中級通信互聯(lián)網(wǎng)技術(shù)知識點精講之文件訪問日志與關(guān)鍵文件保護

       下面是由希賽小編整理的中級通信互聯(lián)網(wǎng)技術(shù)知識點精講之文件訪問日志與關(guān)鍵文件保護，希望能幫助學(xué)友們。具體內(nèi)容如下：

       文件訪問日志與關(guān)鍵文件保護

       除了系統(tǒng)默認(rèn)的安全審核外，對于關(guān)鍵的文件，還要加設(shè)文件訪問日志，記錄對它們的訪問。

       文件訪問有很多的選項：訪問、修改、執(zhí)行、新建、屬性更改等。一般來說，關(guān)注訪問和修改就能起到很大的監(jiān)視作用。

       例如，如果我們監(jiān)視了系統(tǒng)目錄的修改、創(chuàng)建，甚至部分重要文件的訪問（如cmd.exe、net.exe>system32目錄），那么，入侵者就很難安放后門而不引起系統(tǒng)管理員的注意。要注意的是，監(jiān)視的關(guān)鍵文件和項目不能太多，否則不僅增加系統(tǒng)負擔(dān)，還會擾亂日常的曰志監(jiān)測工作。關(guān)鍵文件不僅指的是系統(tǒng)文件，還包括有可能對系統(tǒng)管理員/其他用戶構(gòu)成危害的任何文件，如系統(tǒng)管理員的配S、桌面文件等，這些都是有可能用來竊取系統(tǒng)管理員資料/密碼的。

       進程監(jiān)控

       進程監(jiān)控技術(shù)是追蹤木馬后門的另一個有力武器，90%以上的木馬和后門是以進程的形式存在的（也有以其他形式存在的木馬〉。作為系統(tǒng)管理員，了解服務(wù)器上運行的每個進程是職責(zé)之一，做一份每臺服務(wù)器運行進程的列表非常必要，能幫助管理員迅速就發(fā)現(xiàn)入侵進程，異常的用戶進程或者異常的資源占用都有可能是非法進程》除了進程外，DLL也是重要的檢測對象，例如，把原本是exe類型的木馬改寫為dll后，使用rundn32運行就比較具有迷惑性。

       注冊表校驗

       一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。如果入侵者只懂得使用流行的木馬，那么由于普通木馬只能寫入特定的幾個鍵值（如Run、Runonce等），查找起來是相對容易的，但是對于可以自己編寫/改寫木馬的人來說，注冊表的任何地方都可以藏身，靠手工査找就沒有可能了。應(yīng)對的方法是監(jiān)控注冊表的任何改動，這樣改寫注冊表的木馬就沒有辦法遁形了。監(jiān)控注冊表的軟件非常多，很多追查木馬的軟件都帶有這樣的功能，一個監(jiān)控軟件加上定期對注冊表進行備份，萬一注

       冊表被非授權(quán)修改，系統(tǒng)管理員也能在最短的時間內(nèi)恢復(fù)。

       端口監(jiān)控

       雖然說有些木馬不使用端口，但是大部分的后門和木馬還是使用TCP連接的。對某些主機，由于種種原因不能封鎖端口，那么端口監(jiān)控就非常重要了。這時，系統(tǒng)管理員就要充分了解服務(wù)器上開放的端口。使用netstat等工具查看服務(wù)器的端口狀況，但措施是手工的，不能24小時執(zhí)行。這時可以編寫相關(guān)腳本實現(xiàn)IP日志記錄。

       例如：

       time/t?Netstat.log

       Netstat-n-ptcp10?Netstat.log

       這個腳本每10秒鐘自動?xùn)丝匆淮蜹CP的連接狀況，且自動計入Netlog.bat文件中。

       但是，如果網(wǎng)站訪問量比較大，這樣的操作是需要消耗一定的CPU時間的，而且日志文件將會越來越大。

       一旦發(fā)現(xiàn)異常的端口，可以使用特殊的程序來關(guān)聯(lián)端口、可執(zhí)行文件和進程。例如，inzider就有這樣的功能，它可以發(fā)現(xiàn)服務(wù)器監(jiān)聽的端口并找出與該端口關(guān)聯(lián)的文件，這樣無論是使用TCP還是UDP的木馬都無處藏身。

       終端服務(wù)的日志監(jiān)控

       Windows2000服務(wù)器版中自帶的終端服務(wù)TerminalService是一個基于遠程桌面協(xié)議(RDP)的工具，它的速度非?？?，也很穩(wěn)定，可以成為一個很好的遠程管理軟件。但是因為這個軟件功能強大而且只受到密碼的保護，所以也非常危險。一旦入侵者擁有了管理員密碼，就能夠像本機一樣操作遠程服務(wù)器，不需要高深的WindowsNT命令行技巧，不需要編寫特殊的腳本和程序，只要會用鼠標(biāo)就能進行一切系統(tǒng)管理操作。雖然很多人都在使用終端服務(wù)來進行遠程管理，但是，一般都不知道，或者不會對終端服務(wù)進行審核。

