如何使用Win 以及Win XP的对象访问审核查看WormDownAD病毒感染源.docx

1、如何使用Win 以及Win XP的对象访问审核查看WormDownAD病毒感染源如何使用Win 2000以及Win XP的系统审核策略查看Worm_DownAD病毒感染源问题：网内有计算机不断有Worm_DownAD病毒的警报，日志上没有感染源，应该如何利用系统审核策略来找到病毒感染源？解决方法：通常而言，发现病毒的位置固定为Windows安装目录或是Windows安装目录下的系统目录中（在基于NT技术的平台下，该目录名为System32），在Win 2000以及Win XP系统中可以开启对这些目录的对象访问审核，以查找这些档的来源。具体操作：1. 首先需要开启对象访问的审核（Audit ob

2、ject access），开启方法在Win 2000以及Win XP方法相同1) 鼠标左键单击 开始菜单运行2) 在弹出的对话框中输入secpol.msc，并鼠标左键点击确定按钮3) 如下窗口将被显示4) 鼠标左键双击窗口左边字段元的本地策略（Local Policies）5) 鼠标左键单击审核策略（Audit Polity）6) 鼠标左键双击窗口右边字段元中的对象访问审核（Audit object access）7) 鼠标左键单击成功（Success）以及失败（Failure）的选项框，将选项勾选8) 鼠标左键单击确定后，对象访问审核（Audit object access）即被开启9) 重

3、复6和7两个步骤，将审核账户登录事件（Audit accout logon events）与审核登录事件（Audit logon events）两项开启。2. 设置具体被审核的对象，以下步骤Win 2000与Win XP有细微的区别，以下以设定System32的目录中档写入举例，介绍设置方法：1) Win 2000下的设置方法i. 首先打开资源管理器，选中System32目录ii. 使用鼠标右键单击system32档夹，并在弹出菜单中鼠标左键选择属性（Properties）iii. 在弹出的对话框中鼠标左键选择安全（Security）选项卡iv. 鼠标单击对话框下方的高级（Advanced）按

4、钮，并在弹出的对话框中鼠标左键选择审核（Audit）选项卡v. 点击添加（Add）按钮，在上部的对话框中鼠标左键双击Everyone条目vi. 在弹出的对话框中按照下图所示，进行设置，并按确定完成设定2) Win XP下的设置方法i. 首先打开资源管理器，选中System32目录ii. 使用鼠标右键单击system32档夹，并在弹出菜单中鼠标左键选择属性（Properties）iii. 在弹出的对话框中鼠标左键选择安全（Security）选项卡iv. 鼠标单击对话框下方的高级（Advanced）按钮，并在弹出的对话框中鼠标左键选择审核（Audit）选项卡v. 点击添加（Add）按钮，在输入框中

5、输入Everyone并鼠标左键点击vi. 在弹出的对话框中按照下图所示，进行设置，并按确定完成设定3. 查看审核日志在设定了指定目录中生成文件的审核后，当有文件在该目录中生成时，会产生相关的安全事件日志，该日志可以通过事件查看器（Event Viewer）查看i. 鼠标左键单击 开始菜单运行ii. 在弹出的对话框中输入eventvwr.msc，并鼠标左键点击确定按钮iii. 如下窗口将被显示iv. 鼠标左键单击安全（Security）项目即可在窗口的右边字段元查看当前所有的安全事件记录v. 也可以选择将安全日志导出发送给他人进行分析 鼠标右键点击安全（Security），在弹出的菜单中鼠标左键选择 将日志文件保存为 在弹出的对话框中指定保存路径及保存文件名，鼠标左键单击保存（Save）按钮即可完成保存