注重：所有維護日志文件的計算機都應使用經(jīng)過同步的時鐘。這使治理員能將計算機和服務器之間的事件進行比較，以確定攻擊者采取了哪些操作。有關(guān)時間同步的更多具體信息，請參考本模塊后面的時間同步的重要性一節(jié)。

監(jiān)視安裝的服務和驅(qū)動程序

很多針對計算機的攻擊通過攻擊安裝在目標計算機上的服務，或?qū)⒂行У尿?qū)動程序替換為包括特洛伊木馬的驅(qū)動程序版本，從而使攻擊者能訪問目標計算機達到攻擊的目的。

下面的工具可檢查計算機上安裝的服務和驅(qū)動程序：

• 服務控制臺
服務 MMC 控制臺用于監(jiān)視本地計算機或遠程計算機上的服務，治理員能配置、暫停、停止、啟動和重新啟動安裝的所有服務。使用此控制臺可確定配置為自動啟動的任何服務當前是否未啟動。

• Netsvc.exe
此命令行工具位于“Windows 2000 Server Resource Kit”中，治理員可使用命令行遠程啟動、停止、暫停、繼續(xù)和查詢服務的狀態(tài)。

• SvcMon.exe
這個服務監(jiān)視工具會監(jiān)視本地計算機和遠程計算機上的服務，檢查狀態(tài)是否發(fā)生了更改（啟動或者停止）。為了檢測這些更改，該工具實現(xiàn)了一種輪詢系統(tǒng)。當被監(jiān)視的服務停止或者啟動時，該工具會通過發(fā)送電子郵件來通知您。您必須通過使用服務監(jiān)視器配置工具 (smconfig.exe) 來配置要監(jiān)視的服務器、輪詢間隔和服務。

• Drivers.exe
在運行此工具的計算機上，此工具會顯示安裝的所有設備驅(qū)動程序。該工具的輸出包括一些信息，其中有驅(qū)動程序的文件名、磁盤上驅(qū)動程序的大小，以及鏈接該驅(qū)動程序的日期。鏈接日期可識別任何新安裝的驅(qū)動程序。假如某個更新的驅(qū)動程序不是最近安裝的，可能表示這是一個被替換的驅(qū)動程序。請始終將此信息與“事件查看器”中的系統(tǒng)重新啟動事件相關(guān)聯(lián)。


注重：并非所有服務（如工作站服務）都可以直接停止，但您可以查詢所有的服務。假如用戶有很多活動的連接，則不能遠程強制關(guān)閉該服務，但可以暫停或查詢該服務。有些服務有另外一些依靠于它們的服務；嘗試關(guān)閉這樣的服務可能會失敗，除非這些具有依靠性的服務首先進行了關(guān)閉。

監(jiān)視打開的端口

攻擊首先是從執(zhí)行端口掃描以識別在目標計算機上正在執(zhí)行任何已知服務開始的。您應該確保仔細監(jiān)視服務器上打開的那些端口，這通常表示您在自己掃描這些端口來確定哪些端口可以訪問。

掃描端口時，應既在該目標計算機本地執(zhí)行，也在遠程計算機上執(zhí)行。假如可以從公共網(wǎng)絡訪問該計算機，則應從外部計算機執(zhí)行端口掃描，以確信防火墻軟件只答應訪問所需的端口。

Netstat.exe 是一個命令行實用程序，可以顯示為傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報協(xié)議 (UDP) 打開的所有端口。Netstat 命令使用下列語法：

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]

其中：

• -a：顯示所有連接和偵聽端口。

• -e：顯示以太網(wǎng)統(tǒng)計數(shù)據(jù)。這可以與 -s 選項組合使用。

• -n：以數(shù)字形式顯示地址和端口號。

• -p proto：顯示用于 proto 所指定協(xié)議的連接；proto 可以是 TCP 或者 UDP。假如與 -s 選項一起使用來顯示每個協(xié)議的統(tǒng)計數(shù)據(jù)，proto 可以是 TCP、UDP 或 Internet 協(xié)議 (IP)。

• -r：顯示路由表。

• -s：顯示每個協(xié)議的統(tǒng)計數(shù)據(jù)。在默認情況下，顯示 TCP、UDP 和 IP 的統(tǒng)計數(shù)據(jù)；-p 選項可用于指定這些默認設置的子集。

• interval：再次顯示選擇的統(tǒng)計數(shù)據(jù)，并在每個顯示之間暫停 interval 指定的秒數(shù)。按 CTRL C 組合鍵可停止再次顯示統(tǒng)計數(shù)據(jù)。假如忽略此選項，Netstat 只輸出當前配置信息一次。


當列出本地計算機上打開的 TCP 和 UDP 端口時，端口號將根據(jù) \%WinDir%\System32\Drivers\Etc\ 文件夾中這些服務文件中的項目轉(zhuǎn)換為名稱。假如只想看到端口號，可以使用 -n 參數(shù)。

查看更多 動易Cms教程  動易Cms模板