Window 2003安全检测,让入侵者无处可藏

Server 2003中的日志信息往往非常多，要对这么多的日志信息进行分析显然是不可能的，我们可以在日志记录上点右键选“属性”，在“筛选器”中设置一个日志筛选器根据自己的需要进行筛选，过滤无用的信息。如果要分析Web是否被入侵，可以打开“IIS管理器”定位到其日志文件进行查看。不过，web日志是非常多的，因此需要通过专门的工具进行分析，比如“Web Log Explorer”就是一款不错的工具，可以查看浏览者的IP及其该IP访问、下载或者修改了哪些文件等等。(图10)



正因为，日志会记录入侵者的踪迹。所有狡猾的入侵者往往在入侵后会对日志进行操作，擦除入侵痕迹。常见的手段是：
　　(1).删掉日志。这是最低级的做法，虽然消除了日志，但也暴露了入侵者自己。如果是这样，管理员看到日志被删除可以马上断定Server 2003被入侵。
　　(2).部分删除。一些比较高明的入侵者在入侵结束后会删除日志中与自己相关的部分。如果这样，管理员可以实施对日志的监控保护，一旦发现日志有删除的痕迹就可以进行入侵检测。
　　(3).部分修改。这是一些高明的入侵者采用的方法，他们在入侵结束后会修改与自己相关的日志，以欺骗管理员或者嫁祸于人，金蝉脱壳。对才，管理员可以采取同上的方法，不过还要进行一定的分析。
　　最后，笔者以一个安全爱好者的角度建议管理员一定要备份好Server 2003的日志。
　　

3.检查安全策略是否更改　　
Server 2003的安全级别比较高，其默认的安全策略限制了攻击者的很多行为，因此他们在入侵过程中或者入侵后往往对Server 2003的安全策略进行调整设置以利用对Server 2003的长久控制。所以，安全策略检测也是Server 2003入侵检测的一个重要方面。
安全策略检测主要从下面几个方面入手：
　　(1).协议相关：打开“本地连接”的属性，查看“常规”中是否只勾选了“TCP/IP协议”。因为一个安全的Server 2003其他的选项是不需要，但这也许是攻击者所需要的。
　　(2).TCP/IP筛选：打开“TCP/IP”协议设置，点“高级”→“选项”，查看“IP安全机制”是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。
　　(3).IP安全策略：依次打开“管理工具”→“本地安全策略”，查看目前使用的IP安全策略是否发生更改。
　　(4).本地策略：在“本地安全策略”查看“本地策略”下的“用户权限分配”和“安全选项”相关策略有无更改。比如“使用空白密码的本地帐户只允许进行控制台登录”策略默认是“启用”的，攻击者可能基于远程登录的需要会改为“已禁用”。(图11)


总结：Windows Server 2003不管是作为个人系统还是服务器系统，安全检测是非常重要的。只要我们提高警惕，进行针对上述系统敏感区域的检测就能够在极大程度上提升系统安全，让入侵者无处可藏。

第1页:1   第2页:2   第3页:3   第4页:4