要維護(hù)真正安全的環(huán)境，只是具備安全系統(tǒng)還遠(yuǎn)遠(yuǎn)不夠。如果總假設(shè)自己不會(huì)受到攻擊，或認(rèn)為防護(hù)措施已足以保護(hù)自己的安全，都將非常危險(xiǎn)。要維護(hù)系統(tǒng)安全，必須進(jìn)行主動(dòng)監(jiān)視，以檢查是否發(fā)生了入侵和攻擊。

很多方面都說(shuō)明，監(jiān)視和審核入侵非常重要，具體原因有：

本模塊講述如何審核環(huán)境，以便發(fā)現(xiàn)攻擊并跟蹤攻擊。本模塊還講述了如何監(jiān)視是否發(fā)生了入侵，如何使用入侵檢測(cè)系統(tǒng)（入侵檢測(cè)系統(tǒng)是專(zhuān)門(mén)為發(fā)現(xiàn)攻擊行為而設(shè)計(jì)的軟件）。

目標(biāo)

使用本模塊可以實(shí)現(xiàn)下列目標(biāo)：

使用登錄事件項(xiàng)可診斷下面的安全事件：

Contoso 監(jiān)視大量的登錄嘗試失敗和大量帳戶(hù)鎖定。在這樣的環(huán)境中，由于一些合理的原因，常要讓用戶(hù)將終端服務(wù)會(huì)話(huà)保持?jǐn)嚅_(kāi)狀態(tài)。

帳戶(hù)登錄事件

當(dāng)用戶(hù)登錄域時(shí)，這種登錄在域控制器中處理。如果在域控制器中審核帳戶(hù)登錄事件，則會(huì)在驗(yàn)證該帳戶(hù)的域控制器上記錄此登錄嘗試。帳戶(hù)登錄事件是在身份驗(yàn)證程序包驗(yàn)證用戶(hù)的憑據(jù)時(shí)創(chuàng)建的。只有使用域憑據(jù)，才會(huì)在域控制器的事件日志中生成帳戶(hù)登錄事件。如果提供的憑據(jù)為本地安全帳戶(hù)管理器 (SAM) 數(shù)據(jù)庫(kù)憑據(jù)，則會(huì)在服務(wù)器的安全事件日志中創(chuàng)建帳戶(hù)登錄事件。

因?yàn)閹?hù)登錄事件可能會(huì)記錄在域的任何有效域控制器中，所以必須確保將各域控制器中的安全日志合并，以分析該域中的所有帳戶(hù)登錄事件。

注意：與登錄事件相同，帳戶(hù)登錄事件既包括計(jì)算機(jī)登錄事件，也包括用戶(hù)登錄事件。

作為“成員服務(wù)器和域控制器基準(zhǔn)策略”的一部分，成功和失敗的帳戶(hù)登錄事件都應(yīng)啟用審核。因此，應(yīng)能看到網(wǎng)絡(luò)登錄和終端服務(wù)身份驗(yàn)證的下列事件 ID。

表 2：事件日志中的帳戶(hù)登錄事件

對(duì)于每個(gè)這樣的事件，事件日志都會(huì)顯示每個(gè)特定登錄的詳細(xì)信息。使用帳戶(hù)登錄事件項(xiàng)可診斷下面的安全事件：

Contoso 當(dāng)前要監(jiān)視數(shù)量巨大的失敗域登錄嘗試。根據(jù)其環(huán)境的不同，其他一些事件無(wú)關(guān)緊要。配置這些設(shè)置時(shí)，他們確定的最好方法是，首先以一個(gè)相對(duì)較嚴(yán)格的設(shè)置開(kāi)始，然后持續(xù)減少它的嚴(yán)格程度，直到一些非實(shí)質(zhì)警告的數(shù)量減少。目前，他們監(jiān)視的是 10 分鐘時(shí)間段中發(fā)生 10 次失敗登錄的所有情況。這些數(shù)字在所有環(huán)境中可能都是不同的。

帳戶(hù)管理

帳戶(hù)管理審核用于確定何時(shí)創(chuàng)建、更改或刪除了用戶(hù)或組。這種審核可用于確定何時(shí)創(chuàng)建了安全主要對(duì)象，以及誰(shuí)執(zhí)行了該任務(wù)。

作為“成員服務(wù)器和域控制器基準(zhǔn)策略”的一部分，帳戶(hù)管理中的成功和失敗都應(yīng)啟用審核。因此，應(yīng)該會(huì)看到安全日志中記錄的下列事件 ID。

表 3：事件日志中的帳戶(hù)管理事件

使用安全日志項(xiàng)可診斷下面的帳戶(hù)管理事件：

因?yàn)?Contoso 是一個(gè)較大的企業(yè)，所以每天有大量的帳戶(hù)要維護(hù)。監(jiān)視所有這些事件會(huì)導(dǎo)致環(huán)境中產(chǎn)生太多的警告，而這些警告不必全部進(jìn)行合理的解決。

對(duì)象訪問(wèn)

在基于 Windows 2000 的網(wǎng)絡(luò)中，使用系統(tǒng)訪問(wèn)控制列表 (SACL) 可為所有對(duì)象啟用審核。SACL 包含了一個(gè)用戶(hù)和組列表，其中用戶(hù)和組等對(duì)象的操作都要進(jìn)行審核。用戶(hù)在 Windows 2000 中可操作的每個(gè)對(duì)象幾乎都有一個(gè) SACL。這些對(duì)象包括 NTFS 文件系統(tǒng)驅(qū)動(dòng)器上的文件和文件夾、打印機(jī)和注冊(cè)表項(xiàng)。

