WIN2000服務(wù)器安全配置全攻略:目前��,WIN2000 SERVER是比較流行的之一�,但是要想安全的配置微軟的這個(gè)�����,卻不是一件容易的事�。本文試圖對(duì)win2000 SERVER的安全配置進(jìn)行初步的探討。
一���、 定制自己的WIN2000 SERVER
1.版本的選擇:WIN2000有各種語(yǔ)言的版本��,對(duì)于我們來(lái)說(shuō)���,可以選擇英文版或簡(jiǎn)體中文版,我強(qiáng)烈建議:在語(yǔ)言不成為障礙的情況下�����,請(qǐng)一定使用英文版��。要知道��,微軟的產(chǎn)品是以Bug & Patch而著稱(chēng)的����,中文版的Bug遠(yuǎn)遠(yuǎn)多于英文版���,而補(bǔ)丁一般還會(huì)遲至少半個(gè)月(也就是說(shuō)一般微軟公布了漏洞后你的機(jī)子還會(huì)有半個(gè)月處于無(wú)保護(hù)狀況)
2.組件的定制:win2000在默認(rèn)情況下會(huì)安裝一些常用的組件���,但是正是這個(gè)默認(rèn)安裝是極度危險(xiǎn)的(米特尼科說(shuō)過(guò)�,他可以進(jìn)入任何一臺(tái)默認(rèn)安裝的��,我雖然不敢這么說(shuō)���,不過(guò)如果你的主機(jī)是WIN2000 SERVER的默認(rèn)安裝,我可以告訴你�,你死定了)你應(yīng)該確切的知道你需要哪些服務(wù),而且僅僅安裝你確實(shí)需要的服務(wù)�,根據(jù)安全原則,最少的服務(wù)+最小的權(quán)限=最大的安全���。典型的WEB需要的最小組件選擇是:只安裝IIS的Com Files�,IIS Snap-In����,WWW Server組件。如果你確實(shí)需要安裝其他組件���,請(qǐng)慎重�����,特別是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)這幾個(gè)危險(xiǎn)服務(wù)�����。
3. 管理應(yīng)用程序的選擇
選擇一個(gè)好的遠(yuǎn)程管理是非常重要的事��,這不僅僅是安全方面的要求����,也是應(yīng)用方面的需要。Win2000的Terminal Service是基于RDP(遠(yuǎn)程桌面協(xié)議)的遠(yuǎn)程控制���,他的速度快�����,操作方便�����,比較適合用來(lái)進(jìn)行常規(guī)操作����。但是�����,Terminal Service也有其不足之處��,由于它使用的是虛擬桌面����,再加上微軟的不嚴(yán)謹(jǐn),當(dāng)你使用Terminal Service進(jìn)行安裝或重起等與真實(shí)桌面交互的操作時(shí)�����,往往會(huì)出現(xiàn)哭笑不得的現(xiàn)象����,例如:使用Terminal Service重起微軟的認(rèn)證(Compaq, IBM等)可能會(huì)直接關(guān)機(jī)。所以�����,為了安全起見(jiàn)�����,我建議你再配備一個(gè)遠(yuǎn)程控制作為輔助����,和Terminal Service互補(bǔ)���,象PcAnyWhere就是一個(gè)不錯(cuò)的選擇。
二�、 正確安裝WIN2000 SERVER
1.分區(qū)和邏輯盤(pán)的分配,有一些朋友為了省事���,將硬盤(pán)僅僅分為一個(gè)邏輯盤(pán)���,所有的都裝在C驅(qū)上,這是很不好的����,建議最少建立兩個(gè)分區(qū),一個(gè)系統(tǒng)分區(qū)�����,一個(gè)應(yīng)用程序分區(qū)���,這是因?yàn)?�,微軟的IIS經(jīng)常會(huì)有泄漏源碼/溢出的漏洞�����,如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN�。推薦的安全配置是建立三個(gè)邏輯驅(qū)動(dòng)器���,第一個(gè)大于2G�����,用來(lái)裝系統(tǒng)和重要的日志文件��,第二個(gè)放IIS�,第三個(gè)放FTP�����,這樣無(wú)論IIS或FTP出了安全漏洞都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件����。要知道,IIS和FTP是對(duì)外服務(wù)的��,比較容易出問(wèn)題����。而把IIS和FTP分開(kāi)主要是為了防止入侵者上傳程序并從IIS中運(yùn)行���。(這個(gè)可能會(huì)導(dǎo)致程序開(kāi)發(fā)人員和編輯的苦惱,管他呢��,反正你是管理員J)
2.安裝順序的選擇:不要覺(jué)得:順序有什么重要���?只要安裝好了����,怎么裝都可以的��。錯(cuò)�����!win2000在安裝中有幾個(gè)順序是一定要注意的:
首先����,何時(shí)接入網(wǎng)絡(luò):Win2000在安裝時(shí)有一個(gè)漏洞,在你輸入Administrator密碼后�����,系統(tǒng)就建立了ADMIN$的共享,但是并沒(méi)有用你剛剛輸入的密碼來(lái)保護(hù)它����,這種情況一直持續(xù)到你再次啟動(dòng)后,在此期間��,任何人都可以通過(guò)ADMIN$進(jìn)入你的機(jī)器�����;同時(shí)��,只要安裝一完成����,各種服務(wù)就會(huì)自動(dòng)運(yùn)行�,而這時(shí)的是滿(mǎn)身漏洞,非常容易進(jìn)入的��,因此�,在完全安裝并配置好win2000 SERVER之前,一定不要把主機(jī)接入網(wǎng)絡(luò)���。
其次����,補(bǔ)丁的安裝:補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后,因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件���,如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果�����,例如:IIS的HotFix就要求每次更改IIS的配置都需要安裝(變不變態(tài)���?)
