如何使用Win 以及Win XP的对象访问审核查看WormDownAD病毒感染源.docx
《如何使用Win 以及Win XP的对象访问审核查看WormDownAD病毒感染源.docx》由会员分享,可在线阅读,更多相关《如何使用Win 以及Win XP的对象访问审核查看WormDownAD病毒感染源.docx(15页珍藏版)》请在冰豆网上搜索。
如何使用Win以及WinXP的对象访问审核查看WormDownAD病毒感染源
如何使用Win2000以及WinXP的
系统审核策略查看Worm_DownAD病毒感染源
问题:
网内有计算机不断有Worm_DownAD病毒的警报,日志上没有感染源,应该如何利用系统审核策略来找到病毒感染源?
解决方法:
通常而言,发现病毒的位置固定为Windows安装目录或是Windows安装目录下的系统目录中(在基于NT技术的平台下,该目录名为System32),在Win2000以及WinXP系统中可以开启对这些目录的对象访问审核,以查找这些档的来源。
具体操作:
1.首先需要开启对象访问的审核(Auditobjectaccess),开启方法在Win2000以及WinXP方法相同
1)鼠标左键单击开始菜单运行
2)在弹出的对话框中输入secpol.msc,并鼠标左键点击确定按钮
3)如下窗口将被显示
4)鼠标左键双击窗口左边字段元的本地策略(LocalPolicies)
5)鼠标左键单击审核策略(AuditPolity)
6)鼠标左键双击窗口右边字段元中的对象访问审核(Auditobjectaccess)
7)鼠标左键单击成功(Success)以及失败(Failure)的选项框,将选项勾选
8)鼠标左键单击确定后,对象访问审核(Auditobjectaccess)即被开启
9)重复6和7两个步骤,将审核账户登录事件(Auditaccoutlogonevents)与审核登录事件(Auditlogonevents)两项开启。
2.设置具体被审核的对象,以下步骤Win2000与WinXP有细微的区别,以下以设定System32的目录中档写入举例,介绍设置方法:
1)Win2000下的设置方法
i.首先打开资源管理器,选中System32目录
ii.使用鼠标右键单击system32档夹,并在弹出菜单中鼠标左键选择属性(Properties)
iii.在弹出的对话框中鼠标左键选择安全(Security)选项卡
iv.鼠标单击对话框下方的高级(Advanced…)按钮,并在弹出的对话框中鼠标左键选择审核(Audit)选项卡
v.点击添加(Add…)按钮,在上部的对话框中鼠标左键双击Everyone条目
vi.在弹出的对话框中按照下图所示,进行设置,并按确定完成设定
2)WinXP下的设置方法
i.首先打开资源管理器,选中System32目录
ii.使用鼠标右键单击system32档夹,并在弹出菜单中鼠标左键选择属性(Properties)
iii.在弹出的对话框中鼠标左键选择安全(Security)选项卡
iv.鼠标单击对话框下方的高级(Advanced…)按钮,并在弹出的对话框中鼠标左键选择审核(Audit)选项卡
v.点击添加(Add…)按钮,在输入框中输入Everyone并鼠标左键点击
vi.在弹出的对话框中按照下图所示,进行设置,并按确定完成设定
3.查看审核日志
在设定了指定目录中生成文件的审核后,当有文件在该目录中生成时,会产生相关的安全事件日志,该日志可以通过事件查看器(EventViewer)查看
i.鼠标左键单击开始菜单运行
ii.在弹出的对话框中输入eventvwr.msc,并鼠标左键点击确定按钮
iii.如下窗口将被显示
iv.鼠标左键单击安全(Security)项目即可在窗口的右边字段元查看当前所有的安全事件记录
v.也可以选择将安全日志导出发送给他人进行分析
●鼠标右键点击安全(Security),在弹出的菜单中鼠标左键选择将日志文件保存为
●在弹出的对话框中指定保存路径及保存文件名,鼠标左键单击保存(Save)按钮即可完成保存
升级会员 