51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Windows2000服务器入侵检测技巧

作者:佚名
安全 网站安全
入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计 入侵检测图片数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。

 入侵检测系统(IDS)是防火墙的合理补充,它帮助安全系统发现可能的入侵前兆,并对付网络攻击。下面让我们了解一下Windows2000服务器入侵检测是怎样的过程。

系统帐号密码猜解入侵的前兆检测

对于Windows 2000服务器来说,一个很大的威胁也来自系统帐号密码的猜解,因为如果配置不佳的服务器允许进行空会话的建立,这样,攻击者能够进行远程的帐号枚举等,然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立,攻击者同样能够进行系统帐号的猜测,因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名。那些黑客工具,比如“流光”等,就可以进行这样的密码猜测,通过常用密码或者进行密码穷举来破解系统帐号的密码。

要检测通过系统帐号密码猜解的入侵,需要设置服务器安全策略,在审核策略中进行记录,需要审核记录的基本事件包括:审核登录事件、审核帐户登录事件、帐户管理事件。审核这些事件的“成功、失败”,然后我们可以从事件查看器中的安全日志查看这些审核记录。

比如:如果我们在安全日志中发现了很多失败审核,就说明有人正在进行系统帐号的猜解。我们查看其中一条的详细内容,可以看到:

登录失败:

原因:用户名未知或密码错误

用户名:administrator

域:ALARM

登录类型:3

登录过程:NtLmSsp

身份验证程序包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

工作站名:REFDOM

进行密码猜解的攻击者打算猜测系统帐号administrator的密码,攻击者的来源就是工作站名:REFDOM,这里记录是攻击者的计算机名而不是他的IP地址。

当我们发现有人打算进行密码猜解的时候,就需要对相应的配置和策略进行修改。比如:对IP地址进行限制、修改被猜解密码的帐号的帐号名、加强帐号密码的长度等等来应对这样的入侵。

终端服务入侵的前兆检测

Windows2000 提供终端控制服务(Telminal Service),它是一个基于远程桌面协议(RDP)的工具,方便管理员进行远程控制,是一个非常好的远程控制工具。终端服务使用的界面化控制让管理员使用起来非常轻松而且方便,速度也非常快,这一样也让攻击者一样方便。而且以前终端服务存在输入法漏洞,可以绕过安全检查获得系统权限。对于打开终端服务的服务器来说,很多攻击者喜欢远程连接,看看服务器的样子(即使他们根本没有帐号)。

对终端服务进行的入侵一般在系统帐号的猜解之后,攻击者利用猜解得到的帐号进行远程终端连接和登录。

在管理工具中打开远程控制服务配置,点击"连接",右击你想配置的RDP服务(比如 RDP-TCP(Microsoft RDP 5.0),选中书签"权限",点击"高级",加入一个Everyone组,代表所有的用户,然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败,这个审核是记录在安全日志中的,可以从"管理工具"->"日志查看器"中查看。但是这个日志就象前面的系统密码猜解那样,记录的是客户端机器名而不是客户端的IP地址。我们可以做一个简单的批处理bat文件(文件名为TerminalLog.bat),用它来记录客户端的IP,文件内容是:

 

  1. time /t >>Terminal.log  
  2.  
  3. netstat -n -p tcp | find ":3389">>Terminal.log  
  4.  
  5. start Explorer  

 

端服务使用的端口是TCP 3389,文件第一行是记录用户登录的时间,并把这个时间记入文件Terminal.log中作为日志的时间字段;第二行是记录用户的IP地址,使用netstat来显示当前网络连接状况的命令,并把含有3389端口的记录到日志文件中去。这样就能够记录下对方建立3389连接的IP地址了。

要设置这个程序运行,可以在终端服务配置中,登录脚本设置指定TerminalLOG.bat作为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本是Explorer(资源管理器),所以在Terminal.bat的最后一行加上了启动Explorer的命令start Explorer,如果不加这一行命令,用户是没有办法进入桌面的。当然,可以把这个脚本写得更加强大,但是请把日志记录文件放置到安全的目录中去。

通过Terminal.log文件记录的内容,配合安全日志,我们就能够发现通过终端服务的入侵事件或者前兆了。

对于Windows2000服务器来说,上面四种入侵是最常见的,也占入侵Windows2000事件的绝大多数。从上面的分析,我们能够及时地发现这些入侵的前兆,根据这些前兆发现攻击者的攻击出发点,然后采取相应的安全措施,以杜绝攻击者入侵。

我们也可以从上面分析认识到,服务器的安全配置中各种日志记录和事件审核的重要性。这些日志文件在被入侵后是攻击者的重要目标,他们会删除和修改记录,以便抹掉他们的入侵足迹。因此,对于各种日志文件,我们更应该好好隐藏并设置权限等保护起来。同时,仅仅记录日志而不经常性地查看和分析,那么所有的工作就等于白做了。

在安全维护中,系统管理员应该保持警惕,并熟悉黑客使用的入侵手段,做好入侵前兆的检测和分析,这样才能未雨绸缪,阻止入侵事件的发生。

入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。我们应该积极掌握才是。

【编辑推荐】

  1. 入侵检测系统的过去现在和未来
  2. 入侵检测系统分析及其在Linux下实现
  3. 入侵检测(IDS)产品从里到外发生改变
责任编辑:佚名 来源: 中国教育网
入侵检测
相关推荐
Windows2000服务器入侵检测技巧
入侵检测系统能在不影响网络性能的情况下对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,能够扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。

2011-03-15 17:17:54

Windows2000服务器下安装Oracle9i与10g
想用Windows2000建设网站,Oracle9i10g安装搭建数据库后台的新手,不防进来看一看,想必你会有很多收获。

