Windows system >> Windowsの知識 >  >> コンピュータソフトウェアのチュートリアル >> サーバー技術 >> サーバーについて >> ネットワーク管理者セキュリティトレーニングキャンプ--- Windows

ネットワーク管理者セキュリティトレーニングキャンプ--- Windows

  
のブラックボックスを保護する

ホームは「ブラックボックス」の見知らぬ人ではなく、フライトのすべてのパラメータを忠実に記録し、事故の際には「ブラックボックス」を表示できます。データで、失敗の原因を見つけます。 Windowsシステムには「ブラックボックス」もあります。これは、Windowsシステムとそのさまざまなサービスの詳細をすべて記録するログファイルで、Windowsの安定性とセキュリティを強化するうえで非常に重要な役割を果たします。しかし、多くのユーザはそれを保護することに注意を払っていません、招待されていないゲストがログファイルを簡単に空にしてしまい、システムに深刻なセキュリティ上の危険をもたらします。

まず、ログファイルとは何ですか?
ログファイルとは、Windowsシステムの中の特別なファイルのことです。さまざまなシステムサービスの起動、実行、シャットダウンなど、Windowsシステムで発生するすべてのことを記録します。情報です。 Windowsのログには、アプリケーション、セキュリティ、システムなどのいくつかの部分が含まれており、その保存パスは "%systemroot%\\ system32 \\ config"です。アプリケーションログ、セキュリティログ、およびシステムログに対応するファイルはAppEvent.evtおよびSecEvent.evtです。そしてSysEvent.evt。これらのファイルは「イベントログ」サービスによって保護されているため削除できませんが、空にすることはできます。

次に、ログファイルの表示方法
Windowsシステムでログファイルを表示するのはとても簡単です。 [スタート]→[設定]→[コントロールパネル]→[管理ツール]→[イベントビューア]の順にクリックして、アプリケーション、セキュリティ、システムなど、マシンに含まれるログタイプをイベントビューアウィンドウの左側の列に表示します。ログレコードの表示も非常に簡単で、アプリケーションなどの左側の列でログの種類を選択し、右側の列にその種類のログのすべてのレコードを一覧表示し、いずれかのレコードをダブルクリックすると、[イベントプロパティ]ダイアログが表示されます。ボックスにはレコードの詳細が表示されるので、システムで何が起こっているのか、それがWindowsの通常の動作に影響を与えているのかどうか、問題があれば調べてください。

第3に、Windowsログファイルの保護
ログファイルは私たちにとって非常に重要なので、ログファイルの消去から「不法」を防ぐために、その保護を無視することはできません。
<P> 1。ログファイル格納ディレクトリの変更Windowsログファイルのデフォルトパスは "%systemroot%\\ system32 \\ config"です。ログの保護を強化するためにレジストリを変更することで格納ディレクトリを変更することができます。

「スタート」→「ファイル名を指定して実行」の順にクリックし、ダイアログボックスに「Regedit」と入力し、Enterキーを押してレジストリエディタを開き、[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ Eventlog]を展開します。セキュリティとシステムのいくつかのサブ項目は、アプリケーションログ、セキュリティログ、およびシステムログに対応しています。

作成者はアプリケーションログを例にとり、それを "d:\\ cce \\"ディレクトリに転送します。 (表示されているように)Applicationサブアイテムを選択し、右側の列でFileキーを見つけますキー値は、アプリケーションログファイル "%SystemRoot%\\ system32 \\ config \\ AppEvent.Evt"のパスで、 "d:\\ cce"に変更します。 \\ AppEvent.Evt "次に、Dドライブに新しい "CCE"ディレクトリを作成し、 "AppEvent.Evt"をそのディレクトリにコピーしてシステムを再起動し、アプリケーションログファイルの保存ディレクトリの変更を完了します。他の種類のログファイルパスも同じように変更されますが、異なるサブキーの下で動作する点が異なります。


2。ファイルアクセス権の設定
WindowsシステムがNTFSファイルシステムフォーマットを使用している場合は、ログファイルアクセス権を変更することで、これを防ぐことができます。
DドライブのCCEディレクトリを右クリックして[プロパティ]を選択し、[セキュリティ]タブに切り替えます最初に[親からの継承可能なアクセス許可をこのオブジェクトに伝達する]チェックボックスをオフにします。次に、アカウントリストボックスで「Everyone」アカウントを選択し、それに「読み取り」権限のみを与えてから、「追加」ボタンをクリックして「システム」アカウントをアカウントリストボックスに追加し、「フルコントロール」と「変更」を与えます。 「」以外のすべてのアクセス許可をクリックし、最後に[OK]ボタンをクリックします。ユーザーがWindowsのログを消去すると、エラーダイアログが表示されます。

4つ目は、Windowsログインスタンスの分析
多くの操作上のイベントがWindowsログに記録されるユーザーの管理を容易にするために、イベントの種類ごとに一意の番号(イベントID)が与えられます。 。
<P> 1。通常の切り替えレコードを表示するWindowsシステムでは、イベントビューアのシステムログを介してコンピュータのオープンレコードとシャットダウンレコードを表示できますこれは、ログサービスがコンピュータと共に開始またはシャットダウンされ、ログに記録が残るためです。 。ここでは、2つのイベントID「6006と6005」を紹介します。 6005はイベントログサービスが開始されたことを示し、イベントビューアでイベントID番号6005が見つかった場合は、この日にWindowsシステムが正常に開始されたことを示します。 6006は、イベントログサービスが停止したことを示し、イベントビューアにイベントID番号6006が見つからない場合は、システムが原因でシステムがシャットダウンされなかったか、直接電源が切断された可能性があります。シャットダウン操作
<P> 2。 DHCP設定の警告メッセージを確認する
大規模ネットワークでは、通常、DHCPサーバーを使用してクライアントのIPアドレス情報を設定し、クライアントがDHCPサーバーを見つけられない場合、クライアントは自動的にクライアントに内部IPアドレスを設定します。また、WindowsログにイベントID番号1007のイベントが生成されます。ユーザがログ内でnumberイベントを見つけた場合は、マシンがDHCPサーバから情報を取得できないことを示しており、マシンが故障しているのかDHCPサーバが故障しているのかを確認する必要があります。
zh-CN"],null,[1],zh-TW"]]]

Copyright © Windowsの知識 All Rights Reserved