Меню Рубрики

Как очистить журнал безопасности windows xp

Очистка журналов безопасности

Отключение аудита

Аудит, несомненно, является одним из наиболее серьезных средств защиты от хакинга компьютерной системы, и отключение средств аудита — одна из первых операций, которую выполняют хакеры при взломе компьютерной системы. Для этого применяются различные утилиты, позволяющие очистить журнал регист­рации и/или отключить аудит системы перед началом «работы».

Для отключения аудита хакеры могут отключить политику аудита штатными средствами настройки системы защиты Windows NT/2000/XP, однако лучше при­бегнуть к более мощному средству, предоставляемому утилитой auditpol.exe из комплекта инструментов W2RK. С ее помощью можно отключать (и включать) аудит как локального, так и удаленного компьютера. Для этого следует из ко­мандной строки ввести такую команду:

C:\Auditpol>auditpol \\ComputerName /disable

Audit information changed successfully on \\ComputerName .

New audit policy on \\ComputerName .

Process Tracking = Success and Failure

Account Management = No

Directory Service Access = No

Здесь //ComputerName — имя удаленного компьютера, а ключ /disable задает отключение аудита на этом компьютере. Утилита auditpol.exe — весьма эффек­тивное средство, созданное для управления сетевыми ресурсами, но также, как видим, весьма удобный инструмент хакинга (ввод команды auditpol /? отобра­жает справочную информацию о применении утилиты).

Для очистки журнала безопасности с помощью специального аплета на панели управления Windows 2000/XP следует выполнить следующие действия:

>• Щелкните на кнопке Пуск (Start) и в появившемся главном меню выберите команду Настройка.» Панель управления (Settings * Control Panel).

>• В отобразившейся Панели управления (Control Panel) откройте папку Администрирование (Administrative Tools).

у Дважды щелкните на аплете Просмотр событий (Event Viewer). На экране появится окно Event Viewer (Просмотр событий) (Рис. 4).

Рис. 4. Очистка журнала событий безопасности средствами Windows

>• Щелкните правой кнопкой мыши на пункте Безопасность (Security Log); появится контекстное меню.

> Выберите команду Clear all Events (Стереть все события). Отобразится диа­лог, представленный на Рис. 5, с предложением сохранить журнальные события в файле.

Рис. 5. Запрос о необходимости сохранения журнала безопасности

> Щелкните на кнопке Нет (No), если вам больше не требуются зафиксирован­ные в журнале события. Журнал будет очищен.

При выполнении очистки журнала безопасности обратите внимание на тот факт, что после выполнения этой операции в журнал сразу же записывается новое собы­тие аудита — только что выполненная операция очистки! Таким образом, хакер все же оставит свой след — пустой журнал с зафиксированным событием очистки журнала. Этот недостаток можно исправить, применив для очистки журнала ха-керскую утилиту elsave.exe (http://www.ibt.ku.dk/jesper/ELSave/default.htm). Эта утилита предназначена, в первую очередь, для очистки журналов Windows NT 4, но ее последняя версия работает и с системой Windows 2000. Вот как она запус­кается из командной строки.

C:\els004>elsave -s \\CotnputerName -С

Здесь ключ -s задает режим удаленной очистки, а ключ -С задает операцию очистки журнала. Кроме очистки, утилита позволяет копировать события жур­нала в файл. Ввод команды elsave /? приводит к отображению справки, и вы можете сами испытать эффективность всех предлагаемых возможностей.

Элементарная проверка показывает, что отмеченный выше недостаток остался -применение утилиты elsave.exe регистрируется в журнале безопасности как событие очистки журнала. Однако теперь мы можем сделать следующий трюк -поместить задание на очистку журнала утилитой elsave.exe в планировщик за­даний Windows (запустив его или из меню Пуск (Start), либо командой AT из ко­мандной строки MS-DOS). Планировщик выполнит операцию очистки под учет­ной записью System, что сильно затруднит поиски хакера.

Дата добавления: 2014-01-07 ; Просмотров: 2351 ; Нарушение авторских прав?

Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет

Источник

Заметаем следы: быстрая очистка всех журналов событий в Windows

В некоторых случаях требуется удалить на компьютере или сервере все записи в журнале событий Windows. Конечно, очистку системных журналов, можно выполнить и из графической оснастки просмотра событий — Eventvwr.msc (ПКМ по нужному журналу ->Clear Log), однако начиная с Vista, в Windows используется несколько десятков журналов для различных компонентов системы, и очищать их все из консоли Event Viewer будет довольно утомительно. Гораздо проще очистить логи из командной строки: с помощью PowerShell или встроенной утилиты wevtutil.

Очистка журналов событий с помощью PowerShell

В том случае, если у вас установлен PowerShell 3 (по умолчанию уже установлен в Windows 8 / Windows Server 2012 и выше), для получения списка журналов и их очистки можно воспользоваться командлетами Get-EventLog и Clear-EventLog .

