Windows安全基础-日志、WSUS及注册表

原创 已于 2022-05-16 21:33:38 修改 · 4.5k 阅读 · 2
标签
#系统安全 #windows
于 2022-04-09 20:43:29 首次发布
本文介绍了Windows系统的日志安全,包括应用程序、系统和安全日志的分类、策略启用和分析工具。重点讲解了Log Parser、LogParser Lizard和Event Log Explorer等日志分析工具。此外,还探讨了WSUS的工作原理,以及注册表的安全,包括其作用、备份和恢复方法。

目录

一,系统安全日志

Windows日志简介

Windows日志分类

1.应用程序日志

2.系统日志

3.安全日志

日志策略启用:

设置合理的日志属性,即日志最大大小,事件覆盖阀值等:

日志查看方式:

事件日志分析方式:

日志分析工具

1.Log Parser

2.LogParser Lizard

3.Event Log Explorer

二.WSUS

WSUS原理

三.注册表安全

注册表打开方式:

注册表作用:

保存注册表数据的文件:

注册表的结构:

注册表键值:

键值分类的拓展:

注册表根分支:

注册表备份:

注册表恢复:

CMD注册表备份和恢复

注册表操作:

 

一,系统安全日志

Windows日志简介

功能:

记录硬件信息

记录权健信息

记录系统问题

监视系统事件

作用:用户可以利用它进行故障排查和攻击分析

Windows日志分类

1.应用程序日志

存储位置:%SystemRoot%\System32\WinevtLogs\Application.evtx

主要用于运维人员排错

作用:

-记录程序错误

-开发人员可自定义监视哪些事件

-处理程序调试

2.系统日志

存储位置:%SystemRoot%\System32\WinevtLogs\System.evtx

主要用于运维人员排错

记录内容:

-驱动程序

-系统组建

-应用崩溃

-数据丢失错误

3.安全日志

存储位置:%SystemRoot%\System32\WinevtLogs\Security.evtx

主要用于系统安全审计

记录内容:

-登录日志

-对象访问日志

-进程追踪日志

-特权使用 账号管理 策略变更

安全日志是调查取证中最常用的日志,默认情况下安全日志是关闭的,管理员可通过组策略开启或者在注册表中设置审核策略

在Windows Server 2008中日志策略默认未启用,只记录简单信息,日志大小为20M

日志策略启用:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBATW91bnRhaW5Ub3BfY2M=,size_20,color_FFFFFF,t_70,g_se,x_16

设置合理的日志属性,即日志最大大小,事件覆盖阀值等:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBATW91bnRhaW5Ub3BfY2M=,size_19,color_FFFFFF,t_70,g_se,x_16

日志查看方式:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBATW91bnRhaW5Ub3BfY2M=,size_20,color_FFFFFF,t_70,g_se,x_16

事件日志分析方式:

常见事件:

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBATW91bnRhaW5Ub3BfY2M=,size_20,color_FFFFFF,t_70,g_se,x_16

