Windows 2000 审核和入侵检测(12)_动易Cms教程

假如发现的任何打开端口是不可识别的，则应对它们进行研究，确定相对应的服务在该计算机上是否必需。假如不必需，应禁用或删除这个相关联的服务，以防止计算机侦听该端口。在本指南介绍的“成员服务器和域控制器基准策略”中已禁用了一些服务。

因为很多服务器都是由防火墙或数据包筛选路由器保护的，所以建议从远程计算机执行端口扫描。很多第三方工具（包括免费软件）都可用于执行远程端口扫描。远程端口扫描可揭示当外部用户尝试连接该计算机时，哪些端口可用于这些外部用户。

注重：端口扫描还可用于测试入侵检测系统，确保该系统能在发生端口扫描时检测到该扫描。有关入侵检测系统的具体信息，请参考本模块后面的主动检测方法一节。

返回页首
监视入侵和安全事件
监视入侵和安全事件既包括被动任务也包括主动任务。很多入侵都是在发生攻击之后，通过检查日志文件才检测到的。这种攻击之后的检测通常称为被动入侵检测。只有通过检查日志文件，攻击才得以根据日志信息进行复查和再现。

其他入侵尝试可以在攻击发生的同时检测到。这种方法称为“主动”入侵检测，它会查找已知的攻击模式或命令，并阻止这些命令的执行。

此节内容将讲述可用于实现这两种形式的入侵检测，以保护网络免受攻击的工具。

时间同步的重要性
监视多个计算机之间的入侵和安全事件时，这些计算机时钟同步是至关重要的。经过同步的时间使治理员能再现针对多个计算机进行攻击时所发生的操作。假如没有同步的时间，则很难准确确定何时发生了特定的事件，以及这些事件是如何交错发生的。

被动检测方法
被动入侵检测系统包括事件日志和应用程序日志的手动复查。这种检查包括对事件日志数据中的攻击模式进行分析和检测。目前有若干工具、实用程序和应用程序都可帮助复查事件日志。此节简要讲述了如何使用每个工具来整理信息。

事件查看器
Windows 2000 安全日志当然可以使用 Windows 2000 事件查看器 MMC 控制台进行查看。事件查看器答应查看应用程序日志、安全日志和系统日志。您可以在事件查看器中定义一些筛选器，以找出特定的事件。

• 在事件查看器中定义筛选器

1.
在控制台树中选择特定的事件日志。

2.
从查看菜单选择“筛选器”。

3.
选择筛选参数。



在“属性”对话框的“筛选器”选项卡中，可定义下列属性来筛选事件项：

• 事件类型：该筛选器可限定为信息、警告、错误、成功审核、失败审核或任何事件类型的组合。

• 事件来源：生成该事件的特定服务或驱动程序。

• 类别：该筛选器可限定为特定的事件类别。

• 事件 ID：假如知道要搜索的特定事件 ID，则该筛选器可将列表显示为该特定的事件 ID。

• 用户：您可以将事件显示限定在特定用户生成的事件。

• 计算机：您可以将事件显示限定在特定计算机生成的事件。

• 日期间隔：您可以将显示限定在位于特定开始日期和结束日期之间的事件。


应用该筛选器时，经过筛选的事件列表可导出为逗号分隔列表，或 Tab 符号分隔列表。整个列表则可导入一个数据库应用程序。

正如上面提到的，Contoso 每个负责复查事件日志的治理角色都有几位成员。作为上述成员的一部分，他们会天天复查一次这些日志，找出与事件相关的监视系统没有记录的任何安全信息。

转储事件日志工具 (Dumpel.exe)
转储事件日志是一种命令行工具，位于“Windows 2000 Server Resource Kit, Supplement One”（Microsoft Press，ISBN: 0-7356-1279-X）。该工具会将本地系统或者远程系统的事件日志转储到一个以 Tab 符号分隔的文本文件中。然后，可将此文件导入一个电子表格或数据库中，用于进一步研究。该工具还可用于筛选或筛选出一些特定的事件类型。

查看更多 动易Cms教程  动易Cms模板