windows主机的监测.docVIP

windows主机的监测 WMI的测试 Windows 主机之间的通信主要的连接方式是使用WMI，默认情况下添加windows主机使用这种方式，前提是保证两台主机之间WMI能够正常链接、通讯； 可以使用WMI TOOLS 等工具进行调试，工具：Sniffer 主要问题是集中在添加主机时返回错误，经常添加不成功，（此类问题挑选两个比较经典的） 下面介绍的两种情况应该灵活运用，解决问题的方法可以结合使用，在这里只是提出一个指导性的方案，希望大家能够举一反三、灵活运用； WMI测试方法： Windows 2000/2003系统WMI测试----200系统配置比较方便这里就不多说了；2003对安全要求比较高，在WMI的菜单栏里面没有提供填写用户名/密码的选项，所以这个版本的测试需要将被监测主机和监测主机的登录用户盒密码相同； 的步骤说明：（见下图：） 运行 WMIMGMT.MSC命令（通过此命令还可以了解该主机WMI运行情况，如果WMI服务没有启用，将会得到提示；如果系统资源耗尽WMI将无法运行；根据这些可以得出正确的判断） 连接，填写被连接主机的IP地址和用户名密码（通过 这种方式可以判断连接状态及其原因） 结果 （根据返回信息进行判断，然后再做出相应的策略调整） 出现频率最高的错误代码 ------2147024891/-2147023174； -2147024891----访问请求被对方拒绝； 关于对windows的监测原理我们的很多地方（参见知识库里面）详细的讲解过，现在我们针对这个问题分析一下原因：访问被拒绝大多数是因为被监测主机的安全策略、防火墙设置（比如不允许从网络访问、限制登录的用户身份等） 造成的，否则将得到其他的返回码；针对这样的问题除了DCOM的基本配置之外需要对安全策略，防火墙策略进行调整； 具体方法如下： 本地安全策略配置 第一步：首先检查帐户策略，（这个地方最容易忽略的添加主机的时候如果用户名/密码填写错误，被监测主机的审核策略会将SITEVIEW使用的帐户锁定，即使所有配置都正确也无法访问）如下图： 第二步：用户权限指派（这里的用户指的是windows登录用户，也就是访问windows的用户，如果在这里对windows的用户访问权限作了限制，访问肯定会失败；）需要调整的策略有很多；最重要的几条策略------ 需要检查这些策略的配置里面是否拒绝了我们所使用的windows 用户； 如下图： 第三步：安全选项（主要调整用户登录的安全模式） 第四步：IP安全策略配置（主要目的确认监测主机是否被策略限制） 以上四个步骤可以初步检查出访问被拒绝的原因，windows 还有许多策略也会影响到正常监测，需要大家灵活运用各种手段才能达到目的； -2147023174------RPC服务不可用； RPC不可用或者调用失败的原因一般情况下是防火墙或者网络设备上135 端口因为各种原因被阻断，还有一个原因可能是被监测主机之前中过冲击波之类的病毒，导致RPC服务无法正常使用； 具体方法如下： 使用Sniffer Pro之类的工具 使用Sniffer 这里我们介绍一下如何通过Sniffer判断Windows主机监测是否成功。 在我们可以Telnet 被监测Windows主机的135端口后，如果仍无法正常监测Windows主机，我们可以通过Sniffer来进行辅助分析。 注意：在用Sniffer抓包前，如果对该Windows主机已经存在有监测器，建议将该Windows主机相关监测器全部禁用，防止由于自动监测影响数据的分析。 打开Sniffer Portable ，单击工具栏上的按钮“Define Filter”（如图所示），在弹出的对话框 中定义过滤器的条件，如下图所示，Address 选择 IP ,然后在Station 分别输入监测机和被 监测机的IP地址，这样就可以只拦截监测时的数据包。设置完成后单击“确定”按钮。 然后单击工具栏上的 Start 按钮。添加在被监测Windows主机的配置界面中点击刷新，测试该主机。如果 Stop and Display 按钮状态变成可以单击，表示已经拦截到数据包，单击此按钮，在下面的对话框单击Decode 属性页，显示出对拦截到的数据包的分析结果。 事例一：如图所示：192.168.6.15为SiteView服务器，192.168.6.25为被监测Windows主机 前三个访问为TCP/IP访问的三次“握手”，然后SiteView进行RPC请求（如图高亮部分），被监测主机做出RPC应答。被监测Windows主机监测成功。 另外我们从图中数据也可以分析出来，采用分布式COM技术监测Windows主机。SiteView