注重：所有維護(hù)日志文件的計(jì)算機(jī)都應(yīng)使用經(jīng)過(guò)同步的時(shí)鐘。這使治理員能將計(jì)算機(jī)和服務(wù)器之間的事件進(jìn)行比較，以確定攻擊者采取了哪些操作。有關(guān)時(shí)間同步的更多具體信息，請(qǐng)參考本模塊后面的時(shí)間同步的重要性一節(jié)。

監(jiān)視安裝的服務(wù)和驅(qū)動(dòng)程序

很多針對(duì)計(jì)算機(jī)的攻擊通過(guò)攻擊安裝在目標(biāo)計(jì)算機(jī)上的服務(wù)，或?qū)⒂行У尿?qū)動(dòng)程序替換為包括特洛伊木馬的驅(qū)動(dòng)程序版本，從而使攻擊者能訪問(wèn)目標(biāo)計(jì)算機(jī)達(dá)到攻擊的目的。

下面的工具可檢查計(jì)算機(jī)上安裝的服務(wù)和驅(qū)動(dòng)程序：

• 服務(wù)控制臺(tái)
服務(wù) MMC 控制臺(tái)用于監(jiān)視本地計(jì)算機(jī)或遠(yuǎn)程計(jì)算機(jī)上的服務(wù)，治理員能配置、暫停、停止、啟動(dòng)和重新啟動(dòng)安裝的所有服務(wù)。使用此控制臺(tái)可確定配置為自動(dòng)啟動(dòng)的任何服務(wù)當(dāng)前是否未啟動(dòng)。

• Netsvc.exe
此命令行工具位于“Windows 2000 Server Resource Kit”中，治理員可使用命令行遠(yuǎn)程啟動(dòng)、停止、暫停、繼續(xù)和查詢服務(wù)的狀態(tài)。

• SvcMon.exe
這個(gè)服務(wù)監(jiān)視工具會(huì)監(jiān)視本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)上的服務(wù)，檢查狀態(tài)是否發(fā)生了更改（啟動(dòng)或者停止）。為了檢測(cè)這些更改，該工具實(shí)現(xiàn)了一種輪詢系統(tǒng)。當(dāng)被監(jiān)視的服務(wù)停止或者啟動(dòng)時(shí)，該工具會(huì)通過(guò)發(fā)送電子郵件來(lái)通知您。您必須通過(guò)使用服務(wù)監(jiān)視器配置工具 (smconfig.exe) 來(lái)配置要監(jiān)視的服務(wù)器、輪詢間隔和服務(wù)。

• Drivers.exe
在運(yùn)行此工具的計(jì)算機(jī)上，此工具會(huì)顯示安裝的所有設(shè)備驅(qū)動(dòng)程序。該工具的輸出包括一些信息，其中有驅(qū)動(dòng)程序的文件名、磁盤上驅(qū)動(dòng)程序的大小，以及鏈接該驅(qū)動(dòng)程序的日期。鏈接日期可識(shí)別任何新安裝的驅(qū)動(dòng)程序。假如某個(gè)更新的驅(qū)動(dòng)程序不是最近安裝的，可能表示這是一個(gè)被替換的驅(qū)動(dòng)程序。請(qǐng)始終將此信息與“事件查看器”中的系統(tǒng)重新啟動(dòng)事件相關(guān)聯(lián)。


注重：并非所有服務(wù)（如工作站服務(wù)）都可以直接停止，但您可以查詢所有的服務(wù)。假如用戶有很多活動(dòng)的連接，則不能遠(yuǎn)程強(qiáng)制關(guān)閉該服務(wù)，但可以暫停或查詢?cè)摲��?wù)。有些服務(wù)有另外一些依靠于它們的服務(wù)；嘗試關(guān)閉這樣的服務(wù)可能會(huì)失敗，除非這些具有依靠性的服務(wù)首先進(jìn)行了關(guān)閉。

監(jiān)視打開(kāi)的端口

攻擊首先是從執(zhí)行端口掃描以識(shí)別在目標(biāo)計(jì)算機(jī)上正在執(zhí)行任何已知服務(wù)開(kāi)始的。您應(yīng)該確保仔細(xì)監(jiān)視服務(wù)器上打開(kāi)的那些端口，這通常表示您在自己掃描這些端口來(lái)確定哪些端口可以訪問(wèn)。

掃描端口時(shí)，應(yīng)既在該目標(biāo)計(jì)算機(jī)本地執(zhí)行，也在遠(yuǎn)程計(jì)算機(jī)上執(zhí)行。假如可以從公共網(wǎng)絡(luò)訪問(wèn)該計(jì)算機(jī)，則應(yīng)從外部計(jì)算機(jī)執(zhí)行端口掃描，以確信防火墻軟件只答應(yīng)訪問(wèn)所需的端口。

Netstat.exe 是一個(gè)命令行實(shí)用程序，可以顯示為傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報(bào)協(xié)議 (UDP) 打開(kāi)的所有端口。Netstat 命令使用下列語(yǔ)法：

NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]

其中：

• -a：顯示所有連接和偵聽(tīng)端口。

• -e：顯示以太網(wǎng)統(tǒng)計(jì)數(shù)據(jù)。這可以與 -s 選項(xiàng)組合使用。

• -n：以數(shù)字形式顯示地址和端口號(hào)。

• -p proto：顯示用于 proto 所指定協(xié)議的連接；proto 可以是 TCP 或者 UDP。假如與 -s 選項(xiàng)一起使用來(lái)顯示每個(gè)協(xié)議的統(tǒng)計(jì)數(shù)據(jù)，proto 可以是 TCP、UDP 或 Internet 協(xié)議 (IP)。

• -r：顯示路由表。

• -s：顯示每個(gè)協(xié)議的統(tǒng)計(jì)數(shù)據(jù)。在默認(rèn)情況下，顯示 TCP、UDP 和 IP 的統(tǒng)計(jì)數(shù)據(jù)；-p 選項(xiàng)可用于指定這些默認(rèn)設(shè)置的子集。

• interval：再次顯示選擇的統(tǒng)計(jì)數(shù)據(jù)，并在每個(gè)顯示之間暫停 interval 指定的秒數(shù)。按 CTRL C 組合鍵可停止再次顯示統(tǒng)計(jì)數(shù)據(jù)。假如忽略此選項(xiàng)，Netstat 只輸出當(dāng)前配置信息一次。


當(dāng)列出本地計(jì)算機(jī)上打開(kāi)的 TCP 和 UDP 端口時(shí)，端口號(hào)將根據(jù) \%WinDir%\System32\Drivers\Etc\ 文件夾中這些服務(wù)文件中的項(xiàng)目轉(zhuǎn)換為名稱。假如只想看到端口號(hào)，可以使用 -n 參數(shù)。

查看更多 動(dòng)易Cms教程  動(dòng)易Cms模板