深入WindowsServer2008的自我監(jiān)控

為了親身體驗Windows Server 2008系統(tǒng)與眾不同的試用感覺，相信很多用戶創(chuàng)建條件、強行為自己的計算機升級安裝了該系統(tǒng)。盡管該系統(tǒng)的運行穩(wěn)定性以及安全防范性能得到了顯著提升，不過在Internet網絡病毒與木馬瘋狂肆虐的今天，Windows Server 2008系統(tǒng)仍然還會時刻受到各式各樣的安全威脅，比方說核心共享內容被遠程修改、系統(tǒng)被非法入侵等，事實上不少安全威脅在真正發(fā)生之前都存在一些征兆現象，如果我們能夠及時監(jiān)控到這些可疑跡象，那么就能將安全隱患消除掉，那么我們該采取什么措施來自動監(jiān)控Windows Server 2008系統(tǒng)的可疑事件呢?這樣的任務在Windows Server 2008系統(tǒng)下很簡單就能做到，因為該系統(tǒng)新增加了“任務附加到事件”功能，我們可以深入挖掘該功能，來實現Windows Server 2008系統(tǒng)自我監(jiān)控的目的!
    自我監(jiān)控思路
    大家知道，每一個Windows系統(tǒng)都自帶了事件查看器程序，不過與傳統(tǒng)操作系統(tǒng)不一樣的是，Windows Server 2008系統(tǒng)將常用的任務計劃功能整合到事件查看器程序中了，有了這項功能的支持，我們可以在服務器系統(tǒng)中針對一些特殊系統(tǒng)事件附加任務計劃，讓該運行任務在特殊系統(tǒng)事件發(fā)生的那一刻及時提醒我們;當Windows Server 2008系統(tǒng)中的需要被監(jiān)控的系統(tǒng)事件真正發(fā)生時，附加在該系統(tǒng)事件上的特定任務計劃就能被自動觸發(fā)，到時它就能根據事先設置好的方式來提醒我們采取應對措施了，這樣一來就能實現不用外力工具，Windows Server 2008系統(tǒng)就能完成自我監(jiān)控的任務了。
    依照上述思路，我們只要先在Windows Server 2008系統(tǒng)中對需要監(jiān)控的系統(tǒng)事件啟用審核功能，確保系統(tǒng)的事件查看器程序能夠自動跟蹤、記憶目標系統(tǒng)事件，接著人為創(chuàng)建一個特殊系統(tǒng)事件，讓事件查看器程序自動生成這個事件記錄，例如我們簡單地注銷系統(tǒng)并重新登錄一次，那么Windows Server 2008系統(tǒng)的事件查看器程序就能自動把這個系統(tǒng)登錄事件記憶保存下來，有了具體的事件記錄后，下面我們就能利用“任務附加到事件”功能，將自動監(jiān)控報警信息通過任務計劃的方式附加到具體的事件記錄上，日后當相同的系統(tǒng)再次發(fā)生時，附加的任務計劃就能被自動觸發(fā)，到時我們就能及時收到附加任務計劃發(fā)送出來的報警信息了，看到報警信息后，我們要做的工作就是及時采取安全應對措施，防范這類有安全威脅的系統(tǒng)事件再次發(fā)生，那樣一來Windows Server 2008系統(tǒng)的安全性在某種程度上又得到了更進一步地強化。為方便敘述，本文就以自動監(jiān)控系統(tǒng)登錄事件為例，讓Windows Server 2008系統(tǒng)對那些偷偷登錄系統(tǒng)的非法行為進行自動監(jiān)控，謹防惡意攻擊者暗地里攻擊Windows Server 2008系統(tǒng)。
    審核待監(jiān)控事件
