劉景云

根據(jù)對系統(tǒng)日志的分析，系統(tǒng)管理人員可以準確了解系統(tǒng)各個方面的狀況，及時發(fā)現(xiàn)和解決潛在的問題，讓系統(tǒng)運轉(zhuǎn)得更加順暢。當不法用戶對Windows服務(wù)器進行滲透時，系統(tǒng)就會在日志中記錄下相關(guān)信息。對于管理員來說，通過對系統(tǒng)日志進行深入分析，就可以發(fā)現(xiàn)和洞察其活動蹤跡，及時發(fā)現(xiàn)系統(tǒng)安全配置上的不足之處，采取針對性的措施提高系統(tǒng)安全性。

深入了解Windows日志

Windows日志可以根據(jù)管理員的配置信息，將特定的事件忠實完整地記錄保存下來。因此，日志對其系統(tǒng)安全的重要性是不言而喻的。對于經(jīng)驗豐富的管理員來說，通過對日志的分析，可以對系統(tǒng)的安全狀況了如指掌。在Windows Server 2012中運行事件查看器這一工具，可以全面收集和了解關(guān)于硬件、軟件和系統(tǒng)配置安全管理有關(guān)的信息。

點擊“Win+R”鍵，執(zhí)行“eventvwr”命令，就可以打開查看日志內(nèi)容（圖1）。不管是哪個版本的Windows，都至少可以看到應(yīng)用程序日志、安全性日志、系統(tǒng)日志三類日志信息。應(yīng)用程序日志包含由應(yīng)用程序或者系統(tǒng)程序記錄的事件。例如，SQL Server數(shù)據(jù)庫程序會在應(yīng)用程序日志中記錄文件錯誤信息等。安全性日志記錄的是諸如有效或者無效的登錄嘗試等事件，以及記錄與資源管理相關(guān)的事件，例如創(chuàng)建、打開刪除文件或其他對象。

利用相關(guān)的管理程序，可以設(shè)定在安全日志中記錄哪些事件。例如，開啟了登錄審核后，登錄系統(tǒng)的嘗試將被記錄在安全日志中。系統(tǒng)日志包含Windows系統(tǒng)組件記錄的事件，例如，在啟動過程中加載驅(qū)動程序或者其他組件失敗后，這些信息就會被記錄在系統(tǒng)日志中。實際上，在默認情況下，日志記錄的內(nèi)容并不全面，一些非常重要的安全性監(jiān)視項目并沒有激活，這樣雖然可以節(jié)省系統(tǒng)資源，但是對提高安全性不利。

運行“gpedit.msc”程序，在組策略編輯器窗口左側(cè)選擇“計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→審核策略”項，在右側(cè)窗口中可以對多種審核策略進行配置（圖2）。例如雙擊“審核賬戶登錄事件”項，在彈出窗口（圖3）中選擇“成功”和“失敗”項。這樣，所有和登錄有關(guān)的事件都會被記錄下來。當然，如果激活的審核策略太多的話，就會生成大量的日志信息，反而對找到有用的信息不利。一般來說，激活“審核賬戶登錄事件”和“審核策略更改”兩項策略就可以了。

既然日志如此重要，那么日志文件保存在什么位置呢？查看的方法很簡單，在事件查看器窗口左側(cè)選擇“應(yīng)用程序”項，在其右鍵菜單上點擊“屬性”項，在彈出窗口中的“日志路徑”欄中顯示其具體文件存儲路徑（圖4），例如“%SystemRoot%＼System32＼Winevt＼Logs＼Application.evtx”。同樣的，可以查看安全性日志的存儲路徑“%Systemroot%＼system32＼winevt＼logs＼Security.evtx”，系統(tǒng)日志的存儲路徑“%Systemroot%＼system32＼winevt＼logs＼System.evtx”。

如果安裝有IIS組件，可以運行“inetmgr”命令，在Internet信息服務(wù)窗口中選擇網(wǎng)站名，在窗口中部選擇“日志”項，在打開窗口中的“目錄”欄中顯示其日志文件路徑信息（圖5），例如默認為“%SystemDrive%＼inetpub＼logs＼LogFiles”。當然，您也可以根據(jù)需要更改上述日志文件的存儲位置。在“格式”欄中點擊“選擇字段”按鈕，在彈出窗口中的“擴展屬性”面板中選擇在IIS日志中應(yīng)該記錄的內(nèi)容，默認包括客戶端IP地址、方法、URI資源、協(xié)議狀態(tài)、時間等。在一般情況下，這些記錄信息可以滿足需要，但是為了獲得更多的信息，最好根據(jù)實際需要添加更多的記錄內(nèi)容（圖6）。

實例分析，洞察系統(tǒng)狀態(tài)

在實際工作中，需要針對具體情況，對日志進行有效的分析，來提高系統(tǒng)的安全性。例如，單位的Web服務(wù)器上安裝有IIS組件、FTP服務(wù)、MS SQL Server數(shù)據(jù)庫，以及公司官網(wǎng)和論壇等網(wǎng)站。當其被不法訪問者盯上后，在其對服務(wù)器進行探測和滲透時，其行蹤已經(jīng)處于日志的監(jiān)控之中。當管理員對系統(tǒng)進行巡查檢測時，就可以通過日志信息發(fā)現(xiàn)端倪。