SACL 由訪問(wèn)控制項(xiàng) (ACE) 組成。每個(gè) ACE 包含三部分信息：

如果要在安全日志中顯示事件，必須首先啟用“對(duì)象訪問(wèn)審核”，然后為要審核的每個(gè)對(duì)象定義 SACL。

Windows 2000 中的審核是在打開(kāi)一個(gè)到對(duì)象的句柄時(shí)生成的。Windows 2000 使用一個(gè)內(nèi)核模式的安全子系統(tǒng)，這種系統(tǒng)只允許程序通過(guò)內(nèi)核訪問(wèn)對(duì)象。這會(huì)防止程序嘗試?yán)@過(guò)安全系統(tǒng)。因?yàn)閮?nèi)核內(nèi)存空間是與用戶(hù)模式程序相隔離的，所以程序是通過(guò)一個(gè)稱(chēng)為句柄的數(shù)據(jù)結(jié)構(gòu)引用對(duì)象的。下面是一個(gè)典型的訪問(wèn)嘗試：

要注意的重要一點(diǎn)是，當(dāng)發(fā)生審核并生成事件時(shí)，尚未對(duì)該對(duì)象發(fā)生任何操作。這對(duì)于解釋審核事件至關(guān)重要。寫(xiě)入審核是在文件被寫(xiě)入之前生成的，讀取審核則在文件被讀取之前生成。

與所有審核一樣，務(wù)必采取一個(gè)針對(duì)目標(biāo)的方式來(lái)審核對(duì)象訪問(wèn)。在審核計(jì)劃中，應(yīng)決定必須審核的對(duì)象類(lèi)型，然后確定每種類(lèi)型的審核對(duì)象，希望監(jiān)視哪些類(lèi)型的訪問(wèn)嘗試（成功、失敗，還是兩者兼有）。審核的范圍過(guò)寬會(huì)對(duì)系統(tǒng)性能產(chǎn)生明顯的影響，并會(huì)使收集的數(shù)據(jù)過(guò)多，遠(yuǎn)遠(yuǎn)超過(guò)必要或有用的程度。

通常情況下，您希望審核對(duì)所選擇對(duì)象的所有訪問(wèn)，其中包括來(lái)自非信任帳戶(hù)的訪問(wèn)。為此，請(qǐng)?jiān)趯徍藢?duì)象的 SACL 中添加“Everyone”組）。您應(yīng)了解，如果按照這種方式審核成功的對(duì)象訪問(wèn)，可能會(huì)在安全日志中產(chǎn)生非常多的審核項(xiàng)。然而，如果要對(duì)重要文件的刪除進(jìn)行調(diào)查，則必須檢查成功審核事件，以確定哪個(gè)用戶(hù)帳戶(hù)刪除了該文件。

“成員服務(wù)器和域控制器基準(zhǔn)策略”的設(shè)置是既審核成功對(duì)象訪問(wèn)也審核失敗事件。但是，這些對(duì)象本身不會(huì)設(shè)置任何 SACL，需要根據(jù)環(huán)境的需要設(shè)置這些內(nèi)容。SACL 可以直接在對(duì)象上定義，也可以通過(guò)組策略定義。如果要審核的對(duì)象存在于多個(gè)計(jì)算機(jī)上，則應(yīng)在組策略中定義這些 SACL。

審核對(duì)象訪問(wèn)會(huì)導(dǎo)致安全日志顯示下列事件。

表 4：事件日志中的對(duì)象訪問(wèn)事件

如果要查找特定的對(duì)象訪問(wèn)事件，主要需研究事件 ID 為 560 的事件。該事件詳細(xì)信息中有一些有用的信息，請(qǐng)搜索該事件的詳細(xì)信息，找出正在搜索的特定事件。下表顯示了一些可能要執(zhí)行的操作，以及如何執(zhí)行這些操作。

表 5：如何執(zhí)行對(duì)象訪問(wèn)事件 560 的主要審核操作

Contoso 不專(zhuān)門(mén)監(jiān)視任何對(duì)象訪問(wèn)事件，但要審核某些文件的對(duì)象訪問(wèn)。此信息對(duì)于響應(yīng)一個(gè)安全事件尤其有用。

目錄服務(wù)訪問(wèn)

Active Directory 對(duì)象有相關(guān)聯(lián)的 SACL，因此可進(jìn)行審核。正如前面提到的，審核帳戶(hù)管理可審核 Active Directory 用戶(hù)和組帳戶(hù)。但是，如果想審核其他命名上下文中對(duì)象的修改（如配置和架構(gòu)命名上下文），必須審核對(duì)象訪問(wèn)，然后為要審核的特定容器定義 SACL。如果 Active Directory 對(duì)象 SACL 中列出的用戶(hù)要嘗試訪問(wèn)該對(duì)象，就會(huì)生成審核項(xiàng)。

您可以使用 ADSIEDIT MMC 管理單元來(lái)修改配置命名上下文（和其他命名上下文）中容器和對(duì)象的 SACL。過(guò)程如下：在 ADSIEDIT 控制臺(tái)中顯示所需的上下文，然后在“高級(jí)安全設(shè)置”對(duì)話(huà)框中修改該對(duì)象的 SACL。

由于發(fā)生了大量事件（通常都是些無(wú)關(guān)緊要的事件），所以很難找出目錄服務(wù)訪問(wèn)的特定事件。因此，“成員服務(wù)器和域控制器基準(zhǔn)策略”只審核目錄服務(wù)訪問(wèn)的失敗事件。這有助于弄清攻擊者何時(shí)嘗試對(duì) Active Directory 進(jìn)行了未授權(quán)訪問(wèn)。

嘗試的目錄訪問(wèn)在安全日志中將顯示為一個(gè) ID 為 565 的目錄服務(wù)事件。只有通過(guò)查看安全事件的詳細(xì)信息，才能確定該事件與哪個(gè)對(duì)象相對(duì)應(yīng)。

Contoso 不專(zhuān)門(mén)監(jiān)視任何目錄服務(wù)訪問(wèn)事件，但要審核某些文件的對(duì)象訪問(wèn)。此信息對(duì)于響應(yīng)一個(gè)安全事件尤其有用。

特權(quán)使用

當(dāng)用戶(hù)在信息技術(shù) (IT) 環(huán)境中工作時(shí)，他們將運(yùn)用所定義的用戶(hù)權(quán)限。如果審核特權(quán)使用的成功和失敗，每次用戶(hù)嘗試運(yùn)用用戶(hù)權(quán)限時(shí)都會(huì)生成一個(gè)事件。

