巧用日志加固Windows 服務器

劉景云

根據對系統日志的分析，系統管理人員可以準確了解系統各個方面的狀況，及時發現和解決潛在的問題，讓系統運轉得更加順暢。當不法用戶對Windows服務器進行滲透時，系統就會在日志中記錄下相關信息。對于管理員來說，通過對系統日志進行深入分析，就可以發現和洞察其活動蹤跡，及時發現系統安全配置上的不足之處，采取針對性的措施提高系統安全性。

深入了解Windows日志

Windows日志可以根據管理員的配置信息，將特定的事件忠實完整地記錄保存下來。因此，日志對其系統安全的重要性是不言而喻的。對于經驗豐富的管理員來說，通過對日志的分析，可以對系統的安全狀況了如指掌。在Windows Server 2012中運行事件查看器這一工具，可以全面收集和了解關于硬件、軟件和系統配置安全管理有關的信息。

點擊“Win+R”鍵，執行“eventvwr”命令，就可以打開查看日志內容（圖1）。不管是哪個版本的Windows，都至少可以看到應用程序日志、安全性日志、系統日志三類日志信息。應用程序日志包含由應用程序或者系統程序記錄的事件。例如，SQL Server數據庫程序會在應用程序日志中記錄文件錯誤信息等。安全性日志記錄的是諸如有效或者無效的登錄嘗試等事件，以及記錄與資源管理相關的事件，例如創建、打開刪除文件或其他對象。

利用相關的管理程序，可以設定在安全日志中記錄哪些事件。例如，開啟了登錄審核后，登錄系統的嘗試將被記錄在安全日志中。系統日志包含Windows系統組件記錄的事件，例如，在啟動過程中加載驅動程序或者其他組件失敗后，這些信息就會被記錄在系統日志中。實際上，在默認情況下，日志記錄的內容并不全面，一些非常重要的安全性監視項目并沒有激活，這樣雖然可以節省系統資源，但是對提高安全性不利。

運行“gpedit.msc”程序，在組策略編輯器窗口左側選擇“計算機配置→Windows設置→安全設置→本地策略→審核策略”項，在右側窗口中可以對多種審核策略進行配置（圖2）。例如雙擊“審核賬戶登錄事件”項，在彈出窗口（圖3）中選擇“成功”和“失敗”項。這樣，所有和登錄有關的事件都會被記錄下來。當然，如果激活的審核策略太多的話，就會生成大量的日志信息，反而對找到有用的信息不利。一般來說，激活“審核賬戶登錄事件”和“審核策略更改”兩項策略就可以了。

既然日志如此重要，那么日志文件保存在什么位置呢？查看的方法很簡單，在事件查看器窗口左側選擇“應用程序”項，在其右鍵菜單上點擊“屬性”項，在彈出窗口中的“日志路徑”欄中顯示其具體文件存儲路徑（圖4），例如“%SystemRoot%＼System32＼Winevt＼Logs＼Application.evtx”。同樣的，可以查看安全性日志的存儲路徑“%Systemroot%＼system32＼winevt＼logs＼Security.evtx”，系統日志的存儲路徑“%Systemroot%＼system32＼winevt＼logs＼System.evtx”。

如果安裝有IIS組件，可以運行“inetmgr”命令，在Internet信息服務窗口中選擇網站名，在窗口中部選擇“日志”項，在打開窗口中的“目錄”欄中顯示其日志文件路徑信息（圖5），例如默認為“%SystemDrive%＼inetpub＼logs＼LogFiles”。當然，您也可以根據需要更改上述日志文件的存儲位置。在“格式”欄中點擊“選擇字段”按鈕，在彈出窗口中的“擴展屬性”面板中選擇在IIS日志中應該記錄的內容，默認包括客戶端IP地址、方法、URI資源、協議狀態、時間等。在一般情況下，這些記錄信息可以滿足需要，但是為了獲得更多的信息，最好根據實際需要添加更多的記錄內容（圖6）。

實例分析，洞察系統狀態

在實際工作中，需要針對具體情況，對日志進行有效的分析，來提高系統的安全性。例如，單位的Web服務器上安裝有IIS組件、FTP服務、MS SQL Server數據庫，以及公司官網和論壇等網站。當其被不法訪問者盯上后，在其對服務器進行探測和滲透時，其行蹤已經處于日志的監控之中。當管理員對系統進行巡查檢測時，就可以通過日志信息發現端倪。