    Windows Server 2008系統(tǒng)內置的事件查看器程序在默認狀態(tài)下，不會對類似系統(tǒng)登錄這樣的事件進行跟蹤記錄的，也就是說平時我們登錄系統(tǒng)時，事件查看器程序并沒有這方面的事件記錄，要想對系統(tǒng)登錄這樣的事件進行監(jiān)控，我們首先要做的工作自然就是為待監(jiān)控事件啟用審核功能，讓事件查看器程序可以自動記憶保存這些事件記錄。在審核待監(jiān)控事件時，我們可以按照下面的操作來進行：
    首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中逐一點擊“設置”、“控制面板”選項，打開對應系統(tǒng)的控制面板窗口，再用鼠標雙擊該窗口中的“管理工具”圖標選項，進入Windows Server 2008系統(tǒng)的管理工具列表界面;
    其次雙擊管理工具列表界面中的“本地安全策略”圖標選項，在其后出現的本地安全策略編輯器界面中，依次展開左側子窗格區(qū)域中的“安全設置”/“ 本地策略”/“審核策略”分支選項，在“審核策略”分支選項下面，選中“審核登錄事件”選項，并用鼠標右鍵單擊該選項，從彈出的快捷菜單中執(zhí)行“屬性”命令進入的審核登錄事件屬性設置對話框;
    下面同時將該設置對話框中的“成功”、“失敗”復選項都選中，再單擊“確定”按鈕保存好上述設置操作，如此一來日后任何一位用戶無論有沒有成功登錄進 Windows Server 2008系統(tǒng)，對應系統(tǒng)的事件查看器程序都會自動把這次系統(tǒng)登錄事件記錄保存到事件查看器列表中，仔細查看這些記錄，我們就能大概判斷出當前服務器系統(tǒng)中是否存在非法登錄事件發(fā)生了。
    手工生成目標事件
    考慮到任務計劃只能與具體的某件事件綁定在一起，為此要想利用任務計劃功能對目標系統(tǒng)事件進行自動監(jiān)控報警，我們還需要手工創(chuàng)建一個與待監(jiān)控事件性質一樣的具體事件記錄;例如，要手工生成系統(tǒng)登錄事件記錄時，我們只要在Windows Server 2008服務器系統(tǒng)桌面中依次單擊“開始”/“關機”選項，選中“待機”項目，單擊“確定”按鈕，將當前系統(tǒng)注銷掉，之后重新以系統(tǒng)管理員賬號登錄一次 Windows Server 2008服務器系統(tǒng)，當系統(tǒng)登錄操作成功后，對應系統(tǒng)的事件查看器程序就會自動將這次登錄操作記錄下來了。
    在查看具體的事件記錄時，我們可以在Windows Server 2008服務器系統(tǒng)桌面中用鼠標右鍵單擊“計算機”圖標，從彈出的快捷菜單中點選“管理”命令，打開對應系統(tǒng)的計算機管理控制臺界面;
    其次在該管理控制臺界面的左側顯示區(qū)域，用鼠標依次展開“診斷”/“事件查看器”/“Windows日志”/“安全”分支選項，在對應“安全”分支選項的右側顯示區(qū)域，我們會看到事件ID為4625的系統(tǒng)登錄事件記錄，用鼠標雙擊該事件記錄，打開目標事件屬性設置窗口，在該窗口的“常規(guī)”標簽頁面中，我們發(fā)現系統(tǒng)自動生成了賬戶登錄失敗事件，并且還能查看到究竟是哪一個用戶在哪一臺工作站上嘗試對本地Windows Server 2008服務器系統(tǒng)進行登錄操作的，仔細分析這些信號，我們或許就能大概判斷出當前是否有非法攻擊者在偷偷登錄本地服務器系統(tǒng)了。
    附加監(jiān)控報警任務
    由于我們現在是要對系統(tǒng)登錄事件進行自動監(jiān)控，為此我們下面需要把監(jiān)控報警任務附加到系統(tǒng)登錄事件上，以確保Windows Server 2008服務器系統(tǒng)下次再次發(fā)生相同的事件時，被附加的指定任務能夠自動觸發(fā)運行，以便及時向我們發(fā)送報警提示信息，從而實現自動監(jiān)控目的。在附加監(jiān)控報警任務到系統(tǒng)登錄事件時，我們可以按照下面的操作來進行：
