Windows 2000 审核和入侵检测(11)_动易Cms教程

注重：所有维护日志文件的计算机都应使用经过同步的时钟。这使治理员能将计算机和服务器之间的事件进行比较，以确定攻击者采取了哪些操作。有关时间同步的更多具体信息，请参考本模块后面的时间同步的重要性一节。

监视安装的服务和驱动程序

很多针对计算机的攻击通过攻击安装在目标计算机上的服务，或将有效的驱动程序替换为包括特洛伊木马的驱动程序版本，从而使攻击者能访问目标计算机达到攻击的目的。

下面的工具可检查计算机上安装的服务和驱动程序：

• 服务控制台
服务 MMC 控制台用于监视本地计算机或远程计算机上的服务，治理员能配置、暂停、停止、启动和重新启动安装的所有服务。使用此控制台可确定配置为自动启动的任何服务当前是否未启动。

• Netsvc.exe
此命令行工具位于“Windows 2000 Server Resource Kit”中，治理员可使用命令行远程启动、停止、暂停、继续和查询服务的状态。

• SvcMon.exe
这个服务监视工具会监视本地计算机和远程计算机上的服务，检查状态是否发生了更改（启动或者停止）。为了检测这些更改，该工具实现了一种轮询系统。当被监视的服务停止或者启动时，该工具会通过发送电子邮件来通知您。您必须通过使用服务监视器配置工具 (smconfig.exe) 来配置要监视的服务器、轮询间隔和服务。

• Drivers.exe
在运行此工具的计算机上，此工具会显示安装的所有设备驱动程序。该工具的输出包括一些信息，其中有驱动程序的文件名、磁盘上驱动程序的大小，以及链接该驱动程序的日期。链接日期可识别任何新安装的驱动程序。假如某个更新的驱动程序不是最近安装的，可能表示这是一个被替换的驱动程序。请始终将此信息与“事件查看器”中的系统重新启动事件相关联。


注重：并非所有服务（如工作站服务）都可以直接停止，但您可以查询所有的服务。假如用户有很多活动的连接，则不能远程强制关闭该服务，但可以暂停或查询该服务。有些服务有另外一些依靠于它们的服务；尝试关闭这样的服务可能会失败，除非这些具有依靠性的服务首先进行了关闭。

监视打开的端口

攻击首先是从执行端口扫描以识别在目标计算机上正在执行任何已知服务开始的。您应该确保仔细监视服务器上打开的那些端口，这通常表示您在自己扫描这些端口来确定哪些端口可以访问。

扫描端口时，应既在该目标计算机本地执行，也在远程计算机上执行。假如可以从公共网络访问该计算机，则应从外部计算机执行端口扫描，以确信防火墙软件只答应访问所需的端口。

Netstat.exe 是一个命令行实用程序，可以显示为传输控制协议 (TCP) 和用户数据报协议 (UDP) 打开的所有端口。Netstat 命令使用下列语法：

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]

其中：

• -a：显示所有连接和侦听端口。

• -e：显示以太网统计数据。这可以与 -s 选项组合使用。

• -n：以数字形式显示地址和端口号。

• -p proto：显示用于 proto 所指定协议的连接；proto 可以是 TCP 或者 UDP。假如与 -s 选项一起使用来显示每个协议的统计数据，proto 可以是 TCP、UDP 或 Internet 协议 (IP)。

• -r：显示路由表。

• -s：显示每个协议的统计数据。在默认情况下，显示 TCP、UDP 和 IP 的统计数据；-p 选项可用于指定这些默认设置的子集。

• interval：再次显示选择的统计数据，并在每个显示之间暂停 interval 指定的秒数。按 CTRL C 组合键可停止再次显示统计数据。假如忽略此选项，Netstat 只输出当前配置信息一次。


当列出本地计算机上打开的 TCP 和 UDP 端口时，端口号将根据 \%WinDir%\System32\Drivers\Etc\ 文件夹中这些服务文件中的项目转换为名称。假如只想看到端口号，可以使用 -n 参数。

查看更多 动易Cms教程  动易Cms模板