事件查看器应用案例

1、查看事件

在事件查看器窗口中单击“系统”，选择“错误”记录，双击即可打开并查看事件的属性，发现该事件为一个攻击事件，其事件描述为：

2、事件描述

连接自*.*.*.*（IP地址）的一个匿名会话尝试在此计算机上打开一个LSA 策略句柄。尝试被以 STATUS_ACCESS_DENIED 拒绝，以防止将安全敏感的信息泄露给匿名呼叫者。

说明：该描述信息表明IP地址为“*.*.*.*”的计算机在攻击计算机。

3、建议方案

进行此尝试的应用程序需要被更正。请与应用程序供应商联系。作为暂时的解决办法，此安全措施可以通过设置：

\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffAn onymousBlock DWORD 值为 1 来禁用。此消息将一天最多记录一次。

4、根据提示修补系统漏洞

根据描述信息，直接打开注册表编辑器，依次层层展开找到键值“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\TurnOffA nonymousBlock”或者新建一个DWORD 的“TurnOffAnonymousBlock”键，并设置其值为“1”。

5、进一步复查

既然出现了LSA的匿名枚举，那么一定会存在登录信息，单击“安全性”查看事件属性，先针对“审核失败”进行查看，可以看到上面IP地址的多次连接失败的审核信息。然后依次查看审核成功的登录记录，如果发现该IP地址登录成功，那么还需要对系统进行彻底的安全检查，包括修改登录密码，查看系统是否被攻击者留下了后门。在本例中主要事件就是上述IP地址的计算机在进行密码攻击扫描，根据事件属性中提供的策略进行设置后，即可解决该匿名枚举的安全隐患。