互聯(lián)網(wǎng)技術(shù)文件訪問日志與關(guān)鍵文件保護(hù)

互聯(lián)網(wǎng)技術(shù) 責(zé)任編輯:jianglin 2013-09-08

摘要:視頻教程在線輔導(dǎo)面授招生考試大綱指定教材報名時間1.文件訪問日志與關(guān)鍵文件保護(hù)除了系統(tǒng)默認(rèn)的安全審核外,對于關(guān)鍵的文件,還要加設(shè)文件訪問日志,記錄對它們的訪問。文件訪問有很多的選項(xiàng):訪問、修改、執(zhí)行、新建、屬性更改等。一般來說,關(guān)注訪問和修改就能起到很大的監(jiān)視作用。例如,如果我們監(jiān)視了系統(tǒng)目錄的修改

 在線輔導(dǎo) 面授招生 考試大綱 指定教材 報名時間

  1.文件訪問日志與關(guān)鍵文件保護(hù)

除了系統(tǒng)默認(rèn)的安全審核外,對于關(guān)鍵的文件,還要加設(shè)文件訪問日志,記錄對它們的訪問。

文件訪問有很多的選項(xiàng):訪問、修改、執(zhí)行、新建、屬性更改等。一般來說,關(guān)注訪問和修改就能起到很大的監(jiān)視作用。

例如,如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建,甚至部分重要文件的訪問(如cmd.exe、net.exe>system32目錄),那么,入侵者就很難安放后門而不引起系統(tǒng)管理員的注意。要注意的是,監(jiān)視的關(guān)鍵文件和項(xiàng)目不能太多,否則不僅增加系統(tǒng)負(fù)擔(dān),還會擾亂日常的曰志監(jiān)測工作。關(guān)鍵文件不僅指的是系統(tǒng)文件,還包括有可能對系統(tǒng)管理員/其他用戶構(gòu)成危害的任何文件,如系統(tǒng)管理員的配S、桌面文件等,這些都是有可能用來竊取系統(tǒng)管理員資料/密碼的。

2.進(jìn)程監(jiān)控

進(jìn)程監(jiān)控技術(shù)是追蹤木馬后門的另一個有力武器,90%以上的木馬和后門是以進(jìn)程的形式存在的(也有以其他形式存在的木馬〉。作為系統(tǒng)管理員,了解服務(wù)器上運(yùn)行的每個進(jìn)程是職責(zé)之一,做一份每臺服務(wù)器運(yùn)行進(jìn)程的列表非常必要,能幫助管理員迅速就發(fā)現(xiàn)入侵進(jìn)程,異常的用戶進(jìn)程或者異常的資源占用都有可能是非法進(jìn)程》除了進(jìn)程外,DLL也是重要的檢測對象,例如,把原本是exe類型的木馬改寫為dll后,使用rundn32運(yùn)行就比較具有迷惑性。

3.注冊表校驗(yàn)

一般來說,木馬或者后門都會利用注冊表來再次運(yùn)行自己,所以,校驗(yàn)注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。如果入侵者只懂得使用流行的木馬,那么由于普通木馬只能寫入特定的幾個鍵值(如Run、Runonce等),查找起來是相對容易的,但是對于可以自己編寫/改寫木馬的人來說,注冊表的任何地方都可以藏身,靠手工査找就沒有可能了。應(yīng)對的方法是監(jiān)控注冊表的任何改動,這樣改寫注冊表的木馬就沒有辦法遁形了。監(jiān)控注冊表的軟件非常多,很多追查木馬的軟件都帶有這樣的功能,一個監(jiān)控軟件加上定期對注冊表進(jìn)行備份,萬一注

冊表被非授權(quán)修改,系統(tǒng)管理員也能在最短的時間內(nèi)恢復(fù)。

4.端口監(jiān)控

雖然說有些木馬不使用端口,但是大部分的后門和木馬還是使用TCP連接的。對某些主機(jī),由于種種原因不能封鎖端口,那么端口監(jiān)控就非常重要了。這時,系統(tǒng)管理員就要充分了解服務(wù)器上開放的端口。使用netstat等工具查看服務(wù)器的端口狀況,但措施是手工的,不能24小時執(zhí)行。這時可以編寫相關(guān)腳本實(shí)現(xiàn)IP日志記錄。

例如:

time/t?Netstat.log

Netstat-n-ptcp10?Netstat.log

這個腳本每10秒鐘自動?xùn)丝匆淮蜹CP的連接狀況,且自動計入Netlog.bat文件中。

但是,如果網(wǎng)站訪問量比較大,這樣的操作是需要消耗一定的CPU時間的,而且日志文件將會越來越大。

一旦發(fā)現(xiàn)異常的端口,可以使用特殊的程序來關(guān)聯(lián)端口、可執(zhí)行文件和進(jìn)程。例如,inzider就有這樣的功能,它可以發(fā)現(xiàn)服務(wù)器監(jiān)聽的端口并找出與該端口關(guān)聯(lián)的文件,這樣無論是使用TCP還是UDP的木馬都無處藏身。

  5.終端服務(wù)的日志監(jiān)控

Windows2000服務(wù)器版中自帶的終端服務(wù)TerminalService是一個基于遠(yuǎn)程桌面協(xié)議(RDP)的工具,它的速度非???,也很穩(wěn)定,可以成為一個很好的遠(yuǎn)程管理軟件。但是因?yàn)檫@個軟件功能強(qiáng)大而且只受到密碼的保護(hù),所以也非常危險。一旦入侵者擁有了管理員密碼,就能夠像本機(jī)一樣操作遠(yuǎn)程服務(wù)器,不需要高深的WindowsNT命令行技巧,不需要編寫特殊的腳本和程序,只要會用鼠標(biāo)就能進(jìn)行一切系統(tǒng)管理操作。雖然很多人都在使用終端服務(wù)來進(jìn)行遠(yuǎn)程管理,但是,一般都不知道,或者不會對終端服務(wù)進(jìn)行審核。

