假如發(fā)現(xiàn)的任何打開端口是不可識(shí)別的，則應(yīng)對(duì)它們進(jìn)行研究，確定相對(duì)應(yīng)的服務(wù)在該計(jì)算機(jī)上是否必需。假如不必需，應(yīng)禁用或刪除這個(gè)相關(guān)聯(lián)的服務(wù)，以防止計(jì)算機(jī)偵聽該端口。在本指南介紹的“成員服務(wù)器和域控制器基準(zhǔn)策略”中已禁用了一些服務(wù)。

因?yàn)楹芏喾��?wù)器都是由防火墻或數(shù)據(jù)包篩選路由器保護(hù)的，所以建議從遠(yuǎn)程計(jì)算機(jī)執(zhí)行端口掃描。很多第三方工具（包括免費(fèi)軟件）都可用于執(zhí)行遠(yuǎn)程端口掃描。遠(yuǎn)程端口掃描可揭示當(dāng)外部用戶嘗試連接該計(jì)算機(jī)時(shí)，哪些端口可用于這些外部用戶。

注重：端口掃描還可用于測(cè)試入侵檢測(cè)系統(tǒng)，確保該系統(tǒng)能在發(fā)生端口掃描時(shí)檢測(cè)到該掃描。有關(guān)入侵檢測(cè)系統(tǒng)的具體信息，請(qǐng)參考本模塊后面的主動(dòng)檢測(cè)方法一節(jié)。

返回頁(yè)首
監(jiān)視入侵和安全事件
監(jiān)視入侵和安全事件既包括被動(dòng)任務(wù)也包括主動(dòng)任務(wù)。很多入侵都是在發(fā)生攻擊之后，通過檢查日志文件才檢測(cè)到的。這種攻擊之后的檢測(cè)通常稱為被動(dòng)入侵檢測(cè)。只有通過檢查日志文件，攻擊才得以根據(jù)日志信息進(jìn)行復(fù)查和再現(xiàn)。

其他入侵嘗試可以在攻擊發(fā)生的同時(shí)檢測(cè)到。這種方法稱為“主動(dòng)”入侵檢測(cè)，它會(huì)查找已知的攻擊模式或命令，并阻止這些命令的執(zhí)行。

此節(jié)內(nèi)容將講述可用于實(shí)現(xiàn)這兩種形式的入侵檢測(cè)，以保護(hù)網(wǎng)絡(luò)免受攻擊的工具。

時(shí)間同步的重要性
監(jiān)視多個(gè)計(jì)算機(jī)之間的入侵和安全事件時(shí)，這些計(jì)算機(jī)時(shí)鐘同步是至關(guān)重要的。經(jīng)過同步的時(shí)間使治理員能再現(xiàn)針對(duì)多個(gè)計(jì)算機(jī)進(jìn)行攻擊時(shí)所發(fā)生的操作。假如沒有同步的時(shí)間，則很難準(zhǔn)確確定何時(shí)發(fā)生了特定的事件，以及這些事件是如何交錯(cuò)發(fā)生的。

被動(dòng)檢測(cè)方法
被動(dòng)入侵檢測(cè)系統(tǒng)包括事件日志和應(yīng)用程序日志的手動(dòng)復(fù)查。這種檢查包括對(duì)事件日志數(shù)據(jù)中的攻擊模式進(jìn)行分析和檢測(cè)。目前有若干工具、實(shí)用程序和應(yīng)用程序都可幫助復(fù)查事件日志。此節(jié)簡(jiǎn)要講述了如何使用每個(gè)工具來整理信息。

事件查看器
Windows 2000 安全日志當(dāng)然可以使用 Windows 2000 事件查看器 MMC 控制臺(tái)進(jìn)行查看。事件查看器答應(yīng)查看應(yīng)用程序日志、安全日志和系統(tǒng)日志。您可以在事件查看器中定義一些篩選器，以找出特定的事件。

• 在事件查看器中定義篩選器

1.
在控制臺(tái)樹中選擇特定的事件日志。

2.
從查看菜單選擇“篩選器”。

3.
選擇篩選參數(shù)。



在“屬性”對(duì)話框的“篩選器”選項(xiàng)卡中，可定義下列屬性來篩選事件項(xiàng)：

• 事件類型：該篩選器可限定為信息、警告、錯(cuò)誤、成功審核、失敗審核或任何事件類型的組合。

• 事件來源：生成該事件的特定服務(wù)或驅(qū)動(dòng)程序。

• 類別：該篩選器可限定為特定的事件類別。

• 事件 ID：假如知道要搜索的特定事件 ID，則該篩選器可將列表顯示為該特定的事件 ID。

• 用戶：您可以將事件顯示限定在特定用戶生成的事件。

• 計(jì)算機(jī)：您可以將事件顯示限定在特定計(jì)算機(jī)生成的事件。

• 日期間隔：您可以將顯示限定在位于特定開始日期和結(jié)束日期之間的事件。


應(yīng)用該篩選器時(shí)，經(jīng)過篩選的事件列表可導(dǎo)出為逗號(hào)分隔列表，或 Tab 符號(hào)分隔列表。整個(gè)列表則可導(dǎo)入一個(gè)數(shù)據(jù)庫(kù)應(yīng)用程序。

正如上面提到的，Contoso 每個(gè)負(fù)責(zé)復(fù)查事件日志的治理角色都有幾位成員。作為上述成員的一部分，他們會(huì)天天復(fù)查一次這些日志，找出與事件相關(guān)的監(jiān)視系統(tǒng)沒有記錄的任何安全信息。

轉(zhuǎn)儲(chǔ)事件日志工具 (Dumpel.exe)
轉(zhuǎn)儲(chǔ)事件日志是一種命令行工具，位于“Windows 2000 Server Resource Kit, Supplement One”（Microsoft Press，ISBN: 0-7356-1279-X）。該工具會(huì)將本地系統(tǒng)或者遠(yuǎn)程系統(tǒng)的事件日志轉(zhuǎn)儲(chǔ)到一個(gè)以 Tab 符號(hào)分隔的文本文件中。然后，可將此文件導(dǎo)入一個(gè)電子表格或數(shù)據(jù)庫(kù)中，用于進(jìn)一步研究。該工具還可用于篩選或篩選出一些特定的事件類型。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板