1、L003004003安全评估实验日志课程编写类别内容实验课题名称Windows风险评估(二)实验目的与要求1、了解日志功能2、了解日志配置操作3、了解审核功能实验环境VPC1(虚拟PC)操作系统类型:windows 网络接口:本地连接VPC1连接要求PC网络接口,本地连接与实验网络直连软件描述1、学生机要求安装java环境2、一台windows的系统实验环境描述1、学生机与实验室网络直连;2、VPC1与实验室网络直连;3、学生机与VPC1物理链路连通;预备知识系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻
2、击者留下的痕迹。Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等,用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。实验内容1、掌握windows2003系统的日志设置2、掌握windows2003日志文件
3、大小的限制实验步骤1、学生单击实验拓扑按钮,进入实验场景,单击windows2003中的“打开控制台“按钮,进入目标主机。如图1所示:图12、学生输入账号administrator,密码123456,登录到实验场景中的目标主机。如图2所示:图23、设置配置日志功能,对用户登录进行记录,记录内容包括用户登录使用账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。点击“开始”-“管理工具”-“本地安全策略”-“审核策略”。如图3所示:图34、审核登录事件,设置为成功和失败都审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核登录事件”勾选上“成功”和“失败”。如图4所示:图
4、45、启用组策略中对windows系统的审核策略更改,成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核策略更改”勾选“成功”和“失败”,进入“审核对象访问”设置成为“成功”和“失败”。都要审核如图5、6所示:图5图66、启用组策略中对windows系统的审核目录服务访问,成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核目录服务器访问”,勾选“成功”和“失败”。如图7所示:图77、启用组策略中对windows系统的审核特权使用,成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核特权使用”,勾选“成功”和“失败”。如
5、图8所示:图88、启用组策略中对windows系统的审核系统事件,成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核系统事件”,勾选“成功”和“失败”。如图9所示:图99、启用组策略中对windows系统的审核帐户管理,成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核账户管理”,勾选“成功”和“失败”。如图10所示:图1010、启用组策略中对windows系统的审核过程跟踪,成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核过程跟踪”,勾选“成功”和“失败”。如图11所示:图1111、设置应用日志文件大小至少为8128KB,设置当达到最大的日志尺寸时,按需要改写事件。点击“开始”-“管理工具”-“事件查看器”中的“应用程序”、“安全性”、“系统”三个选项分别右键点击选择属性设置日志大小,以及设置当达到最大的日志尺寸时的相应策略。效果图如12(应用程序)所示:图1212、实验结束,关闭所有窗口和虚拟机。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1