L003004003安全评估实验日志.docx

1、L003004003安全评估实验日志课程编写类别内容实验课题名称Windows风险评估（二）实验目的与要求1、了解日志功能2、了解日志配置操作3、了解审核功能实验环境VPC1(虚拟PC）操作系统类型：windows 网络接口：本地连接VPC1连接要求PC网络接口，本地连接与实验网络直连软件描述1、学生机要求安装java环境2、一台windows的系统实验环境描述1、学生机与实验室网络直连;2、VPC1与实验室网络直连;3、学生机与VPC1物理链路连通；预备知识系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻

2、击者留下的痕迹。Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时，这些日志文件通常会记录下我们操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等，用FTP探测后，就会在FTP日志中记下IP、时间、探测所用的用户名等。实验内容1、掌握windows2003系统的日志设置2、掌握windows2003日志文件

3、大小的限制实验步骤1、学生单击实验拓扑按钮，进入实验场景，单击windows2003中的“打开控制台“按钮，进入目标主机。如图1所示：图12、学生输入账号administrator，密码123456，登录到实验场景中的目标主机。如图2所示：图23、设置配置日志功能，对用户登录进行记录，记录内容包括用户登录使用账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。点击“开始”-“管理工具”-“本地安全策略”-“审核策略”。如图3所示：图34、审核登录事件，设置为成功和失败都审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核登录事件”勾选上“成功”和“失败”。如图4所示：图

4、45、启用组策略中对windows系统的审核策略更改，成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核策略更改”勾选“成功”和“失败”，进入“审核对象访问”设置成为“成功”和“失败”。都要审核如图5、6所示：图5图66、启用组策略中对windows系统的审核目录服务访问，成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核目录服务器访问”，勾选“成功”和“失败”。如图7所示：图77、启用组策略中对windows系统的审核特权使用，成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核特权使用”，勾选“成功”和“失败”。如

5、图8所示：图88、启用组策略中对windows系统的审核系统事件，成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核系统事件”，勾选“成功”和“失败”。如图9所示：图99、启用组策略中对windows系统的审核帐户管理，成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核账户管理”，勾选“成功”和“失败”。如图10所示：图1010、启用组策略中对windows系统的审核过程跟踪，成功和失败都要审核。进入“本地安全设置”-“本地策略”-“审核策略”-“审核过程跟踪”，勾选“成功”和“失败”。如图11所示：图1111、设置应用日志文件大小至少为8128KB，设置当达到最大的日志尺寸时，按需要改写事件。点击“开始”-“管理工具”-“事件查看器”中的“应用程序”、“安全性”、“系统”三个选项分别右键点击选择属性设置日志大小，以及设置当达到最大的日志尺寸时的相应策略。效果图如12（应用程序）所示：图1212、实验结束，关闭所有窗口和虚拟机。