服务器安全¶
注意事项
- eventvwr //系统登陆日志
- lusrmgr.msc //系统用户查看
- msconfig //系统启动项查看
- ncpa.cpl //网络连接
- firewall.cpl //防火墙状态
- taskschd.msc //定时任务
Windows修改密码¶
以Windows Server 2012为例,修改步骤如下所示:
- 登录实例。
- 单击开始 > 运行,输入compmgmt.msc并回车。
- 在计算机管理界面中,单击计算机管理 > 本地用户和组 > 用户。
- 右键单击待修改的用户名,例如Administrator。
- 单击设置密码。
- 在为 Administrator 设置密码对话框中,单击继续,输入新密码和确认密码,然后单击确定。
查看window用户登录日志¶
事件查看器:eventvwr
windows用户登录信息:
- 作用:
- 查看是用户登录时间, 机器是否被别人使用
- 具体步骤:
- 命令输入: gpedit.msc
- “计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”,双击其中的“审核帐户登陆事件” ==>审核登录事件→勾上成功/失败→点击应用→点击确定
- 控制面板→系统和安全→查看事件日志→事件查看器→windows日志→安全,便可以看到用户的登录和注销以及账户名等信息。
基础信息¶
Logon Type:
- Logon type 2 Interactive 本地交互登录。最常见的登录方式。
- Logon type 3 Network 网络登录 - 最常见的是访问网络共享文件夹或打印机。IIS的认证也是Type 3
- Logon type 4 Batch 计划任务
- Logon Type 5 Service 服务
- 某些服务是用一个域帐号来运行的,出现Failure常见的情况是管理员更改了域帐号密码,但是忘记重设Service中的帐号密码。
- Logon Type 7 Unlock 解除屏幕锁定
- 司都有这样的安全设置:当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。解开屏幕锁定需要键入用户名和密码。此时产生的日志类型就是Type 7
- Logon Type 8 NetworkCleartext 网络明文登录 -- 通常发生在IIS 的 ASP登录。不推荐
- Logon Type 9 NewCredentials 新身份登录 -- 通常发生在RunAS方式运行某程序时的登录验证。
- Logon Type 10 RemoteInteractive 远程登录 -- 比如Terminal service或者RDP方式。但是Windows 2000是没有Type10的,用Type 2。WindowsXP/2003起有Type 10
- Logon Type 11 CachedInteractive 缓存登录
事件ID:
- 627/4723:An attempt was made to change an account's password
- 628/4724:An attempt was made to reset an account's password
- 4624表示登陆成功
- 4625表示登陆失败
系统用户排查¶
net user //无法看到$隐藏用户
net user 用户 //查看用户详细信息
lusrmgr.msc //本地用户和组(本地)
#注册表
regedit.msc //machine->sam该项->权限->替代所有子对象的权限项目
启动项排查¶
- msconfig->services.msc->服务属性
- regedit->machine->microsoft->windows->currentversion->run
msconfig->services.msc->服务属性
SC delete 服务名
//启动服务删除
定时任务¶
计算机->属性->管理 控制版面->管理工具->计划任务 taskschd.msc
进程排查¶
任务管理器 tasklist
tasklist /svc
网络状态排查¶
netstat -ano
# pid定位
tasklist | find "pid"
wmic process get name,executablepath,processid | find 进程pid
wmic process where name="powershell.exe"