34,593
社区成员
发帖
与我相关
我的任务
分享数据库系统安全问题---请大神们不吝赐教
系统环境:win server 2012R2 + SQL server 2012
部署环境:域控AD1+AlwaysOn1节点+AlwaysOn2节点
现象描述:
1. 检查数据库AlwaysOn1节点的Windows日志,发现一条记录,如下图,
2. 然后使用域管理员(因为此时使用本地管理员已无法登陆域控服务器,提示密码不对)登陆到域控服务器上检查安全日志发现记录如下图,
3. 在域控服务器上使用域管理员账号重新修改其本地管理员账号的密码,没有出现上面的日志。
疑惑问题:
1. 我们的系统是不是被人潜入了?
2. 什么情况下回出现上面的日志记录?
备注: 出现上面的现象之后,并没有影响正常业务的进行,但是怀疑有人改了域控服务器的本地管理员密码,问了相关人员,均无此操作,担心我们的系统是不是被人潜入了。
部署环境:域控AD1+AlwaysOn1节点+AlwaysOn2节点
现象描述:
1. 检查数据库AlwaysOn1节点的Windows日志,发现一条记录,如下图,
2. 然后使用域管理员(因为此时使用本地管理员已无法登陆域控服务器,提示密码不对)登陆到域控服务器上检查安全日志发现记录如下图,
3. 在域控服务器上使用域管理员账号重新修改其本地管理员账号的密码,没有出现上面的日志。
疑惑问题:
1. 我们的系统是不是被人潜入了?
2. 什么情况下回出现上面的日志记录?
备注: 出现上面的现象之后,并没有影响正常业务的进行,但是怀疑有人改了域控服务器的本地管理员密码,问了相关人员,均无此操作,担心我们的系统是不是被人潜入了。
...全文
请发表友善的回复…
发表回复
LongRui888 2016-02-16
- 打赏
- 举报
关键是没有记录远程IP呢,而且登录的账号显示的是匿名登录。我昨天捣腾了一天也没能重现那条日志。[/quote]
你看看 在控制面板里,有一个 本地安全策略,里面有很多安全策略可以选择,我估计是因为 你用域管理员账号登录的时候,安全策略中并没有去审核这个事件,导致在事件查看器中就没有显示
[/quote]
安全策略那一块东西完全不懂啊
[/quote]
你们公司有系统管理员不,问问他呢?
[/quote]
你们公司有系统管理员不,问问他呢?
山寨DBA 2016-02-16
- 打赏
- 举报
关键是没有记录远程IP呢,而且登录的账号显示的是匿名登录。我昨天捣腾了一天也没能重现那条日志。[/quote]
你看看 在控制面板里,有一个 本地安全策略,里面有很多安全策略可以选择,我估计是因为 你用域管理员账号登录的时候,安全策略中并没有去审核这个事件,导致在事件查看器中就没有显示
[/quote]
安全策略那一块东西完全不懂啊
LongRui888 2016-02-16
- 打赏
- 举报
关键是没有记录远程IP呢,而且登录的账号显示的是匿名登录。我昨天捣腾了一天也没能重现那条日志。[/quote]
你看看 在控制面板里,有一个 本地安全策略,里面有很多安全策略可以选择,我估计是因为 你用域管理员账号登录的时候,安全策略中并没有去审核这个事件,导致在事件查看器中就没有显示
山寨DBA 2016-02-16
- 打赏
- 举报
关键是没有记录远程IP呢,而且登录的账号显示的是匿名登录。我昨天捣腾了一天也没能重现那条日志。
LongRui888 2016-02-15
- 打赏
- 举报
日志显示的日期是14号4点多,确实不像是正常的情况。
有记录远程的ip不? 如果是入侵,应该是通过远程登录的方式进入系统。