       對終端服務(wù)進行審核關(guān)鍵是開終端登錄的日志。在管理工具中打開遠程控制服務(wù)配置(TerminalServiceConfigration),單擊“連接”，鼠標(biāo)右擊需要配置的RDP服務(wù)（如RDP-TCP(MicrosoftRDP5.0),選中“權(quán)限”選項卡，單擊“高級”按鈕，選擇“審核”。添加需要審核的組，如Eveiyone組，代表所有的用戶，然后審核他的“連接”、“斷開”、“注銷”的成功和“登錄”的成功和失敗等，審核記錄在安全日志中，通過“管理工具”-“日志査看器”命令查看。何人在何時登錄都一清二楚了。但這個日志不記錄客戶端的IP(只能査看在線用戶的IP),只記錄機器名。但是，我們可以自己編寫異端程序來彌補這一不足。例如，建立-個TSLog.bat的bat文件，由其來記錄登錄者的IP:

       time/t?TSLog.log

       netstat-n-ptcp|find":3389"?TSLog.log

       startExplorer

       第一行是記錄用戶登錄的時間，timeIt指直接返回系統(tǒng)時間，“》”把這個時間記入TSLog.log作為日志的時間字段。

       第二行是記錄用戶的IP地址，netstat是用來顯示當(dāng)前網(wǎng)絡(luò)連接狀況，-n表示顯示IP和端口而不是域名、協(xié)議，-ptcp只顯示TCP,管道符號“丨”把命令的結(jié)果輸出給find命令，從輸出結(jié)果中查找包含":3389"的行（這就是客戶IP所在行，3389是默認(rèn)終端服務(wù)端口，如果改變端口，這個數(shù)值也要作相應(yīng)的更改），最后把這個結(jié)果重定向到日志文件TSLog.bg。

       第三行startExplorer保證每個用戶登錄后都必須執(zhí)行這個腳本，實現(xiàn)這個批處理文件的自動運行。終端服務(wù)允許為用戶自定義起始的程序，在終端服務(wù)配置中，我們覆蓋用戶的登錄腳本設(shè)置，指定TSLog.bat為用戶登錄時需要打開的腳本。因為畎認(rèn)的腳本（相當(dāng)于shell環(huán)境）是Explorer(資源管理器），所以，在TSLog.bat的最后一行加上了啟動Explorer的命令startExplorer。如果指定別的Shell:如cmd.exe或者word.exe,則Explorer要換成相應(yīng)的shell。

       SLog.log文件記錄格式如下：

       22:40

       TCP192.168.12.28：3389192.168.10.123：4903ESTABLISHED

       22:54

       TCP192.168.12.28：3389192.168.12.29:1039ESTABLISHED

       只要TSLog.bat-運行，所有連在3389端口上的IP都會被記錄。

       在腳本中也可以指定其他記錄的其他輸出方式，例如，把每個登錄用戶的IP發(fā)送到自己的信箱。正常情況下，一般的用戶沒有查看終端服務(wù)設(shè)置的權(quán)限，所以他不會知道你對登錄進行了IP審核，把相關(guān)信息發(fā)送到自己的信箱可以實現(xiàn)記錄信息的隱蔽，不需要考慮TSLog.log文件的隱藏。

       陷阱技術(shù)

       早期的陷阱技術(shù)只是一個偽裝的端口服務(wù)用來監(jiān)測掃描，隨著矛盾的不斷升級，現(xiàn)在的陷阱服務(wù)或者陷阱主機已經(jīng)越來越完善，越來越像真正的服務(wù)，不僅能截獲半開式掃描，還能偽裝服務(wù)的回應(yīng)并記錄入侵者的行為，從而幫助判斷入侵者的身份。

       對于陷阱技術(shù)的使用應(yīng)該慎重，陷阱主機成為入侵者跳板的情況也屢見不鮮，如果架設(shè)了陷阱反而被用來入侵，那就適得其反。

       在實際運用中，系統(tǒng)管理員對基礎(chǔ)知識掌握的情況直接關(guān)系到他的安全敏感度，只有積累了一定經(jīng)驗和知識,仔細小心的系統(tǒng)管理員才能從一點點的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子，未雨綢繆，扼殺入侵的行為。

       返回目錄：中級通信互聯(lián)網(wǎng)技術(shù)知識點精講之網(wǎng)絡(luò)安全技術(shù)匯總

       相關(guān)推薦：

       中級通信工程師互聯(lián)網(wǎng)技術(shù)考試教材推薦

       中級通信工程師互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)視頻推薦

       中級通信工程師互聯(lián)網(wǎng)技術(shù)考試大綱