二、企业系统监控安全策略
尽管不断地在对系统进行修补,但由于软件系统的复杂性,新的安全漏洞总会层出不穷。因此,除了对安全漏洞进行修补之外,还要对系统的运行状态进行实时监视,以便及时发现利用各种漏洞的入侵行为。如果已有安全漏洞但还没有全部得到修补时,这种监视就显得尤其重要。
1、启用系统审核机制
系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件,以供管理员进行分析、查找系统和应用程序故障以及各类安全事件。
所有的操作系统、应用系统等都带有日志功能,因此可以根据需要实时地将发生在系统中的事件记录下来。同时还可以通过查看与安全相关的日志文件的内容,来发现黑客的入侵和入侵后的行为。当然,如果要达到这个目的,就必须具备一些相关的知识。首先必须要学会如何配置系统,以启用相应的审核机制,并同时使之能够记录各种安全事件。
对Windows Server 2003的服务器和工作站系统来说,为了不影响系统性能,默认的安全策略并不对安全事件进行审核。从“安全配置和分析”工具用SecEdit安全模板进行的分析结果可知,这些有红色标记的审核策略应该已经启用,这可用来发现来自外部和内部的黑客的入侵行为。对于关键的应用服务器和文件服务器来说,应同时启用剩下的安全策略。
如果已经启用了“审核对象访问”策略,那么就要求必须使用NTFS文件系统。NTFS文件系统不仅提供对用户的访问控制,而且还可以对用户的访问操作进行审核。但这种审核功能,需要针对具体的对象来进行相应的配置。
首先在被审核对象“安全”属性的“高级”属性中添加要审核的用户和组。在该对话框中选择好要审核的用户后,就可以设置对其进行审核的事件和结果。 在所有的审核策略生效后,就可以通过检查系统的日志来发现黑客的蛛丝马迹。
2、日志监视
在系统中启用安全审核策略后,管理员应经常查看安全日志的记录,否则就失去了及时补救和防御的时机了。除了安全日志外,管理员还要注意检查各种服务或应用的日志文件。在Windows 2003 IIS 6.0中,其日志功能默认已经启动,并且日志文件存放的路径默认在System32/LogFiles目录下,打开IIS日志文件,可以看到对Web服务器的HTTP请求,IIS6.0系统自带的日志功能从某种程度上可以成为入侵检测的得力帮手。
3、监视开放的端口和连接
对日志的监视只能发现已经发生的入侵事件,但是它对正在进行的入侵和破坏行为无能为力了。这时,就需要管理员来掌握一些基本的实时监视技术。
通常在系统被黑客或病毒入侵后,就会在系统中留下木马类后门。同时它和外界的通信会建立一个Socket会话连接,这样就可能发现它,netstat命令可以进行会话状态的检查,在这里就可以查看已经打开的端口和已经建立的连接。 当然也可以采用一些专用的检测程序对端口和连接进行检测,这一类软件很多。
4、监视共享
通过共享来入侵一个系统是最为舒服的一种方法了。如果防范不严,最简单的方法就是利用系统隐含的管理共享。因此,只要黑客能够扫描到的IP和用户密码,就可以使用net use命令连接到的共享上。另外,当浏览到含有恶意脚本的网页时,此时计算机的硬盘也可能被共享,因此,监测本机的共享连接是非常重要的。
监测本机的共享连接具体方法如下:在Windows Server 2003的计算机中,打开“计算机管理”工具,并展开“共享文件夹”选项。单击其中的“共享”选项,就可以查看其右面窗口,以检查是否有新的可疑共享,如果有可疑共享,就应该立即删除。另外还可以通过选择“会话”选项,来查看连接到机器所有共享的会话。Windows NT/2000的IPC$共享漏洞是目前危害最广的漏洞之一。黑客即使没有马上破解密码,也仍然可以通过“空连接”来连接到系统上,再进行其他的尝试。
5、监视进程和系统信息
对于木马和远程监控程序,除了监视开放的端口外,还应通过任务管理器的进程查看功能进行进程的查找。在安装Windows Server2003的支持工具(从产品光盘安装)后,就可以获得一个进程查看工具Process Viewer;通常,隐藏的进程寄宿在其他进程下,因此查看进程的内存映象也许能发现异常。现在的木马越来越难发现,常常它会把自己注册成一个服务,从而避免了在进程列表中现形。因此,我们还应结合对系统中的其他信息的监视,这样就可对系统信息中的软件环境下的各项进行相应的检查。