本教程旨,在幫助您加強 Windows 安全性,並透過識別和監視關鍵 Windows 事件,來主動防止效能降級。
本教程由兩部分組成,第一部分主要講述了作為初學者需要了解的事件記錄檔相關資訊,以及為什麼需要關注它們。如果您是經驗豐富的管理員或網路工程師,請轉到 第 II 部分 並學習設定事件記錄檔監視。
事件記錄檔是記錄系統中所有「事件」的本機檔案,它包括存取、刪除、新增檔案或應用程式,修改系統日期,關閉系統,變更系統設定等。事件分為系統、安全性、應用程式、Directory 服務、DNS 伺服器和 DFS 複寫類別。目錄服務、DNS 伺服器和 DFS 複寫記錄僅適用於 Active Directory。與系統或資料安全相關的事件稱為安全性事件,其記錄檔案稱為安全性記錄檔。
以下各部分提供了有關 Windows 事件記錄檔的更多詳細資料以及監視要求:
根據錯誤元件,事件記錄檔大致分為幾個預設類別。記錄事件檔的各種元件包括系統、系統安全性、系統託管的應用程式等。某些應用程式在自訂類別中記錄事件,而不是將它們記錄到預設應用程式類別中。
| 事件記錄檔類型 | 說明 |
|---|---|
| 應用程式記錄檔 | 任何由應用程式記錄的事件。這些由開發人員在開發應用程式時確定。例如:應用程式記錄檔中記錄了開始應用程式時出錯。 |
| 系統記錄檔 | 作業系統記錄的任何事件。例如:在系統記錄檔下記錄啟動過程中無法開始磁碟機 |
| 安全性記錄檔 | 任何有關係統安全性的事件。例如:有效和無效登入和登出、任何檔案刪除等,都記錄在此類別下。 |
| Directory 服務記錄 | 記錄 AD 的事件。該記錄僅在網域控制器上可用。 |
| DNS 伺服器記錄檔 | DNS 伺服器記錄檔 |
| 檔案複寫服務記錄檔 | 記錄網域控制器複寫的事件 此記錄僅在網域控制器上可用。 |
每個事件項目均按類型分類,以標識事件的嚴重性。類型包括資訊、警告、錯誤、成功稽核(安全性記錄檔)和失敗稽核(安全性記錄檔)。
| 事件類型 | 說明 |
|---|---|
| 資訊 | 描述工作成功執行的事件,例如應用程式、驅動程式或服務。例如,當網路驅動程式載入成功時,會記錄一個資訊事件。 |
| 警告 | 描述工作成功執行的事件,例如應用程式、驅動程式或服務。例如,當網路驅動程式載入成功時,會記錄一個資訊事件。 |
| 錯誤 | 此類事件沒那麼重要,但可能表明未來可能發生問題。例如,當磁碟空間開始不足時,會記錄一個警告訊息。 |
| 成功稽核(安全性記錄檔) | 描述成功完成稽核安全性事件的事件。例如,使用者登入到電腦時記錄成功稽核事件。 |
| 失敗稽核(安全性記錄檔) | 描述未成功完成稽核的安全性事件的事件。例如,當使用者無法存取網路驅動程式時,可能會記錄失敗稽核。 |
事件檢視器會列出事件記錄檔,如下所示:
事件監視器中將列出事件的標題資訊和描述。
| 標頭 | 說明 |
|---|---|
| 號 | 事件發生的日期 |
| 時間 | 事件發生的時間 |
| 使用者 | 發生事件時已登入到電腦的使用者 |
| 電腦 | 發生事件的電腦 |
| 事件 ID | 標識事件類型的事件編號。有助於了解該事件的更多資訊 |
| 來源 | 產生該事件的來源。它可能是一個應用程式或系統元件 |
| 類型 | 事件類型(資訊、警告、錯誤、成功稽核和失敗稽核) |
按兩下一個事件以查看詳細資料:
安全是當今每個企業所面臨的最大問題。駭客和資料竊取等事件不斷增加,讓所有商務部門都面臨風險,並讓管理員無暇休息。各種工業研究表明,大多數駭客和盜竊都是由於非法驗證嘗試而造成的。稽核非法或失敗的登入嘗試可以阻止(或減少)資料竊取。也就是說,我們必須知道作業系統可以透過安全的方式提供什麼,以及我們必須如何操作以實施具有所需安全性的作業系統。
對於許多安全性情況,在預設情況下不會記錄事件,這意味著您的資源仍然可能受到駭客攻擊。您必須設定稽核原則來稽核安全性事件並將其記錄。需要稽核的關鍵安全事件:
無需設定所有稽核原則。這樣做會導致記錄每個發生的動作,並會增加記錄大小。記錄會累積,並根據設定的累積大小,刪除舊記錄。設定對您的環境非常重要的正確原則,將提高安全性。
預設情況下會為網域控制器啟用稽核關鍵事件。對於其他 Windows 裝置,請在「本機安全性設定」下設定稽核原則。可用的稽核原則有:
對於上市公司,醫療保健行業等,需要遵守 SOX、HIPAA 等,安全合規要求,需要實施安全管理進程,以防止企圖或成功的未經授權的存取。無需是否遵循某些標準,確保網路上資訊的安全,對於您的商務至關重要。Windows 事件記錄檔,是可用於追蹤和記錄登入嘗試的來源之一。手動檢查每個 Windows 裝置是乏味且不可能的,同時還需定期自動稽核和監視事件記錄檔。