以成功登录事件举例,日志还有其他字段详细标识,代表不同意义

最低0.47元/天 解锁文章
修改WSUS指向注册表.reg
03-21
修改WSUS指向
WSUS(Windows Server Update Services)注册表配置
相信自己能行,那就一定能行
07-08 1万+
 配置客户端。其实,这仍旧是通过修改客户端注册表来,让客户端知道要使用wsus,以及告诉客户端去哪里找wsus服务器的。修改的注册表如下:使用 WSUS 服务,dword:00000000 为禁止使用[HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/WindowsUpdate/AU]"UseWUServer"=dword:000
Windows 取证之注册表
qq_44005305的博客
08-11 1268
Registry)是操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的配置信息。早在推出OLE技术的时候,注册表就已经出现。但是,从Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。
Windows系统日志
weixin_53696027的博客
01-11 8308
关于Windows日志简单解释和分析,以及日志分析工具的简单使用
【window系统】日志注册表
sunriver2000的专栏
02-02 5689
环境 系统:win10x64 描述 windows系统发生故障,无法正常启动时,一般需要从故障机中提取信息,用来分析或编辑以恢复系统正常运行。这些信息包括:windows系统日志注册表信息等等。 下文简要介绍如何从故障机中提取此类信息。 windows系统日志 windows系统日志存放位置,以下evtx文件可以用windows事件查看器(eventvwr.msc)分析。 %SystemRoot%\System32\Winevt\Logs\Application.evtx %Sys
WSUS补丁更新相关命令及参数
荒野求生的博客
11-16 2495
WSUS补丁更新相关命令及参数 http://www.360doc.com/content/20/1116/19/72458694_946170996.shtml 1. 如何快速获取当前机器上的已经更新的补丁列表? 运行 systeminfo 命令 2. 快速获取需要安装的补丁文件 运行 wuauclt.exe /detectnow 或 wuauclt.exe /resetauthorization /detectnow 可以结合 gp
windows安全加固
qq_63501912的博客
02-09 2558
windows安全加固
wsus下游服务器状态,计算机长期没有向WSUS报告状态
weixin_36183464的博客
07-29 1352
《计算机长期没有向WSUS报告状态》由会员分享,可在线阅读,更多相关《计算机长期没有向WSUS报告状态(3页珍藏版)》请在人人文库网上搜索。1、计算机长期没有向WSUS报告状态Computer no report to WSUS(计算机长期没有向WSUS报告状态) 本方法已经由本人测试通过 环境: Windwos Server 2003 SP1 / Windows XP SP2,WSUS 2.0 ...
服务器显示尚未报告,wsus客户端尚未报告状态.doc
weixin_30198949的博客
07-30 2200
wsus客户端尚未报告状态wsus客户端尚未报告状态计算机长期没有向WSUS报告状态Computer no report to WSUS(计算机长期没有向WSUS报告状态) 本方法已经由本人测试通过环境:Windwos Server 2003 SP1 / Windows XP SP2,WSUS 2.0 SP1 / WSUS 3.0 SP1现象:WSUS服务器显示能发现服务器 / 客户机,但是长时间...
服务器系统报错如何查询日志,WSUS服务器日志报错,请大家帮忙看看。
weixin_33850918的博客
08-05 809
日志查看器中持续报错,但是系统却看不到有什么异常情况,大家看看怎么回事:事件类型:错误事件来源:crypt32事件种类:无事件 ID:8日期:2010-9-26事件:16:17:04用户:N/A计算机:WSUS-HQ描述:从 自动更新检索第三方的根目录列表序列号失败,错误为: 此网络连接不存在。事件类型:错误事件来源:crypt32事件种类:无事件 ID:8日期:...
完美的wsus客户端注册表文件
weixin_33698823的博客
02-19 401
wsus注册表文件! 可以检测到客户端,可以很方便的对客户端进行管理。 网上的资料中都是客户端可以连接上服务器,但是无法管理,核心问题就是大部分的公众sus服务器,是不需要对客户端管理的,所以注册表中少了两个键。 我若是一上来看英文资料,也不至于浪费这么多的时间。 下面是注册表文件和说明,基本上设置的参数都设置到了。   Windows Registry Editor Versio...
通过注册表文件进行配置WSUS自动更新
汽配快车道:助力汽配外贸业务的高效管理平台。
10-31 1万+
http://book.51cto.com/art/201007/214306.htm
WSUS排错
weixin_34247032的博客
01-08 696
发现更新问题时,除了查看wsus客户端日志wsus服务器端日志外,还需要查看iis的相关日志,检查iis是否运行正常。iis日志存放在c:\windows\system32\logfile中 1.客户端日志中发现错误0x80072efd wsus更新连接过多,导致无法立即与客户端通讯,等待一段时间即可 2.0x802400e 微软的...
WSUS Client注册表设置
测试
04-12 1935
不在域中的客户端设置为加入WSUS的管理,定期更新补丁。需要修改如下注册表,将其保存为*.reg文件,执行即可。 ———————————————————————————————– Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdat...
Windows日志】记录系统事件的日志
热门推荐
第一天
10-14 5万+
应用程序日志包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如果某个应用程序出现崩溃情况,那么我们可以从程序事件日志中找到相应的记录,也许会有助于你解决问题。默认位置:C:\Windows\System32\Winevt\Logs\Application.evtx。
wsus服务器不显示客户端,WSUS无法发现客户端
weixin_32496547的博客
08-09 3577
WSUS无法发现客户端(2020-03-13 14:01:43)这几天遇到一个问题,刚装好的WSUS服务器同步完补丁后,打算上线使用。挑了几个客户端,使用注册表配置了WSUS,但是迟迟无法在控制台上看到这些客户端。由于部分客户端不在域中,无法使用组策略配置,就写了一个简单的批处理添加WSUS的服务器信息。reg add HKLM\SOFTWARE\Policies\Microsoft\Window...
注册表修改windows 系统安全日志大小
weixin_34252686的博客
04-24 2332
创建注册表文件sec.reg,写入 WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security]"MaxSize"=dword:c800000 导入注册表,即可 转载于:https://blog...
44、Windows系统管理:注册表、数据比较与事件日志操作指南
最新发布
joy55的博客
07-07 123
本文详细介绍了Windows系统管理中的三大核心主题:注册表操作、数据比较和事件日志管理。通过PowerShell脚本和相关工具如Sysinternals Process Monitor,讲解了如何关闭注册表键、发现程序的注册表设置、比较命令输出和文件内容、验证文件完整性,以及如何高效查询和分析事件日志。适用于系统管理员和自动化脚本开发者,提升Windows系统配置、监控和故障排查能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值