nodo Configuración del equipo y luego haga clic en el subelemento Configuración de Windows /Configuración de seguridad /Políticas locales /Política de auditoría debajo del nodo, en la Política de auditoría Bajo el subelemento, busque la opción de política de grupo objetivo "Auditoría de administración de cuenta", haga clic con el botón derecho en la opción y seleccione el comando "Propiedades" en el menú de acceso directo emergente para abrir la ventana de configuración de atributos de política de grupo objetivo como se muestra en la Figura 1; Br>

En la pestaña "Configuración de seguridad local" de la ventana de configuración de la propiedad, seleccione la casilla de verificación "Correcto" y haga clic en el botón "Aceptar". El sistema Windows Server 2008 puede auditar la modificación exitosa de los eventos de la cuenta de usuario. De manera similar, también podemos revisar la falla en la modificación de la cuenta de usuario y dejar que el programa del visor de eventos registre automáticamente el evento en el que la cuenta de usuario no se modificó.
Anterior 12 Siguiente Leer más