三、 安全配置WIN2000 SERVER
即使正確的安裝了WIN2000 SERVER�,系統(tǒng)還是有很多的漏洞,還需要進(jìn)一步進(jìn)行細(xì)致地配置���。
1.端口:端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口�����,也是計(jì)算機(jī)的第一道屏障��,端口配置正確與否直接影響到主機(jī)的安全����,一般來(lái)說(shuō),僅打開(kāi)你需要使用的端口會(huì)比較安全��,配置的方法是在網(wǎng)卡屬性-TCP/IP-高級(jí)-選項(xiàng)-TCP/IP篩選中啟用TCP/IP篩選����,不過(guò)對(duì)于win2000的端口過(guò)濾來(lái)說(shuō),有一個(gè)不好的特性:只能規(guī)定開(kāi)哪些端口��,不能規(guī)定關(guān)閉哪些端口�����,這樣對(duì)于需要開(kāi)大量端口的用戶(hù)就比較痛苦����。
2.IIS:IIS是微軟的組件中漏洞最多的一個(gè)��,平均兩三個(gè)月就要出一個(gè)漏洞���,而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維����,所以IIS的配置是我們的重點(diǎn)����,現(xiàn)在大家跟著我一起來(lái):
首先���,把C盤(pán)那個(gè)什么Inetpub目錄徹底刪掉,在D盤(pán)建一個(gè)Inetpub(要是你不放心用默認(rèn)目錄名也可以改一個(gè)名字�����,但是自己要記得)在IIS管理器中將主目錄指向D:\Inetpub��;
其次�,那個(gè)IIS安裝時(shí)默認(rèn)的什么scripts等虛擬目錄一概刪除(罪惡之源呀,忘http://www.target.com/scripts/..%c1%1c../winnt/system32/cmd.exe了�����?我們雖然已經(jīng)把Inetpub從系統(tǒng)盤(pán)挪出來(lái)了���,但是還是小心為上)��,如果你需要什么權(quán)限的目錄可以自己慢慢建�����,需要什么權(quán)限開(kāi)什么�。(特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限,沒(méi)有絕對(duì)的必要千萬(wàn)不要給)
第三�,應(yīng)用程序配置:在IIS管理器中刪除必須之外的任何無(wú)用映射,必須指的是ASP, ASA和其他你確實(shí)需要用到的文件類(lèi)型���,例如你用到stml等(使用server side include)�,實(shí)際上90%的主機(jī)有了上面兩個(gè)映射就夠了�,其余的映射幾乎每個(gè)都有一個(gè)凄慘的故事:htw, htr, idq, ida……想知道這些故事?去查以前的漏洞列表吧��。什么�����?找不到在哪里刪�?在IIS管理器中右擊主機(jī)->屬性->WWW服務(wù)編輯->主目錄配置->應(yīng)用程序映射�����,然后就開(kāi)始一個(gè)個(gè)刪吧(里面沒(méi)有全選的�,嘿嘿)。接著在剛剛那個(gè)窗口的應(yīng)用程序調(diào)試書(shū)簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本(除非你想ASP出錯(cuò)的時(shí)候用戶(hù)知道你的程序/網(wǎng)絡(luò)/結(jié)構(gòu))錯(cuò)誤文本寫(xiě)什么����?隨便你喜歡���,自己看著辦。點(diǎn)擊確定退出時(shí)別忘了讓虛擬站點(diǎn)繼承你設(shè)定的屬性����。
為了對(duì)付日益增多的cgi漏洞掃描器,還有一個(gè)小技巧可以參考��,在IIS中將HTTP404 Object Not Found出錯(cuò)頁(yè)面通過(guò)URL重定向到一個(gè)定制HTM文件�����,可以讓目前絕大多數(shù)CGI漏洞掃描器失靈�����。其實(shí)原因很簡(jiǎn)單�,大多數(shù)CGI掃描器在編寫(xiě)時(shí)為了方便,都是通過(guò)查看返回頁(yè)面的HTTP代碼來(lái)判斷漏洞是否存在的��,例如�,著名的IDQ漏洞一般都是通過(guò)取1.idq來(lái)檢驗(yàn),如果返回HTTP200�����,就認(rèn)為是有這個(gè)漏洞,反之如果返回HTTP404就認(rèn)為沒(méi)有����,如果你通過(guò)URL將HTTP404出錯(cuò)信息重定向到HTTP404.htm文件,那么所有的掃描無(wú)論存不存在漏洞都會(huì)返回HTTP200���,90%的CGI掃描器會(huì)認(rèn)為你什么漏洞都有��,結(jié)果反而掩蓋了你真正的漏洞��,讓入侵者茫然無(wú)處下手(武俠小說(shuō)中常說(shuō)全身漏洞反而無(wú)懈可擊����,難道說(shuō)的就是這個(gè)境界�?)不過(guò)從個(gè)人角度來(lái)說(shuō),我還是認(rèn)為扎扎實(shí)實(shí)做好安全設(shè)置比這樣的小技巧重要的多��。
最后���,為了保險(xiǎn)起見(jiàn),你可以使用IIS的備份功能��,將剛剛的設(shè)定全部備份下來(lái),這樣就可以隨時(shí)恢復(fù)IIS的安全配置����。還有,如果你怕IIS負(fù)荷過(guò)高導(dǎo)致滿(mǎn)負(fù)荷死機(jī)�,也可以在性能中打開(kāi)CPU限制,例如將IIS的最大CPU使用率限制在70%��。
3.賬號(hào)安全:
Win2000的賬號(hào)安全是另一個(gè)重點(diǎn)���,首先�����,Win2000的默認(rèn)安裝允許任何用戶(hù)通過(guò)空用戶(hù)得到系統(tǒng)所有賬號(hào)/共享列表�,這個(gè)本來(lái)是為了方便局域網(wǎng)用戶(hù)共享文件的�����,但是一個(gè)遠(yuǎn)程用戶(hù)也可以得到你的用戶(hù)列表并使用暴力法破解用戶(hù)密碼��。很多朋友都知道可以通過(guò)更改Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止139空連接���,實(shí)際上win2000的本地安全策略(如果是域就是在域安全和域安全策略中)就有這樣的選項(xiàng)RestrictAnonymous(匿名連接的額外限制)��,這個(gè)選項(xiàng)有三個(gè)值:
0:None. Rely on default permissions(無(wú)��,取決于默認(rèn)的權(quán)限)
1:Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM帳號(hào)和共享)
2:No access without explicit anonymous permissions(沒(méi)有顯式匿名權(quán)限就不允許訪(fǎng)問(wèn))
0這個(gè)值是系統(tǒng)默認(rèn)的���,什么限制都沒(méi)有�����,遠(yuǎn)程用戶(hù)可以知道你機(jī)器上所有的賬號(hào)�、組信息���、共享目錄�����、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum等等�����,對(duì)來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)���。
1這個(gè)值是只允許非NULL用戶(hù)存取SAM賬號(hào)信息和共享信息。
2這個(gè)值是在win2000中才支持的��,需要注意的是�����,如果你一旦使用了這個(gè)值����,你的共享估計(jì)就全部完蛋了,所以我推薦你還是設(shè)為1比較好�����。
好了����,入侵者現(xiàn)在沒(méi)有辦法拿到我們的用戶(hù)列表,我們的賬戶(hù)安全了……慢著���,至少還有一個(gè)賬戶(hù)是可以跑密碼的����,這就是系統(tǒng)內(nèi)建的administrator����,怎么辦���?我改改改,在計(jì)算機(jī)管理->用戶(hù)賬號(hào)中右擊administrator然后改名����,改成什么隨便你,只要能記得就行了�����。
不對(duì)不對(duì)�,我都已經(jīng)改了用戶(hù)名了,怎么還是有人跑我管理員的密碼���?幸好我的密碼夠長(zhǎng)���,但是這也不是辦法呀?嗯�,那肯定是在本地或者Terminal Service的登錄界面看到的,好吧��,我們?cè)賮?lái)把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon項(xiàng)中的Don’t Display Last User Name串?dāng)?shù)據(jù)改成1�����,這樣系統(tǒng)不會(huì)自動(dòng)顯示上次的登錄用戶(hù)名。
將HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon項(xiàng)中的Don‘t Display Last User Name串?dāng)?shù)據(jù)修改為1���,隱藏上次登陸控制臺(tái)的用戶(hù)名�����。
5.安全日志:我遇到過(guò)這樣的情況,一臺(tái)主機(jī)被別人入侵了�,系統(tǒng)管理員請(qǐng)我去追查兇手,我登錄進(jìn)去一看:安全日志是空的���,倒�,請(qǐng)記?���。篧in2000的默認(rèn)安裝是不開(kāi)任何安全審核的!那么請(qǐng)你到本地安全策略->審核策略中打開(kāi)相應(yīng)的審核�����,推薦的審核是:
賬戶(hù)管理 成功 失敗
登錄事件 成功 失敗
對(duì)象訪(fǎng)問(wèn) 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪(fǎng)問(wèn) 失敗
賬戶(hù)登錄事件 成功 失敗
審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍�;審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看,這樣就失去了審核的意義���。
與之相關(guān)的是:
在賬戶(hù)策略->密碼策略中設(shè)定:
密碼復(fù)雜性要求 啟用
密碼長(zhǎng)度最小值 6位
強(qiáng)制密碼歷史 5次
最長(zhǎng)存留期 30天
在賬戶(hù)策略->賬戶(hù)鎖定策略中設(shè)定:
賬戶(hù)鎖定 3次錯(cuò)誤登錄
鎖定時(shí)間 20分鐘
復(fù)位鎖定計(jì)數(shù) 20分鐘
同樣�,Terminal Service的安全日志默認(rèn)也是不開(kāi)的,我們可以在Terminal Service Configration(遠(yuǎn)程服務(wù)配置)-權(quán)限-高級(jí)中配置安全審核���,一般來(lái)說(shuō)只要記錄登錄�����、注銷(xiāo)事件就可以了�。
7.目錄和文件權(quán)限:
為了控制好上用戶(hù)的權(quán)限�����,同時(shí)也為了預(yù)防以后可能的入侵和溢出���,我們還必須非常小心地設(shè)置目錄和文件的訪(fǎng)問(wèn)權(quán)限���,NT的訪(fǎng)問(wèn)權(quán)限分為:讀取、寫(xiě)入�����、讀取及執(zhí)行、修改����、列目錄、完全控制��。在默認(rèn)的情況下����,大多數(shù)的文件夾對(duì)所有用戶(hù)(Everyone這個(gè)組)是完全敞開(kāi)的(Full Control)�,你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。
在進(jìn)行權(quán)限控制時(shí)�����,請(qǐng)記住以下幾個(gè)原則:
1>限是累計(jì)的:如果一個(gè)用戶(hù)同時(shí)屬于兩個(gè)組���,那么他就有了這兩個(gè)組所允許的所有權(quán)限����;
2>拒絕的權(quán)限要比允許的權(quán)限高(拒絕策略會(huì)先執(zhí)行)如果一個(gè)用戶(hù)屬于一個(gè)被拒絕訪(fǎng)問(wèn)某個(gè)資源的組���,那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限��,他也一定不能訪(fǎng)問(wèn)這個(gè)資源���。所以請(qǐng)非常小心地使用拒絕���,任何一個(gè)不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無(wú)法正常運(yùn)行;
3>文件權(quán)限比文件夾權(quán)限高(這個(gè)不用解釋了吧����?)
