Windows system >> Conocimiento de Windows >  >> Tutorial del sistema de Windows Server >> Tutorial de Windows Server

Win2000 Server Intrusion Detection

  

Un servidor Win2000 bien configurado puede proteger contra más del 90% de las intrusiones e infiltraciones, pero como mencioné al final del capítulo anterior: La seguridad del sistema es un proceso continuo, junto con una nueva La aparición de vulnerabilidades y cambios en las aplicaciones de servidor, el estado de seguridad del sistema también cambia constantemente, al mismo tiempo, porque la ofensiva y la defensa son una unidad de contradicciones, el demonio a largo plazo y el diablo también cambian constantemente, por lo que el sistema es más sofisticado. Los administradores no pueden garantizar que un servidor que proporciona servicios nunca se verá comprometido durante mucho tiempo.

Por lo tanto, el servidor de configuración de seguridad no es el final del trabajo de seguridad, pero es el comienzo de un trabajo de seguridad largo y tedioso. En este artículo, inicialmente analizaremos las técnicas iniciales de detección de intrusos en el servidor Win2000, con la esperanza de ayudarlo a mantener el servidor durante mucho tiempo. Seguro

La detección de intrusiones mencionada en este artículo se refiere a la detección de las funciones del servidor Win2000 y el software /scripts escritos por el administrador del sistema. La técnica de uso de firewall o sistema de detección de intrusos (IDS) no se encuentra en este documento. Dentro del ámbito de la discusión.

Ahora supongamos que tenemos un servidor Win2000 Server y que hemos pasado por una configuración de seguridad preliminar (consulte la Guía de introducción a la configuración de seguridad del servidor Win2000 < 1 > para obtener detalles sobre la configuración de seguridad) La mayoría de los intrusos serán rechazados.
(Jaja, mi administrador puede irse a casa y dormir.) Lento, estoy hablando de la mayoría, no de todos. Después de la configuración de seguridad inicial, el servidor puede defender la mayor parte del script kid (familia de scripts, solo uso Alguien que escribió un programa para invadir el servidor), encontró un maestro real, todavía es vulnerable. Si bien el verdadero maestro no ingresa a los servidores de otras personas de manera casual, es difícil asegurarse de que varios maestros malvados malvados se hayan hecho una fantasía con su servidor.
(¿Realmente soy tan malo?) Además, a menudo hay un período de vacío entre el descubrimiento de vulnerabilidades y el lanzamiento de parches. Cualquiera que conozca la información de vulnerabilidad puede aprovecharla. En este momento, la tecnología de detección de intrusos es muy Importante

La detección de intrusión se basa principalmente en la aplicación. Si se proporciona el servicio correspondiente, debería haber un sistema de detección y análisis correspondiente para la protección. Para el anfitrión general, se debe prestar atención a lo siguiente: >

1, basado en la detección de intrusión de 80 puertos

El servicio WWW es probablemente uno de los servicios más comunes, y como este servicio se enfrenta a una gran cantidad de usuarios, el tráfico y la complejidad del servicio son muy altos, por lo que Las vulnerabilidades y técnicas de intrusión más vulnerables para este servicio. Para NT, IIS siempre ha sido un dolor de cabeza para los administradores de sistemas (no puedo esperar para cerrar el puerto 80), pero afortunadamente, la función de registro que viene con IIS puede ser un poderoso ayudante para la detección de intrusiones en cierta medida. El archivo de registro que viene con IIS se almacena en el directorio System32 /LogFiles de forma predeterminada. Por lo general, se desplaza en 24 horas. Se puede configurar en detalle en el Administrador de IIS.
(¿Cómo puedo coincidir contigo, pero si no grabas en detalle, no puedes encontrar la IP del intruso y no llorar).

Ahora asumamos (¿cómo supones que siempre estás molestando?) Urgente, realmente no puedo bloquear un host para escribir este artículo, por lo que debo asumir que asumimos un servidor WEB y abrimos el servicio WWW. Usted es el administrador del sistema de este servidor y lo configuré cuidadosamente. IIS, utilizando el formato de registro extendido W3C, y al menos el tiempo registrado (Hora), IP del cliente (IP del cliente), método (Método), recurso URI (raíz URI), consulta URI (consulta URI), estado del protocolo (Protocolo Estado), usamos la vulnerabilidad más popular de Unicode para el análisis: abra la ventana de IE, ingrese: 127.0.0.11/scripts/..%c1% 1c ../winnt /system32 /cmd.exe en la barra de direcciones? /c + dir De forma predeterminada, puede ver la lista de directorios (¿qué? ¿Ha realizado la configuración de seguridad, no puede verla? Restaurar la instalación predeterminada, tenemos que hacer un experimento), echemos un vistazo a los registros de IIS. Qué hay de nuevo, abra Ex010318.log (Ex significa formato extendido W3C, seguido de una cadena de números que representa la fecha del registro de registro): 07:42:58 127.0.0.1 GET /scripts/..../winnt/system32cmd.exe /El registro sobre c + dir 200 indica que a las 07:42:58 GMT (es decir, 23:42:58 GMT), hay un tipo (intruso) que usa Unicode en su máquina desde la IP de 127.0.0.1. Vulnerabilidad (% c1% 1c se decodifica como " ", la situación real será ligeramente diferente debido a las diferentes versiones de idioma de Windows) Ejecute cmd.exe, el parámetro es /c dir, el resultado es exitoso (HTTP 200 significa correcto Regreso).
(Wow, el registro está realmente completo, no me atrevo a jugar Unicode de forma casual).

