? 安全日志文件:%systemroot%\\system32\\config\\SecEvent.EVT ? 系统日志文件:%systemroot%\\system32\\config\\SysEvent.EVT ? 应用程序日志文件:%systemroot%\\system32\\config\\AppEvent.EVT ? FTP连接日志和HTTPD事务日志:%systemroot%\\system32\\LogFiles\\ 可通过事件查看器(eventvwr.msc)查看日志
可通过本地安全策略设置记录哪些日志
1.8. Windows登录类型及安全日志解析
? 登录类型2:交互式登录(Interactive)在本地键盘上进行的登录,但不要忘记通过KVM
登录仍然属于交互式登录,虽然它是基于网络的。
? 登录类型3:网络(Network)当你从网络的上访问一台计算机时在大多数情况下
Windows记为类型3,最常见的情况就是连接到共享文件夹或者共享打印机时。
? 登录类型5:服务(Service)与计划任务类似,每种服务都被配置在某个特定的用户账
户下运行,当一个服务开始时,Windows首先为这个特定的用户创建一个登录会话,这将被记为类型5
? 登录类型7:解锁(Unlock)你可能希望当一个用户离开他的计算机时相应的工作站自
动开始一个密码保护的屏保,当一个用户回来解锁时,Windows就把这种解锁操作认为是一个类型7的登录,失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。
? 登录类型8:网络明文(NetworkCleartext)当从一个使用Advapi的ASP脚本登录或者
一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi。
? 登录类型10:远程交互(RemoteInteractive)当你通过终端服务、远程桌面或远程协助
访问计算机时,Windows将记为类型10。
1.9. 防火墙
Windows都自带有防火墙功能,应根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围。
1.10. SYN保护
SYN攻击为常见拒绝服务攻击,windows可通过修改注册表参数启用SYN攻击保护,建议参数如下:
指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阀值为5; 指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500;
指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。 配置方法:
在“开始->运行->键入regedit”
启用 SYN 攻击保护的命名值位于注册表项
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 之下。值名称:SynAttackProtect。推荐值:2。
以下部分中的所有项和值均位于注册表项
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services 之下。 指定必须在触发 SYN flood 保护之前超过的 TCP 连接请求阈值。值名称:TcpMaxPortsExhausted。推荐值:5。
启用 SynAttackProtect 后,该值指定 SYN_RCVD 状态中的 TCP 连接阈值,超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpen。推荐值数据:500。
启用 SynAttackProtect 后,指定至少发送了一次重传的 SYN_RCVD 状态中的 TCP 连接阈值。超过 SynAttackProtect 时,触发 SYN flood 保护。值名称:TcpMaxHalfOpenRetried。推荐值数据:400。
1.11. 屏幕保护
应设置带密码的屏幕保护,建议将时间设定为5分钟。
1.12. 补丁管理
应安装最新的Service Pack补丁集,windows每月发布新增漏洞的安全补丁,应每月及时安装安全补丁。
1.13. 防病毒软件
安装一款防病毒软件,并及时更新病毒库。
相关推荐:
loading