WIN2000服务器安全配置
如今,WIN2000 SERVER是比较流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事。本文试图对win2000 SERVER的安全配置举行初步的探究。
一、 定制自己的WIN2000 SERVER;
1.版本的选择:WIN2000有种种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不可为障碍的情况下,请一定利用英文版。要知道,微软的产物是以Bug & Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至多半个月(也就是说一般微软颁布了漏洞后你的机子还会有半个月处于无保护状态)
2.组件的定制:win2000在默认情况下会安装一些常用的组件,但是正是这个默认安装是极度危险的(米特尼科说过,他可以进入任何一台默认安装的服务器,我固然不敢这么说,不外如果你的主机是WIN2000 SERVER的默认安装,我可以报告你,你死定了)你应该确切的知道你必要哪些服务,而且仅仅安装你确实必要的服务,根据安全准绳,最少的服务+最小的权限=最大的安全。典范的WEB服务器必要的最小组件选择是:只安装IIS的Com Files,IIS Snap-In,WWW Server组件。如果你确实必要安装其他组件,请慎重,分外是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。
3. 办理使用步伐的选择
选择一个好的远程办理软件黑白常重要的事,这不但仅是安全方面的要求,也是使用方面的必要。Win2000的Terminal Service是基于RDP(远程桌面协议)的远程控制软件,他的速率快,操作方便,比较适适用来举行常规操作。但是,Terminal Service也有其不敷之处,由于它利用的是假造桌面,再加上微软编程的不严谨,当你利用Terminal Service举行安装软件或重起服务器等与真实桌面交互的操作时,往往会出现啼笑皆非的现象,比方:利用Terminal Service重起微软的认证服务器(Compaq, IBM等)大约会间接关机。以是,为了安全起见,我建议你再配备一个远程控制软件作为帮助,和Terminal Service互补,象PcAnyWhere就是一个不错的选择。
二、 精确安装WIN2000 SERVER
1.分区和逻辑盘的分派,有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,全部的软件都装在C驱上,这是很不好的,建议最少创立两个分区,一个系统分区,一个使用步伐分区,这是因为,微软的IIS经常会有走漏源码/溢出的漏洞,如果把系统和IIS放在统一个驱动器会导致系统文件的走漏乃至入侵者远程获取ADMIN。保举的安全配置是创立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日记文件,第二个放IIS,第三个放FTP,如许无论IIS或FTP出了安全漏洞都不会间接影响到系统目次和系统文件。要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开重要是为了防止入侵者上传步伐并从IIS中运转。(这个大约会导致步伐开辟人员和编辑的苦恼,管他呢,横竖你是办理员J)
2.安装顺序的选择:不要觉得:顺序有什么重要?只需安装好了,怎么装都可以的。错!win2000在安装中有几个顺序是一定要注意的:
首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就创立了ADMIN$的共享,但是并没有效你方才输入的密码来保护它,这种情况一直一连到你再次启动后,在此期间,任何人都可以经过ADMIN$进入你的机器;同时,只需安装一完成,种种服务就会主动运转,而这时的服务器是浑身漏洞,非常容易进入的,因而,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。
其次,补丁的安装:补丁的安装应该在全部使用步伐安装完之后,因为补丁步伐往往要替换/修正某些系统文件,如果先安装补丁再安装使用步伐有大约导致补丁不能起到应有的结果,比方:IIS的HotFix就要求每次更改IIS的配置都必要安装(变不变态?)