即使真的要審核特權(quán)使用，也并非所有的用戶(hù)權(quán)限都會(huì)審核。在默認(rèn)情況下，不包括下列用戶(hù)權(quán)限：

您可以在組策略中啟用“對(duì)備份和還原權(quán)限的使用進(jìn)行審核”安全選項(xiàng)，從而覆蓋不審核“備份”和“還原”用戶(hù)權(quán)限的默認(rèn)行為。

審核成功的特權(quán)使用會(huì)在安全日志中產(chǎn)生大量的項(xiàng)。因此，“成員服務(wù)器和域控制器基準(zhǔn)策略”只會(huì)審核失敗的特權(quán)使用。

如果啟用了特權(quán)使用審核，將生成下列事件。

表 6：事件日志中的特權(quán)使用事件

下面是使用某些特定用戶(hù)權(quán)限時(shí)，可能存在的一些事件日志項(xiàng)示例：

Contoso 專(zhuān)門(mén)監(jiān)視表明正常關(guān)機(jī)或從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)的所有事件，以及表明已修改了審核和安全日志的所有事件。

進(jìn)程跟蹤

如果要審核基于 Windows 2000 計(jì)算機(jī)中運(yùn)行的進(jìn)程的詳細(xì)跟蹤信息，事件日志會(huì)顯示創(chuàng)建進(jìn)程和結(jié)束進(jìn)程的嘗試。它還會(huì)記錄進(jìn)程嘗試生成對(duì)象句柄的行為，或獲取對(duì)象間接訪問(wèn)的行為。

由于生成的審核項(xiàng)很多，所以“成員服務(wù)器和域控制器基準(zhǔn)策略”不會(huì)啟用進(jìn)程跟蹤審核。但是，如果選擇審核成功和失敗，則事件日志中會(huì)記錄下列事件 ID。

表 7：事件日志中的進(jìn)程跟蹤事件

Contoso 不監(jiān)視任何進(jìn)程跟蹤事件，并且不在任何服務(wù)器策略中啟用這些監(jiān)視。

系統(tǒng)事件

系統(tǒng)事件是在用戶(hù)或進(jìn)程更改計(jì)算機(jī)環(huán)境的部分內(nèi)容時(shí)生成的。您可以審核對(duì)系統(tǒng)進(jìn)行更改的嘗試，如關(guān)閉計(jì)算機(jī)或者更改系統(tǒng)時(shí)間。

如果審核系統(tǒng)事件，還應(yīng)審核何時(shí)清除了安全日志。這非常重要，因?yàn)楣粽叱?huì)嘗試在對(duì)環(huán)境進(jìn)行更改之后清除他們的行蹤。

“成員服務(wù)器和域控制器基準(zhǔn)策略”會(huì)審核系統(tǒng)事件的成功和失敗。這會(huì)在事件日志中生成下列事件 ID。

表 8：事件日志中的系統(tǒng)事件

您可以使用下面這些事件 ID 來(lái)獲取部分安全問(wèn)題：

Contoso 監(jiān)視了計(jì)算機(jī)關(guān)機(jī)或重新啟動(dòng)，以及安全日志的清除操作。

策略更改

審核策略定義了要審核哪些環(huán)境更改，這可幫助您確定是否存在攻擊環(huán)境的企圖。但有心的攻擊者會(huì)設(shè)法更改該審核策略本身，以便不被審核所進(jìn)行的任何更改。

如果要審核策略更改，則將顯示更改審核策略的嘗試，以及對(duì)其他策略和用戶(hù)權(quán)限的更改嘗試?！俺蓡T服務(wù)器和域控制器基準(zhǔn)策略”會(huì)審核策略更改的成功和失敗。您會(huì)在事件日志中看到記錄的下面這些事件。

表 9：事件日志中的策略更改事件

此處要查找的兩個(gè)最重要的事件為事件 ID 608 和 609。一些攻擊嘗試可能會(huì)導(dǎo)致記錄這些事件。如果分配了用戶(hù)權(quán)限，下面的示例都會(huì)生成事件 ID 608，如果刪除了用戶(hù)權(quán)限，則都生成事件 ID 609。在每種情況下，事件詳細(xì)信息都會(huì)包括該用戶(hù)權(quán)限分配到的特定 SID，以及分配該權(quán)限的安全主要對(duì)象的用戶(hù)名：

注意：這些審核事件只是表示該用戶(hù)權(quán)限分配到了某個(gè)特定的安全主要對(duì)象。它并不表示該安全主要對(duì)象使用該用戶(hù)權(quán)限執(zhí)行了任務(wù)。審核事件卻可以確定何時(shí)修改了用戶(hù)權(quán)限策略。

Contoso 要監(jiān)視所有策略更改事件。這些事件可用于進(jìn)行任何故障排除或事件響應(yīng)。

監(jiān)視組策略的更改可能非常困難，并會(huì)提供大量的非實(shí)質(zhì)性警告。這主要是因?yàn)?，用于編輯組策略的 MMC 管理單元 gpedit.msc 總是既帶有讀取權(quán)限又帶有寫(xiě)入權(quán)限打開(kāi)策略。即使沒(méi)有對(duì)策略進(jìn)行更改，也會(huì)向域控制器的安全日志寫(xiě)入策略事件 578，如下所示。

組策略管理控制臺(tái)（在 Windows Server 2003 發(fā)布后不久以免費(fèi)下載軟件形式發(fā)布）允許授權(quán)用戶(hù)無(wú)需在 gpedit.msc 中打開(kāi)組策略設(shè)置即查看這些設(shè)置，從而幫助客服這些問(wèn)題。有關(guān)組策略管理控制臺(tái)的詳細(xì)信息，請(qǐng)參考：http://www.microsoft.com/windowsserver2003/gpmc/gpmcwp.mspx（英文）。

