假如發(fā)現(xiàn)的任何打開端口是不可識別的，則應對它們進行研究，確定相對應的服務在該計算機上是否必需。假如不必需，應禁用或刪除這個相關聯(lián)的服務，以防止計算機偵聽該端口。在本指南介紹的“成員服務器和域控制器基準策略”中已禁用了一些服務。

因為很多服務器都是由防火墻或數(shù)據(jù)包篩選路由器保護的，所以建議從遠程計算機執(zhí)行端口掃描。很多第三方工具（包括免費軟件）都可用于執(zhí)行遠程端口掃描。遠程端口掃描可揭示當外部用戶嘗試連接該計算機時，哪些端口可用于這些外部用戶。

注重：端口掃描還可用于測試入侵檢測系統(tǒng)，確保該系統(tǒng)能在發(fā)生端口掃描時檢測到該掃描。有關入侵檢測系統(tǒng)的具體信息，請參考本模塊后面的主動檢測方法一節(jié)。

返回頁首
監(jiān)視入侵和安全事件
監(jiān)視入侵和安全事件既包括被動任務也包括主動任務。很多入侵都是在發(fā)生攻擊之后，通過檢查日志文件才檢測到的。這種攻擊之后的檢測通常稱為被動入侵檢測。只有通過檢查日志文件，攻擊才得以根據(jù)日志信息進行復查和再現(xiàn)。

其他入侵嘗試可以在攻擊發(fā)生的同時檢測到。這種方法稱為“主動”入侵檢測，它會查找已知的攻擊模式或命令，并阻止這些命令的執(zhí)行。

此節(jié)內(nèi)容將講述可用于實現(xiàn)這兩種形式的入侵檢測，以保護網(wǎng)絡免受攻擊的工具。

時間同步的重要性
監(jiān)視多個計算機之間的入侵和安全事件時，這些計算機時鐘同步是至關重要的。經(jīng)過同步的時間使治理員能再現(xiàn)針對多個計算機進行攻擊時所發(fā)生的操作。假如沒有同步的時間，則很難準確確定何時發(fā)生了特定的事件，以及這些事件是如何交錯發(fā)生的。

被動檢測方法
被動入侵檢測系統(tǒng)包括事件日志和應用程序日志的手動復查。這種檢查包括對事件日志數(shù)據(jù)中的攻擊模式進行分析和檢測。目前有若干工具、實用程序和應用程序都可幫助復查事件日志。此節(jié)簡要講述了如何使用每個工具來整理信息。

事件查看器
Windows 2000 安全日志當然可以使用 Windows 2000 事件查看器 MMC 控制臺進行查看。事件查看器答應查看應用程序日志、安全日志和系統(tǒng)日志。您可以在事件查看器中定義一些篩選器，以找出特定的事件。

• 在事件查看器中定義篩選器

1.
在控制臺樹中選擇特定的事件日志。

2.
從查看菜單選擇“篩選器”。

3.
選擇篩選參數(shù)。



在“屬性”對話框的“篩選器”選項卡中，可定義下列屬性來篩選事件項：

• 事件類型：該篩選器可限定為信息、警告、錯誤、成功審核、失敗審核或任何事件類型的組合。

• 事件來源：生成該事件的特定服務或驅(qū)動程序。

• 類別：該篩選器可限定為特定的事件類別。

• 事件 ID：假如知道要搜索的特定事件 ID，則該篩選器可將列表顯示為該特定的事件 ID。

• 用戶：您可以將事件顯示限定在特定用戶生成的事件。

• 計算機：您可以將事件顯示限定在特定計算機生成的事件。

• 日期間隔：您可以將顯示限定在位于特定開始日期和結束日期之間的事件。


應用該篩選器時，經(jīng)過篩選的事件列表可導出為逗號分隔列表，或 Tab 符號分隔列表。整個列表則可導入一個數(shù)據(jù)庫應用程序。

正如上面提到的，Contoso 每個負責復查事件日志的治理角色都有幾位成員。作為上述成員的一部分，他們會天天復查一次這些日志，找出與事件相關的監(jiān)視系統(tǒng)沒有記錄的任何安全信息。

轉儲事件日志工具 (Dumpel.exe)
轉儲事件日志是一種命令行工具，位于“Windows 2000 Server Resource Kit, Supplement One”（Microsoft Press，ISBN: 0-7356-1279-X）。該工具會將本地系統(tǒng)或者遠程系統(tǒng)的事件日志轉儲到一個以 Tab 符號分隔的文本文件中。然后，可將此文件導入一個電子表格或數(shù)據(jù)庫中，用于進一步研究。該工具還可用于篩選或篩選出一些特定的事件類型。

查看更多 動易Cms教程  動易Cms模板