对于Windows 2003服务器来说,
一个很大的威胁也来自系统帐号密码的猜解,因为如果配置不佳的服务器允许进行空会话的建立,这样, 者能够进行远程的帐号枚举等,然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立, 者同样能够进行系统帐号的猜测,因为基本上很多服务器的系统
管理员都使用administrator、admin、root等这样的帐号名。那些
***工具,比如“流光”等,就可以进行这样的密码猜测,通过常用密码或者进行密码穷举来破解系统帐号的密码。 要检测通过系统帐号密码猜解的 ,需要设置服务器安全策略,在审核策略中进行记录,需要审核记录的基本事件
包括:审核
登录事件、审核帐户
登录事件、帐户管理事件。审核这些事件的“成功、失败”,然后我们可以从事件查看器中的安全日志查看这些审核记录。、 iis7远程桌面管理,iis7远程桌面连接工具,又叫做iis7远程桌面管理软件,是一款绿色小巧,
功能实用的远程桌面管理工具,其界面简洁,操作
便捷,能够同时远程操作多台服务器,并且多台服务器间可以自由切换,适用于网站管理人员使用。 比如:如果我们在安全日志中
发现了很多失败审核,就说明有人
正在进行系统帐号的猜解。我们查看其中一条的详细
内容,可以看到:
登录失败: 原因:
用户名未知或密码
错误 用户名:administrator 域:ALARM
登录类型:3
登录过程:NtLmSsp 身份验证程序包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 工作站名:REFDOM 进行密码猜解的者打算猜测系统帐号administrator的密码, 者的来源就是工作站名:REFDOM,这里记录是 者的计算机名而不是他的IP地址。 当我们发现有人打算进行密码猜解的时候,就需要对
相应的配置和策略进行
修改。比如:对IP地址进行限制、
修改被猜解密码的帐号的帐号名、加强帐号密码的长度等等来应对这样的 。 四、终端服务 的前兆检测 Windows2003 提供终端控制服务(Telminal
servic
E),它是
一个基于远程桌面协议(RD
p)的工具,方
便管理员进行远程控制,是
一个非常好的远程控制工具。终端服务使用的界面化控制让
管理员使用起来非常轻松而且方
便,
速度也非常快,这一样也让 者一样方
便。而且以前终端服务存在输入法漏洞,可以绕过安全检查获得系统权限。对于打开终端服务的服务器来说,很多 者喜欢远程连接,看看服务器的样子(即使他们根本没有帐号)。 对终端服务进行的 一般在系统帐号的猜解之后, 者利用猜解得到的帐号进行远程终端连接和
登录。 在管理工具中打开远程控制服务配置,点击"连接",右击你想配置的RDP服务(比如 RDP-TCP(Microsoft RDP 5.0),选中书签"权限",点击"高级",加入
一个Everyone组,代表所有的
用户,然后审核他的"连接"、"断开"、"注销"的成功和"
登录"的成功和失败,这个审核是记录在安全日志中的,可以从"管理工具"->"日志查看器"中查看。但是这个日志就象前面的系统密码猜解那样,记录的是客户端机器名而不是客户端的IP地址。我们可以做
一个简单的批处理bat
文件(
文件名为TerminalLog
.bat),用它来记录客户端的IP,
文件内容是: time /t >>Termina
l.log netstat -n -p tcp | find ":3389">>Termina
l.log start Explorer 端服务使用的端口是TCP 3389,
文件第一行是记录
用户登录的时间,并把这个时间记入
文件Termina
l.log中作为日志的时间字段;第二行是记录
用户的IP地址,
使用Netstat来
显示当前网络连接状况的命令,并把含有3389端口的记录到日志
文件中去。这样就能够记录下对方建立3389连接的IP地址了。 要设置这个程序运行,可以在终端服务配置中,
登录脚本设置指定TerminalLOG
.bat作为
用户登录时需要打开的脚本,这样每个
用户登录后都必须执行这个脚本,因为
默认的脚本是Explorer(资源管理器),所以在Terminal
.bat的最后一行
加上了启动Explorer的命令start Explorer,如果不加这一行命令,
用户是没有办法进入桌面的。当然,可以把这个脚本写得更加强大,但是请把日志记录
文件放置到安全的目录中去。 通过Termina
l.log
文件记录的
内容,配合安全日志,我们就能够发现通过终端服务的 事件或者前兆了。 对于Windows2003服务器来说,上面四种 是最常见的,也占 Windows2003事件的绝大多数。从上面的分析,我们能够及时地发现这些 的前兆,根据这些前兆发现 者的 出发点,然后采取
相应的安全措施,以杜绝 者 。 我们也可以从上面分析认识到,服务器的安全配置中各种日志记录和事件审核的重要性。这些日志
文件在被 后是 者的重要目标,他们会
删除和
修改记录,以
便抹掉他们的 足迹。因此,对于各种日志
文件,我们更应该好好隐藏并设置权限等保护起来。同时,仅仅记录日志而不经常性地查看和分析,那么所有的工作就等于白
做了。 在安全维护中,系统
管理员应该保持警惕,并熟悉
***使用的 手段,做好 前兆的检测和分析,这样才能未雨绸缪,阻止 事件的发生。