注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

chunwaihome 的博客

 
 
 

日志

 
 

如何禁止匿名用戶查看事件日誌  

2010-01-02 09:28:40|  分类: Regedit |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 什麼是事件日誌呢?事件日誌是專門記錄計算機硬件、軟件和系統整體方面的錯誤信息,也記錄一些安全方面的問題。Windows 2000有三種類型的事件日誌:

  1、系統日誌

  這種日誌跟蹤各種各樣的系統事件,包括Windows系統組件出現的問題,比如跟蹤系統啟動過程中的事件、硬件和控制器的故障、啟動時某個驅動程序加載失敗等。

  2、應用程序日誌

  這種日誌跟蹤應用程序關聯的事件,比如應用程序產生的像裝載DLL(動態鏈接庫)失敗的信息將出現在日誌中。

  3、安全日誌

  這種日誌跟蹤事件如登錄上網、下網、改變訪問權限以及系統啟動和關閉。只是安全日誌的默認狀態是關閉的,這是我在設置本地安全策略後才產生的。

  在事件日誌中,以下面幾種情況來表示整個系統運行過程中出現的事件:

  (1)「錯誤」是指比較嚴重的問題,通常是出現了數據丟失或功能丟失。

  (2)「警告」則表明情況暫時不嚴重,但可能會在將來引起錯誤,比如磁盤空間太少等。

  (3)「信息」則是記錄運行成功的事件。

  另外,安全日誌則直接以成功審核和失敗審核來標識事件的成功與否。

  由此可見,在這些事件日誌裡,存放著一些非常重要的信息,因為它記錄著所有用戶的操作,包括被審計了的操作,但是在默認的情況下,Guest和匿名用戶是可以查看事件日誌的,個別別有用心的人做了壞事之後,總是想要查看事件日誌上是否記錄他的行為並且伺機抹掉他的活動痕跡,如刪除日誌文件,讓我這個管理員事後想要取證也難,所以必須禁止Guest和匿名用戶訪問事件日誌,我利用修改註冊表的方法來達到了禁止Guest訪問事件日誌的目的。

  方法如下:

  打開註冊表編輯器(在[開始]→[運行]框中輸入「regedit」回車);

  禁止查看應用日誌

  定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog \Application

  新建一個雙字節值,名稱為:RestrictGuestAccess,值設為1。

  禁止查看系統日誌

  定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ System

  新建一個雙字節值,名稱為:RestrictGuestAccess,值設為1。

  禁止查看安全日誌

  在默認安裝情況下,安全日誌只有管理員才能查看。但是為避免別人在本地安全策略中修改權限,我們仍可以修改註冊表要達到禁止查看的目的。定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ Security

  新建一個雙字節值,名稱為:RestrictGuestAccess,值設為1。

  設置完以後,關閉註冊表編輯器,重新啟動計算機,以普通的Guest用戶登錄一看,Guest用戶已經不能查看事件日誌了,就這樣我輕鬆地保護了這幾台計算機的事件日誌,這些日誌只有我這個管理員才可以查看,為避免自己的行為被日誌記錄後被我警告,那些人再也不敢亂動機器了。

  评论这张
 
阅读(467)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017