深入解析Windows Server 2008的自我監控

　　自我監控思路

　　大家知道，每一個Windows系統都自帶了事件查看器程序，不過與傳統操作系統不 一樣的是，Windows Server 2008系統將常用的任務計劃功能整合到事件查看器程序中了，有了這項功能的支持，我們可以在服務器系統中針對一些特殊系統事件附加任務計劃，讓該運行任 務在特殊系統事件發生的那一刻及時提醒我們;當Windows Server 2008系統中的需要被監控的系統事件真正發生時，附加在該系統事件上的特定任務計劃就能被自動觸發，到時它就能根據事先設置好的方式來提醒我們采取應對 措施了，這樣一來就能實現不用外力工具，Windows Server 2008系統就能完成自我監控的任務了。

　　依照上述思路，我們只要先在Windows Server 2008系統中對需要監控的系統事件啟用審核功能，確保系統的事件查看器程序能夠自動跟蹤、記憶目標系統事件，接著人為創建一個特殊系統事件，讓事件查看 器程序自動生成這個事件記錄，例如我們簡單地注銷系統并重新登錄一次，那么Windows Server 2008系統的事件查看器程序就能自動把這個系統登錄事件記憶保存下來，有了具體的事件記錄后，下面我們就能利用“任務附加到事件”功能，將自動監控報警 信息通過任務計劃的方式附加到具體的事件記錄上，日后當相同的系統再次發生時，附加的任務計劃就能被自動觸發，到時我們就能及時收到附加任務計劃發送出來 的報警信息了，看到報警信息后，我們要做的工作就是及時采取安全應對措施，防范這類有安全威脅的系統事件再次發生，那樣一來Windows Server 2008系統的安全性在某種程度上又得到了更進一步地強化。為方便敘述，本文就以自動監控系統登錄事件為例，讓Windows Server 2008系統對那些偷偷登錄系統的非法行為進行自動監控，謹防惡意攻擊者暗地里攻擊Windows Server 2008系統。

　　審核待監控事件

　　Windows Server 2008系統內置的事件查看器程序在默認狀態下，不會對類似系統登錄這樣的事件進行跟蹤記錄的，也就是說平時我們登錄系統時，事件查看器程序并沒有這方面 的事件記錄，要想對系統登錄這樣的事件進行監控，我們首先要做的工作自然就是為待監控事件啟用審核功能，讓事件查看器程序可以自動記憶保存這些事件記錄。 在審核待監控事件時，我們可以按照下面的操作來進行：

　　首先打開Windows Server 2008系統的“開始”菜單，從中逐一點擊“設置”、“控制面板”選項，打開對應系統的控制面板窗口，再用鼠標雙擊該窗口中的“管理工具”圖標選項，進入Windows Server 2008系統的管理工具列表界面;

　　其次雙擊管理工具列表界面中的“本地安全策略”圖標選項，在其后出現的本地安全策略編輯器界面中，依次展開左側子窗格區域中的“安全設置”/“本地策略”/“審核策略”分支選項，在“審核策略”分支選項下面，選中“審核登錄事件”選項，并用鼠標右鍵單擊該選項，從彈出的快捷菜單中執行“屬性”命令進入如圖1所示的審核登錄事件屬性設置對話框;

　　下面同時將該設置對話框中的“成功”、“失敗”復選項都選中，再單擊“確定”按鈕保存好上述設置操作，如此一來日后任何一位用戶無論有沒有成功 登錄進Windows Server 2008系統，對應系統的事件查看器程序都會自動把這次系統登錄事件記錄保存到事件查看器列表中，仔細查看這些記錄，我們就能大概判斷出當前服務器系統中 是否存在非法登錄事件發生了。

　　手工生成目標事件

　　考慮到任務計劃只能與具體的某件事件綁定在一起，為此要想利用任務計劃功能對目標系統事件進行自動監控報警，我們還需要手工創建一個與待監控事件性質一樣的具體事件記錄;例如，要手工生成系統登錄事件記錄時，我們只要在Windows Server 2008服務器系統桌面中依次單擊“開始”/“關機”選項，選中“待機”項目，單擊“確定”按鈕，將當前系統注銷掉，之后重新以系統管理員賬號登錄一次 Windows Server 2008服務器系統，當系統登錄操作成功后，對應系統的事件查看器程序就會自動將這次登錄操作記錄下來了。

　　在查看具體的事件記錄時，我們可以在Windows Server 2008服務器系統桌面中用鼠標右鍵單擊“計算機”圖標，從彈出的快捷菜單中點選“管理”命令，打開對應系統的計算機管理控制臺界面;

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]