El hogar no es extraño a la "caja negra", registra fielmente todos los parámetros del vuelo, en caso de un accidente, puede ver la "caja negra" En los datos, averigüe la causa del fallo. Los sistemas Windows también tienen una "caja negra", que es un archivo de registro que registra todos los detalles del sistema Windows y sus diversos servicios, y desempeña un papel muy importante para mejorar la estabilidad y seguridad de Windows. Sin embargo, muchos usuarios no prestan atención para protegerlo. Algunos "invitados no invitados" vacían fácilmente los archivos de registro, lo que conlleva graves riesgos de seguridad para el sistema.
Primero, ¿qué es un archivo de registro?
El archivo de registro es un archivo especial en el sistema Windows, registra todo lo que sucede en el sistema Windows, como el inicio, la ejecución, el apagado, etc. de varios servicios del sistema. Informacion El registro de Windows incluye varias partes, como aplicación, seguridad y sistema. Su ruta de almacenamiento es "% systemroot% \\ system32 \\ config". Los archivos correspondientes al registro de aplicación, el registro de seguridad y el registro del sistema se denominan AppEvent.evt y SecEvent.evt. Y SysEvent.evt. Estos archivos están protegidos por el servicio "Registro de eventos" y no se pueden eliminar, pero se pueden vaciar.
Segundo, cómo ver el archivo de registro
Ver el archivo de registro en el sistema Windows es muy simple. Haga clic en "Inicio → Configuración → Panel de control → Herramientas administrativas → Visor de eventos" para obtener una lista de los tipos de registro incluidos en la máquina, como aplicación, seguridad, sistema, etc., en la columna izquierda de la ventana del Visor de eventos. Ver un registro de registro también es muy simple. Seleccione un tipo de registro en la columna izquierda, como la aplicación, luego enumere todos los registros del registro de tipo en la columna derecha, haga doble clic en uno de los registros y aparecerá el cuadro de diálogo "Propiedades del evento". El cuadro muestra los detalles del registro, de modo que podamos captar con precisión lo que está sucediendo en el sistema, si afecta el funcionamiento normal de Windows y, si hay un problema, descúbralo.
En tercer lugar, la protección de los archivos de registro de Windows
Los archivos de registro son muy importantes para nosotros, por lo que no podemos ignorar su protección, para evitar que algunos "ilegales" limpien los archivos de registro.
1. Modifique el directorio de almacenamiento del archivo de registro
La ruta predeterminada del archivo de registro de Windows es "% systemroot% \\ system32 \\ config". Podemos cambiar el directorio de almacenamiento modificando el registro para mejorar la protección del registro.
Haga clic en "Inicio → Ejecutar", ingrese "Regedit" en el cuadro de diálogo, presione Entrar para abrir el Editor del Registro y luego expanda "HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Eventlog", luego la siguiente aplicación, Varios subelementos de Seguridad y Sistema corresponden a registros de aplicaciones, registros de seguridad y registros del sistema.
El autor toma el registro de la aplicación como ejemplo y lo transfiere al directorio "d: \\ cce \\". Seleccione el subelemento de la aplicación (como se muestra) y busque la clave del archivo en la columna derecha. El valor de la clave es la ruta del archivo de registro de la aplicación "% SystemRoot% \\ system32 \\ config \\ AppEvent.Evt", y cámbielo a "d: \\ cce". \\ AppEvent.Evt ". Luego cree un nuevo directorio "CCE" en la unidad D, copie "AppEvent.Evt" en el directorio, reinicie el sistema y complete la modificación del directorio de almacenamiento del archivo de registro de la aplicación. Otros tipos de rutas de archivos de registro se modifican de la misma manera, excepto que operan bajo diferentes subclaves.
2. Establezca los permisos de acceso al archivo
Después de modificar el directorio de almacenamiento del archivo de registro, el registro aún se puede vaciar. Lo siguiente es evitar que esto suceda modificando los permisos de acceso del archivo de registro, siempre que el sistema de Windows use el formato del sistema de archivos NTFS.
