L003004003安全评估实验日志.docx

L003004003安全评估实验日志.docx

《L003004003安全评估实验日志.docx》由会员分享，可在线阅读，更多相关《L003004003安全评估实验日志.docx（10页珍藏版）》请在冰豆网上搜索。

L003004003安全评估实验日志

 课程编写

类别

内容

实验课题名称

Windows风险评估

（二）

实验目的与要求

1、 了解日志功能

2、 了解日志配置操作

3、 了解审核功能

实验环境

VPC1（虚拟PC）

操作系统类型：

windows网络接口：

本地连接

VPC1 连接要求

PC 网络接口，本地连接与实验网络直连

软件描述

1、学生机要求安装java环境

2、一台windows的系统

实验环境描述

1、 学生机与实验室网络直连;

2、 VPC1与实验室网络直连;

3、 学生机与VPC1物理链路连通；

预备知识

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。

用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据你的系统开启的服务的不同而有所不同。

我们在系统上进行一些操作时，这些日志文件通常会记录下我们操作的一些相关内容，这些内容对系统安全工作人员相当有用。

比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等，用FTP探测后，就会在FTP日志中记下IP、时间、探测所用的用户名等。

实验内容

1、 掌握windows2003系统的日志设置

2、 掌握windows2003日志文件大小的限制

实验步骤

1、   学生单击实验拓扑按钮，进入实验场景，单击windows2003中的“打开控制台“按钮，进入目标主机。

如图1所示：

图1

2、学生输入账号administrator，密码123456，登录到实验场景中的目标主机。

如图2所示：

图2

3、设置配置日志功能，对用户登录进行记录，记录内容包括用户登录使用账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

点击“开始”->“管理工具”->“本地安全策略”->“审核策略”。

如图3所示：

图3

4、审核登录事件，设置为成功和失败都审核。

进入“本地安全设置”->“本地策略”->“审核策略”->“审核登录事件”勾选上“成功”和“失败”。

如图4所示：

图4

5、启用组策略中对windows系统的审核策略更改，成功和失败都要审核。

进入“本地安全设置”->“本地策略”->“审核策略”->“审核策略更改”勾选“成功”和“失败”，进入“审核对象访问”设置成为“成功”和“失败”。

都要审核如图5、6所示：

图5

图6

6、启用组策略中对windows系统的审核目录服务访问，成功和失败都要审核。

进入“本地安全设置”->“本地策略”->“审核策略”->“审核目录服务器访问”，勾选“成功”和“失败”。

如图7所示：

图7

7、启用组策略中对windows系统的审核特权使用，成功和失败都要审核。

进入“本地安全设置”->“本地策略”->“审核策略”->“审核特权使用”，勾选“成功”和“失败”。

如图8所示：

图8

8、启用组策略中对windows系统的审核系统事件，成功和失败都要审核。

进入“本地安全设置”->“本地策略”->“审核策略”->“审核系统事件”，勾选“成功”和“失败”。

如图9所示：

图9

9、启用组策略中对windows系统的审核帐户管理，成功和失败都要审核。

进入“本地安全设置”->“本地策略”->“审核策略”->“审核账户管理”，勾选“成功”和“失败”。

如图10所示：

图10

10、启用组策略中对windows系统的审核过程跟踪，成功和失败都要审核。

进入“本地安全设置”->“本地策略”->“审核策略”->“审核过程跟踪”，勾选“成功”和“失败”。

如图11所示：

图11

11、设置应用日志文件大小至少为8128KB，设置当达到最大的日志尺寸时，按需要改写事件。

点击“开始”->“管理工具”->“事件查看器”中的“应用程序”、“安全性”、“系统”三个选项分别右键点击选择属性设置日志大小，以及设置当达到最大的日志尺寸时的相应策略。

效果图如12（应用程序）所示：

图12

12、实验结束，关闭所有窗口和虚拟机。