4>利用用戶(hù)組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一;
5>僅給用戶(hù)真正需要的權(quán)限��,權(quán)限的最小化原則是安全的重要保障����;
8.預(yù)防DoS:
在HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以幫助你防御一定強(qiáng)度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻擊:ICMP的風(fēng)暴攻擊和碎片攻擊也是NT主機(jī)比較頭疼的攻擊方法,其實(shí)應(yīng)付的方法也很簡(jiǎn)單���,win2000自帶一個(gè)Routing & Remote Access工具���,這個(gè)工具初具器的雛形(微軟真是的,什么都要做����?聽(tīng)說(shuō)最近又要做防火墻了)在這個(gè)工具中���,我們可以輕易的定義輸入輸出包過(guò)濾器,例如�����,設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來(lái)ICMP報(bào)文(讓你炸�����?我丟�����、丟�����、丟)
四�����、需要注意的一些事:
實(shí)際上�����,安全和應(yīng)用在很多時(shí)候是矛盾的�,因此,你需要在其中找到平衡點(diǎn)��,畢竟是給用戶(hù)用而不是做OPEN HACK的����,如果安全原則妨礙了系統(tǒng)應(yīng)用,那么這個(gè)安全原則也不是一個(gè)好的原則�����。
網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)工程�,它不僅有空間的跨度,還有時(shí)間的跨度�����。很多朋友(包括部分系統(tǒng)管理員)認(rèn)為進(jìn)行了安全配置的主機(jī)就是安全的�,其實(shí)這其中有個(gè)誤區(qū):我們只能說(shuō)一臺(tái)主機(jī)在一定的情況一定的時(shí)間上是安全的,隨著網(wǎng)絡(luò)結(jié)構(gòu)的變化����、新的漏洞的發(fā)現(xiàn),管理員/用戶(hù)的操作�����,主機(jī)的安全狀況是隨時(shí)隨地變化著的,只有讓安全意識(shí)和安全制度貫穿整個(gè)過(guò)程才能做到真正的安全���。
本文在撰寫(xiě)過(guò)程中參閱了大量Win2000安全的文章����,在此向這些作者表示感謝�����。
Win2000 Server入侵監(jiān)測(cè)
--------------------------------------------------------------------------------
入侵檢測(cè)初步
上一章我們談到了Win2000 Server的安全配置����,經(jīng)過(guò)精心配置的Win2000可以防御90%以上的入侵和滲透,但是��,就象上一章結(jié)束時(shí)我所提到的:系統(tǒng)安全是一個(gè)連續(xù)的過(guò)程���,隨著新漏洞的出現(xiàn)和應(yīng)用的變化,系統(tǒng)的安全狀況也在不斷變化著��;同時(shí)由于攻防是矛盾的統(tǒng)一體����,道消魔長(zhǎng)和魔消道長(zhǎng)也在不斷的轉(zhuǎn)換中�����,因此��,再高明的系統(tǒng)管理員也不能保證一臺(tái)正在提供服務(wù)的長(zhǎng)時(shí)間絕對(duì)不被入侵�����。
所以�����,安全配置并不是安全工作的結(jié)束���,相反卻是漫長(zhǎng)乏味的安全工作的開(kāi)始,本文我們將初步探討Win2000入侵檢測(cè)的初步技巧���,希望能幫助您長(zhǎng)期維護(hù)的安全�。
本文中所說(shuō)的入侵檢測(cè)指的是利用Win2000 Server自身的功能及系統(tǒng)管理員自己編寫(xiě)的/腳本進(jìn)行的檢測(cè)����,使用防火墻(Firewall)或入侵監(jiān)測(cè)系統(tǒng)(IDS)的技巧并不在本文的討論范圍之內(nèi)�����。
現(xiàn)在假定:我們有一臺(tái)Win2000 Server的����,并且經(jīng)過(guò)了初步的安全配置(關(guān)于安全配置的詳情可以參閱Win2000 Server安全配置入門(mén)<一>)�����,在這種情況下�����,大部分的入侵者將被拒之門(mén)外�。(哈哈,我管理員可以回家睡大覺(jué)去了)慢著����,我說(shuō)的是大部分,不是全部�,經(jīng)過(guò)初步安全配置的雖然可以防御絕大多數(shù)的Script kid(腳本族-只會(huì)用別人寫(xiě)的程序入侵的人),遇到了真正的高手�����,還是不堪一擊的�。雖然說(shuō)真正的高手不會(huì)隨便進(jìn)入別人的,但是也難保有幾個(gè)品行不端的邪派高手看上了你的��。(我真的這么衰么��?)而且����,在漏洞的發(fā)現(xiàn)與補(bǔ)丁的發(fā)布之間往往有一段時(shí)間的真空,任何知道漏洞資料的人都可以乘虛而入����,這時(shí),入侵檢測(cè)技術(shù)就顯得非常的重要���。
入侵的檢測(cè)主要還是根據(jù)應(yīng)用來(lái)進(jìn)行�����,提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測(cè)分析系統(tǒng)來(lái)進(jìn)行保護(hù)���,對(duì)于一般的主機(jī)來(lái)說(shuō),主要應(yīng)該注意以下幾個(gè)方面:
