Win2000Server入侵监测!

网络整理 - 08-10

问题回答:

Win2000 Server测系统(IDS)的技巧并不在本文的
讨论范围之内。

  现在假定:我们有一台Win2000 Server的器,开放了WWW服务,你是
这台测系统是非常必要的。

  Win2000自带了相当强大的安全日志系统,从用户登录到特权的使用都有非常详细
的记录,可惜的是,默认安装下安全审核是关闭的,以至于一些主机被黑后根本没法追
踪入侵者。所以,我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略
中打开必要的审核,一般来说,登录事件与账户管理是我们最关心的事件,同时打开成
功和失败审核非常必要,其他的审核也要打开失败审核,这样可以使得入侵者步步维
艰,一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题,如果没有很好的
配置安全日志的大小及覆盖方式,一个老练的入侵者就能够通过洪水般的伪造入侵请求
覆盖掉他真正的行踪。通常情况下,将安全日志的大小指定为50MB并且只允许覆盖7天
前的日志可以避免上述情况的出现。

  设置了安全日志却不去检查跟没有设置安全日志几乎一样糟糕(唯一的优点是被黑
了以后可以追查入侵者),所以,制定一个安全日志的检查机制也是非常重要的,作为
安全日志,推荐的检查时间是每天上午,这是因为,入侵者喜欢夜间行动(速度快呀,
要不你入侵到一半的时候连不上了,那可是哭都哭不出来)上午上班第一件事正好看看
日志有没有异常,然后就可以放心去做其他的事了。如果你喜欢,也可以编写脚本每天
把安全日志作为邮件发送给你(别太相信这个了,要是哪个高手上去改了你的脚本,每
天发送"平安无事"……)

  除了安全日志,系统日志和应用程序日志也是非常好的辅助监测工具,一般来说,
入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限,那么他一定会去清除痕
迹的),在系统和应用程序日志中也会留下蛛丝马迹,作为系统管理员,要有不放过任
何异常的态度,这样入侵者就很难隐藏他们的行踪。

3、 文件访问日志与关键文件保护

  除了系统默认的安全审核外,对于关键的文件,我们还要加设文件访问日志,记录
对他们的访问。

  文件访问有很多的选项:访问、修改、执行、新建、属性更改......一般来说,关
注访问和修改就能起到很大的监视作用。

  例如,如果我们监视了系统目录的修改、创建,甚至部分重要文件的访问(例如
cmd.exe,net.exe,system32目录),那么,入侵者就很难安放后门而不引起我们的注
意,要注意的是,监视的关键文件和项目不能太多,否则不仅增加系统负担,还会扰乱
日常的日志监测工作
(哪个系统管理员有耐心每天看四、五千条垃圾日志?)

  关键文件不仅仅指的是系统文件,还包括有可能对系统管理员/其他用户构成危害
的任何文件,例如系统管理员的配置、桌面文件等等,这些都是有可能用来窃取系统管
理员资料/密码的。

[1] [2] 下一页