网络入侵检测初步探测的方法！

而且，对于非80 Only的主机，入侵者也可以从其它的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

　　Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核，一般来说，登录事件与账户管理是我们最关心的事件，同时打开成功和失败审核非常必要，其他的审核也要打开失败审核，这样可以使得入侵者步步维艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有很好的配置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上述情况的出现。

　　除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限，那么他一定会去清除痕迹的)，在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。

　　3.文件访问日志与关键文件保护

　　除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对它们的访问。

　　文件访问有很多的选项:访问、修改、执行、新建、属性更改……一般来说，关注访问和修改就能起到很大的监视作用。

　　例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问(例如cmd.exe，net.exe，system32目录)，那么，入侵者就很难在不引起我们注意的情况下安放后门。要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的日志监测工作。关键文件不仅仅指的是系统文件，还包括有可能对系统管理员和其他用户构成危害的任何文件，例如系统管理员的配置、桌面文件等等，这些都是有可能被用来窃取系统管理员资料和密码的。

内容导航

• 第1页：网络入侵检测初步探测的方法！
• 第2页：网络入侵检测初步探测的方法！(2)
• 第3页：网络入侵检测初步探测的方法！(3)
• 第4页：网络入侵检测初步探测的方法！(4)
• 第5页：网络入侵检测初步探测的方法！(5)
• 第6页：网络入侵检测初步探测的方法！(6)