保護(hù)事件日志

要確保維護(hù)事件日志項(xiàng)以便將來(lái)參考，應(yīng)采取一些步驟來(lái)保護(hù)事件日志的安全。這些步驟包括：

Contoso 在“成員服務(wù)器和域控制器組策略對(duì)象”中實(shí)現(xiàn)了這些設(shè)置。

除了上述步驟之外，您還應(yīng)采取一些可行的措施，以確保事件日志信息盡可能最安全：

注意：防止對(duì)事件日志進(jìn)行來(lái)賓訪問(wèn)只能限制非域成員訪問(wèn)這些事件日志。在默認(rèn)情況下，域中的所有用戶(hù)都可訪問(wèn)系統(tǒng)日志和應(yīng)用程序日志。只有安全日志的訪問(wèn)受到限制。指定了“Manage auditing and security log”（管理審核和安全日志）用戶(hù)權(quán)限的安全主要對(duì)象可訪問(wèn)安全日志。在默認(rèn)情況下，此用戶(hù)權(quán)限只分配給管理員和 Exchange 企業(yè)服務(wù)器。

其他最佳審核方法

除了配置審核之外，還應(yīng)實(shí)現(xiàn)一些其他方法，從而有效審核服務(wù)器環(huán)境的安全性。這些方法包括：

安排定期復(fù)查事件日志

正如上面提到的，安全日志及可能生成的其他事件日志應(yīng)寫(xiě)入可移動(dòng)材料中，或合并到一個(gè)中心位置以便于進(jìn)行復(fù)查。復(fù)查這些日志經(jīng)常被人們遺漏。

Contoso 已完成了大量的工作，確保有一人或一個(gè)部門(mén)負(fù)責(zé)將復(fù)查事件日志作為定期的任務(wù)來(lái)執(zhí)行。這樣的事件日志復(fù)查可安排為每天一次，也可安排為每周一次，具體取決于安全日志中收集的數(shù)據(jù)數(shù)量。通常，這根據(jù)網(wǎng)絡(luò)中實(shí)現(xiàn)的審核級(jí)別而定。審核中包括的事件越多，日志項(xiàng)的數(shù)量就越多。如果安排了定期的事件日志復(fù)查，則有助于達(dá)到以下目標(biāo)：

復(fù)查其他應(yīng)用程序日志文件

除了復(fù)查安全事件的 Windows 2000 事件日志之外，還應(yīng)復(fù)查應(yīng)用程序生成的日志。這些應(yīng)用程序日志可能包括一些有關(guān)潛在攻擊的有價(jià)值的信息，可以對(duì)事件日志中的信息進(jìn)行補(bǔ)充。根據(jù)環(huán)境的具體情況，可能需要查看一個(gè)或多個(gè)下面的日志文件：

注意：所有維護(hù)日志文件的計(jì)算機(jī)都應(yīng)使用經(jīng)過(guò)同步的時(shí)鐘。這使管理員能將計(jì)算機(jī)和服務(wù)器之間的事件進(jìn)行比較，以確定攻擊者采取了哪些操作。有關(guān)時(shí)間同步的更多詳細(xì)信息，請(qǐng)參考本模塊后面的時(shí)間同步的重要性一節(jié)。

監(jiān)視安裝的服務(wù)和驅(qū)動(dòng)程序

很多針對(duì)計(jì)算機(jī)的攻擊通過(guò)攻擊安裝在目標(biāo)計(jì)算機(jī)上的服務(wù)，或?qū)⒂行У尿?qū)動(dòng)程序替換為包括特洛伊木馬的驅(qū)動(dòng)程序版本，從而使攻擊者能訪問(wèn)目標(biāo)計(jì)算機(jī)達(dá)到攻擊的目的。

下面的工具可檢查計(jì)算機(jī)上安裝的服務(wù)和驅(qū)動(dòng)程序：

注意：并非所有服務(wù)（如工作站服務(wù)）都可以直接停止，但您可以查詢(xún)所有的服務(wù)。如果用戶(hù)有很多活動(dòng)的連接，則不能遠(yuǎn)程強(qiáng)制關(guān)閉該服務(wù)，但可以暫停或查詢(xún)?cè)摲?wù)。有些服務(wù)有另外一些依賴(lài)于它們的服務(wù)；嘗試關(guān)閉這樣的服務(wù)可能會(huì)失敗，除非這些具有依賴(lài)性的服務(wù)首先進(jìn)行了關(guān)閉。

監(jiān)視打開(kāi)的端口

攻擊首先是從執(zhí)行端口掃描以識(shí)別在目標(biāo)計(jì)算機(jī)上正在執(zhí)行任何已知服務(wù)開(kāi)始的。您應(yīng)該確保仔細(xì)監(jiān)視服務(wù)器上打開(kāi)的那些端口，這通常表示您在自己掃描這些端口來(lái)確定哪些端口可以訪問(wèn)。

掃描端口時(shí)，應(yīng)既在該目標(biāo)計(jì)算機(jī)本地執(zhí)行，也在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行。如果可以從公共網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)，則應(yīng)從外部計(jì)算機(jī)執(zhí)行端口掃描，以確信防火墻軟件只允許訪問(wèn)所需的端口。

Netstat.exe 是一個(gè)命令行實(shí)用程序，可以顯示為傳輸控制協(xié)議 (TCP) 和用戶(hù)數(shù)據(jù)報(bào)協(xié)議 (UDP) 打開(kāi)的所有端口。Netstat 命令使用下列語(yǔ)法：

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]

其中：

當(dāng)列出本地計(jì)算機(jī)上打開(kāi)的 TCP 和 UDP 端口時(shí)，端口號(hào)將根據(jù) \%WinDir%\System32\Drivers\Etc\ 文件夾中這些服務(wù)文件中的項(xiàng)目轉(zhuǎn)換為名稱(chēng)。如果只想看到端口號(hào)，可以使用 -n 參數(shù)。

如果發(fā)現(xiàn)的任何打開(kāi)端口是不可識(shí)別的，則應(yīng)對(duì)它們進(jìn)行研究，確定相對(duì)應(yīng)的服務(wù)在該計(jì)算機(jī)上是否必需。如果不必需，應(yīng)禁用或刪除這個(gè)相關(guān)聯(lián)的服務(wù)，以防止計(jì)算機(jī)偵聽(tīng)該端口。在本指南介紹的“成員服務(wù)器和域控制器基準(zhǔn)策略”中已禁用了一些服務(wù)。

