Win2000Server入侵监测!

问题回答：

Win2000 Server测系统（IDS）的技巧并不在本文的
讨论范围之内。

　　现在假定：我们有一台Win2000 Server的器，开放了WWW服务，你是
这台测系统是非常必要的。

　　Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细
的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追
踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略
中打开必要的审核，一般来说，登录事件与账户管理是我们最关心的事件，同时打开成
功和失败审核非常必要，其他的审核也要打开失败审核，这样可以使得入侵者步步维
艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有很好的
配置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求
覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天
前的日志可以避免上述情况的出现。

　　设置了安全日志却不去检查跟没有设置安全日志几乎一样糟糕（唯一的优点是被黑
了以后可以追查入侵者），所以，制定一个安全日志的检查机制也是非常重要的，作为
安全日志，推荐的检查时间是每天上午，这是因为，入侵者喜欢夜间行动（速度快呀，
要不你入侵到一半的时候连不上了，那可是哭都哭不出来）上午上班第一件事正好看看
日志有没有异常，然后就可以放心去做其他的事了。如果你喜欢，也可以编写脚本每天
把安全日志作为邮件发送给你（别太相信这个了，要是哪个高手上去改了你的脚本，每
天发送"平安无事"……）

　　除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，
入侵者除了在安全日志中留下痕迹（如果他拿到了Admin权限，那么他一定会去清除痕
迹的），在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任
何异常的态度，这样入侵者就很难隐藏他们的行踪。

3、 文件访问日志与关键文件保护

　　除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录
对他们的访问。

　　文件访问有很多的选项：访问、修改、执行、新建、属性更改......一般来说，关
注访问和修改就能起到很大的监视作用。

　　例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问（例如
cmd.exe,net.exe，system32目录），那么，入侵者就很难安放后门而不引起我们的注
意，要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱
日常的日志监测工作
（哪个系统管理员有耐心每天看四、五千条垃圾日志？）

　　关键文件不仅仅指的是系统文件，还包括有可能对系统管理员/其他用户构成危害
的任何文件，例如系统管理员的配置、桌面文件等等，这些都是有可能用来窃取系统管
理员资料/密码的。

[1] [2] 下一页