Haga clic con el botón derecho en el directorio CCE de la unidad D, seleccione "Propiedades" y cambie a la pestaña "Seguridad". Primero, desmarque la opción "Permitir que los permisos heredables del padre se propaguen a este objeto". Luego seleccione la cuenta "Todos" en el cuadro de lista de la cuenta, y solo déle el permiso "Leer"; luego haga clic en el botón "Agregar" para agregar la cuenta del "Sistema" al cuadro de lista de la cuenta, dándole el "Control total" y "Modificar" Todos los permisos excepto ", y finalmente haga clic en el botón" Aceptar ". Aparecerá un cuadro de diálogo de error cuando el usuario borre el registro de Windows.
Cuarto, análisis de instancia de registro de Windows
Muchos eventos operativos se registran en el registro de Windows. Para facilitar la gestión de los usuarios, cada tipo de evento recibe un número único, que es el ID del evento. .
1. Ver el registro de cambio normal
En los sistemas Windows, podemos ver los registros de apertura y apagado de la computadora a través del registro del sistema del visor de eventos, ya que el servicio de registro se inicia o se apaga con la computadora y deja un registro en el registro. . Aquí vamos a presentar dos ID de eventos "6006 y 6005". 6005 indica que se ha iniciado el servicio de registro de eventos. Si se encuentra un número de ID de evento de 6005 en el visor de eventos, indica que el sistema de Windows se inicia normalmente en este día. 6006 indica que el servicio de registro de eventos se ha detenido. Si el número de ID de evento de 6006 no se encuentra en el visor de eventos, significa que la computadora no se apagó normalmente en este día. Esto puede deberse a motivos del sistema o la alimentación se corta directamente. Operación de apagado.
2. Verifique el mensaje de advertencia de configuración DHCP
En una red grande, el servidor DHCP se usa generalmente para configurar la información de la dirección IP del cliente. Si el cliente no puede encontrar el servidor DHCP, el cliente configurará automáticamente el cliente con una dirección IP interna. Y se genera un evento con un número de ID de evento de 1007 en el registro de Windows. Si el usuario encuentra el evento del número en el registro, lo que indica que la máquina no puede obtener información del servidor DHCP, es necesario verificar si la máquina está defectuosa o si el servidor DHCP está defectuoso.
Los usuarios siempre desean una métrica simple y eficiente para cuantificar el sistema del servidor
La nube de servicios para perros de seguridad es una plataforma de nube de administración de segurid
El origen de la sala BGP (Border Gateway Protocol) es un protocolo de enrutamiento que se utiliza pa
En cuarto lugar, los detalles del grupo de aplicaciones Anteriorment
Solución temporal de vulnerabilidad de punto y coma por IIS 6.0 ASP
¿Qué es una tarjeta de matriz?
Diagrama completo de la instalación del servidor IBM HTTP Server
La depuración local de IIS no reconoce la solución IP
3 errores importantes que deben evitarse al realizar copias de seguridad de servidores virtuales
Cómo abrir la biblioteca de cifrado Mcrypt.so del servidor
servidores Linux desde la entrada a la maestra que pidió 52
Configurar servidor compartido 01 con 2003
directorio de Nginx prohibida por el php
Habilitar GZIP IIS6 para mejorar el sitio abre velocidad de
Acceda al servidor WEB con nombre de dominio chino
Cómo deshabilitar los encabezados de host vacío Apache y nginx en el sistema Linux
La aprobación del concepto de diseño de Windows 8 se verá afectada por WP7
Win7 Ultimate Windows Security Center no puede abrir la solución
Descripción detallada del tipo de inicio de sesión de Windows
Microsoft lanzará oficialmente Windows8 en octubre
Habilidades prácticas del sistema de vista previa de la tecnología Win10 4