    首先按照前面的操作步驟，打開Windows Server 2008服務器系統(tǒng)的事件查看器程序，打開我們希望監(jiān)視的安全事件日志，找到前面自動生成的相應事件記錄，用鼠標右鍵點選該系統(tǒng)登錄事件，從彈出的快捷菜單中執(zhí)行“將任務附加到此事件”命令，當然也可以從右側操作列表區(qū)域中點選“將任務附加到此事件”選項;
    其次系統(tǒng)屏幕上將會自動出現一個向導提示窗口，我們可以為當前這個任務設置一個有針對性的名字和描述性文字，例如這里筆者將該任務計劃的名稱定為“自動監(jiān)控報警”，之后單擊該窗口中的“下一步”按鈕，隨后系統(tǒng)屏幕上會彈出一些提示說明文字，根據這些說明文字我們可以確認這些內容的準確性，如果看到這些內容都正確無誤時，繼續(xù)單擊向導窗口中的“下一步”按鈕;
    這時系統(tǒng)屏幕上會出現一個設置窗口，在這里我們可以選擇使用不同的報警提示方式，例如可以選用顯示消息、發(fā)送電子郵件或啟動程序，要是我們選用了“啟動程序”提示方式時，點選“下一步”按鈕后，會自動看到選擇程序對話框，單擊其中的“瀏覽”按鈕，再查找和選擇任何可執(zhí)行文件、批處理文件或腳本，當然我們也可以直接輸入目標應用程序的啟動路徑，最后單擊“完成”按鈕結束任務計劃的附加操作;
    要是我們選用了“發(fā)送電子郵件”提示方式時，點選“下一步”按鈕后，我們會自動看到一個發(fā)送電子郵件編輯對話框，在這里我們需要正確地添加任何需要的報警內容，比方說發(fā)信人、收信人、郵件主題、報警內容等，甚至我們還能直接將報警內容以附件文件形式添加到郵件當中，最后還需要設置好發(fā)送郵件所需的SMTP 服務器地址;
    要是我們選用的是“顯示消息”提示方式，那么點選“下一步”按鈕后，我們可以在其后的設置窗口中添加報警消息的標題以及具體的報警內容，這個方式其實就是新建一個告警提示窗口。當我們在瀏覽事件查看器的具體日志內容時，或許會看到每隔一段時間系統(tǒng)會發(fā)生一個危險事件，不過要是我們不及時打開事件查看器去查看時，我們根本沒有辦法在第一時間知道該事件的發(fā)生，現在有了這個顯示消息提示方式，日后一旦發(fā)生同樣的危險事件時，我們就能在第一時間知道并采取安全應對措施了。
    很顯然，為了實現及時、自動監(jiān)控目的，我們在這里應該選用“顯示消息”提示方式，之后依照屏幕提示輸入好消息標題以及報警主題內容，比方說輸入“注意了，可能有非法賬號在偷偷登錄系統(tǒng)!”，最后單擊“完成”按鈕保存好上述任務計劃的創(chuàng)建操作。
    實現自動監(jiān)控報警
    到了這里，Windows Server 2008系統(tǒng)就能實現自動監(jiān)控報警的目的了。日后當有非法用戶偷偷登錄Windows Server 2008系統(tǒng)時，事先附加到系統(tǒng)登錄事件上的指定報警任務就會自動觸發(fā)運行，而該任務運行成功后，Windows Server 2008系統(tǒng)屏幕上會自動出現“注意了，可能有非法賬號在偷偷登錄系統(tǒng)!”這樣的報警提示信息，見到這樣的提示信息，我們就能知道當前有人在偷偷登錄本地服務器系統(tǒng)，此時我們應該打開Windows Server 2008服務器系統(tǒng)的事件查看器程序窗口，找到系統(tǒng)自動生成下來的相應事件記錄，用鼠標雙擊該目標事件，進入該事件的具體屬性設置窗口，從中查看究竟是哪一位用戶、在哪一臺計算機上嘗試登錄操作，如果發(fā)現是陌生的用戶或陌生的計算機，那么我們應該及時采取安全措施來阻止他們繼續(xù)非法登錄，以便確保 Windows Server 2008服務器系統(tǒng)的運行安全。