1、 基于80端口入侵的檢測(cè)
WWW服務(wù)大概是最常見(jiàn)的服務(wù)之一了���,而且由于這個(gè)服務(wù)面對(duì)廣大用戶(hù)���,服務(wù)的流量和復(fù)雜度都很高,所以針對(duì)這個(gè)服務(wù)的漏洞和入侵技巧也最多���。對(duì)于NT來(lái)說(shuō)����,IIS一直是系統(tǒng)管理員比較頭疼的一部分(恨不得關(guān)了80端口)����,不過(guò)好在IIS自帶的日志功能從某種程度上可以成為入侵檢測(cè)的得力幫手。IIS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下�����,一般是按24小時(shí)滾動(dòng)的�,在IIS管理器中可以對(duì)它進(jìn)行詳細(xì)的配置。(具體怎么配我不管你���,不過(guò)你要是不詳細(xì)記錄��,回頭查不到入侵者的IP可不要哭)
現(xiàn)在我們?cè)偌僭O(shè)(怎么老是假設(shè)呀����,煩不煩���?)別急呀�,我不能為了寫(xiě)這篇文章真的去黑掉一臺(tái)主機(jī)�����,所以只好假設(shè)了����,我們假設(shè)一臺(tái)WEB,開(kāi)放了WWW服務(wù)���,你是這臺(tái)的系統(tǒng)管理員���,已經(jīng)小心地配置了IIS,使用W3C擴(kuò)展的日志格式��,并至少記錄了時(shí)間(Time)�、客戶(hù)端IP(Client IP)、方法(Method)、URI資源(URI Stem)��、URI查詢(xún)(URI Query)���,協(xié)議狀態(tài)(Protocol Status)�,我們用最近比較流行的Unicode漏洞來(lái)進(jìn)行分析:打開(kāi)IE的窗口���,在地址欄輸入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir 默認(rèn)的情況下你可以看到目錄列表(什么����?你已經(jīng)做過(guò)安全配置了�,看不到?恢復(fù)默認(rèn)安裝�,我們要做個(gè)實(shí)驗(yàn)),讓我們來(lái)看看IIS的日志都記錄了些什么�����,打開(kāi)Ex010318.log(Ex代表W3C擴(kuò)展格式����,后面的一串?dāng)?shù)字代表日志的記錄日期):07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面這行日志表示在格林威治時(shí)間07:42:58(就是北京時(shí)間23:42:58),有一個(gè)家伙(入侵者)從127.0.0.1的IP在你的機(jī)器上利用Unicode漏洞(%c1%1c被解碼為"\"����,實(shí)際的情況會(huì)因?yàn)閃indows語(yǔ)言版本的不同而有略微的差別)運(yùn)行了cmd.exe�,參數(shù)是/c dir�����,運(yùn)行結(jié)果成功(HTTP 200代表正確返回)����。(哇�,記錄得可真夠全的,以后不敢隨便亂玩Unicode了)
大多數(shù)情況下����,IIS的日志會(huì)忠實(shí)地記錄它接收到的任何請(qǐng)求(也有特殊的不被IIS記錄的攻擊,這個(gè)我們以后再討論)�,所以,一個(gè)優(yōu)秀的系統(tǒng)管理員應(yīng)該擅長(zhǎng)利用這點(diǎn)來(lái)發(fā)現(xiàn)入侵的企圖�����,從而保護(hù)自己的系統(tǒng)����。但是���,IIS的日志動(dòng)輒數(shù)十兆、流量大的網(wǎng)站甚至數(shù)十G���,人工檢查幾乎沒(méi)有可能��,唯一的選擇就是使用日志分析���,用任何語(yǔ)言編寫(xiě)一個(gè)日志分析(其實(shí)就是文本過(guò)濾器)都非常簡(jiǎn)單,不過(guò)考慮到一些實(shí)際情況(比如管理員不會(huì)寫(xiě)程序���,或者上一時(shí)找不到日志分析)����,我可以告訴大家一個(gè)簡(jiǎn)單的方法���,比方說(shuō)你想知道有沒(méi)有人從80端口上試圖取得你的Global.asa文件�,可以使用以下的CMD命令:find "Global.asa" ex010318.log /i這個(gè)命令使用的是NT自帶的find.exe工具(所以不怕緊急情況找不著)���,可以輕松的從文本文件中找到你想過(guò)濾的字符串����,"Global.asa"是需要查詢(xún)的字符串,ex010318.log是待過(guò)濾的文本文件�,/i代表忽略大小寫(xiě)。因?yàn)槲覠o(wú)意把這篇文章寫(xiě)成微軟的Help文檔����,所以關(guān)于這個(gè)命令的其他參數(shù)以及它的增強(qiáng)版FindStr.exe的用法請(qǐng)去查看Win2000的幫助文件。
無(wú)論是基于日志分析或者是Find命令�����,你都可以建立一張敏感字符串列表��,包含已有的IIS漏洞(比如"+.htr")以及未來(lái)將要出現(xiàn)的漏洞可能會(huì)調(diào)用的資源(比如Global.asa或者cmd.exe)���,通過(guò)過(guò)濾這張不斷更新的字符串表,一定可以盡早了解入侵者的行動(dòng)�。