因?yàn)楹芏喾?wù)器都是由防火墻或數(shù)據(jù)包篩選路由器保護(hù)的，所以建議從遠(yuǎn)程計(jì)算機(jī)執(zhí)行端口掃描。很多第三方工具（包括免費(fèi)軟件）都可用于執(zhí)行遠(yuǎn)程端口掃描。遠(yuǎn)程端口掃描可揭示當(dāng)外部用戶(hù)嘗試連接該計(jì)算機(jī)時(shí)，哪些端口可用于這些外部用戶(hù)。

注意：端口掃描還可用于測(cè)試入侵檢測(cè)系統(tǒng)，確保該系統(tǒng)能在發(fā)生端口掃描時(shí)檢測(cè)到該掃描。有關(guān)入侵檢測(cè)系統(tǒng)的詳細(xì)信息，請(qǐng)參考本模塊后面的主動(dòng)檢測(cè)方法一節(jié)。

監(jiān)視入侵和安全事件

監(jiān)視入侵和安全事件既包括被動(dòng)任務(wù)也包括主動(dòng)任務(wù)。很多入侵都是在發(fā)生攻擊之后，通過(guò)檢查日志文件才檢測(cè)到的。這種攻擊之后的檢測(cè)通常稱(chēng)為被動(dòng)入侵檢測(cè)。只有通過(guò)檢查日志文件，攻擊才得以根據(jù)日志信息進(jìn)行復(fù)查和再現(xiàn)。

其他入侵嘗試可以在攻擊發(fā)生的同時(shí)檢測(cè)到。這種方法稱(chēng)為“主動(dòng)”入侵檢測(cè)，它會(huì)查找已知的攻擊模式或命令，并阻止這些命令的執(zhí)行。

此節(jié)內(nèi)容將講述可用于實(shí)現(xiàn)這兩種形式的入侵檢測(cè)，以保護(hù)網(wǎng)絡(luò)免受攻擊的工具。

時(shí)間同步的重要性

監(jiān)視多個(gè)計(jì)算機(jī)之間的入侵和安全事件時(shí)，這些計(jì)算機(jī)時(shí)鐘同步是至關(guān)重要的。經(jīng)過(guò)同步的時(shí)間使管理員能再現(xiàn)針對(duì)多個(gè)計(jì)算機(jī)進(jìn)行攻擊時(shí)所發(fā)生的操作。如果沒(méi)有同步的時(shí)間，則很難準(zhǔn)確確定何時(shí)發(fā)生了特定的事件，以及這些事件是如何交錯(cuò)發(fā)生的。

被動(dòng)檢測(cè)方法

被動(dòng)入侵檢測(cè)系統(tǒng)包括事件日志和應(yīng)用程序日志的手動(dòng)復(fù)查。這種檢查包括對(duì)事件日志數(shù)據(jù)中的攻擊模式進(jìn)行分析和檢測(cè)。目前有若干工具、實(shí)用程序和應(yīng)用程序都可幫助復(fù)查事件日志。此節(jié)簡(jiǎn)要講述了如何使用每個(gè)工具來(lái)整理信息。

事件查看器

Windows 2000 安全日志當(dāng)然可以使用 Windows 2000 事件查看器 MMC 控制臺(tái)進(jìn)行查看。事件查看器允許查看應(yīng)用程序日志、安全日志和系統(tǒng)日志。您可以在事件查看器中定義一些篩選器，以找出特定的事件。

在“屬性”對(duì)話(huà)框的“篩選器”選項(xiàng)卡中，可定義下列屬性來(lái)篩選事件項(xiàng)：

應(yīng)用該篩選器時(shí)，經(jīng)過(guò)篩選的事件列表可導(dǎo)出為逗號(hào)分隔列表，或 Tab 符號(hào)分隔列表。整個(gè)列表則可導(dǎo)入一個(gè)數(shù)據(jù)庫(kù)應(yīng)用程序。

正如上面提到的，Contoso 每個(gè)負(fù)責(zé)復(fù)查事件日志的管理角色都有幾位成員。作為上述成員的一部分，他們會(huì)每天復(fù)查一次這些日志，找出與事件相關(guān)的監(jiān)視系統(tǒng)沒(méi)有記錄的任何安全信息。

轉(zhuǎn)儲(chǔ)事件日志工具 (Dumpel.exe)

轉(zhuǎn)儲(chǔ)事件日志是一種命令行工具，位于“Windows 2000 Server Resource Kit, Supplement One”（Microsoft Press，ISBN: 0-7356-1279-X）。該工具會(huì)將本地系統(tǒng)或者遠(yuǎn)程系統(tǒng)的事件日志轉(zhuǎn)儲(chǔ)到一個(gè)以 Tab 符號(hào)分隔的文本文件中。然后，可將此文件導(dǎo)入一個(gè)電子表格或數(shù)據(jù)庫(kù)中，用于進(jìn)一步研究。該工具還可用于篩選或篩選出一些特定的事件類(lèi)型。

Dumpel.exe 工具使用的語(yǔ)法如下：

dumpel -f file [-s \\server] [-l log [-m source]] [-e n1 n2 n3...][-r] [-t]
[-d x] 

其中：

注意：Dumpel 只能從系統(tǒng)日志、應(yīng)用程序日志和安全日志文件中檢索內(nèi)容。您不能使用 Dumpel 查詢(xún)文件復(fù)制服務(wù)、域名系統(tǒng) (DNS) 或者目錄服務(wù)事件日志中的內(nèi)容。

