端点管理指南:用于 Windows管理资源Windows 服务保护 › 查看对受保护的 Windows 服务的访问尝试

上一主题: 非 IPv4 Telnet 连接在 Windows Server 2008 上不安全

下一主题: Windows 注册表保护

查看对受保护的 Windows 服务的访问尝试

如果 CA Access Control 保护 Windows 服务,它将拦截与该服务相关联的访问尝试,并将其记录在审核日志中。 这些访问尝试可能是使用 services.exe 进程管理服务(启动、停止等等)所导致,也可能是对受保护服务的服务数据库管理区域的注册表访问所导致。 前一种访问是仅包含服务名的审核,后一种访问(注册表访问)包含完整的注册表路径。 要查看与 Windows 服务相关联的所有访问尝试,您需要使用通配符。

要查看对受保护的 Windows 服务的访问尝试,请创建用于筛选 WINSERVICE 类的审核记录和资源名称 *myService* 的审核筛选

CA Access Control 将显示您定义的 WINSERVICE 资源的所有审核记录(不论是通过注册表还是通过服务管理界面尝试访问)。

示例:查看对后台打印程序服务的所有访问尝试

该示例假定您将后台打印程序服务定义到 CA Access Control 而不进行任何访问,如下所示:

er winservice spooler defaccess(none) owner(nobody)

然后,您可以使用 seaudit 实用程序列出对后台打印程序服务的所有访问尝试,如下所示:

seaudit -resource WINSERVICE *spooler* *

该命令列出了 WINSERVICE 类的所有审核记录,这些记录是针对对后台打印程序服务的访问尝试所记录。 生成的输出结果如下所示:

seaudit - Audit log lister
03 Apr 2008 16:53:48 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
03 Apr 2008 16:53:48 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
03 Apr 2008 16:53:50 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
03 Apr 2008 16:53:50 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
03 Apr 2008 16:53:53 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
03 Apr 2008 16:53:53 D WINSERVICE   bigHost1\Administrator Read       69  2 Spooler
   c:\WINDOWS\system32\services.exe bigHost1.comp.com
03 Apr 2008 16:54:10 D WINSERVICE   bigHost1\Administrator Read       69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:10 D WINSERVICE   bigHost1\Administrator Read       69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:19 D WINSERVICE   bigHost1\Administrator Read       69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:26 D WINSERVICE   bigHost1\Administrator Read       69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com
03 Apr 2008 16:54:26 D WINSERVICE   bigHost1\Administrator Modify     69  2 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler
   C:\WINDOWS\regedit.exe bigHost1.comp.com

Total records displayed 11