對終端服務(wù)進(jìn)行審核關(guān)鍵是開終端登錄的日志。在管理工具中打開遠(yuǎn)程控制服務(wù)配置(TerminalServiceConfigration),單擊“連接”,鼠標(biāo)右擊需要配置的RDP服務(wù)(如RDP-TCP(MicrosoftRDP5.0),選中“權(quán)限”選項(xiàng)卡,單擊“高級”按鈕,選擇“審核”。添加需要審核的組,如Eveiyone組,代表所有的用戶,然后審核他的“連接”、“斷開”、“注銷”的成功和“登錄”的成功和失敗等,審核記錄在安全日志中,通過“管理工具”-“日志査看器”命令查看。何人在何時登錄都一清二楚了。但這個日志不記錄客戶端的IP(只能査看在線用戶的IP),只記錄機(jī)器名。但是,我們可以自己編寫異端程序來彌補(bǔ)這一不足。例如,建立-個TSLog.bat的bat文件,由其來記錄登錄者的IP:

time/t?TSLog.log

netstat-n-ptcp|find":3389"?TSLog.log

startExplorer

第一行是記錄用戶登錄的時間,timeIt指直接返回系統(tǒng)時間,“》”把這個時間記入TSLog.log作為日志的時間字段。

第二行是記錄用戶的IP地址,netstat是用來顯示當(dāng)前網(wǎng)絡(luò)連接狀況,-n表示顯示IP和端口而不是域名、協(xié)議,-ptcp只顯示TCP,管道符號“丨”把命令的結(jié)果輸出給find命令,從輸出結(jié)果中查找包含":3389"的行(這就是客戶IP所在行,3389是默認(rèn)終端服務(wù)端口,如果改變端口,這個數(shù)值也要作相應(yīng)的更改),最后把這個結(jié)果重定向到日志文件TSLog.bg。

第三行startExplorer保證每個用戶登錄后都必須執(zhí)行這個腳本,實(shí)現(xiàn)這個批處理文件的自動運(yùn)行。終端服務(wù)允許為用戶自定義起始的程序,在終端服務(wù)配置中,我們覆蓋用戶的登錄腳本設(shè)置,指定TSLog.bat為用戶登錄時需要打開的腳本。因?yàn)轭罢J(rèn)的腳本(相當(dāng)于shell環(huán)境)是Explorer(資源管理器),所以,在TSLog.bat的最后一行加上了啟動Explorer的命令startExplorer。如果指定別的Shell:如cmd.exe或者word.exe,則Explorer要換成相應(yīng)的shell。

SLog.log文件記錄格式如下:

22:40

TCP192.168.12.28:3389192.168.10.123:4903ESTABLISHED

22:54

TCP192.168.12.28:3389192.168.12.29:1039ESTABLISHED

只要TSLog.bat-運(yùn)行,所有連在3389端口上的IP都會被記錄。

在腳本中也可以指定其他記錄的其他輸出方式,例如,把每個登錄用戶的IP發(fā)送到自己的信箱。正常情況下,一般的用戶沒有查看終端服務(wù)設(shè)置的權(quán)限,所以他不會知道你對登錄進(jìn)行了IP審核,把相關(guān)信息發(fā)送到自己的信箱可以實(shí)現(xiàn)記錄信息的隱蔽,不需要考慮TSLog.log文件的隱藏。

  6.陷阱技術(shù)

早期的陷阱技術(shù)只是一個偽裝的端口服務(wù)用來監(jiān)測掃描,隨著矛盾的不斷升級,現(xiàn)在的陷阱服務(wù)或者陷阱主機(jī)已經(jīng)越來越完善,越來越像真正的服務(wù),不僅能截獲半開式掃描,還能偽裝服務(wù)的回應(yīng)并記錄入侵者的行為,從而幫助判斷入侵者的身份。

對于陷阱技術(shù)的使用應(yīng)該慎重,陷阱主機(jī)成為入侵者跳板的情況也屢見不鮮,如果架設(shè)了陷阱反而被用來入侵,那就適得其反。

在實(shí)際運(yùn)用中,系統(tǒng)管理員對基礎(chǔ)知識掌握的情況直接關(guān)系到他的安全敏感度,只有積累了一定經(jīng)驗(yàn)和知識,仔細(xì)小心的系統(tǒng)管理員才能從一點(diǎn)點(diǎn)的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子,未雨綢繆,扼殺入侵的行為。

返回目錄:通信工程師互聯(lián)網(wǎng)技術(shù)培訓(xùn)網(wǎng)絡(luò)安全匯總

編輯相關(guān)推薦:

互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點(diǎn)匯總

通信工程師互聯(lián)網(wǎng)技術(shù)考試網(wǎng)絡(luò)操作系統(tǒng)

通信工程師考試培訓(xùn)互聯(lián)網(wǎng)交換技術(shù)教程

更多資料
更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請考生以權(quán)威部門公布的內(nèi)容為準(zhǔn)!

通信工程師備考資料免費(fèi)領(lǐng)取

去領(lǐng)取

距離2025 通信工程師考試

還有
  • 3
  • 1
  • 3
專注在線職業(yè)教育23年

項(xiàng)目管理

信息系統(tǒng)項(xiàng)目管理師

廠商認(rèn)證

信息系統(tǒng)項(xiàng)目管理師

信息系統(tǒng)項(xiàng)目管理師

信息系統(tǒng)項(xiàng)目管理師

學(xué)歷提升

!
咨詢在線老師!