实验背景

　　针对网络中Windows服务器攻击经常发生的情况，管理员需要在服务器工作出现异常情况后，进行快速的响应，并且需要及时定位受到入侵的服务，发现黑客入侵的手段，找到系统的脆弱点并且加以修补，Windows Server 提供的日志工具可以协助我们完成相关操作。

　　Windows系统中日志分为三种，分别是：应用程序日志、系统日志、安全日志;默认情况下，如果系统不对事件做审核则不会生成安全日志。

　　实验目标

　　掌握Windows日志系统的结构

　　能够根据需要设置审核条件

　　能够完成对帐号的审计操作

　　能够根据不同的应用要求

　　实验环境

　　Server：Windows Server 2003

　　Client：Windows

　　实验过程指导

　　(1)启动管理工具中的本地安全策略

　　(2)打开本地安全策略中的审核策略，根据需要对需要审核的项进行设置

　　(3)设置审核登录成功和失败的事件

　　(4)审核目录访问成功和失败的事件

　　(5)可根据实际的需要选择并设置审核选项，应用结果后可以使用两种方式进行测试：

　　A、使用远程3389端口对服务器进行枚举攻击

　　B、在本地尝试猜解管理员密码

　　(6)管理员以正确密码登录后通过事件查看器查看安全日志

　　(7)查看登录失败的日志信息

　　(8)通过实验回答下列问题

　　A、有哪些用户，通过哪些IP对本服务器进行扫描

　　B、有哪些用户名被猜解

　　C、有哪些用户曾经在本机成功登录

　　D、有哪些IP的破解未成功

　　E、如何规避和防范枚举攻击