服务器是阿里云的,win2008
之前发现系统日志有奇怪的时间有登录成功的记录,但就1条,之前公司有管网络管理的说过,只有1条登录成功的记录不能说明是被黑了,正常登录成功需要连续留多条记录的。
但不放心所以,修改了安全策略 本地审核策略 加了若干组审核策略,以便有人黑时留下详细记录。
但是发现审核策略会自动重置(不排除黑客修改),重置成未审核状态,而且日志里有审核策略更改的记录(不是我改的,改动用户是当前服务器名),如此测试了几轮。
因为我是搞代码的 网络太高级的真心不懂 所以求教一下 我这种情况是被黑了吗?
附图:
我设置的审核策略
被重置后
点 用户权限分配 显示下图 和这个有关系吗?
系统审核更改日志
附日志内容:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4719</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>13568</Task>
<Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime="2017-03-27T00:55:03.460929100Z" />
<EventRecordID>850137</EventRecordID>
<Correlation />
<Execution ProcessID="496" ThreadID="5260" />
<Channel>Security</Channel>
<Computer>iZ25dm148mbZ</Computer>
<Security />
</System>
- <EventData>
<Data Name="SubjectUserSid">S-1-5-18</Data>
<Data Name="SubjectUserName">iZ25dm148mbZ$</Data>
<Data Name="SubjectDomainName">WORKGROUP</Data>
<Data Name="SubjectLogonId">0x3e7</Data>
<Data Name="CategoryId">%%8272</Data>
<Data Name="SubcategoryId">%%12289</Data>
<Data Name="SubcategoryGuid">{0CCE9211-69AE-11D9-BED3-505054503030}</Data>
<Data Name="AuditPolicyChanges">%%8448, %%8450</Data>
</EventData>
</Event>
以上 拜求解