【IT專家網(wǎng)獨家】許多網(wǎng)絡(luò)病毒或木馬程序攻擊系統(tǒng)后，常常會偷偷修改系統(tǒng)登錄賬號，以便達到隱藏攻擊痕跡的目的!為了有效保護系統(tǒng)的運行安全性，我們應(yīng)該想辦法及時將潛藏在系統(tǒng)中的各種網(wǎng)絡(luò)病毒或木馬程序“揪”出來，那么我們該如何才能在第一時間內(nèi)知道系統(tǒng)中的某個用戶賬號被偷偷修改了呢?盡管借助一些專業(yè)的安全工具可以輕松地做到這一點，不過在Windows Server 2008系統(tǒng)環(huán)境下，即使我們手頭沒有專業(yè)的安全工具幫忙，也能赤手空拳地將偷改賬號的“惡劣”事件捕捉到;我們只要利用Windows Server 2008系統(tǒng)事件查看器新增加的綁定任務(wù)功能，就能在第一時間內(nèi)知道系統(tǒng)中的某個用戶賬號被偷偷修改了!

　　大家知道，在舊版本系統(tǒng)環(huán)境下，我們常常會利用事件查看器來將一些影響系統(tǒng)安全運行的事件記錄下來，日后仔細分析這些安全日志內(nèi)容，我們就能從中找到潛藏在本地系統(tǒng)中的一些安全隱患了。不過，讓人遺憾的是，舊版本系統(tǒng)下的事件查看器程序只能記錄有安全威脅的操作事件，而無法及時向系統(tǒng)管理員發(fā)出安全警報信息，那樣一來系統(tǒng)管理員就無法在第一時間知道本地系統(tǒng)存在安全威脅。到了Windows Server 2008系統(tǒng)環(huán)境下，事件查看器程序的功能明顯增強，系統(tǒng)管理員可以為特定的系統(tǒng)事件綁定任務(wù)計劃，一旦系統(tǒng)日后發(fā)生特定的系統(tǒng)事件時，被綁定的任務(wù)計劃就能夠自動觸發(fā)運行。

　　利用這樣的功能，我們就能及時追蹤偷改賬號事件，并為偷改賬號事件綁定一個自動報警的任務(wù)計劃;一旦該事件發(fā)生時，自動報警的任務(wù)計劃就能被觸發(fā)執(zhí)行，到時我們聽到自動報警提示后，就能在第一時間知道系統(tǒng)中的某些用戶賬號被偷偷修改了。依照上面的分析，我們只要先在Windows Server 2008系統(tǒng)環(huán)境下修改系統(tǒng)審核策略，讓系統(tǒng)對賬號管理事件進行審核，確保事件查看器程序能夠自動記錄用戶賬號被偷偷修改的操作行為;之后，我們需要手工觸發(fā)一個修改用戶賬號的事件，并將自動報警任務(wù)計劃附加到修改用戶賬號事件上;如此一來，日后Windows Server 2008系統(tǒng)中有系統(tǒng)用戶賬號被偷偷修改時，自動報警的任務(wù)計劃自然就會被執(zhí)行了，系統(tǒng)管理員收到報警信息后就知道系統(tǒng)中發(fā)生了偷改賬號事件;到時，系統(tǒng)管理員就能立即采取針對性措施來查找安全隱患，保證在第一時間將系統(tǒng)隱患排除掉。

　　在默認狀態(tài)下，即使我們修改了某個系統(tǒng)用戶賬號的名稱，也不會從系統(tǒng)的事件查看器列表中看到對應(yīng)的操作記錄，這是什么原因呢?其實很簡單，這是因為Windows Server 2008系統(tǒng)在默認狀態(tài)下并沒有自動記錄用戶賬號被修改的操作行為，我們必須修改Windows Server 2008系統(tǒng)的審核策略，才能讓事件查看器記錄用戶賬號被修改的事件。在對賬號管理事件進行審核時，我們可以按照如下步驟進行操作：

　　首先以系統(tǒng)管理員身份登錄進Windows Server 2008系統(tǒng)，單擊該系統(tǒng)桌面中的“開始”/“運行”命令，在彈出的系統(tǒng)運行文本框中輸入字符串命令“gpedit.msc”，單擊“確定”按鈕后，進入系統(tǒng)組策略編輯窗口;

　　其次在該編輯窗口的左側(cè)顯示窗格中，將鼠標定位于“計算機配置”節(jié)點選項上，再依次點選該節(jié)點下面的“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“審核策略”子項，在“審核策略”子項下面找到目標組策略選項“審核賬戶管理”，并用鼠標右鍵單擊該選項，從彈出的快捷菜單中選擇“屬性”命令，打開如圖1所示的目標組策略屬性設(shè)置窗口;

　　在該屬性設(shè)置窗口中的“本地安全設(shè)置”標簽頁面中，將“成功”復(fù)選項選中，再單擊“確定”按鈕，那樣一來Windows Server 2008系統(tǒng)就能對成功修改用戶賬號事件進行審核了。同樣地，我們也可以對修改用戶賬號失敗事件進行審核，讓事件查看器程序也自動記錄修改用戶賬號失敗的事件。