win2003服務器管理器前兆檢測

對於Windows 2003服務器來講，一個很大的威脅也來自系統賬號密碼的猜解，由於若是配置不佳的服務器容許進行空會話的創建，這樣， 者可以進行遠程的賬號枚舉等，而後根據枚舉獲得的賬號進行密碼的猜想。即便服務器拒絕進行空會話的創建， 者一樣可以進行系統賬號的猜想，由於基本上不少服務器的系統管理員都使用administrator、admin、root等這樣的賬號名。那些***工具，好比「流光」等，就能夠進行這樣的密碼猜想，經過經常使用密碼或者進行密碼窮舉來破解系統賬號的密碼。
要檢測經過系統賬號密碼猜解的 ，須要設置服務器安全策略，在審覈策略中進行記錄，須要審覈記錄的基本事件包括：審覈登陸事件、審覈賬戶登陸事件、賬戶管理事件。審覈這些事件的「成功、失敗」，而後咱們能夠從事件查看器中的安全日誌查看這些審覈記錄。、
iis7遠程桌面管理，iis7遠程桌面鏈接工具，又叫作iis7遠程桌面管理軟件，是一款綠色小巧，功能實用的遠程桌面管理工具，其界面簡潔，操做便捷，可以同時遠程操做多臺服務器，而且多臺服務器間能夠自由切換，適用於網站管理人員使用。
好比：若是咱們在安全日誌中發現了不少失敗審覈，就說明有人正在進行系統賬號的猜解。咱們查看其中一條的詳細內容，能夠看到：
登陸失敗：
緣由：用戶名未知或密碼錯誤
用戶名：administrator
域：ALARM
登陸類型：3
登陸過程：NtLmSsp
身份驗證程序包：MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工做站名：REFDOM
進行密碼猜解的者打算猜想系統賬號administrator的密碼， 者的來源就是工做站名：REFDOM，這裏記錄是 者的計算機名而不是他的IP地址。
當咱們發現有人打算進行密碼猜解的時候，就須要對相應的配置和策略進行修改。好比：對IP地址進行限制、修改被猜解密碼的賬號的賬號名、增強賬號密碼的長度等等來應對這樣的 。
4、終端服務 的前兆檢測
Windows2003 提供終端控制服務(Telminal Service)，它是一個基於遠程桌面協議(RDP)的工具，方便管理員進行遠程控制，是一個很是好的遠程控制工具。終端服務使用的界面化控制讓管理員使用起來很是輕鬆並且方便，速度也很是快，這同樣也讓 者同樣方便。並且之前終端服務存在輸入法漏洞，能夠繞過安全檢查得到系統權限。對於打開終端服務的服務器來講，不少 者喜歡遠程鏈接，看看服務器的樣子(即便他們根本沒有賬號)。
對終端服務進行的 通常在系統賬號的猜解以後， 者利用猜解獲得的賬號進行遠程終端鏈接和登陸。
在管理工具中打開遠程控制服務配置，點擊"鏈接"，右擊你想配置的RDP服務(好比 RDP-TCP(Microsoft RDP 5.0)，選中書籤"權限"，點擊"高級"，加入一個Everyone組，表明全部的用戶，而後審覈他的"鏈接"、"斷開"、"註銷"的成功和"登陸"的成功和失敗，這個審覈是記錄在安全日誌中的，能夠從"管理工具"->"日誌查看器"中查看。可是這個日誌就象前面的系統密碼猜解那樣，記錄的是客戶端機器名而不是客戶端的IP地址。咱們能夠作一個簡單的批處理bat文件(文件名爲TerminalLog.bat)，用它來記錄客戶端的IP，文件內容是：
time /t >>Terminal.log
netstat -n -p tcp | find ":3389">>Terminal.log
start Explorer
端服務使用的端口是TCP 3389，文件第一行是記錄用戶登陸的時間，並把這個時間記入文件Terminal.log中做爲日誌的時間字段;第二行是記錄用戶的IP地址，使用netstat來顯示當前網絡鏈接情況的命令，並把含有3389端口的記錄到日誌文件中去。這樣就可以記錄下對方創建3389鏈接的IP地址了。
要設置這個程序運行，能夠在終端服務配置中，登陸腳本設置指定TerminalLOG.bat做爲用戶登陸時須要打開的腳本，這樣每一個用戶登陸後都必須執行這個腳本，由於默認的腳本是Explorer(資源管理器)，因此在Terminal.bat的最後一行加上了啓動Explorer的命令start Explorer，若是不加這一行命令，用戶是沒有辦法進入桌面的。固然，能夠把這個腳本寫得更增強大，可是請把日誌記錄文件放置到安全的目錄中去。
經過Terminal.log文件記錄的內容，配合安全日誌，咱們就可以發現經過終端服務的 事件或者前兆了。
對於Windows2003服務器來講，上面四種 是最多見的，也佔 Windows2003事件的絕大多數。從上面的分析，咱們可以及時地發現這些 的前兆，根據這些前兆發現 者的 出發點，而後採起相應的安全措施，以杜絕 者 。
咱們也能夠從上面分析認識到，服務器的安全配置中各類日誌記錄和事件審覈的重要性。這些日誌文件在被 後是 者的重要目標，他們會刪除和修改記錄，以便抹掉他們的 足跡。所以，對於各類日誌文件，咱們更應該好好隱藏並設置權限等保護起來。同時，僅僅記錄日誌而不常常性地查看和分析，那麼全部的工做就等於白作了。
在安全維護中，系統管理員應該保持警戒，並熟悉***使用的 手段，作好 前兆的檢測和分析，這樣才能未雨綢繆，阻止 事件的發生。