需要提醒的是,使用任何日志分析都會(huì)占用一定的系統(tǒng)資源�,因此,對(duì)于IIS日志分析這樣低優(yōu)先級(jí)的任務(wù)��,放在夜里空閑時(shí)自動(dòng)執(zhí)行會(huì)比較合適�,如果再寫(xiě)一段腳本把過(guò)濾后的可疑文本發(fā)送給系統(tǒng)管理員,那就更加完美了�。同時(shí)�����,如果敏感字符串表較大�,過(guò)濾策略復(fù)雜����,我建議還是用C寫(xiě)一個(gè)專(zhuān)用程序會(huì)比較合算。
2�����、 基于安全日志的檢測(cè)
通過(guò)基于IIS日志的入侵監(jiān)測(cè)��,我們能提前知道窺伺者的行蹤(如果你處理失當(dāng)��,窺伺者隨時(shí)會(huì)變成入侵者)��,但是IIS日志不是萬(wàn)能的�����,它在某種情況下甚至不能記錄來(lái)自80端口的入侵���,根據(jù)我對(duì)IIS日志系統(tǒng)的分析����,IIS只有在一個(gè)請(qǐng)求完成后才會(huì)寫(xiě)入日志,換言之����,如果一個(gè)請(qǐng)求中途失敗,日志文件中是不會(huì)有它的蹤影的(這里的中途失敗并不是指發(fā)生HTTP400錯(cuò)誤這樣的情況�,而是從TCP層上沒(méi)有完成HTTP請(qǐng)求,例如在POST大量數(shù)據(jù)時(shí)異常中斷)�,對(duì)于入侵者來(lái)說(shuō),就有可能繞過(guò)日志系統(tǒng)完成大量的活動(dòng)���。
而且�����,對(duì)于非80 Only的主機(jī),入侵者也可以從其它的服務(wù)進(jìn)入��,因此����,建立一套完整的安全監(jiān)測(cè)系統(tǒng)是非常必要的。
Win2000自帶了相當(dāng)強(qiáng)大的安全日志系統(tǒng)�,從用戶(hù)登錄到特權(quán)的使用都有非常詳細(xì)的記錄����,可惜的是���,默認(rèn)安裝下安全審核是關(guān)閉的���,以至于一些主機(jī)被黑后根本沒(méi)法追蹤入侵者。所以����,我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開(kāi)必要的審核,一般來(lái)說(shuō)����,登錄事件與賬戶(hù)管理是我們最關(guān)心的事件,同時(shí)打開(kāi)成功和失敗審核非常必要���,其他的審核也要打開(kāi)失敗審核�,這樣可以使得入侵者步步維艱�,一不小心就會(huì)露出馬腳。僅僅打開(kāi)安全審核并沒(méi)有完全解決問(wèn)題�,如果沒(méi)有很好的配置安全日志的大小及覆蓋方式,一個(gè)老練的入侵者就能夠通過(guò)洪水般的偽造入侵請(qǐng)求覆蓋掉他真正的行蹤。通常情況下��,將安全日志的大小指定為50MB并且只允許覆蓋7天前的日志可以避免上述情況的出現(xiàn)��。
設(shè)置了安全日志卻不去檢查跟沒(méi)有設(shè)置安全日志幾乎一樣糟糕(唯一的優(yōu)點(diǎn)是被黑了以后可以追查入侵者)�,所以,制定一個(gè)安全日志的檢查機(jī)制也是非常重要的�����,作為安全日志����,推薦的檢查時(shí)間是每天上午,這是因?yàn)?���,入侵者喜歡夜間行動(dòng)(速度快呀,要不你入侵到一半的時(shí)候連不上了���,那可是哭都哭不出來(lái))上午上班第一件事正好看看日志有沒(méi)有異常,然后就可以放心去做其他的事了����。如果你喜歡,也可以編寫(xiě)腳本每天把安全日志作為郵件發(fā)送給你(別太相信這個(gè)了,要是哪個(gè)高手上去改了你的腳本����,每天發(fā)送"平安無(wú)事"……)
除了安全日志,系統(tǒng)日志和應(yīng)用程序日志也是非常好的輔助監(jiān)測(cè)工具�,一般來(lái)說(shuō),入侵者除了在安全日志中留下痕跡(如果他拿到了Admin權(quán)限���,那么他一定會(huì)去清除痕跡的)��,在系統(tǒng)和應(yīng)用程序日志中也會(huì)留下蛛絲馬跡�,作為系統(tǒng)管理員��,要有不放過(guò)任何異常的態(tài)度��,這樣入侵者就很難隱藏他們的行蹤�。
3、 文件訪(fǎng)問(wèn)日志與關(guān)鍵文件保護(hù)
除了系統(tǒng)默認(rèn)的安全審核外���,對(duì)于關(guān)鍵的文件���,我們還要加設(shè)文件訪(fǎng)問(wèn)日志,記錄對(duì)他們的訪(fǎng)問(wèn)����。
文件訪(fǎng)問(wèn)有很多的選項(xiàng):訪(fǎng)問(wèn)��、修改�、執(zhí)行�����、新建���、屬性更改......一般來(lái)說(shuō)�����,關(guān)注訪(fǎng)問(wèn)和修改就能起到很大的監(jiān)視作用�。
例如���,如果我們監(jiān)視了系統(tǒng)目錄的修改���、創(chuàng)建,甚至部分重要文件的訪(fǎng)問(wèn)(例如cmd.exe,net.exe���,system32目錄)���,那么�����,入侵者就很難安放后門(mén)而不引起我們的注意�����,要注意的是,監(jiān)視的關(guān)鍵文件和項(xiàng)目不能太多����,否則不僅增加系統(tǒng)負(fù)擔(dān),還會(huì)擾亂日常的日志監(jiān)測(cè)工作
(哪個(gè)系統(tǒng)管理員有耐心每天看四���、五千條垃圾日志��?)