EventCombMT

EventCombMT 是一種多線(xiàn)程工具，該工具會(huì)同時(shí)分析來(lái)自很多服務(wù)器的事件日志，同時(shí)為搜索條件中的每個(gè)服務(wù)器產(chǎn)生一個(gè)單獨(dú)的執(zhí)行線(xiàn)程。EventCombMT 包括在“Microsoft Windows Server 2003 Resource Kit Tools”中，有關(guān)詳細(xì)信息，請(qǐng)參考：

http://www.microsoft.com/windowsserver2003/techinfo/reskit/resourcekit.mspx（英文）。

此工具使您能夠：

安裝工具

要安裝工具，請(qǐng)將本指南包括的自解壓 SecWin2k.exe 文件中的內(nèi)容進(jìn)行解壓縮。這將創(chuàng)建一個(gè) C:\SCI\scripts\EventComb 文件夾。一旦解壓縮這些文件，可以通過(guò)雙擊 EventCombMT.exe 文件來(lái)運(yùn)行 EventCombMT 工具。

運(yùn)行 EventComb 工具

使用 EventComb 工具的第一步是定義哪些計(jì)算機(jī)將包括在事件日志搜索中。

•

將計(jì)算機(jī)添加到搜索中 1. 在 EventCombMT 實(shí)用程序中，確保域框中自動(dòng)檢測(cè)到正確的域。如果想搜索另一域中的事件日志，應(yīng)在“Domain”（域）框中手動(dòng)鍵入這個(gè)新的域名。 2. 要將計(jì)算機(jī)添加到搜索列表中，右鍵單擊“Select To Search/Right Click to Add”（選擇進(jìn)行搜索/右鍵單擊進(jìn)行添加）下面的框。彈出菜單如下圖所示： 圖 1 使用 EventCombMT 對(duì)話(huà)框設(shè)置添加未自動(dòng)檢測(cè)到搜索列表中的計(jì)算機(jī) 可以使用下列選項(xiàng)： • “Get DCs in Domain”（獲取域中的 DC），將當(dāng)前域的所有域控制器添加到該列表。 • “Add Single Server”（添加一個(gè)服務(wù)器），允許以名稱(chēng)的形式將服務(wù)器或工作站添加到該列表。 • “Add all GCs in this domain”（添加此域中的所有 GC），允許您添加配置為全局編錄服務(wù)器的選定域中的所有域控制器。 • “Get All Servers”（獲取所有服務(wù)器），添加使用瀏覽器服務(wù)在該域中找到的所有服務(wù)器。這些服務(wù)器不包括所有域控制器。 • “Get Servers from File”（從文件獲取服務(wù)器），允許導(dǎo)入一個(gè)列出所有服務(wù)器的文件，并將它們包括在搜索范圍中。在該文本文件中，每個(gè)服務(wù)器都應(yīng)輸入到一個(gè)單獨(dú)的行中。 3. 一旦將服務(wù)器添加到列表中，必須選擇針對(duì)哪些服務(wù)器執(zhí)行搜索。選擇之后，該服務(wù)器在該列表中將突出顯示。可以在按住 Ctrl 鍵的同時(shí)點(diǎn)擊，以選擇多個(gè)服務(wù)器。

指定要搜索的事件日志和事件類(lèi)型

一旦選擇了要包括在事件日志搜索中的服務(wù)器，可以通過(guò)選擇包括哪些事件日志和事件類(lèi)型類(lèi)縮小搜索范圍了。

在 EventCombMT 實(shí)用程序中，可從下列事件日志中選擇用于搜索的日志：

您還可以選擇在搜索中包括下列事件類(lèi)型：

注意：如果了解事件日志具體包括哪個(gè)事件 ID，以及事件 ID 的事件類(lèi)型，請(qǐng)始終將該信息包括在搜索條件中，因?yàn)檫@可縮短搜索時(shí)間。

保存搜索

EventCombMT 允許您保存搜索，并在日后重新加載這些搜索。如果常用 EventCombMT 在 IIS 服務(wù)器中搜索一組事件，在域控制器中搜索另一組事件，則保存搜索非常有用。

搜索條件保存在注冊(cè)表的下列內(nèi)容中：

HKLM\Software\Microsoft\EventCombMT ，您可輕松編輯。

搜索結(jié)果文件

搜索結(jié)果在默認(rèn)情況下保存在 C:\Temp 文件夾中。這些結(jié)果包括一個(gè)名為 EventCombMT.txt 的摘要文件。事件日志搜索中包括的每個(gè)計(jì)算機(jī)都會(huì)生成一個(gè)名為 ComputerName-EventLogName_LOG.txt 的單獨(dú)文本文件。這些單獨(dú)文本文件包含從符合搜索條件的事件日志中抽取的所有事件。

使用 EventCombMT 的示例

為了顯示如何使用 EventCombMT，我們將顯示如何對(duì)該工具進(jìn)行配置，從而檢測(cè)域控制器的重新啟動(dòng)和帳戶(hù)鎖定。

•

使用 EventCombMT 搜索域控制器的重新啟動(dòng) 1. 在 EventCombMT 工具中，確保該域配置了正確的域名。 2. 在該域名下面的“Select to Search/Right Click to Add”（選擇進(jìn)行搜索/右鍵單擊進(jìn)行添加）框中，右鍵單擊該框，然后單擊“Get DCs in Domain”（獲取域中的 DC）。 注意：搜索類(lèi)似帳戶(hù)登錄和帳戶(hù)管理這樣的事件時(shí)，請(qǐng)確保搜索所有域控制器。因?yàn)?Windows 2000 的帳戶(hù)管理使用多主機(jī)模型，所以可在域中的任何域控制器上添加、修改或刪除帳戶(hù)。同樣，身份也可由域中的任意域控制器來(lái)驗(yàn)證。正因?yàn)槿绱?，您不能?zhǔn)確確定在哪里發(fā)生了特定的更新或身份驗(yàn)證嘗試。 3. 右鍵單擊“Select to Search/Right Click to Add”（選擇進(jìn)行搜索/右鍵單擊進(jìn)行添加）框，然后單擊“Select All Servers in List”（選擇列表中的所有服務(wù)器）。 4. 在該工具搜索部分的“Choose Log Files”（選擇日志文件）中，僅選擇“System”（系統(tǒng)）日志。 5. 在該工具的“Event Types”（事件類(lèi)型）部分，選擇“Error and Informational”（錯(cuò)誤和信息性）。 6. 在“Event IDs”（事件 ID）框中，鍵入下列事件 ID：1001 6005 6006 6008。 7. 單擊“Search”（搜索）按鈕前，確保搜索條件按照下圖定義，然后單擊“Search”（搜索）。 圖 2 在 Event Comb MT 對(duì)話(huà)框中定義搜索條件

