none
windows server2008 r2 错误报告 RRS feed

  • 问题

  • 公司的应用服务器,系统为windows server2008 r2 早上异常重启,查看了一下日志,感觉是被黑客黑了,请大拿帮看一下,是不是系统的漏洞,应该怎样补救

    补充:日志中的IP源地址为空,比较了一下正常登录的日志,此外,我已经禁用了admin和来宾用户,开启防火墙,关闭3389端口,改为其它端口

    下面为异常重启后我查找的日志:

    1.

    Windows 正在启动。

    当 LSASS.EXE 启动且审核子系统进行初始化时,会记录此事件。

    2.

    已成功登录帐户。

    主题:
        安全 ID:        NULL SID
            帐户名:        -
        帐户域:        -
        登录 ID:        0x0

    登录类型:            0

    新登录:
        安全 ID:        SYSTEM
        帐户名:        SYSTEM
        帐户域:        NT AUTHORITY
        登录 ID:        0x3e7
        登录 GUID:        {00000000-0000-0000-0000-000000000000}

    进程信息:
        进程 ID:        0x4
        进程名:        

    网络信息:
        工作站名:    -
        源网络地址:    -
        源端口:        -

    详细身份验证信息:
        登录进程:        -
        身份验证数据包:    -
        传递服务:    -
        数据包名(仅限 NTLM):    -
        密钥长度:        0

    在创建登录会话后在被访问的计算机上生成此事件。

    “主题”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。

    “登录类型”字段指明发生的登录种类。最常见的类型是 2 (交互式)和 3 (网络)。

    “新登录”字段会指明新登录是为哪个帐户创建的,即登录的帐户。

    “网络”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。

    “身份验证信息”字段提供关于此特定登录请求的详细信息。
        -“登录 GUID”是可以用于将此事件与一个 KDC 事件关联起来的唯一标识符。
        -“传递服务”指明哪些直接服务参与了此登录请求。
        - “数据包名”指明在 NTLM 协议之间使用了哪些子协议。
        -“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥则此字段为 0。

    3.

    已创建每用户审核策略表。

    元素的数量:    0
    策略 ID:    0x99f8

    4.

    已成功登录帐户。

    主题:
        安全 ID:        SYSTEM
            帐户名:        WIN-QRHONVN4KSQ$
        帐户域:        WORKGROUP
        登录 ID:        0x3e7

    登录类型:            5

    新登录:
        安全 ID:        SYSTEM
        帐户名:        SYSTEM
        帐户域:        NT AUTHORITY
        登录 ID:        0x3e7
        登录 GUID:        {00000000-0000-0000-0000-000000000000}

    进程信息:
        进程 ID:        0x1f0
        进程名:        C:\Windows\System32\services.exe

    网络信息:
        工作站名:    
        源网络地址:    -
        源端口:        -

    详细身份验证信息:
        登录进程:        Advapi  
        身份验证数据包:    Negotiate
        传递服务:    -
        数据包名(仅限 NTLM):    -
        密钥长度:        0

    在创建登录会话后在被访问的计算机上生成此事件。

    5.

    为新登录分配了特殊权限。

    主题:
        安全 ID:        SYSTEM
        帐户名:        SYSTEM
        帐户域:        NT AUTHORITY
        登录 ID:        0x3e7

    特权:        SeAssignPrimaryTokenPrivilege
                SeTcbPrivilege
                SeSecurityPrivilege
                SeTakeOwnershipPrivilege
                SeLoadDriverPrivilege
                SeBackupPrivilege
                SeRestorePrivilege
                SeDebugPrivilege
                SeAuditPrivilege
                SeSystemEnvironmentPrivilege
                SeImpersonatePrivilege

    6.

    为新登录分配了特殊权限。

    主题:
        安全 ID:        NETWORK SERVICE
        帐户名:        NETWORK SERVICE
        帐户域:        NT AUTHORITY
        登录 ID:        0x3e4

    特权:        SeAssignPrimaryTokenPrivilege
                SeAuditPrivilege
                SeImpersonatePrivilege

    7.

    已成功登录帐户。

    主题:
        安全 ID:        SYSTEM
            帐户名:        WIN-QRHONVN4KSQ$
        帐户域:        WORKGROUP
        登录 ID:        0x3e7

    登录类型:            5

    新登录:
        安全 ID:        SYSTEM
        帐户名:        SYSTEM
        帐户域:        NT AUTHORITY
        登录 ID:        0x3e7
        登录 GUID:        {00000000-0000-0000-0000-000000000000}

    进程信息:
        进程 ID:        0x1f0
        进程名:        C:\Windows\System32\services.exe

    另外,平时有一些无聊的人总爱在网上扫,日志记录如下,我简单比较了一下,登录失败的日志

    帐户登录失败。

    主题:
        安全 ID:        NULL SID
        帐户名:        -
        帐户域:        -
        登录 ID:        0x0

    登录类型:            3

    登录失败的帐户:
        安全 ID:        NULL SID
        帐户名:        Administrator
        帐户域:        TB6080

    失败信息:
        失败原因:        未知用户名或密码错误。
        状态:            0xc000006d
        子状态:        0xc0000064

    进程信息:
        调用方进程 ID:    0x0
        调用方进程名:    -

    网络信息:
        工作站名:    TB6080
        源网络地址:    210.51.190.178
        源端口:        3197

    我自己正常登录的日志如下:

    已成功登录帐户。

    主题:
        安全 ID:        SYSTEM
            帐户名:        WIN-QRHONVN4KSQ$
        帐户域:        WORKGROUP
        登录 ID:        0x3e7

    登录类型:            10

    新登录:
        安全 ID:        WIN-QRHONVN4KSQ\Qwer_tyui_op123
        帐户名:        Qwer_tyui_op123
        帐户域:        WIN-QRHONVN4KSQ
        登录 ID:        0xbacd1
        登录 GUID:        {00000000-0000-0000-0000-000000000000}

    进程信息:
        进程 ID:        0x7fc
        进程名:        C:\Windows\System32\winlogon.exe

    网络信息:
        工作站名:    WIN-QRHONVN4KSQ
        源网络地址:    192.168.10.84
        源端口:        1343

    详细身份验证信息:
        登录进程:        User32
        身份验证数据包:    Negotiate
        传递服务:    -
        数据包名(仅限 NTLM):    -
        密钥长度:        0


    2013年3月8日 7:25

答案

  • 您好!                         

    根据您提供的信息,我们建议您可以参考以下文章的步骤来提供服务器的安全:

    Windows Server 2008 中的服务器安全策略管理

    http://technet.microsoft.com/zh-cn/library/cc754373(v=WS.10).aspx

    希望我的回答对您有所帮助,如果有什么不清楚的地方,请您回帖。


    微软一站式示例脚本库: http://blogs.technet.com/b/onescript

    2013年3月14日 8:36
    版主