Windows2000 Server侵入監視

あなたが見ているWin2003_2000チュートリアルは、Windows2000 Server侵入検知です。

Win2000サーバーの侵入監視Win2000サーバーの慎重な設定の後、Win2000サーバーのセキュリティ設定は侵入と侵入の90％以上から守ることができますが、システムセキュリティは新しい脆弱性とサーバーの出現により継続的なプロセスです。アプリケーションが変更され、システムのセキュリティステータスも絶えず変化しています;同時に、攻撃と守備は矛盾する結束であるため、Tao XiaomaoとDevilsは絶えず変化しているので、システム管理者は保証できませんサービスを提供しているサーバーが長い間妥協されることは決してありません。

はそのため、セキュリティ設定のサーバーは、安全性の終わりではなく、長く退屈なセキュリティの仕事の始まりむしろ、私はあなたのサーバーのセキュリティの長期維持を助けることを望んで、予備のWin2000サーバー侵入検知技術を探求しますさ。で
侵入検知は、この資料に記載されていない独自のソフトウェア/スクリプトを記述、およびファイアウォール（ファイアウォール）や侵入検知システム（IDS）技術を使用するために使用検出のWin2000サーバー独自の機能およびシステム管理者を指し、範囲内です。

は今と仮定します。私たちは、Win2000のServerサーバーを持っており、初期セキュリティ設定を通じて（セキュリティ設定の詳細については、Win2000のサーバーのセキュリティ設定エントリ<で見つけることができるため、designtimesp = 26230>）、その場合には、サーバーの初期セキュリティ設定がほとんどのスクリプトを防御できるようになった後（スクリプトファミリ - 他のユーザーのみが使用）、ほとんどの侵入者は却下され、遅くなります。本物のマスターに出会った、サーバーに侵入するためのプログラムを書いた人はまだ脆弱です。本物のマスターが他人のサーバーに気軽に入ることはありませんが、何人かの邪悪なマスターがあなたのサーバーに夢中になることを確実にすることは困難です。さらに、この脆弱性の発見からパッチのリリースまでの間に、しばしば空白があるため、この脆弱性情報を知っている人なら誰でもこれを利用することができます。重要です。主に対応するサービスを提供するアプリケーションに応じてで
侵入検知は、平均ホストに対して、主に次の側面に注意する必要があり、保護されるべき適切なテストおよび分析システムを有していなければならない。
検出

WWWサービス80ポートの侵攻に基づく
1は、おそらく最も一般的なサービスの一つであり、なぜなら大多数のユーザーが直面しているサービスの、サービストラフィックと複雑さはそれほど高く、このサービスに対する最も脆弱な脆弱性および侵入技術。 NTの場合、IISは常にシステム管理者にとって頭痛の種でした（私はポート80をシャットダウンするのを待つことができません）が、幸いなことに、IISのロギング機能はある程度侵入検知の強力な手助けになります。 IISに付属するログファイルは、既定ではSystem32 /LogFilesディレクトリに格納されており、通常は24時間スクロールされ、IISマネージャで詳細に構成できます。 （私はどのように特定のあなたと気にしませんが、詳細な記録をしない場合は、泣く時から戻って侵入者のIPを見つける）

は今、我々は（何歳仮定うん、トラブルないトラブルを行うには？）ないことを仮定します緊急には、この記事を書くためにホストをブラックアウトすることはできませんので、私たちはWEBサーバーを想定してWWWサービスを開くと仮定する必要があります。 IIS、W3C拡張ログ形式を使用し、少なくとも記録された時間（Time）、クライアントIP（Client IP）、メソッド（Method）、URIリソース（URI Stem）、URIクエリ（URI Query）、プロトコルステータス（Protocol）ステータス）、分析のために最近人気が高いUnicodeの脆弱性を使用します。IEウィンドウを開き、アドレスバーに127.0.0.11/scripts/..%c1%1c../winnt/system32/cmd.exeと入力しますか？ /c + dirデフォルトでは、ディレクトリの一覧が表示されます（セキュリティ設定を行ったのか、表示できないのですか？デフォルトのインストールを復元します。実験を行う必要があります）、IISログを見てみましょう。はじめに、Ex010318.logを開きます（ExはW3C拡張フォーマットを表し、その後にログ記録日を表す一連の数字が続きます）：07:42:58 127.0.0.1 GET /scripts /..../winnt /system32cmd.exe /c + dir 200より上のログは、GMTの07:42:58 GMT（23:42:58 GMT）にIPアドレス127.0.0.1からUnicodeを使用している人（侵入者）がいることを示しています。脆弱性（％c1％1cは ""としてデコードされます、実際の状況は異なるWindows言語バージョンにより多少異なります）cmd.exeを実行し、パラメータは/c dirです、結果は成功です（HTTP 200は正しい戻りを意味します） 。

ほとんどのケースの下で、IISログは忠実にそれが受け取るすべての要求を記録します（うわー、レコードは躊躇厄介プレイUnicodeの後、実際に完全でなければならない）（特別な存在ではありませんIISは攻撃について記録していますが、これについては後で説明します。そのため、優れたシステム管理者はこれを使用してシステムを保護するための侵入の試みを発見するのが得意です。ただし、IISログは数十メガバイト、トラフィックは数十Gにもなりますが、手動でチェックすることはほとんど不可能ですが、ログ分析ソフトウェアを使用して任意の言語でログ分析ソフトウェア（実際はテキストフィルタ）を作成することができます。非常に単純ですが、実際の状況（管理者がプログラムを作成しない、またはログ分析ソフトウェアがサーバー上に見つからないなど）を考えると、単純な方法を使用できます。ポート80の誰かがいるかどうかを知りたいとしましょう。 Global.asaがあなたのファイルを取得しようとしている上で、次のCMDコマンドを使用することができます「のGlobal.asa」ex010318.logを見つける/私は、このコマンドを使用するNTネイティブFIND.EXEツール（緊急時のように恐れては見つけることができませんでした）ですテキストファイルからフィルタしたい文字列を簡単に見つけることができます。 "Global.asa"はクエリ対象の文字列、ex010318.logはフィルタ対象のテキストファイルです。/iは大文字と小文字を区別しません。私はこの記事マイクロソフトのヘルプドキュメントを書くつもりはありませんので、そのほかのこのコマンドのパラメータとその強化されたバージョンのFindStr.exe使用量は、Win2000のヘルプファイルを表示するために行ってください。

