Windows Server 2008病毒偷改账号的安全隐患

编辑：rootadmin

　　【IT专家网独家】许多网络病毒或木马程序攻击系统后，常常会偷偷修改系统登录账号，以便达到隐藏攻击痕迹的目的!为了有效保护系统的运行安全性，我们应该想办法及时将潜藏在系统中的各种网络病毒或木马程序“揪”出来，那么我们该如何才能在第一时间内知道系统中的某个用户账号被偷偷修改了呢?尽管借助一些专业的安全工具可以轻松地做到这一点，不过在Windows Server 系统环境下，即使我们手头没有专业的安全工具帮忙，也能赤手空拳地将偷改账号的“恶劣”事件捕捉到;我们只要利用Windows Server 系统事件查看器新增加的绑定任务功能，就能在第一时间内知道系统中的某个用户账号被偷偷修改了!

　　大家知道，在旧版本系统环境下，我们常常会利用事件查看器来将一些影响系统安全运行的事件记录下来，日后仔细分析这些安全日志内容，我们就能从中找到潜藏在本地系统中的一些安全隐患了。不过，让人遗憾的是，旧版本系统下的事件查看器程序只能记录有安全威胁的操作事件，而无法及时向系统管理员发出安全警报信息，那样一来系统管理员就无法在第一时间知道本地系统存在安全威胁。到了Windows Server 系统环境下，事件查看器程序的功能明显增强，系统管理员可以为特定的系统事件绑定任务计划，一旦系统日后发生特定的系统事件时，被绑定的任务计划就能够自动触发运行。

　　利用这样的功能，我们就能及时追踪偷改账号事件，并为偷改账号事件绑定一个自动报警的任务计划;一旦该事件发生时，自动报警的任务计划就能被触发执行，到时我们听到自动报警提示后，就能在第一时间知道系统中的某些用户账号被偷偷修改了。依照上面的分析，我们只要先在Windows Server 系统环境下修改系统审核策略，让系统对账号管理事件进行审核，确保事件查看器程序能够自动记录用户账号被偷偷修改的操作行为;之后，我们需要手工触发一个修改用户账号的事件，并将自动报警任务计划附加到修改用户账号事件上;如此一来，日后Windows Server 系统中有系统用户账号被偷偷修改时，自动报警的任务计划自然就会被执行了，系统管理员收到报警信息后就知道系统中发生了偷改账号事件;到时，系统管理员就能立即采取针对性措施来查找安全隐患，保证在第一时间将系统隐患排除掉。

　　在默认状态下，即使我们修改了某个系统用户账号的名称，也不会从系统的事件查看器列表中看到对应的操作记录，这是什么原因呢?其实很简单，这是因为Windows Server 系统在默认状态下并没有自动记录用户账号被修改的操作行为，我们必须修改Windows Server 系统的审核策略，才能让事件查看器记录用户账号被修改的事件。在对账号管理事件进行审核时，我们可以按照如下步骤进行操作：

　　首先以系统管理员身份登录进Windows Server 系统，单击该系统桌面中的“开始”/“运行”命令，在弹出的系统运行文本框中输入字符串命令“gpedit.msc”，单击“确定”按钮后，进入系统组策略编辑窗口;

　　其次在该编辑窗口的左侧显示窗格中，将鼠标定位于“计算机配置”节点选项上，再依次点选该节点下面的“Windows设置”/“安全设置”/“本地策略”/“审核策略”子项，在“审核策略”子项下面找到目标组策略选项“审核账户管理”，并用鼠标右键单击该选项，从弹出的快捷菜单中选择“属性”命令，打开如图1所示的目标组策略属性设置窗口;

　　在该属性设置窗口中的“本地安全设置”标签页面中，将“成功”复选项选中，再单击“确定”按钮，那样一来Windows Server 系统就能对成功修改用户账号事件进行审核了。同样地，我们也可以对修改用户账号失败事件进行审核，让事件查看器程序也自动记录修改用户账号失败的事件。

推荐整理分享Windows Server 2008病毒偷改账号的安全隐患，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:,内容如对您有帮助，希望把文章链接给更多的朋友！

Windows Server 网上邻居打开慢的解决在WindowsServer系统主机中，我们需要查看本地网络中究竟有哪些邻居在线上时，常常都是先进入对应系统的网络列表窗口，再单击其中的查看计算机图

Windows Server 四项优化技巧相比旧版本操作系统，WindowsServer系统绝对是一款与众不同的系统，该系统新推出了许多让人眼睛为之一亮的功能，并且它在运行安全性方面也有了大

解决Windows Server 回收站无法清空故障在WindowsServer系统环境下，我们有时会看到系统桌面上的回收站图标显示为满的，可是用鼠标双击该图标进入回收站窗口后，发现里面什么内容也没有