實驗背景

　　針對網絡中Windows服務器攻擊經常發生的情況，管理員需要在服務器工作出現異常情況后，進行快速的響應，并且需要及時定位受到入侵的服務，發現黑客入侵的手段，找到系統的脆弱點并且加以修補，Windows Server 提供的日志工具可以協助我們完成相關操作。

　　Windows系統中日志分為三種，分別是：應用程序日志、系統日志、安全日志;默認情況下，如果系統不對事件做審核則不會生成安全日志。

　　實驗目標

　　掌握Windows日志系統的結構

　　能夠根據需要設置審核條件

　　能夠完成對帳號的審計操作

　　能夠根據不同的應用要求

　　實驗環境

　　Server：Windows Server 2003

　　Client：Windows

　　實驗過程指導

　　(1)啟動管理工具中的本地安全策略

　　(2)打開本地安全策略中的審核策略，根據需要對需要審核的項進行設置

　　(3)設置審核登錄成功和失敗的事件

　　(4)審核目錄訪問成功和失敗的事件

　　(5)可根據實際的需要選擇并設置審核選項，應用結果后可以使用兩種方式進行測試：

　　A、使用遠程3389端口對服務器進行枚舉攻擊

　　B、在本地嘗試猜解管理員密碼

　　(6)管理員以正確密碼登錄后通過事件查看器查看安全日志

　　(7)查看登錄失敗的日志信息

　　(8)通過實驗回答下列問題

　　A、有哪些用戶，通過哪些IP對本服務器進行掃描

　　B、有哪些用戶名被猜解

　　C、有哪些用戶曾經在本機成功登錄

　　D、有哪些IP的破解未成功

　　E、如何規避和防范枚舉攻擊