三、 安全配置WIN2000 SERVER
即使精确的安装了WIN2000 SERVER,系统照旧有许多的漏洞,还必要进一步举行过细地配置。
1.端口:端口是盘算机和内部网络相连的逻辑接口,也是盘算机的第一道屏障,端口配置精确与否间接影响到主机的安全,一般来说,仅打开你必要利用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不外对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,如许对于必要开大量端口的用户就比较痛楚。
2.IIS:IIS是微软的组件中漏洞最多的一个,均匀两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢阿谀,以是IIS的配置是我们的重点,如今大家随着我一起来:
首先,把C盘谁人什么Inetpub目次彻底删失,在D盘建一个Inetpub(要是你不放心用默认目次名也可以改一个名字,但是自己要记得)在IIS办理器中将主目次指向D:\Inetpub;
其次,谁人IIS安装时默认的什么scripts等假造目次一概删除(罪恶之源呀,http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了?我们固然曾经把Inetpub从系统盘挪出来了,但是照旧警惕为上),如果你必要什么权限的目次可以自己慢慢建,必要什么权限开什么。(分外注意写权限和执行步伐的权限,没有相对的必要千万不要给)
第三,使用步伐配置:在IIS办理器中删除必需之外的任何无用映射,必需指的是ASP, ASA和其他你确实必要用到的文件类型,比方你用到stml等(利用server side include),实际上90%的主机有了下面两个映射就够了,其余的映射几乎每个都有一个凄切的故事:htw, htr, idq, ida……想知道这些故事?去查曩昔的漏洞列表吧。什么?找不到在那边删?在IIS办理器中右击主机->属性->WWW服务编辑->主目次配置->使用步伐映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在方才谁人窗口的使用步伐调试书签内将脚本错误音讯改为发送文本(除非你想ASP堕落的工夫用户知道你的步伐/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定加入时别忘了让假造站点继承你设定的属性。
为了对付日益增多的cgi漏洞扫描器,还有一个小本领可以参考,在IIS中将HTTP404 Object Not Found堕落页面经过URL重定向到一个定制HTM文件,可以让如今绝大少数CGI漏洞扫描器失灵。其实缘故原由很简单,大少数CGI扫描器在编写时为了方便,都是经过检察返回页面的HTTP代码来判断漏洞是否存在的,比方,闻名的IDQ漏洞一般都是经过取1.idq来查验,如果返回HTTP200,就以为是有这个漏洞,反之如果返回HTTP404就以为没有,如果你经过URL将HTTP404堕落信息重定向到HTTP404.htm文件,那么全部的扫描无论存不存在漏洞都市返回HTTP200,90%的CGI扫描器会以为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处动手(武侠小说中常说满身漏洞反而自作掩饰,岂非说的就是这个地步?)不外从个人角度来说,我照旧以为扎踏实实做好安全设置比如许的小本领重要的多。
末了,为了保险起见,你可以利用IIS的备份功能,将方才的设定全部备份上去,如许就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在功能中打开CPU限定,比方将IIS的最大CPU利用率限定在70%。
3.账号安全:
Win2000的账号安满是另一个重点,首先,Win2000的默认安装容许任何用户经过空用户失掉系统全部账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以失掉你的用户列表并利用暴力法破解用户密码。许多朋友都知道可以经过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,实际上win2000的当地安全计谋(如果是域服务器就是在域服务器安全和域安全计谋中)就有如许的选项RestrictAnonymous(匿名连接的额外限定),这个选项有三个值:
0:None. Rely on default permissions(无,取决于默认的权限)
1:Do not allow enumeration of SAM accounts and shares(不容许罗列SAM帐号和共享)