En la mayoría de los casos, los registros de IIS registrarán fielmente cualquier solicitud que reciba (también tienen IIS registra los ataques, de los que hablaremos más adelante, por lo que un buen administrador de sistemas debería ser bueno en esto para descubrir intentos de intrusión para proteger su sistema. Sin embargo, los registros de IIS son decenas de megabytes y el tráfico es incluso docenas de G. Es casi imposible verificarlos manualmente. La única opción es usar el software de análisis de registros para escribir un software de análisis de registros (de hecho, un filtro de texto) en cualquier idioma. Muy simple, pero considerando algunas situaciones reales (como el administrador no escribirá el programa, o el software de análisis de registro no se puede encontrar en el servidor), puedo decirle un método simple, digamos que quiere saber si alguien del puerto 80 Para intentar obtener su archivo Global.asa, puede usar el siguiente comando CMD: buscar " Global.asa " ex010318.log /i Este comando usa la herramienta integrada find.exe de NT (por lo que no puede encontrarlo en una emergencia) ), puede encontrar fácilmente la cadena que desea filtrar desde el archivo de texto, " Global.asa " es la cadena a consultar, ex010318.log es el archivo de texto a filtrar, /i significa ignorar el caso. Debido a que no tengo intención de escribir este artículo como un documento de Ayuda de Microsoft, revise el archivo de ayuda de Win2000 para conocer otros parámetros de este comando y el uso de su versión mejorada de FindStr.exe.

Tutorial de Windows Server
Conocimiento de Windows
Precauciones de seguridad del sistema operativo: Win2003

Windows 2003 es la última versión de servidor de Microsoft del sistema operativo, se puede decir que
Windows Server 2008 habilita la compatibilidad con LAN inalámbrica

Windows Server 2008 (en lo sucesivo: WS08) instalación del sistema, encontrará que aunque la tarjeta
Sistema operativo Win 2003 personalizado y seguro (abajo)

Prólogo: El 22 de mayo de 2003, el sistema operativo de próxima generación de Microsoft, Windows S
Debe utilizar la estrategia de grupo de sistema de Windows arma habilidades avanzadas

La Política de grupo del sistema es casi una de las herramientas necesarias para que los administrad
Windows Server 2008 para la gestión de dispositivos móviles

En Server 2003, administrar dispositivos móviles puede ser engorroso. De la siguiente manera: Use

Protocolo DHCP detallado (activado)

En redes pequeñas comunes (como redes domésticas y residencias de estudiantes), los administradores

  • Preguntas frecuentes de Windows Server
  • Servidor 2000
  • Servidor 2003
  • Servidor 2008
  • Tutorial de Windows Server

    • Instalación de Linux del método de archivo de cabecera del kernel apropiado

    ¿Qué debo hacer si la unidad C no es suficiente en Windows 8?

    Cuente el número de días para convertir unidades. La calculadora de Win 7 puede hacer más

    ¿Cómo se apaga remotamente el sistema Win7 desde otra computadora?

    Después de reiniciar el sistema xp, la unidad D desaparece. ¿Cómo recuperarlo? Solución después de que el sistema xp reinicia el disco D se ha eliminado

    Cómo resolver el sistema Win10 Falló la actualización de Realtek HD Audio

    Administrar inteligentemente las carpetas en Windows 7

    Win7 Ultimate System Installer Preguntar Código de error 0x80070422 Solución

    Mejorar la seguridad del sistema operativo Windows XP

    Cómo reinstalar el navegador IE en Windows XP

  • Tutorial del sistema de Windows XP
  • Tutorial del sistema de Windows 7
  • Tutorial del sistema de Windows 8
  • Tutorial del sistema de Windows 10
  • Tutorial del sistema de Windows 2003
  • Tutorial del sistema de Windows 2008
  • Tutorial del sistema de Windows Vista
  • Síntesis de Windows Tutorial
  • Tutorial del sistema de Windows Server
  • Tutorial del sistema Linux
  • Tutorial de software de computadora
  • Tutorial de Windows NT
    • Copyright © Conocimiento de Windows All Rights Reserved