日后,要是有非法用户趁计算机主人暂时离开现场,偷偷利用主人的账号登录进入本地系统时,Windows系统的登录监控功能就能把非法用户偷偷登录行为记忆下来了,下次计算机主人重新登录系统时,就能看到具体的监控结果了,包括偷偷登录操作使用的用户账号名称、登录时间等等。
4、监控账号状态变化
为了达到恶意攻击或监视目的,非法攻击者常常会偷偷地在系统后台创建恶意账号,日后他们就能利用恶意账号对重要主机实施攻击行为了。为了保护重要主机系统的安全,我们必须想办法在第一时间发现恶意账号的创建行为,并及时删除恶意账号;要做到这一点,其实很简单,我们可以巧妙利用Windows系统的审核功能,来对恶意账号的创建操作进行自动报警,下面就是具体的操作步骤:
首先对目标主机系统的账号创建事件进行审核。在缺省状态下,Windows系统不会自动对恶意账号的创建行为进行监控,只有对该操作启用审核功能后,系统日志才会对账号创建事件进行跟踪、记录;在审核恶意账号的创建操作时,我们可以先打开目标主机系统的运行文本框,在其中执行“secpol.msc”字符串命令,弹出本地安全策略控制台界面;
其次将鼠标定位于“安全设置”分支上,并从目标分支下面依次展开“本地策略”、“审核策略”节点选项,再用鼠标双击目标节点下面的“审核账户管理”选项,进入如图3所示的目标组策略属性窗口,将该窗口中的“成功”、“失败”选项选中,同时单击“确定”按钮执行设置保存操作;
接着依次点选“开始”/“设置”/“控制面板”命令,单击系统控制面板窗口中的“用户账户”图标,在其后弹出的用户账户管理窗口中,手工创建一个用户账号,创建完毕后,我们再打开目标主机系统的计算机管理窗口,并从中逐一展开“系统工具”、“事件查看器”、“Windows日志”、“系统”节点选项,在目标节点选项下面我们就可以看到刚才的用户账号创建操作记录了;