2:No access without explicit anonymous permissions(没有显式匿名权限就不容许访问)
0这个值是系统默认的,什么限定都没有,远程用户可以知道你机器上全部的账号、组信息、共享目次、网络传输列表(NetServerTransportEnum等等,对服务器来说如许的设置非常危险。
1这个值是只容许非NULL用户存取SAM账号信息和共享信息。
2这个值是在win2000中才支持的,必要注意的是,如果你一旦利用了这个值,你的共享预计就全部完蛋了,以是我保举你照旧设为1比较好。
好了,入侵者如今没有办法拿到我们的用户列表,我们的账户安全了……慢着,至多还有一个账户是可以跑密码的,这就是系统内建的administrator,怎么办?我改改改,在盘算机办理->用户账号中右击administrator然后更名,改成什么随便你,只需能记得就行了。
不合错误不合错误,我都曾经改了用户名了,怎么照旧有人跑我办理员的密码?幸亏我的密码够长,但是这也不是办法呀?嗯,那一定是在当地大约Terminal Service的登录界面看到的,好吧,我们再来把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’t Display Last User Name串数据改成1,如许系统不会主动显示前次的登任命户名。
将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon项中的Don‘t Display Last User Name串数据修正为1,隐藏前次登岸控制台的用户名。(哇,天下清静了)
5.安整日记:我遇到过如许的情况,一台主机被他人入侵了,系统办理员请我去追查凶手,我登录出来一看:安整日记是空的,倒,请记着:Win2000的默认安装是不开任何安全审核的!那么请你到当地安全计谋->审核计谋中打开相应的审核,保举的审核是:
账户办理 乐成 失败
登录事件 乐成 失败
对象访问 失败
计谋更改 乐成 失败
特权利用 失败
系统事件 乐成 失败
目次服务访问 失败
账户登录事件 乐成 失败
审核项目少的缺陷是万一你想看发现没有记录那就一点都没辙;审核项目太多不但会占用系统资源而且会导致你基础没空去看,如许就失去了审核的意义。
与之相关的是:
在账户计谋->密码计谋中设定:
密码庞大性要求 启用
密码长度最小值 6位
强制密码汗青 5次
最长存留期 30天
在账户计谋->账户锁定计谋中设定:
账户锁定 3次错误登录
锁定工夫 20分钟
复位锁定计数 20分钟
同样,Terminal Service的安整日记默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只需记录登录、刊出事件就可以了。
7.目次和文件权限:
为了控制好服务器上用户的权限,同时也为了预防以后大约的入侵和溢出,我们还必需非常警惕地设置目次和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修正、列目次、完全控制。在默认的情况下,大少数的文件夹对全部用户(Everyone这个组)是完全洞开的(Full Control),你必要根据使用的必要举行权限重设。
在举行权限控制时,请记着以下几个准绳:
1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所容许的全部权限;
2>拒绝的权限要比容许的权限高(拒绝计谋会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了几多权限,他也一定不能访问这个资源。以是请非常警惕地利用拒绝,任何一个不妥的拒绝都有大约造成系统无法正常运转;
3>文件权限比文件夹权限高(这个不用解释了吧?)
4>利用用户组来举行权限控制是一个成熟的系统办理员必需具有的优良风俗之一;
5>仅给用户真正必要的权限,权限的最小化准绳是安全的重要保障;
8.预防DoS:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,win2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形(微软真是的,什么都要做?听说近来又要做防火墙了)在这个工具中,我们可以方便的定义输入输入包过滤器,比方,设定输入ICMP代码255丢弃就表现丢弃全部的外来ICMP报文(让你炸?我丢、丢、丢)
四、必要注意的一些事:
实际上,安全和使用在许多工夫是矛盾的,因而,你必要在其中找到均衡点,毕竟服务器是给用户用而不是做OPEN HACK的,如果安全准绳阻碍了系统使用,那么这个安全准绳也不是一个好的准绳。
