事件查看器维护服务器安全的实例

文章中我们介绍了事件查看器的运行方式、记录的日志类型和显示的事件类型。在这篇文章中我们将给出事件查看器维护服务器安全的实例，相信对安全维护人员维护系统会有一定的借鉴和参考价值。

1.打开并查看事件查看器中的三类日志

在“运行”中输入“eventvwr.msc”直接打开事件查看器，在该窗口中单击“系统”，如图1所示，单击窗口右边的类型进行排序，可以看到类型中有警告、错误等多条信息。

2.查看系统错误记录详细信息

选择“错误”记录，双击即可打开并查看事件的属性，如图2所示，可以发现该事件为一个攻击事件，其事件描述为：

连接自 211.99.226.9 的一个匿名会话尝试在此计算机上打开一个 LSA 策略句柄。尝试被以 STATUS_ACCESS_DENIED 拒绝， 以防止将安全敏感的信息泄露给匿名呼叫者。

进行此尝试的应用程序需要被更正。请与应用程序供应商联系。 作为暂时的解决办法，此安全措施可以通过设置： \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymousBlock DWORD 值为 1 来禁用。 此消息将一天最多记录一次。

说明：该描述信息表明IP地址为“211.99.226.9”的计算机在攻击此服务器。

3.根据提示修补系统漏洞

根据描述信息，直接打开注册表编辑器，依次层层展开找到键值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAnonymous”新建一个DWORD 的 “TurnOffAnonymousBlock Block DWORD” 键，并设置其值为“ 1”，如图3所示。

说明：如果在事件属性中未给出解决方案，除了在google中寻找解决方法外，还可以对错误信息进行追踪，以找到合适的解决方法，一般有两种方式：

(1)微软知识库。微软知识库的文章是由微软公司官方资料和微软MVP撰写的技术文章组成，主要解决微软产品的问题及故障。当微软每一个产品的Bug和容易出错的应用点被发现后，都将有与其对应的KB文章分析这项错误的解决方案。微软知识库的地址是:http://support.microsoft.com，在网页左边的“搜索(知识库)”中输入相关的关键字进行查询，事件发生源和ID等信息。当然，输入详细描述中的关键词也是一个好办法，如果日志中有错误编号，输入这个错误编号进行查询。

(2)通过Eventid.net网站来查询

要查询系统错误事件的解决方案，其实还有一个更好的地方，那就是Eventid.net网站地址是:http://www.eventid.net。这个网站由众多微软MVP(最有价值专家)主持，几乎包含了全部系统事件的解决方案。登录网站后，单击“Search Events(搜索事件)”链接，出现事件搜索页面。根据页面提示，输入Event ID(事件ID)和Event Source(事件源)，并单击“Search”按钮。Eventid.net的系统会找到所有相关的资源及解决方案。最重要的是，享受这些解决方案是完全免费的。当然，Eventid.net的付费用户则能享受到更好的服务，比如直接访问针对某事件的知识库文章集等。

4.多方复查

既然出现了LSA的匿名枚举，那么一定会存在登录信息，如图4所示，单击“安全性”查看事件属性，先针对“审核失败”进行查看，可以看到IP地址“211.99.226.9”的多次连接失败的审核信息。需要特别注意的是，事件查看器中记录的日志必须先在安全策略中进行设置，默认情况下不记录，只要启用审核以后才记录。然后依次查看审核成功的登录记录，如果发现该IP地址登录成功，那么还需要对系统进行彻底的安全检查，包括修改登录密码，查看系统时候被攻击者留下了后门。在本例中主要事件就是IP地址为211.99.226.9的服务器在进行密码攻击扫描，根据事件属性中提供的策略进行设置后，即可解决该匿名枚举的安全隐患。