开启账户安全审核后,会在系统日志安全性里面看到一些异常审核失败的日志,怎么判断这些日志是否正常呢?
如下图:
多少是审核失败的安全性日志,事件描述:
windows 已经检测到一个应用程序正在侦听传入流量。
名称: -
路径: C:\WINDOWS\system32\svchost.exe
进程标识符: 740
用户帐户: NETWORK SERVICE
用户域: NT AUTHORITY
服务: 是
RPC 服务器: 否
IP 版本: IPv4
IP 协议: UDP
端口号: 55453
允许的: 否
通知用户的: 否
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
处理办法:
1. 在出现该日志信息的服务器上,点击“开始”——“运行”,输入cmd,进入命令提示符。
2. 输入“tasklist /svc”,查看svchost.exe(740)对应的服务是否是系统正常的服务,如:dhcp,dnscache等。
3. 如果是正常的网络服务,您可以安全的忽略该信息。
另:账户安全审核推荐
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是 如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选 择。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败