网络安满是一项系统工程,它不但有空间的跨度,还有工夫的跨度。许多朋友(包括部门系统办理员)以为举行了安全配置的主机就是安全的,其实这其中有个误区:我们只能说一台主机在一定的情况一定的工夫上是安全的,随着网络结构的变化、新的漏洞的发现,办理员/用户的操作,主机的安全状态是随时随地变化着的,只有让安全意识和安全制度贯串整个过程才气做到真正的安全。
本文在撰写过程中参阅了大量Win2000安全的文章,在此向这些作者表现感谢。
Win2000 Server入侵监测
shotgun··yesky
--------------------------------------------------------------------------------
入侵检测初步
上一章我们谈到了Win2000 Server的安全配置,经过精心配置的Win2000服务器可以防御90%以上的入侵和渗入渗出,但是,就象上一章竣事时我所提到的:系统安满是一个一连的过程,随着新漏洞的出现和服务器使用的变化,系统的安全状态也在不停变化着;同时由于攻防是矛盾的统一体,道消魔长和魔消道长也在不停的转换中,因而,再高超的系统办理员也不能保证一台正在提供服务的服务器长工夫相对不被入侵。
以是,安全配置服务器并不是安全工作的竣事,相反却是漫长有趣的安全工作的开始,本文我们将初步探究Win2000服务器入侵检测的初步本领,希望能帮助您恒久维护服务器的安全。
本文中所说的入侵检测指的是利用Win2000 Server本身的功能及系统办理员自己编写的软件/脚本举行的检测,利用防火墙(Firewall)或入侵监测系统(IDS)的本领并不在本文的讨论范围之内。
如今假定:我们有一台Win2000 Server的服务器,并且经过了初步的安全配置(关于安全配置的概况可以参阅Win2000 Server安全配置入门<一>),在这种情况下,大部门的入侵者将被拒之门外。(哈哈,我办理员可以回家睡大觉去了)慢着,我说的是大部门,不是全部,经过初步安全配置的服务器固然可以防御绝大少数的Script kid(脚本族-只会用他人写的步伐入侵服务器的人),遇到了真正的妙手,照旧不胜一击的。固然说真正的妙手不会随便进入他人的服务器,但是也难保有几个操行不真个邪派妙手看上了你的服务器。(我真的这么衰么?)而且,在漏洞的发现与补丁的发布之间往往有一段工夫的真空,任何知道漏洞资料的人都可以攻其不备,这时,入侵检测技能就显得非常的重要。
入侵的检测重要照旧根据使用来举行,提供了相应的服务就应该有相应的检测分析系统来举行保护,对于一般的主机来说,重要应该注意以下几个方面:
1、 基于80端口入侵的检测
WWW服务大约是最常见的服务之一了,而且由于这个服务面临宽大用户,服务的流量和庞大度都很高,以是针对这个服务的漏洞和入侵本领也最多。对于NT来说,IIS一直是系统办理员比较头疼的一部门(恨不得关了80端口),不外幸亏IIS自带的日记功能从某种程度上可以成为入侵检测的得力帮忙。IIS自带的日记文件默认寄存在System32/LogFiles目次下,一般是按24小时滚动的,在IIS办理器中可以对它举行细致的配置。(详细怎么配我不管你,不外你要是不细致记录,转头查不到入侵者的IP可不要哭)
如今我们再假设(怎么老是假设呀,烦不烦?)别急呀,我不能为了写这篇文章真的去黑失一台主机,以是只好假设了,我们假设一台WEB服务器,开放了WWW服务,你是这台服务器的系统办理员,曾经警惕地配置了IIS,利用W3C扩展的日记款式,并至多记录了工夫(Time)、客户端IP(Client IP)、方法(Method)、URI资源(URI Stem)、URI查询(URI Query),协议状态(Protocol Status),我们用近来比较流行的Unicode漏洞来举行分析:打开IE的窗口,在地点栏输入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默认的情况下你可以看到目次列表(什么?你曾经做过安全配置了,看不到?恢复默认安装,我们要做个实行),让我们来看看IIS的日记都记录了些什么,打开Ex010318.log(Ex代表W3C扩展款式,背面的一串数字代表日记的记录日期):07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200下面这行日记表如今格林威治工夫07:42:58(就是北京工夫23:42:58),有一个家伙(入侵者)从127.0.0.1的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为"\",实际的情况会因为Windows语言版本的差别而有稍微的差别)运转了cmd.exe,参数是/c dir,运转结果乐成(HTTP 200代表精确返回)。(哇,记录得可真够全的,以后不敢随便乱玩Unicode了)