管理員在事件查看器窗口左側(cè)選擇“安全性”項，在右側(cè)窗口發(fā)現(xiàn)了可疑的審核日志，在其詳細信息窗口中的“來源”欄中顯示“MSFTPSVC”字樣，表示其來自FTP服務(wù)模塊。在“描述”欄中顯示登錄失敗信息，連接者使用了未知的用戶名和錯誤的密碼，而且顯示其使用的FTP賬戶名為“admin”。根據(jù)這些信息，不難看出非法訪問者使用了某些FTP破解工具，對IIS中的FTP服務(wù)進行檢測，每次測試一個賬戶和密碼。因為是不停的測試，每次破譯都會在日志中留下一條記錄。

打開“C：＼inetpub＼logs＼LogFiles”目錄，在其中可以找到和FTP相關(guān)的日志文件，可以查看到諸如“#Date： 2019-05-07 06：34：23”“#Fields： time c-ip cs-method cs-uri-stem sc-status”“01：34：23 x.x.x.x [1]USER administrator 331”“01：34：30 x.x.x.x [1]PASS - 530”等內(nèi)容?？梢钥闯?，不法用戶利用字典，對FTP服務(wù)進行賬戶和密碼的猜測，如果密碼設(shè)置得比較簡單，就很容易被其破解。

在默認情況下，當不法用戶使用掃描工具對Web服務(wù)器進行漏洞檢測時，都會在IIS日志中留下痕跡。打開日志存儲路徑（例如“%SystemDrive%＼inetpub＼logs＼LogFiles”），找到與對應(yīng)日志相符的日志文件（例如“ex190507.log”，說明其采用的是W3C擴充格式，在2019年5月7日記錄下的日志。使用記事本將其打開后，可以查閱其內(nèi)容，發(fā)現(xiàn)了諸如“#Date： 2019-05-06 09：10：45”“#Fields： date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-status cs（User-Agent）”等信息，包括探測的日期、事件、客戶端IP地址、客戶端用戶名、服務(wù)器地址、服務(wù)器端口、請求資源所使用的方法、所請求的URI資源、返回狀態(tài)、客戶端使用的瀏覽器類型等。

針鋒相對，提高系統(tǒng)安全性

如果系統(tǒng)存在明顯的漏洞，又沒有及時修補的話，那么就很容易被非法訪問者控制。管理員可以根據(jù)這些日志信息，發(fā)現(xiàn)系統(tǒng)存在的問題，并為其打上各種補丁包，修復可能存在的漏洞。同時針對FTP服務(wù)進行優(yōu)化，例如在IIS管理器中選擇FTP站點，在右側(cè)選擇“綁定”項，雙擊默認綁定項，在編輯窗口（圖7）中將TCP 21端口進行修改，設(shè)置為其他端口，來避開非法探測。

實際上，對于Windows Server 2012的FTP服務(wù)來說，可以使用更多的安全特性，來防御不法攻擊行為。例如在IIS管理器窗口左側(cè)選擇服務(wù)器名，在窗口中部的“FTP”欄中雙擊“FTP登錄嘗試限制”項，在彈出界面（圖8）中勾選“啟用FTP登錄嘗試限制”項，在“最大登錄嘗試失敗次數(shù)”欄中設(shè)置登錄失敗上限值，默認為4次。在“時間段”欄中設(shè)置判斷周期，單位為秒，默認為30秒。選擇“基于登錄嘗試失敗次數(shù)拒絕IP地址”項，在右側(cè)的操作欄中點擊“應(yīng)用”鏈接，激活該功能。

這樣，如果不法用戶依靠密碼字典，采取暴力破解的方式，試圖對FTP服務(wù)器進行暴力破解的話，當在連續(xù)的時間段中測試失敗的次數(shù)超過預(yù)設(shè)值，F(xiàn)TP服務(wù)器就會拒絕來自黑客IP的登錄企圖。如果選擇“僅寫入日志”項，則僅僅將黑客的可疑登錄行為寫入到FTP日志文件中，而不會對其非法連接進行限制。為了提高靈活性，可以將該功能和系統(tǒng)的密碼策略配合起來使用。因為出于安全性考慮，一般是不允許匿名登錄FTP的，只有使用特定的賬戶才可以連接FTP服務(wù)器。

點擊“Win+R”鍵，執(zhí)行“gpedit.msc”程序，在組策略窗口左側(cè)選擇“計算機配置→Windows設(shè)置→安全設(shè)置→賬戶策略→密碼策略”項，在其中可以設(shè)置很多和密碼相關(guān)的安全規(guī)則（圖9）。例如設(shè)置密碼的復雜度，長度最小值、最長最短使用期限、強制密碼歷史等。在“賬戶鎖定策略”欄中雙擊“賬戶鎖定閾值”項，在其屬性窗口中設(shè)置合適的鎖定次數(shù)，例如將其設(shè)置為6次。雙擊“賬戶鎖定時間”項，設(shè)置鎖定的具體時間。對應(yīng)的，將FTP的登錄嘗試次數(shù)設(shè)置為5次。這樣，當黑客在規(guī)定時間內(nèi)連續(xù)5次連接失敗，就會被FTP服務(wù)器攔截。但是，正常的用戶可以排除此干擾正常登錄系統(tǒng)，因為合法用戶還有一次正常登錄系統(tǒng)的機會。