完成搜索時(shí)，可在日志目錄中查看結(jié)果，該目錄應(yīng)在搜索完成時(shí)自動(dòng)打開(kāi)。

1001,INFORMATIONAL,Save Dump,Wed Nov 28 05:45:50 2001,,（1001，信息，保存轉(zhuǎn)儲(chǔ)，2001 年 11 月 28 日星期三 05:45:50）
The computer has rebooted from a bugcheck.（計(jì)算機(jī)已根據(jù)檢測(cè)錯(cuò)誤重新啟動(dòng)。）The bugcheck was:（檢測(cè)錯(cuò)誤是：）
0x000000d1 (0x00000004, 0x00000002, 0x00000000, 0x84c983dc). 
A dump was saved in: C:\WINDOWS\MEMORY.DMP.（轉(zhuǎn)儲(chǔ)保存在下列位置：C:\WINDOWS\MEMORY.DMP。）
6005,INFORMATIONAL,EventLog,Wed Nov 28 05:45:46 2001,,（6005，信息，事件日志，2001 年 11 月 28 日星期三 05:45:46）
The Event log service was started.（事件日志服務(wù)已啟動(dòng)。）
6008,ERROR,EventLog,Wed Nov 28 05:45:46 2001,,（6008，錯(cuò)誤，事件日志，2001 年 11 月 28 日星期三 05:45:46）
The previous system shutdown at 5:33:47 AM on 11/28/2001
was unexpected.（上一次系統(tǒng)在 2001 年 11 月 28 日星期三上午 5:33:47 意外關(guān)閉）。6005,INFORMATIONAL,EventLog,Tue Nov 
27 14:10:53 2001,,The Event log service was started.（6005，信息，事件日志，2001 年 11 月 27 日星期二14:10:53，事件日志服務(wù)已啟動(dòng)。）
6006,INFORMATIONAL,EventLog,Tue Nov 27 14:09:26 2001,,（6006，信息，事件日志，2001 年 11 月 27 日星期二 14:09:26）
The Event log service was stopped.（事件日志服務(wù)已停止。）6005,INFORMATIONAL,
EventLog,Tue Nov 27 10:11:37 2001,,The Event log service 
was started.（6005，信息，事件日志，2001 年 11 月 27 日星期二 10:11:37，事件日志服務(wù)已啟動(dòng)。）

6006 事件表明一個(gè)有關(guān)閉域控制器權(quán)限的用戶(hù)啟動(dòng)了一次計(jì)劃關(guān)機(jī)。6005 事件表明事件日志服務(wù)已啟動(dòng)。此事件發(fā)生在啟動(dòng)時(shí)。

6008 和 1001 事件表明該計(jì)算機(jī)在沒(méi)有關(guān)機(jī)的情況下被切斷電源，或因?yàn)楸绘i定而重新啟動(dòng)，或遇到了一個(gè)停止錯(cuò)誤。如果存在 1001 事件，說(shuō)明發(fā)生了一個(gè)停止錯(cuò)誤，其中包含相關(guān)的調(diào)試信息和對(duì)該調(diào)試文件的引用。

EventCombMT 工具返回的這些事件應(yīng)使用已知的宕機(jī)時(shí)間進(jìn)行交叉檢查，不匹配的事件應(yīng)加以研究，以確保該服務(wù)器沒(méi)有被攻擊。

EventCombMT 包括幾個(gè)預(yù)先配置的搜索，可用于搜索安全事件。例如，有一個(gè)預(yù)定義的搜索可搜索帳戶(hù)鎖定事件。

注意：包括在 EventcombMT 中的其他預(yù)定義搜索分別是文件復(fù)制服務(wù)搜索、Active Directory 搜索，尋找是否有重復(fù) SID 和 NETLOGON DNS 注冊(cè)失敗、硬盤(pán)錯(cuò)誤以及 DNS 接口錯(cuò)誤。您還可以定義和保存自定義的搜索。

Contoso 在嘗試診斷問(wèn)題或在事件響應(yīng)過(guò)程中確定問(wèn)題原因時(shí)，會(huì)使用 EventCombMT。另外，Contoso 還定期檢查所有域控制器上是否存在帳戶(hù)鎖定或錯(cuò)誤密碼。這樣的操作有助于手動(dòng)識(shí)別監(jiān)視系統(tǒng)可能不能檢測(cè)的任何奇怪模式。

事件收集

審核的主要目標(biāo)之一是識(shí)別攻擊者在網(wǎng)絡(luò)上采取的操作。攻擊者可能?chē)L試破壞網(wǎng)絡(luò)上的多個(gè)計(jì)算機(jī)和設(shè)備。因此，要了解任何攻擊的程度，必須能整理和合并來(lái)自很多計(jì)算機(jī)的信息。

如果日志實(shí)用程序?qū)?dǎo)入數(shù)據(jù)庫(kù)中，整理來(lái)自多個(gè)日志的信息較為簡(jiǎn)單。只要所有計(jì)算機(jī)上的時(shí)間同步，就可以根據(jù)時(shí)間字段進(jìn)行排序，這就使根據(jù)時(shí)間間隔進(jìn)行跟蹤事件變得非常簡(jiǎn)單。

下面幾節(jié)內(nèi)容簡(jiǎn)要講述了一些工具和實(shí)用程序，可使用這些工具和實(shí)用程序?qū)⑹录罩拘畔⑹占揭粋€(gè)中心位置。

腳本

可以編寫(xiě)一些腳本來(lái)從多個(gè)遠(yuǎn)程計(jì)算機(jī)收集事件日志信息，并將這些信息存儲(chǔ)在一個(gè)集中的位置。通過(guò)使用腳本，可選擇何時(shí)使用“任務(wù)計(jì)劃”運(yùn)行腳本，一次采取什么操作即可將事件日志成功復(fù)制到集中的位置。