2010-04-13 11:01:30

Oracle安装
怎样设置Windows2000 Telnet
下面我们对Windows2000Telnet的基本配置来进行一下介绍。首先通过基本配置来讲这个服务规范化,最后通过身份验证来保证这个服务的安全。

2010-07-21 10:33:21

Windows2000升级VPN安全么?
在有些情况下,企业内部网的有些局域网对安全性的要求极高,如公司的开发中心、财务部,此时可以在安全性要求高的局域网内设立一个VPN服务器,与整个企业内部网的其它部分相连。

2009-09-02 15:14:15

Windows服务器管理经验技巧
windows服务器在营收比例方面,依然是市场上遥遥的领先者,本文为广大读者收集整理了一些在Windows服务器管理方面的经验技巧,其中包括拒绝服务器重新启动、取消对服务器的限制访问、远程查看服务器日志文件等内容。

2011-08-08 10:19:55

Windows服务器
Windows Server服务器日常管理技巧
高效管理服务器一直离不开有效的服务器管理技巧,尽管你已经掌握了不少这方面的技巧,但服务器还有许许多多的技巧在等着你的总结,等着你的挖掘;这不,下面的一些服务器管理窍门就是笔者在最近的工作中总结出来的,相信有不少是你很少遇到过的!

2010-10-12 11:15:29

入侵JSP网站服务器
本文介绍入侵JSP网站服务器,以及介绍JSP网站小知识和JSP网站专家支招等。

2009-07-02 17:17:03

如何成功入侵Linux服务器
随着Linux服务器的流行,它和WindowsPC一样成为攻击者眼中极具吸引力的目标。

2013-12-19 10:37:17

软考网工之负载均衡详解二
网络负载均衡服务在Windows2000高级服务器和Windows2000数据中心服务器操作系统中均可得到。网络负载均衡提高了使用在诸如Web服务器、FTP服务器和其它关键任务服务器上的因特网服务器程序的可用性和可伸缩性。

2009-01-05 15:55:00

软考网工负载均衡
使用MRTG在Linux上监测Windows2000的网路流量
使用MRTG在Linux主机上监测Windows2000的网路流量:MRTG是一个监控网络链路流量负载的工具软件,通过snmp协议得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML文档方式显示给用户,本文讲述的是在Linux主机上监测Windows2000的网路流量。

2011-03-30 13:40:21

MRTG
2012 Windows服务器管理技巧Top5
我们列出了最受欢迎的技巧,让你了解保持Windows服务器的性能的最新方法。包括如何快捷并安全地为客户建立互联网上的资源;找到PowerShellv3中可能对管理微软产品带来重大改变的功能等等。

2012-09-26 10:22:09

Windows服务器管理技巧
三大技巧实现Windows服务器高效管理
一般情况下,在Windows2003Server系统中安装完补丁程序后,系统总会提示要重新启动一下服务器。可是许多朋友往往无法容忍Windows2003Server服务器“慢吞吞”的启动操作,于是希望打完安全补丁之后服务器不再重新启动。其实,Windows2003Server服务器是否会重新启动,跟当前的系统补丁特性有一定的关系。

2009-01-05 18:44:48

服务器管理Windows
如何给windows2000注册表编辑装个地址栏?
本文对一款给系统默认的注册表编辑器添加地址栏的工具软件进行的介绍。

2011-07-28 10:49:50

注册表编辑器地址栏
VPN服务商“兵马俑”入侵Windows服务器作为VPN节点
RSA安全研究人员最新发现,中国一个名为“兵马俑”的VPN服务商入侵了世界各地的Windows服务器,然后将其改造为VPN节点用于APT攻击组织DeepPanda(深渊熊猫)和ShellCrew(Shell战队)的网络间谍活动

2015-08-07 15:48:16

Win Server2008与Win7有无近亲关系
Windows7是自Windows2000以来,微软首次同时推出客户端和服务器端Windows。

2009-08-27 09:50:03

Windows 7Windows Ser
Windows 2000Windows Server 2003下DHCP服务器的租约和授权
文章中,我们针对DHCP服务器的租约续约以及授权内容进行一下分析和介绍。系统是Windows2000和WindowsServer2003。

2010-08-30 11:03:48

DHCP服务器Windows 200Windows Ser
黑客入侵服务器后的手段
黑客攻击总是备受关注,因为在互联网时代,网络安全总是与全球十多亿网民的利益息息相关。在信息共享与个人隐私并存的虚拟世界,黑客的无所不能,总让人胆战心惊。那么黑客入侵服务器后手段有那些呢?

2011-03-04 12:33:16

Windows下Git服务器搭建及问题处理技巧
说到Git,其实GitHub是不错的选择,只不过我们的源码和开发文档与运营商的不少系统都有或多或少的关联,将其放置于互联网上的风险度还是比较高的;基于此,我还是选择搭建自己的Git服务器,将代码、文档、版本信息等存放在自己的内网服务器上,那是最好不过的了。

2013-04-02 10:13:35

Git服务器系统GitHub
微软2010年1月安全公告 Windows2000独领风骚
之前总是大堆大堆的漏洞补丁和更新公告总是让各运维人员提心吊胆的,北京时间1月13日上午,更新公告出来了。和51cto编辑之前文章所述一致,微软果然就发了一个补丁,XPVISTAWIN7用户都不在威胁之列。

2010-01-13 10:25:36

注意防范局域网内入侵服务器
当今社会,加强防范局域网内入侵服务器的任务刻不容缓。

2011-07-29 10:57:41

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服