關(guān)鍵文件不僅僅指的是系統(tǒng)文件��,還包括有可能對(duì)系統(tǒng)管理員/其他用戶(hù)構(gòu)成危害的任何文件���,例如系統(tǒng)管理員的配置����、桌面文件等等�����,這些都是有可能用來(lái)竊取系統(tǒng)管理員資料/密碼的���。
4、 進(jìn)程監(jiān)控
進(jìn)程監(jiān)控技術(shù)是追蹤木馬后門(mén)的另一個(gè)有力武器���,90%以上的木馬和后門(mén)是以進(jìn)程的形式存在的(也有以其他形式存在的木馬,參見(jiàn)《揭開(kāi)木馬的神秘面紗三》)�����,作為系統(tǒng)管理員,了解上運(yùn)行的每個(gè)進(jìn)程是職責(zé)之一(否則不要說(shuō)安全��,連系統(tǒng)優(yōu)化都沒(méi)有辦法做)�����,做一份每臺(tái)運(yùn)行進(jìn)程的列表非常必要���,能幫助管理員一眼就發(fā)現(xiàn)入侵進(jìn)程,異常的用戶(hù)進(jìn)程或者異常的資源占用都有可能是非法進(jìn)程�����。除了進(jìn)程外,DLL也是危險(xiǎn)的東西��,例如把原本是exe類(lèi)型的木馬改寫(xiě)為dll后,使用rundll32運(yùn)行就比較具有迷惑性���。
5、 校驗(yàn)
一般來(lái)說(shuō)�,木馬或者后門(mén)都會(huì)利用來(lái)再次運(yùn)行自己����,所以���,校驗(yàn)來(lái)發(fā)現(xiàn)入侵也是常用的手法之一�。一般來(lái)說(shuō)����,如果一個(gè)入侵者只懂得使用流行的木馬��,那么由于普通木馬只能寫(xiě)入特定的幾個(gè)鍵值(比如Run、Runonce等等)���,查找起來(lái)是相對(duì)容易的�,但是對(duì)于可以自己編寫(xiě)/改寫(xiě)木馬的人來(lái)說(shuō)���,的任何地方都可以藏身,靠手工查找就沒(méi)有可能了�����。(藏身千變?nèi)f化,例如需要特別提出來(lái)的FakeGina技術(shù)��,這種利用WINNT外嵌登錄DLL(Ginadll)來(lái)獲得用戶(hù)密碼的方法最近比較流行�,一旦中招,登錄用戶(hù)的密碼就會(huì)被記錄 無(wú)遺�����,具體的預(yù)防方法我這里就不介紹了�����。)應(yīng)對(duì)的方法是監(jiān)控的任何改動(dòng),這樣改寫(xiě)的木馬就沒(méi)有辦法遁形了�����。監(jiān)控的非常多���,很多追查木馬的都帶有這樣的功能�����,一個(gè)監(jiān)控加上定期對(duì)進(jìn)行備份����,萬(wàn)一被非授權(quán)修改����,系統(tǒng)管理員也能在最短的時(shí)間內(nèi)恢復(fù)�����。
6、端口監(jiān)控
雖然說(shuō)不使用端口的木馬已經(jīng)出現(xiàn)�,但是大部分的后門(mén)和木馬還是使用TCP連接的���,監(jiān)控端口的狀況對(duì)于由于種種原因不能封鎖端口的主機(jī)來(lái)說(shuō)就是非常重要的了,我們這里不談使用NDIS網(wǎng)卡高級(jí)的IDS系統(tǒng)���,對(duì)于系統(tǒng)管理員來(lái)說(shuō)���,了解自己上開(kāi)放的端口甚至比對(duì)進(jìn)程的監(jiān)控更加重要�����,常常使用netstat查看的端口狀況是一個(gè)良好的習(xí)慣����,但是并不能24小時(shí)這樣做����,而且NT的安全日志有一個(gè)壞習(xí)慣�,喜歡記錄機(jī)器名而不是IP(不知道比爾蓋子怎么想的),如果你既沒(méi)有防火墻又沒(méi)有入侵檢測(cè),倒是可以用腳本來(lái)進(jìn)行IP日志記錄的��,看著這個(gè)命令:
etstat -n -p tcp 10>>Netstat.log,這個(gè)命令每10秒鐘自動(dòng)查看一次TCP的連接狀況�����,基于這個(gè)命令我們做一個(gè)Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log
這個(gè)腳本將會(huì)自動(dòng)記錄時(shí)間和TCP連接狀態(tài),需要注意的是:如果網(wǎng)站訪(fǎng)問(wèn)量比較大��,這樣的操作是需要消耗一定的CPU時(shí)間的,而且日志文件將越來(lái)越大���,所以請(qǐng)慎之又慎�����。(要是做個(gè)腳本就完美無(wú)缺,誰(shuí)去買(mǎi)防火墻�����?:)
一旦發(fā)現(xiàn)異常的端口,可以使用特殊的程序來(lái)關(guān)聯(lián)端口���、可執(zhí)行文件和進(jìn)程(如inzider就有這樣的功能���,它可以發(fā)現(xiàn)監(jiān)聽(tīng)的端口并找出與該端口關(guān)聯(lián)的文件���,inzider可以http://www.nttoolbox.com下載到),這樣無(wú)論是使用TCP還是UDP的木馬都無(wú)處藏身����。
7、終端服務(wù)的日志監(jiān)控