一個(gè)簡(jiǎn)單的示例為，創(chuàng)建一個(gè)使用“Windows 2000 Server Resource Kit”中的 Dumpel.exe 的批處理文件，然后通過(guò)“控制面板”中的“任務(wù)計(jì)劃”定期啟動(dòng)該批處理文件。

“Windows 2000 Resource Kit, Supplement One”中包括 Eventquery.pl。這是一個(gè) Perl 腳本，可顯示運(yùn)行 Windows 2000 的本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)上的“事件查看器”中的事件，并提供了很多篩選器，可幫助您查找特定的事件。

注意：要使用這個(gè)腳本，需安裝“Windows 2000 Server Resource Kit”中的 ActivePerl。

Contoso 當(dāng)前不使用事件收集解決方案。但預(yù)期會(huì)使用 Microsoft Audit Collection System (MACS)，該系統(tǒng)將在第二年發(fā)布。MACS 是一種安全事件收集工具，它利用壓縮、簽名和加密的安全方式收集事件。收集事件之后，這些事件將加載到 SQL 數(shù)據(jù)庫(kù)中，并進(jìn)行優(yōu)化以供分析。

Microsoft Operations Manager

Microsoft Operations Manager (MOM) 2000 是一種高級(jí)工具集，使企業(yè)能完整分析 Windows 2000 及其應(yīng)用程序的內(nèi)置事件報(bào)告和性能監(jiān)視。MOM 2000 使用遠(yuǎn)程計(jì)算機(jī)上的 Intelligent Agent 將事件和性能數(shù)據(jù)收集、存儲(chǔ)并報(bào)告到單獨(dú)的位置，使管理員可集中復(fù)查收集的信息。

核心 MOM 2000 管理程序包會(huì)收集顯示在系統(tǒng)事件日志、應(yīng)用程序事件日志和安全事件日志中的事件，并將這些結(jié)果組合到一個(gè)集中的事件存儲(chǔ)庫(kù)。

注意：MOM 2000 會(huì)將它的信息存儲(chǔ)在 SQL Server 數(shù)據(jù)庫(kù)中，并提供幾種檢索和分析存檔數(shù)據(jù)的方法。管理員可使用 Operations Manager 管理控制臺(tái)、Web 控制臺(tái)或 Operations Manager 報(bào)告來(lái)查看、打印或者發(fā)布數(shù)據(jù)。每個(gè)視圖都包含一些預(yù)定義的用于分析存檔數(shù)據(jù)的視圖，并允許定義自定義視圖和報(bào)告。

事件日志收集的第三方解決方案

目前有若干第三方產(chǎn)品可提供集中的事件日志收集和檢查。評(píng)估這些第三方產(chǎn)品時(shí)，應(yīng)在標(biāo)準(zhǔn)中添加下列功能：

提供事件收集功能的第三方產(chǎn)品有：

主動(dòng)檢測(cè)方法

主動(dòng)入侵檢測(cè)系統(tǒng)會(huì)在應(yīng)用層分析傳入的網(wǎng)絡(luò)通訊，查找已知的攻擊方法或可疑的應(yīng)用層負(fù)載。如果收到了一個(gè)可疑的數(shù)據(jù)包，入侵檢測(cè)系統(tǒng)通常會(huì)丟棄該數(shù)據(jù)包，并在日志文件中記錄一項(xiàng)。有些入侵檢測(cè)系統(tǒng)還可在檢測(cè)到嚴(yán)重攻擊時(shí)向管理員發(fā)出通知。

用于入侵檢測(cè)的第三方解決方案

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和端點(diǎn)入侵檢測(cè)系統(tǒng)都有第三方解決方案。這些第三方解決方案會(huì)提供除超文本傳輸協(xié)議 (HTTP) 之外的一些協(xié)議的支持，還會(huì)針對(duì)聯(lián)網(wǎng)的計(jì)算機(jī)掃描一些已知的攻擊。

入侵檢測(cè)系統(tǒng)應(yīng)識(shí)別的常見(jiàn)攻擊類(lèi)型有：

好的入侵檢測(cè)系統(tǒng)應(yīng)能識(shí)別所有三種形式的攻擊。有兩個(gè)不同的方法可識(shí)別攻擊：

可用于測(cè)試和部署的部分第三方產(chǎn)品包括：

漏洞評(píng)估

除了執(zhí)行被動(dòng)和主動(dòng)入侵檢測(cè)之外，還應(yīng)定期執(zhí)行漏洞評(píng)估。漏洞評(píng)估會(huì)在網(wǎng)絡(luò)中模擬攻擊，檢測(cè)攻擊者可能找到的漏洞。

通過(guò)定期執(zhí)行評(píng)估，可在攻擊者進(jìn)行攻擊之前找到漏洞，并保護(hù)網(wǎng)絡(luò)的薄弱部分，從而確保這些漏洞不受攻擊。

如果要研究漏洞評(píng)估工具，請(qǐng)?jiān)跊Q策過(guò)程中包括下列要求：

有幾個(gè)第三方工具可用于針對(duì) Windows 2000 網(wǎng)絡(luò)執(zhí)行漏洞評(píng)估。這些工具有：

另外，采用第三方咨詢(xún)服務(wù)來(lái)執(zhí)行漏洞評(píng)估更適合。使用第三方服務(wù)的優(yōu)點(diǎn)在于，第三方之前不了解該網(wǎng)絡(luò)，不會(huì)與外部攻擊者使用同樣的開(kāi)始點(diǎn)工作。很多情況下，這些外部評(píng)估都會(huì)基于評(píng)估工作組的中立性提供最有用的信息。

小結(jié)

審核和入侵檢測(cè)是有效構(gòu)建環(huán)境防護(hù)措施的重要組成部分。作為風(fēng)險(xiǎn)管理過(guò)程的一部分，必須確定什么程度的審核和入侵檢測(cè)適用于您所在的環(huán)境。對(duì)于跨多個(gè)協(xié)議的入侵檢測(cè)，您可考慮使用第三方工具。