は、ログ解析ソフトウェアに基づいて、またはコマンドを探すかどうか、あなたは（例えば、「+ .HTR」など）は、既存のIISの脆弱性が含まれている文字列の敏感なリストを作成することができますし、将来は抜け穴が表示されることがありますになります常に更新されるこの文字列テーブルをフィルタリングすることによって、呼び出されたリソース（Global.asaやcmd.exeなど）は、侵入者の行動をできるだけ早く理解することができます。書き込み場合

は、アイドル時の夜に、より適切であろうような低優先度のタスクが自動的に行われるために任意のログ解析ソフトウェアの使用は、それゆえ、IISログ分析を、いくつかのシステムリソースを取り上げることに留意する必要がありますフィルタリングされた疑わしいテキストをシステム管理者に送信するスクリプトはさらに完璧です。また、敏感な文字列テーブルが大規模、複雑なフィルタリング戦略ならば、私はまだ、よりコスト効果的であろう特別なプログラムを書くためにCを使用することをお勧め。検出で
セキュリティログに基づいて

2は、我々は（いつでも侵略になります人のために見て、不正行為を扱っている場合）、事前に見て、それらの所在を知ることができ、通過ログベースの侵入検出をIISしかし、IISログは万能薬ではない、それもリクエストた場合、いくつかのケースでは、IISログシステムの私の分析によると、要求が完了した後にのみIISは、他の言葉で、ログに書き込まれます、80ポートの侵略から記録することはできません途中で失敗し、ログファイルは、（ここでは中央の失敗は、このような状況HTTP400エラーが発生しましたが、大量のデータを中止POSTなど、HTTP要求にTCP層から完了しなかったことを意味するものではありません）で、それの痕跡を持っていません。侵入者にとっては、ロギングシステムを迂回して多数の活動を完了することが可能です。

はまた、非80のみのホストのために、侵入者はそれゆえ、包括的なセキュリティ監視システムを確立する必要がある、他のサービスからサーバーにアクセスすることができます。

Win2000のは、非常に詳細な記録を持ってログオンするために、ユーザーから非常に強力なセキュリティログのシステム権限が付属して、残念ながら、デフォルトのインストールは、いくつかのホストが黒であることを安全監査の下で閉じていますその後、侵入者を追跡する方法はありません。だから、私たちがしなければならない最初のステップは、管理ツールにある - 必要に応じて見直し、一般的には、ログインイベントやアカウント管理を開くには、監査ポリシーは、私たちが最も懸念している、そして成功と失敗を開くイベントである - ローカルセキュリティポリシー] - [ローカルポリシー監査が必要であり、他にも検討監査を開くことができませんでしたので、あなたは、侵入者のステップはハードだった作ることができ、それは卒業後5年になると考えています。サイズおよびセキュリティログの構成をカバーするためには良い方法がない場合だけ、問題を完全に解決しない安全監査を開き、洗練された侵入者は偽の要求の洪水を通じて侵入することができますが、彼の本当の居場所を上書きします。一般的に、セキュリティログのサイズは50メガバイトとして指定され、わずか7日間オーバーライドログの前に上記のような状況を回避しています。で
セキュリティログも非常に重要であるセキュリティログは、検査機構のセキュリティログを開発し、それゆえ、（唯一の利点は、あなたが暗くなって、侵入者を追跡することができている）ほぼ同じ悪いと設定されていませんチェックするように設定されていませんセキュリティログとして、侵略者の夜間行動するので、推奨時間が毎朝あるチェック仕事に行くために朝（あなたの半分の時間侵略ROMの速度はさあ、または、それはすべての叫びの叫びです）最初はただ例外が存在しないログを見て、その後、あなたは他の事をすることを安心することができます。あなたが好きなら、あなたは毎日あなたに送信されたメールとしてセキュリティログにスクリプトを書くことができます（これを信じて、あなたは何をマスタースクリプトを変更した場合、......日「何事もなく」送信しない）

セキュリティログに加えて、システムログやアプリケーションログ監視ツールはまた、二次的に非常に良いですが、一般的には、侵略者を除いて（彼は管理者権限を得た場合、その後、彼はトレースをクリアするために行くだろう）セキュリティログに痕跡を残し、侵入者が自分の居場所を隠すことは困難であるように、システム管理者として、痕跡を残すシステムおよびアプリケーションログに、異常なやり方が惜しまなければなりません。

3、ファイルアクセスログや重要なファイルのためのシステムのデフォルトのセキュリティ監査への重要なファイルで
ほかの保護に加え、我々は、彼らの記録へのアクセスをログファイルのアクセス権を設定しています。

多くのオプションファイルへのアクセスがあります。アクセス、作成、実行、変更、プロパティの変更は......一般的には、懸念は監視が重要な役割を果たしてきましアクセスして変更することができるようになります。例えば

、我々は、システムディレクトリへの変更を監視、作成、あるいはそのようにcmd.exe、
など、いくつかの重要な書類（へのアクセス場合zh-CN"],null,[1],zh-TW"]]]