Windows system >> Windowsの知識 >  >> Windows Serverシステムのチュートリアル >> サーバー2008 >> Windows Server 2008ウイルス盗用アカウントのセキュリティリスク

Windows Server 2008ウイルス盗用アカウントのセキュリティリスク

  

[ITエキスパートネットワーク限定]多くのネットワークウイルスまたはトロイの木馬がシステムを攻撃し、攻撃マークを隠す目的を達成するために、システムのログインアカウントをひそかに変更することが多いです。運用上のセキュリティ上、システムに潜んでいるさまざまなネットワークウイルスやトロイの木馬を「クラッキング」する方法を見つける必要があります。その後、システム内のユーザーアカウントが初めてひそかに変更されたことを知る方法はありますか? Windows Server 2008システム環境では、いくつかのプロのセキュリティツールを使用して簡単に実行できますが、プロのセキュリティツールを使用しなくても、素手でアカウントを盗む "悪い"出来事を盗むことができます。 Windows Server 2008のシステムイベントビューアに新しく追加されたバインディングタスク機能を使用して、システム内のユーザーアカウントが初めて盗まれたことを確認できます。


ご存知のように、古いバージョンのシステム環境では、イベントビューアを使って影をつけることがよくあります。イベントの記録、将来的にはこれらのセキュリティログの内容を慎重に分析の安全運転、我々は、ローカルシステムに隠されたいくつかのセキュリティ上のリスクを見つけることができるようになります。しかし、残念なことに、旧バージョンのシステムのイベントビューアプログラムは、セキュリティ上の脅威のある操作イベントを記録することしかできず、セキュリティアラート情報をシステム管理者に間に合わせることができないため、システム管理者が最初に参加することはできません。ローカルシステムにセキュリティ上の脅威があることは時が経ちます。 Windows Server 2008システム環境では、イベントビューアプログラムの機能は明らかに強化されており、システム管理者は特定のシステムイベントに対してタスクプランをバインドすることができます。実行をトリガーします。

この機能を使用すると、アカウントの変更イベントを時間内に追跡し、アカウントのイベントを盗むための自動アラームタスクプランをバインドすることができます。自動アラームプロンプトが聞こえたら、システム内の一部のユーザーアカウントが初めてひそかに変更されたことがわかります。上記の分析によれば、Windows Server 2008システム環境でシステム監査ポリシーを変更し、システムにアカウント管理イベントを監査させ、イベントビューアプログラムが秘密に変更されているユーザーアカウントの操作動作を自動的に記録できるようにする必要があります。ユーザーアカウントを変更するイベントを手動で起動し、ユーザーアカウントを変更するイベントに自動アラームタスクプランを添付するため、将来Windows Server 2008システムでシステムユーザーアカウントが密かに変更されると、自動アラームタスクプランは当然自然に変更されます。システム管理者は、実行後、システム内でアカウント変更イベントが発生したことをすぐに認識し、セキュリティ上のリスクを発見し、最初にシステムに隠された危険性を排除するための的確な対策を講じることができます。それを落としなさい。


デフォルトでは、システムユーザーアカウントの名前を変更しても、システムのイベントビューアリストから対応する操作レコードは表示されません。これは、Windows Server 2008システムでは既定の状態のユーザーアカウントの変更動作が自動的に記録されないためですイベントビューアでユーザーアカウントを記録するには、Windows Server 2008システムの監査ポリシーを変更する必要があります。変更されたイベントアカウント管理イベントの監査では、次の手順に従います。

システム管理者としてWindows Server 2008システムに最初にログインし、システムデスクトップの[スタート] /[ファイル名を指定して実行]をクリックします。コマンド、ポップアップシステム実行テキストボックスに文字列コマンド "gpedit.msc"を入力し、[OK]ボタンをクリックして、システムグループポリシー編集ウィンドウを入力します。
編集ウィンドウの左側の横にある

このウィンドウで、[コンピューターの構成]ノードオプションにマウスを置き、[監査ポリシー]で、ノードの下の[Windowsの設定]、[セキュリティの設定]、[ローカルポリシー]、[監査ポリシー]の順に選択します。サブアイテムの下で、ターゲットグループポリシーオプション "Audit Account Management"を見つけ、そのオプションを右クリックして、ポップアップショートカットメニューから[Properties]コマンドを選択して、図1に示すようにターゲットグループポリシー属性設定ウィンドウを開きます。 Br>

プロパティ設定画面の「ローカルセキュリティ設定」タブで、「成功」チェックボックスを選択し、「OK」ボタンをクリックしてください。 Windows Server 2008システムは、ユーザーアカウントイベントの変更が成功したことを監査できます。同様に、ユーザーアカウントの変更の失敗を確認して、イベントビューアプログラムに、ユーザーアカウントの変更に失敗したというイベントを自動的に記録させることもできます。
前へ12次へもっと読む

Copyright © Windowsの知識 All Rights Reserved