中級通信工程師終端與業(yè)務精講之安全日志的檢測

>>>>>>通信工程師考試公開課，報名有你！

       離2017年中級通信工程師終端與業(yè)務考試只有4個月了。希賽小編為大家整理了部分中級通信工程師終端與業(yè)務課程知識，下文主講基于安全日志的檢測，供大家學習與參考！ 

       基于安全日志的檢測

       如果入侵行為被iis日志記錄，則基于ns日記可以監(jiān)測相應的入侵行為。但是，iis曰志并不能記錄所有的痕跡，在某種情況下甚至不能記錄來自80端口的入侵。IIS只有在一個誚求完成后才會寫入日志，如果一個請求中途失?。ㄖ笍腡CP層上沒有完成HTTP請求，例如POST大量數(shù)據(jù)時異常中斷日志文件中就不會有記錄，入侵者就有可能繞過曰志系統(tǒng)完成大量的活動。

       對于非Web主機，入侵者也可以從其他服務進入服務器，因此，建立一套完整的安全監(jiān)測系統(tǒng)是非常必要的。

       Windows2000自帶了相當強大的安全日志系統(tǒng)，從用戶登錄到特權(quán)的使用都有非常詳細的記錄。但是，默認安裝下安全審核是關(guān)閉的，這種主機被攻擊后根本沒法追蹤入侵者。因此.我們要做的第一步是配置安全審計。

       選擇“管理工具”、“本地安全策略”-“本地策略”-“審核策略”命令，打開必要的審核。

       對審核事件的配置涉及記錄的數(shù)據(jù)量，選擇過多，數(shù)據(jù)量將劇增，過少就達不到檢測要求。一般來說，“登錄事件”與“賬戶管理”是我們最關(guān)心的事件，同時打開“成功”和“失敗”審核非常必要，其他的審核也要打開失敗審核。除了配置安全審核事件，還要適當配置曰志的大小和覆蓋時限，否則，入侵者可以在真正入侵以后，大量偽造入侵請求覆蓋掉以前的記錄。通常情況下，將安全日志的大小指定為50MB并且只允許覆蓋7天前的曰志。

       設(shè)置了安全日志，還需要制定一個安全日志的檢查機制，養(yǎng)成好的檢査習慣。推薦的檢査時間是每天上午，因為入侵者喜歡夜間行動。上班第一件事最好看看曰志有沒有異常。

       除了安全日志，系統(tǒng)日志和應用程序日志也是非常好的輔助監(jiān)測工具，一般來說，入侵者除了在安全日志中留下痕跡（如果他拿到了Admin權(quán)限，那么他一定會去清除痕跡的），在系統(tǒng)和應用程序日志中也會留下蛛絲馬跡，作為系統(tǒng)管理員，要有不放過任何異常的態(tài)度，這樣入侵者就很難隱藏他們的行蹤。

       >>>>>>點擊進入了解更多中級通信工程師終端與業(yè)務知識點知識。

       相關(guān)推薦：

       中級通信終端業(yè)務面授班

       中級通信終端業(yè)務考試教材

       2017年通信中級終端業(yè)務考試大綱