Windows 2003安全策略的制定

新客网 XKER.COM 2006-10-24 来源：收藏本文

　　3、监视开放的端口和连接

　　对日志的监视只能发现已经发生的入侵事件，但是它对正在进行的入侵和破坏行为无能为力了。这时，就需要管理员来掌握一些基本的实时监视技术。

　　通常在系统被黑客或病毒入侵后，就会在系统中留下木马类后门。同时它和外界的通信会建立一个Socket会话连接，这样就可能发现它，netstat命令可以进行会话状态的检查，在这里就可以查看已经打开的端口和已经建立的连接。当然也可以采用一些专用的检测程序对端口和连接进行检测，这一类软件很多。

　　4、监视共享

　　通过共享来入侵一个系统是最为舒服的一种方法了。如果防范不严，最简单的方法就是利用系统隐含的管理共享。因此，只要黑客能够扫描到的IP和用户密码，就可以使用net use命令连接到的共享上。另外，当浏览到含有恶意脚本的网页时，此时计算机的硬盘也可能被共享，因此，监测本机的共享连接是非常重要的。

　　监测本机的共享连接具体方法如下：在Windows Server 2003的计算机中，打开“计算机管理”工具，并展开“共享文件夹”选项。单击其中的“共享”选项，就可以查看其右面窗口，以检查是否有新的可疑共享，如果有可疑共享，就应该立即删Ａ硗饣箍梢酝ü≡瘛盎峄啊毖∠睿床榭戳拥交魉泄蚕淼幕峄啊indows NT/2000的IPC$共享漏洞是目前危害最广的漏洞之一。黑客即使没有马上破解密码，也仍然可以通过“空连接”来连接到系统上，再进行其他的尝试。www.xker.com(新客网)

　　5、监视进程和系统信息

　　对于木马和远程监控程序，除了监视开放的端口外，还应通过任务管理器的进程查看功能进行进程的查找。在安装Windows Server2003的支持工具（从产品光盘安装）后，就可以获得一个进程查看工具Process Viewer；通常，隐藏的进程寄宿在其他进程下，因此查看进程的内存映象也许能发现异常。现在的木马越来越难发现，常常它会把自己注册成一个服务，从而避免了在进程列表中现形。因此，我们还应结合对系统中的其他信息的监视，这样就可对系统信息中的软件环境下的各项进行相应的检查。

共4页: 上一页 [1] [2] [3] [4] 下一页

标签：

顶一下

上一篇：在 Windows Server 2003 中使用软件限制策略
下一篇：Windows Server 2003全接触(1)

【收藏】【评论】【推荐】【投稿】【打印】【关闭】