入侵檢測系統(tǒng)(IDS)是防火墻的合理補(bǔ)充，它幫助安全系統(tǒng)發(fā)現(xiàn)可能的入侵前兆，并對付網(wǎng)絡(luò)攻擊。下面讓我們了解一下Windows2000服務(wù)器入侵檢測是怎樣的過程。

系統(tǒng)帳號密碼猜解入侵的前兆檢測

對于Windows 2000服務(wù)器來說，一個(gè)很大的威脅也來自系統(tǒng)帳號密碼的猜解，因?yàn)槿绻渲貌患训姆?wù)器允許進(jìn)行空會話的建立，這樣，攻擊者能夠進(jìn)行遠(yuǎn)程的帳號枚舉等，然后根據(jù)枚舉得到的帳號進(jìn)行密碼的猜測。即使服務(wù)器拒絕進(jìn)行空會話的建立，攻擊者同樣能夠進(jìn)行系統(tǒng)帳號的猜測，因?yàn)榛旧虾芏喾?wù)器的系統(tǒng)管理員都使用administrator、admin、root等這樣的帳號名。那些黑客工具，比如“流光”等，就可以進(jìn)行這樣的密碼猜測，通過常用密碼或者進(jìn)行密碼窮舉來破解系統(tǒng)帳號的密碼。

要檢測通過系統(tǒng)帳號密碼猜解的入侵，需要設(shè)置服務(wù)器安全策略，在審核策略中進(jìn)行記錄，需要審核記錄的基本事件包括：審核登錄事件、審核帳戶登錄事件、帳戶管理事件。審核這些事件的“成功、失敗”，然后我們可以從事件查看器中的安全日志查看這些審核記錄。

比如：如果我們在安全日志中發(fā)現(xiàn)了很多失敗審核，就說明有人正在進(jìn)行系統(tǒng)帳號的猜解。我們查看其中一條的詳細(xì)內(nèi)容，可以看到：

登錄失?。?/p>

原因：用戶名未知或密碼錯(cuò)誤

用戶名：administrator

域：ALARM

登錄類型：3

登錄過程：NtLmSsp

身份驗(yàn)證程序包：MICROSOFT_AUTHENTICATION_PACKAGE_V1_0

工作站名：REFDOM

進(jìn)行密碼猜解的攻擊者打算猜測系統(tǒng)帳號administrator的密碼，攻擊者的來源就是工作站名：REFDOM，這里記錄是攻擊者的計(jì)算機(jī)名而不是他的IP地址。

當(dāng)我們發(fā)現(xiàn)有人打算進(jìn)行密碼猜解的時(shí)候，就需要對相應(yīng)的配置和策略進(jìn)行修改。比如：對IP地址進(jìn)行限制、修改被猜解密碼的帳號的帳號名、加強(qiáng)帳號密碼的長度等等來應(yīng)對這樣的入侵。

終端服務(wù)入侵的前兆檢測

Windows2000 提供終端控制服務(wù)(Telminal Service)，它是一個(gè)基于遠(yuǎn)程桌面協(xié)議(RDP)的工具，方便管理員進(jìn)行遠(yuǎn)程控制，是一個(gè)非常好的遠(yuǎn)程控制工具。終端服務(wù)使用的界面化控制讓管理員使用起來非常輕松而且方便，速度也非常快，這一樣也讓攻擊者一樣方便。而且以前終端服務(wù)存在輸入法漏洞，可以繞過安全檢查獲得系統(tǒng)權(quán)限。對于打開終端服務(wù)的服務(wù)器來說，很多攻擊者喜歡遠(yuǎn)程連接，看看服務(wù)器的樣子(即使他們根本沒有帳號)。

對終端服務(wù)進(jìn)行的入侵一般在系統(tǒng)帳號的猜解之后，攻擊者利用猜解得到的帳號進(jìn)行遠(yuǎn)程終端連接和登錄。

在管理工具中打開遠(yuǎn)程控制服務(wù)配置，點(diǎn)擊"連接"，右擊你想配置的RDP服務(wù)(比如 RDP-TCP(Microsoft RDP 5.0)，選中書簽"權(quán)限"，點(diǎn)擊"高級"，加入一個(gè)Everyone組，代表所有的用戶，然后審核他的"連接"、"斷開"、"注銷"的成功和"登錄"的成功和失敗，這個(gè)審核是記錄在安全日志中的，可以從"管理工具"->"日志查看器"中查看。但是這個(gè)日志就象前面的系統(tǒng)密碼猜解那樣，記錄的是客戶端機(jī)器名而不是客戶端的IP地址。我們可以做一個(gè)簡單的批處理bat文件(文件名為TerminalLog.bat)，用它來記錄客戶端的IP，文件內(nèi)容是：

time /t >>Terminal.log  
 
netstat -n -p tcp | find ":3389">>Terminal.log  
 
start Explorer  

端服務(wù)使用的端口是TCP 3389，文件第一行是記錄用戶登錄的時(shí)間，并把這個(gè)時(shí)間記入文件Terminal.log中作為日志的時(shí)間字段;第二行是記錄用戶的IP地址，使用netstat來顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令，并把含有3389端口的記錄到日志文件中去。這樣就能夠記錄下對方建立3389連接的IP地址了。

要設(shè)置這個(gè)程序運(yùn)行，可以在終端服務(wù)配置中，登錄腳本設(shè)置指定TerminalLOG.bat作為用戶登錄時(shí)需要打開的腳本，這樣每個(gè)用戶登錄后都必須執(zhí)行這個(gè)腳本，因?yàn)槟J(rèn)的腳本是Explorer(資源管理器)，所以在Terminal.bat的最后一行加上了啟動Explorer的命令start Explorer，如果不加這一行命令，用戶是沒有辦法進(jìn)入桌面的。當(dāng)然，可以把這個(gè)腳本寫得更加強(qiáng)大，但是請把日志記錄文件放置到安全的目錄中去。

通過Terminal.log文件記錄的內(nèi)容，配合安全日志，我們就能夠發(fā)現(xiàn)通過終端服務(wù)的入侵事件或者前兆了。

對于Windows2000服務(wù)器來說，上面四種入侵是最常見的，也占入侵Windows2000事件的絕大多數(shù)。從上面的分析，我們能夠及時(shí)地發(fā)現(xiàn)這些入侵的前兆，根據(jù)這些前兆發(fā)現(xiàn)攻擊者的攻擊出發(fā)點(diǎn)，然后采取相應(yīng)的安全措施，以杜絕攻擊者入侵。

我們也可以從上面分析認(rèn)識到，服務(wù)器的安全配置中各種日志記錄和事件審核的重要性。這些日志文件在被入侵后是攻擊者的重要目標(biāo)，他們會刪除和修改記錄，以便抹掉他們的入侵足跡。因此，對于各種日志文件，我們更應(yīng)該好好隱藏并設(shè)置權(quán)限等保護(hù)起來。同時(shí)，僅僅記錄日志而不經(jīng)常性地查看和分析，那么所有的工作就等于白做了。

在安全維護(hù)中，系統(tǒng)管理員應(yīng)該保持警惕，并熟悉黑客使用的入侵手段，做好入侵前兆的檢測和分析，這樣才能未雨綢繆，阻止入侵事件的發(fā)生。

入侵檢測作為一種積極主動地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。我們應(yīng)該積極掌握才是。

原文鏈接：http://netsecurity.51cto.com/art/201103/249239.htm