大少数情况下,IIS的日记会忠实地记录它接收到的任何请求(也有特别的不被IIS记录的攻击,这个我们以后再讨论),以是,一个优秀的系统办理员应该擅长利用这点来发现入侵的企图,从而保护自己的系统。但是,IIS的日记动辄数十兆、流量大的网站乃至数十G,人工检查几乎没有大约,独一的选择就是利用日记分析软件,用任何语言编写一个日记分析软件(其实就是文本过滤器)都非常简单,不外考虑到一些实际情况(比如办理员不会写步伐,大约服务器上一时找不到日记分析软件),我可以报告大家一个简单的方法,比方说你想知道有没有人从80端口上试图取得你的Global.asa文件,可以利用以下的CMD命令:find "Global.asa" ex010318.log /i这个命令利用的是NT自带的find.exe工具(以是不怕告急情况找不着),可以轻松的从文本文件中找到你想过滤的字符串,"Global.asa"是必要查询的字符串,ex010318.log是待过滤的文本文件,/i代表忽略巨细写。因为我无意把这篇文章写成微软的Help文档,以是关于这个命令的其他参数以及它的增强版FindStr.exe的用法请去检察Win2000的帮助文件。
无论是基于日记分析软件大约是Find命令,你都可以创立一张敏感字符串列表,包罗已有的IIS漏洞(比如"+.htr")以及未来将要出现的漏洞大约会调用的资源(比如Global.asa大约cmd.exe),经过过滤这张不停更新的字符串表,一定可以尽早相识入侵者的举措。
必要提示的是,利用任何日记分析软件都市占用一定的系统资源,因而,对于IIS日记分析如许低优先级的任务,放在夜里闲暇时主动执行会比较合适,如果再写一段脚本把过滤后的可疑文本发送给系统办理员,那就更加完美了。同时,如果敏感字符串表较大,过滤计谋庞大,我建议照旧用C写一个专用步伐会比较合算。
2、 基于安整日记的检测
经过基于IIS日记的入侵监测,我们能提前知道侦察者的行迹(如果你处理失当,侦察者随时会变成入侵者),但是IIS日记不是万能的,它在某种情况下乃至不能记录来自80端口的入侵,根据我对IIS日记系统的分析,IIS只有在一个请求完成后才会写入日记,换言之,如果一个请求中途失败,日记文件中是不会有它的踪影的(这里的中途失败并不是指产生HTTP400错误如许的情况,而是从TCP层上没有完成HTTP请求,比方在POST大量数据时异常中断),对于入侵者来说,就有大约绕过日记系统完成大量的活动。
而且,对于非80 Only的主机,入侵者也可以从其它的服务进入服务器,因而,创立一套完整的安全监测系统黑白常必要的。
Win2000自带了相称壮大的安整日记系统,从用户登录到特权的利用都有非常细致的记录,可惜的是,默认安装下安全审核是关闭的,以致于一些主机被黑后基础没法追踪入侵者。以是,我们要做的第一步是在办理工具-当地安全计谋-当地计谋-审核计谋中打开必要的审核,一般来说,登录事件与账户办理是我们最体贴的事件,同时打开乐成和失败审核非常必要,其他的审核也要打开失败审核,如许可以使得入侵者步步维艰,一不警惕就会暴露破绽。仅仅打开安全审核并没有完全解决问题,如果没有很好的配置安整日记的巨细及笼罩方式,一个老练的入侵者就能够经过大水般的伪造入侵请求笼罩失他真正的行迹。通常情况下,将安整日记的巨细指定为50MB并且只容许笼罩7天前的日记可以避免上述情况的出现。
设置了安整日记却不去检查跟没有设置安整日记几乎一样糟糕(独一的优点是被黑了以后可以追查入侵者),以是,订定一个安整日记的检查机制也黑白常重要的,作为安整日记,保举的检查工夫是每天上午,这是因为,入侵者喜欢夜间举措(速率快呀,要不你入侵到一半的工夫连不上了,那可是哭都哭不出来)上午下班第一件事恰好看看日记有没有异常,然后就可以放心去做其他的事了。如果你喜欢,也可以编写脚本每天把安整日记作为邮件发送给你(别太信赖这个了,要是哪个妙手上去改了你的脚本,每天发送"安然无恙"……)
除了安整日记,系统日记和使用步伐日记也黑白常好的帮助监测工具,一般来说,入侵者除了在安整日记中留下痕迹(如果他拿到了Admin权限,那么他一定会去清除痕迹的),在系统和使用步伐日记中也会留下蛛丝马迹,作为系统办理员,要有不放过任何异常的态度,如许入侵者就很难隐藏他们的行迹。
3、 文件访问日记与要害文件保护
除了系统默认的安全审核外,对于要害的文件,我们还要加设文件访问日记,记录对他们的访问。
文件访问有许多的选项:访问、修正、执行、新建、属性更改......一般来说,存眷访问和修正就能起到很大的监督作用。
比方,如果我们监督了系统目次的修正、创立,乃至部门重要文件的访问(比方cmd.exe,net.exe,system32目次),那么,入侵者就很难安顿后门而不引起我们的注意,要注意的是,监督的要害文件和项目不能太多,不然不但增长系统包袱,还会扰乱一样平常的日记监测工作
(哪个系统办理员有耐烦每天看四、五千条垃圾日记?)