管理員在事件查看器窗口左側選擇“安全性”項，在右側窗口發現了可疑的審核日志，在其詳細信息窗口中的“來源”欄中顯示“MSFTPSVC”字樣，表示其來自FTP服務模塊。在“描述”欄中顯示登錄失敗信息，連接者使用了未知的用戶名和錯誤的密碼，而且顯示其使用的FTP賬戶名為“admin”。根據這些信息，不難看出非法訪問者使用了某些FTP破解工具，對IIS中的FTP服務進行檢測，每次測試一個賬戶和密碼。因為是不停的測試，每次破譯都會在日志中留下一條記錄。

打開“C：＼inetpub＼logs＼LogFiles”目錄，在其中可以找到和FTP相關的日志文件，可以查看到諸如“#Date： 2019-05-07 06：34：23”“#Fields： time c-ip cs-method cs-uri-stem sc-status”“01：34：23 x.x.x.x [1]USER administrator 331”“01：34：30 x.x.x.x [1]PASS - 530”等內容。可以看出，不法用戶利用字典，對FTP服務進行賬戶和密碼的猜測，如果密碼設置得比較簡單，就很容易被其破解。

在默認情況下，當不法用戶使用掃描工具對Web服務器進行漏洞檢測時，都會在IIS日志中留下痕跡。打開日志存儲路徑（例如“%SystemDrive%＼inetpub＼logs＼LogFiles”），找到與對應日志相符的日志文件（例如“ex190507.log”，說明其采用的是W3C擴充格式，在2019年5月7日記錄下的日志。使用記事本將其打開后，可以查閱其內容，發現了諸如“#Date： 2019-05-06 09：10：45”“#Fields： date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-status cs（User-Agent）”等信息，包括探測的日期、事件、客戶端IP地址、客戶端用戶名、服務器地址、服務器端口、請求資源所使用的方法、所請求的URI資源、返回狀態、客戶端使用的瀏覽器類型等。

針鋒相對，提高系統安全性

如果系統存在明顯的漏洞，又沒有及時修補的話，那么就很容易被非法訪問者控制。管理員可以根據這些日志信息，發現系統存在的問題，并為其打上各種補丁包，修復可能存在的漏洞。同時針對FTP服務進行優化，例如在IIS管理器中選擇FTP站點，在右側選擇“綁定”項，雙擊默認綁定項，在編輯窗口（圖7）中將TCP 21端口進行修改，設置為其他端口，來避開非法探測。

實際上，對于Windows Server 2012的FTP服務來說，可以使用更多的安全特性，來防御不法攻擊行為。例如在IIS管理器窗口左側選擇服務器名，在窗口中部的“FTP”欄中雙擊“FTP登錄嘗試限制”項，在彈出界面（圖8）中勾選“啟用FTP登錄嘗試限制”項，在“最大登錄嘗試失敗次數”欄中設置登錄失敗上限值，默認為4次。在“時間段”欄中設置判斷周期，單位為秒，默認為30秒。選擇“基于登錄嘗試失敗次數拒絕IP地址”項，在右側的操作欄中點擊“應用”鏈接，激活該功能。

這樣，如果不法用戶依靠密碼字典，采取暴力破解的方式，試圖對FTP服務器進行暴力破解的話，當在連續的時間段中測試失敗的次數超過預設值，FTP服務器就會拒絕來自黑客IP的登錄企圖。如果選擇“僅寫入日志”項，則僅僅將黑客的可疑登錄行為寫入到FTP日志文件中，而不會對其非法連接進行限制。為了提高靈活性，可以將該功能和系統的密碼策略配合起來使用。因為出于安全性考慮，一般是不允許匿名登錄FTP的，只有使用特定的賬戶才可以連接FTP服務器。

點擊“Win+R”鍵，執行“gpedit.msc”程序，在組策略窗口左側選擇“計算機配置→Windows設置→安全設置→賬戶策略→密碼策略”項，在其中可以設置很多和密碼相關的安全規則（圖9）。例如設置密碼的復雜度，長度最小值、最長最短使用期限、強制密碼歷史等。在“賬戶鎖定策略”欄中雙擊“賬戶鎖定閾值”項，在其屬性窗口中設置合適的鎖定次數，例如將其設置為6次。雙擊“賬戶鎖定時間”項，設置鎖定的具體時間。對應的，將FTP的登錄嘗試次數設置為5次。這樣，當黑客在規定時間內連續5次連接失敗，就會被FTP服務器攔截。但是，正常的用戶可以排除此干擾正常登錄系統，因為合法用戶還有一次正常登錄系統的機會。