win2000 server的安全配置,經過精心配置的win2000伺服器可以防禦90%以上的入侵和滲透,但是,系統安全是乙個連續的過程,隨著新漏洞的出現和伺服器應用的變化,系統的安全狀況也在不斷變化著;同時由於攻防是矛盾的統一體,道消魔長和魔消道長也在不斷的轉換中,因此,再高明的系統管理員也不能保證一台正在提供服務的伺服器長時間絕對不被入侵。
所以,安全配置伺服器並不是安全工作的結束,相反卻是漫長乏味的安全工作的開始,我將初步**win2000伺服器入侵檢測的初步技巧,希望能幫助您長期維護伺服器的安全。
入侵檢測指的是利用win2000 server自身的功能及系統管理員自己編寫的軟體/指令碼進行的檢測,使用防火牆(firewall)或入侵監測系統(ids)的技巧並不在本文的討論範圍之內。
現在假定:我們有一台win2000 server的伺服器,並且經過了初步的安全配置,在這種情況下,大部分的入侵者將被拒之門外。(哈哈,我管理員可以回家睡大覺去了)慢著,我說的是大部分,不是全部,經過初步安全配置的伺服器雖然可以防禦絕大多數的script kid(指令碼族-只會用別人寫的程式入侵伺服器的人),遇到了真正的高手,還是不堪一擊的。雖然說真正的高手不會隨便進入別人的伺服器,但是也難保有幾個品行不端的邪派高手看上了你的伺服器。(我真的這麼衰麼?)而且,在漏洞的發現與補丁的發布之間往往有一段時間的真空,任何知道漏洞資料的人都可以乘虛而入,這時,入侵檢測技術就顯得非常的重要。
入侵的檢測主要還是根據應用來進行,提供了相應的服務就應該有相應的檢測分析系統來進行保護,對於一般的主機來說,主要應該注意以下幾個方面:
1、基於80埠入侵的檢測
www服務大概是最常見的服務之一了,而且由於這個服務面對廣大使用者,服務的流量和複雜度都很高,所以針對這個服務的漏洞和入侵技巧也最多。對於nt來說,iis一直是系統管理員比較頭疼的一部分(恨不得關了80埠),不過好在iis自帶的日誌功能從某種程度上可以成為入侵檢測的得力幫手。iis自帶的日誌檔案預設存放在system32/logfiles目錄下,一般是按24小時滾動的,在iis管理器中可以對它進行詳細的配置。(具體怎麼配我不管你,不過你要是不詳細記錄,回頭查不到入侵者的ip可不要哭)
現在我們再假設(怎麼老是假設呀,煩不煩?)別急呀,我不能為了寫這篇文章真的去黑掉一台主機,所以只好假設了,我們假設一台web伺服器,開放了www服務,你是這台伺服器的系統管理員,已經小心地配置了iis,使用w3c擴充套件的日誌格式,並至少記錄了時間(time)、客戶端ip(client ip)、方法(method)、uri資源(uri stem)、uri查詢(uri query),協議狀態(protocol status),我們用最近比較流行的unicode漏洞來進行分析:開啟ie的視窗,在位址列輸入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 預設的情況下你可以看到目錄列表(什麼?你已經做過安全配置了,看不到?恢復預設安裝,我們要做個實驗),讓我們來看看iis的日誌都記錄了些什麼,開啟ex010318.log(ex代表w3c擴充套件格式,後面的一串數字代表日誌的記錄日期):07:42:58 127.0.0.1 get /scripts/../../winnt/system32/cmd.exe /c+dir 200上面這行日誌表示在格林威治時間07:42:58(就是北京時間23:42:58),有乙個傢伙(入侵者)從127.0.0.1的ip在你的機器上利用unicode漏洞(%c1%1c被解碼為"/",實際的情況會因為windows語言版本的不同而有略微的差別)執行了cmd.exe,引數是/c dir,執行結果成功(http 200代表正確返回)。(哇,記錄得可真夠全的,以後不敢隨便亂玩unicode了)