要害文件不但仅指的是系统文件,还包括有大约对系统办理员/其他用户组成危害的任何文件,比方系统办理员的配置、桌面文件等等,这些都是有大约用来盗取系统办理员资料/密码的。
4、 进程监控
进程监控技能是追踪木马后门的另一个无力武器,90%以上的木马和后门是以进程的形式存在的(也有以其他形式存在的木马,参见《揭开木马的秘密面纱三》),作为系统办理员,相识服务器上运转的每个进程是职责之一(不然不要说安全,结合统优化都没有办法做),做一份每台服务器运转进程的列表非常必要,能帮助办理员一眼就发现入侵进程,异常的用户进程大约异常的资源占用都有大约黑白法进程。除了进程外,DLL也是危险的东西,比方把原本是exe类型的木马改写为dll后,利用rundll32运转就比较具有迷惑性。
5、 注册表校验
一般来说,木马大约后门都市利用注册表来再次运转自己,以是,校验注册表来发现入侵也是常用的手法之一。一般来说,如果一个入侵者只懂得利用流行的木马,那么由于普通木马只能写入特定的几个键值(比如Run、Runonce等等),查找起来是相对容易的,但是对于可以自己编写/改写木马的人来说,注册表的任何中央都可以藏身,靠手工查找就没有大约了。(注册表藏身变化多端,比方必要分外提出来的FakeGina技能,这种利用WINNT外嵌登录DLL(Ginadll)来失掉用户密码的方法近来比较流行,一旦中招,登任命户的密码就会被记录 无遗,详细的预防方法我这里就不先容了。)应对的方法是监控注册表的任何窜改,如许改写注册表的木马就没有办法遁形了。监控注册表的软件非常多,许多追查木马的软件都带有如许的功能,一个监控软件加上定期对注册表举行备份,万一注册表被非受权修正,系统办理员也能在最短的工夫内恢复。
6、端口监控
固然说不利用端口的木马曾经出现,但是大部门的后门和木马照旧利用TCP连接的,监控端口的状态对于由于种种缘故原由不能封锁端口的主机来说就黑白常重要的了,我们这里不谈利用NDIS网卡高级编程的IDS系统,对于系统办理员来说,相识自己服务器上开放的端口乃至比对进程的监控更减轻要,常常利用netstat检察服务器的端口状态是一个精良的风俗,但是并不能24小时如许做,而且NT的安整日记有一个坏风俗,喜欢记录机器名而不是IP(不知道比尔盖子怎么想的),如果你既没有防火墙又没有入侵检测软件,却是可以用脚本来举行IP日记记录的,看着这个命令:
netstat -n -p tcp 10>>Netstat.log,这个命令每10秒钟主动检察一次TCP的连接状态,基于这个命令我们做一个Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log
这个脚本将会主动记录工夫和TCP连接状态,必要注意的是:如果网站访问量比较大,如许的操作是必要消耗一定的CPU工夫的,而且日记文件将越来越大,以是请慎之又慎。(要是做个脚本就完美完好,谁去买防火墙?:)
一旦发现异常的端口,可以利用特别的步伐来联系干系端口、可执行文件和进程(如inzider就有如许的功能,它可以发现服务器监听的端口并找出与该端口联系干系的文件,inzider可http://www.nttoolbox.com下载到),如许无论是利用TCP照旧UDP的木马都无处藏身。
7、终端服务的日记监控
单独将终端服务(Terminal Service)的日记监控分列出来是有缘故原由的,微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议(RDP)的工具,它的速率非常快,也很稳固,可以成为一个很好的远程办理软件,但是因为这个软件功能壮大而且只遭到密码的保护,以是也非常的危险,一旦入侵者拥有了办理员密码,就能够象本机一样操作远程服务器(不必要高深的NT命令行本领,不必要编写特别的脚本和步伐,只需会用鼠标就能举行一切系统办理操作,实在是太方便、也实在是太可骇了)。固然许多人都在利用终端服务来举行远程办理,但是,并不是大家都知道怎样对终端服务举行审核,大少数的终端服务器上并没有打开终端登录的日记,其实打开日记审核是很容易的,在办理工具中打开远程控制服务配置(Terminal Service Configration),点击"连接",右击你想配置的RDP服务(比如 RDP-TCP(Microsoft RDP 5.0),选中书签"权限",点击左下角的"高级",看见下面谁人"审核"了么?我们来参加一个Everyone组,这代表全部的用户,然后审核他的"连接"、"断开"、"刊出"的乐成和"登录"的乐成和失败就充足了,审核太多了反而不好,这个审核是记录在安整日记中的,可以从"办理工具"->"日记检察器"中检察。