Запустите консоль PowerShell с правами администратора и с помощью следующей команды выведите список всех имеющихся в системе классических журналов событий с их максимальными размерами и количеством событий в них.

Для удаления всех событий из конкретного журнала событий (например, журнала System), воспользуйтесь командой:

Clear-EventLog –LogName System

В результате, все события из этого журнала будут удалены, а в журнале события останется только одно событие EventId 104 с текстом « The System log file was cleared ».

Для очистки всех журналов событий нужно бы перенаправить имена журналов в конвейер, однако, к сожалению это запрещено. Поэтому нам придется воспользоваться циклом ForEach:

Get-EventLog -LogName * | ForEach

Таким образом, будут очищены все классические журналы EventLogs.

Очистка журналов с помощью консольной утилиты WevtUtil.exe

Для работы с событиями в Windows уже довольно давно имеется в наличии мощная утилита командой строки WevtUtil.exe . Ее синтаксис немного сложноват на первый взгляд. Вот, к примеру, что возвращает help утилиты:

Чтобы вывести список зарегистрированных в системе журналов событий, выполните команду:

WevtUtil enum-logs
или более короткий вариант:

На экране отобразится довольно внушительный список имеющихся журналов.

Примечание . Посчитать их количество можно с помощью команды WevtUtil el |Measure-Object. В моем случае, в Windows 10 насчитывается 1053 различных журналов).

Можно получить более подробную информацию по конкретному журналу:

Очистка событий в конкретном журнале выполняется так:

Перед очисткой можно создать резервную копию событий в журнале, сохранив их в файл:

WevtUtil cl Setup /bu:SetupLog_Bak.evtx

Чтобы очистить сразу все журналы, можно воспользоваться командлетом Powershell Get—WinEvent для получения всех объектов журналов и Wevtutil.exe для их очистки:

Get-WinEvent -ListLog * -Force | %

Wevtutil el | ForEach

Примечание . В нашем примере не удалось очистить 3 журнала из-за ошибки доступа. Стоит попробовать очистить содержимое этих журналов из консоли Event Viewer.

Очистка журналов может быть выполнена и из классической командной строки:

Источник

Как принудительно очистить журнал Windows Defender и избавиться от предупреждающих значков на иконке Защитника

Подобно другим антивирусам, встроенный Защитник Windows ведет историю обнаруженных угроз, просмотреть которую можно в журнале защиты. Эти записи будут отображаться в журнале, даже если опасный файл обезврежен и помещен в карантин, что может вызвать своеобразный побочный эффект, проявляющийся наличием красного или желтого значка на иконке Защитника в системном лотке. в Windows 10 2004 разработчики вроде бы должны были решить эту проблему.

Но, судя по отзывам пользователей, сталкиваться с ней приходится и в последней стабильной версии системы.

Чтобы избавиться от этих предупреждающих о несуществующей уже угрозе значков, нужно очистить журнал Windows Defender. В сборках до релиза 1903 сделать это можно было через интерфейс управления безопасностью Windows, в более поздних сборках системы кнопка очистки журнала отсутствует. Данные журнала удаляются автоматически по истечении 30-и дней, но вы можете сократить этот период или просто удалить их принудительно.

Изменение срока хранения Журнала Защитника

Для изменения срока хранения записей в журнале Защитника Windows 10 мы предлагаем использовать консоль PowerShell .

Запустив ее от имени администратора, выполните в ней команду Get-MpPreference и найдите в полученном списке параметр ScanPurgeItemsAfterDelay.

В Windows 10 2004 его значение равняется 15, то есть данные журнала хранятся 15 дней. Чтобы сократить этот срок, скажем, до двух дней, выполните в PowerShell такую команду:

Set-MpPreference -ScanPurgeItemsAfterDelay 2

Принудительная очистка Журнала Защитника

Если вы хотите очистить журнал прямо сейчас, выполните следующие действия.

Перейдите в Проводнике в папку C:\ProgramData\Microsoft\Windows Defender\Scans , а затем зайдите в расположенную в ней папку History , подтвердив вход с правами администратора.

В свою очередь, в ней найдите папку Service и удалите ее.

Вместе с ней будет удалена и история действий Windows Defender.

Должен исчезнуть и значок предупреждения на иконке Защитника. Однако, если у вас не настроены базовые функции безопасности, желтый значок предупреждения будет отображаться независимо от того, имеются в журнале записи или нет.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Как очистить жесткий диск на ноутбуке windows 7
  • Как очистить жесткий диск на компьютере windows 7
  • Как очистить драйвера принтера в windows 7
  • Как очистить дисковое пространство на windows 7
  • Как очистить диск с без вреда для windows 10