大多數情況下,iis的日誌會忠實地記錄它接收到的任何請求(也有特殊的不被iis記錄的攻擊,這個我們以後再討論),所以,乙個優秀的系統管理員應該擅長利用這點來發現入侵的企圖,從而保護自己的系統。但是,iis的日誌動輒數十兆、流量大的**甚至數十g,人工檢查幾乎沒有可能,唯一的選擇就是使用日誌分析軟體,用任何語言編寫乙個日誌分析軟體(其實就是文字過濾器)都非常簡單,不過考慮到一些實際情況(比如管理員不會寫程式,或者伺服器上一時找不到日誌分析軟體),我可以告訴大家乙個簡單的方法,比方說你想知道有沒有人從80埠上試圖取得你的global.asa檔案,可以使用以下的cmd命令:find "global.asa" ex010318.log /i這個命令使用的是nt自帶的find.exe工具(所以不怕緊急情況找不著),可以輕鬆的從文字檔案中找到你想過濾的字串,"global.asa"是需要查詢的字串,ex010318.log是待過濾的文字檔案,/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的help文件,所以關於這個命令的其他引數以及它的增強版findstr.exe的用法請去檢視win2000的幫助檔案。
無論是基於日誌分析軟體或者是find命令,你都可以建立一張敏感字串列表,包含已有的iis漏洞(比如"+.htr")以及未來將要出現的漏洞可能會呼叫的資源(比如global.asa或者cmd.exe),通過過濾這張不斷更新的字串表,一定可以盡早了解入侵者的行動。
需要提醒的是,使用任何日誌分析軟體都會占用一定的系統資源,因此,對於iis日誌分析這樣低優先順序的任務,放在夜裡空閒時自動執行會比較合適,如果再寫一段指令碼把過濾後的可疑文字傳送給系統管理員,那就更加完美了。同時,如果敏感字串表較大,過濾策略複雜,我建議還是用c寫乙個專用程式會比較合算。
8、陷阱技術
早期的陷阱技術只是乙個偽裝的埠服務用來監測掃瞄,隨著矛和盾的不斷公升級,現在的陷阱服務或者陷阱主機已經越來越完善,越來越象真正的服務,不僅能截獲半開式掃瞄,還能偽裝服務的回應並記錄入侵者的行為,從而幫助判斷入侵者的身份。
我本人對於陷阱技術並不是非常感興趣,一來從技術人員角度來說,低調行事更符合安全的原則;二來陷阱主機反而成為入侵者跳板的情況並不僅僅出現在**中,在現實生活中也屢見不鮮,如果架設了陷阱反而被用來入侵,那真是偷雞不成了。
記得coolfire說過一句話,可以用來作為對陷阱技術介紹的乙個結束:在不了解情況時,不要隨便進入別人的系統,因為你永遠不能事先知道系統管理員是真的白痴或者偽裝成白痴的天才......
入侵監測的初步介紹就到這裡,在實際運用中,系統管理員對基礎知識掌握的情況直接關係到他的安全敏感度,只有身經百戰而又知識豐富、仔細小心的系統管理員才能從一點點的蛛絲馬跡中發現入侵者的影子,未雨綢繆,扼殺入侵的行動。
修改 mac位址 win2000
在hkey local machine system controlset001 control class 0000 第一塊網絡卡 ndi params 下新增一項 networkaddress 再新增一字串paramdesc m a8 r 其資料值為mac位址e wm z b ew bqa 在h...
Win2000忘了密碼 有驚無險
伺服器密碼之後,又莫名其妙的進不去了,才停了幾分鐘,已經不停地有人打 來 怎麼回事?偏偏伺服器用的scsi硬碟和ntfs分割槽,光碟機也是壞的。勤打補丁,古老的輸入法漏洞自然進不去。好在找到這樣一篇文章how can i gain access to a windows nt 2000 xp 200...
自動登入Win2000系統
個人使用者在使用win2000時,每次登入都彈出登入對話方塊,顯得很麻煩,我們可以將win2000設定為自動登入。一 設定預設的使用者名稱 在 執行 框中輸入 regedt32.exe 開啟登錄檔編 輯器。選擇視窗選單項中的 hkey local ma chine 視窗,並 最大化。在左邊的目錄樹中...