如今什么人什么工夫登录我都一清二楚了,可是美中不敷的是:这个破烂玩艺居然不记录客户真个IP(只能检察在线用户的IP),而是脆而不坚的记录什么机器名,倒!要是他人起个PIG的机器名你只好受他的揶揄了,不知道微软是怎么想的,看来照旧不能完全依赖微软呀,我们自己来吧?写个步伐,一切搞定,你会C么?不会?VB呢?也不会?Delphi?……什么?你什么编程语言都不会?我倒,毕竟系统办理员不是步伐员呀,别急别急,我给你想办法,我们来创立一个bat文件,叫做TSLog.bat,这个文件用来记录登录者的IP,内容如下:
time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
start Explorer
我来解释一下这个文件的含义:
第一行是记任命户登录的工夫,time /t的意思是间接返回系统工夫(如果不加/t,系统会等候你输入新的工夫) ,然后我们用追加符号">>"把这个工夫记入TSLog.log作为日记的工夫字段;
第二行是记任命户的IP地点,netstat是用来显示以后网络连接状态的命令,-n表现显示IP和端口而不是域名、协议,-ptcp是只显示tcp协议,然后我们用管道符号"|"把这个命令的结果输入给find命令,从输入结果中查找包罗":3389"的行(这就是我们要的客户的IP所在的行,如果你更改了终端服务的端口,这个数值也要作相应的更改),末了我们同样把这个结果重定向到日记文件TSLog.log中去,于是在SLog.log文件中,记录款式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903 ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039 ESTABLISHED
也就是说只需这个TSLog.bat文件一运转,全部连在3389端口上的IP都市被记录,那么怎样让这个批处理文件主动运转呢?我们知道,终端服务容许我们为用户自定义肇始的步伐,在终端服务配置中,我们笼罩用户的登录脚本设置并指定TSLog.bat为用户登录时必要打开的脚本,如许每个用户登录后都必需执行这个脚本,因为默认的脚本(相称于shell环境)是Explorer(资源办理器),以是我在TSLog.bat的末了一行加上了启动Explorer的命令startExplorer,如果不加这一行命令,用户是没有办法进入桌面的!当然,如果你只必要给用户特定的Shell:
比方cmd.exe大约word.exe你也可以把start Explorer替换成恣意的shell。这个脚本也可以有其他的写法,作为系统办理员,你完全可以自由发扬你的想象力、自由利用自己的资源,比方写一个脚本把每个登任命户的IP发送到自己的信箱对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有检察终端服务设置的权限,以是他不会知道你对登录举行了IP审核,只需把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目次里就充足了,不外必要注意的是这只是一个简单的终端服务日记计谋,并没有太多的安全保障措施和权限机制,如果服务器有更高的安全要求,那照旧必要经过编程或购置入侵监测软件来完成的。
8、陷阱技能
早期的陷阱技能只是一个伪装的端口服务用来监测扫描,随着矛和盾的不停升级,如今的陷阱服务大约陷阱主机曾经越来越美满,越来越象真正的服务,不但能截获半开式扫描,还能伪装服务的回应并记录入侵者的举动,从而帮助判断入侵者的身份。
我自己对于陷阱技能并不黑白常感兴趣,一来从技能人员角度来说,低调行事更切合安全的准绳;二来陷阱主机反而成为入侵者跳板的情况并不但仅出如今小说中,在实际生活中也家常便饭,如果架设了陷阱反而被用来入侵,那真是偷鸡不可了。
记得CoolFire说过一句话,可以用来作为对陷阱技能先容的一个竣事:在不相识情况时,不要随便进入他人的系统,因为你永久不能事先知道系统办理员是真的呆子大约伪装成呆子的天才......
入侵监测的初步先容就到这里,在实际运用中,系统办理员对基础知识掌握的情况间接干系到他的安全敏感度,只有身经百战而又知识丰富、仔微警惕的系统办理员才气从一点点的蛛丝马迹中发现入侵者的影子,未雨缱绻,抹杀入侵的举措.
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