單獨(dú)將終端服務(wù)(Terminal Service)的日志監(jiān)控分列出來(lái)是有原因的����,微軟Win2000版中自帶的終端服務(wù)Terminal Service是一個(gè)基于遠(yuǎn)程桌面協(xié)議(RDP)的工具����,它的速度非?����??����,也很穩(wěn)定����,可以成為一個(gè)很好的遠(yuǎn)程管理���,但是因?yàn)檫@個(gè)功能強(qiáng)大而且只受到密碼的保護(hù)�����,所以也非常的危險(xiǎn)�,一旦入侵者擁有了管理員密碼�����,就能夠象本機(jī)一樣操作遠(yuǎn)程(不需要高深的NT命令行技巧�,不需要編寫(xiě)特殊的腳本和程序,只要會(huì)用鼠標(biāo)就能進(jìn)行一切系統(tǒng)管理操作�����,實(shí)在是太方便、也實(shí)在是太可怕了)���。雖然很多人都在使用終端服務(wù)來(lái)進(jìn)行遠(yuǎn)程管理,但是����,并不是人人都知道如何對(duì)終端服務(wù)進(jìn)行審核,大多數(shù)的終端上并沒(méi)有打開(kāi)終端登錄的日志���,其實(shí)打開(kāi)日志審核是很容易的,在管理工具中打開(kāi)遠(yuǎn)程控制服務(wù)配置(Terminal Service Configration)�����,點(diǎn)擊"連接",右擊你想配置的RDP服務(wù)(比如 RDP-TCP(Microsoft RDP 5.0),選中書(shū)簽"權(quán)限",點(diǎn)擊左下角的"高級(jí)"�����,看見(jiàn)上面那個(gè)"審核"了么���?我們來(lái)加入一個(gè)Everyone組�����,這代表所有的用戶(hù)���,然后審核他的"連接"、"斷開(kāi)"���、"注銷(xiāo)"的成功和"登錄"的成功和失敗就足夠了��,審核太多了反而不好�����,這個(gè)審核是記錄在安全日志中的���,可以從"管理工具"->"日志查看器"中查看?�,F(xiàn)在什么人什么時(shí)候登錄我都一清二楚了����,可是美中不足的是:這個(gè)破爛玩藝居然不記錄客戶(hù)端的IP(只能查看在線(xiàn)用戶(hù)的IP),而是華而不實(shí)的記錄什么機(jī)器名��,倒�!要是別人起個(gè)PIG的機(jī)器名你只好受他的嘲弄了���,不知道微軟是怎么想的����,看來(lái)還是不能完全依賴(lài)微軟呀�����,我們自己來(lái)吧?寫(xiě)個(gè)程序��,一切搞定����,你會(huì)C么����?不會(huì)��?VB呢���?也不會(huì)���?Delphi�����?……什么��?你什么語(yǔ)言都不會(huì)����?我倒��,畢竟系統(tǒng)管理員不是程序員呀��,別急別急,我給你想辦法��,我們來(lái)建立一個(gè)bat文件,叫做TSLog.bat����,這個(gè)文件用來(lái)記錄登錄者的IP,內(nèi)容如下:
time /t >>TSLog.log
etstat -n -p tcp | find ":3389">>TSLog.log
tart Explorer
我來(lái)解釋一下這個(gè)文件的含義:
第一行是記錄用戶(hù)登錄的時(shí)間,time /t的意思是直接返回系統(tǒng)時(shí)間(如果不加/t���,系統(tǒng)會(huì)等待你輸入新的時(shí)間) ����,然后我們用追加符號(hào)">>"把這個(gè)時(shí)間記入TSLog.log作為日志的時(shí)間字段���;
第二行是記錄用戶(hù)的IP地址�����,netstat是用來(lái)顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令����,-n表示顯示IP和端口而不是域名、協(xié)議���,-ptcp是只顯示tcp協(xié)議���,然后我們用管道符號(hào)"|"把這個(gè)命令的結(jié)果輸出給find命令,從輸出結(jié)果中查找包含":3389"的行(這就是我們要的客戶(hù)的IP所在的行����,如果你更改了終端服務(wù)的端口,這個(gè)數(shù)值也要作相應(yīng)的更改)�,最后我們同樣把這個(gè)結(jié)果重定向到日志文件TSLog.log中去�����,于是在SLog.log文件中�,記錄格式如下:
22:40
TCP192.168.12.28:3389192.168.10.123:4903 ESTABLISHED
22:54
TCP192.168.12.28:3389 192.168.12.29:1039 ESTABLISHED
也就是說(shuō)只要這個(gè)TSLog.bat文件一運(yùn)行,所有連在3389端口上的IP都會(huì)被記錄���,那么如何讓這個(gè)批處理文件自動(dòng)運(yùn)行呢�����?我們知道�,終端服務(wù)允許我們?yōu)橛脩?hù)自定義起始的程序,在終端服務(wù)配置中�,我們覆蓋用戶(hù)的登錄腳本設(shè)置并指定TSLog.bat為用戶(hù)登錄時(shí)需要打開(kāi)的腳本,這樣每個(gè)用戶(hù)登錄后都必須執(zhí)行這個(gè)腳本��,因?yàn)槟J(rèn)的腳本(相當(dāng)于shell環(huán)境)是Explorer(資源管理器)���,所以我在TSLog.bat的最后一行加上了啟動(dòng)Explorer的命令startExplorer��,如果不加這一行命令�����,用戶(hù)是沒(méi)有辦法進(jìn)入桌面的�!當(dāng)然�,如果你只需要給用戶(hù)特定的Shell:
例如cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個(gè)腳本也可以有其他的寫(xiě)法�����,作為系統(tǒng)管理員���,你完全可以自由發(fā)揮你的想象力��、自由利用自己的資源�,例如寫(xiě)一個(gè)腳本把每個(gè)登錄用戶(hù)的IP發(fā)送到自己的信箱對(duì)于重要的也是一個(gè)很好的方法。正常情況下一般的用戶(hù)沒(méi)有查看終端服務(wù)設(shè)置的權(quán)限�,所以他不會(huì)知道你對(duì)登錄進(jìn)行了IP審核,只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了�����,不過(guò)需要注意的是這只是一個(gè)簡(jiǎn)單的終端服務(wù)日志策略�����,并沒(méi)有太多的安全保障措施和權(quán)限機(jī)制�����,如果有更高的安全要求�����,那還是需要通過(guò)或購(gòu)買(mǎi)入侵監(jiān)測(cè)來(lái)完成的��。
8���、陷阱技術(shù)
早期的陷阱技術(shù)只是一個(gè)偽裝的端口服務(wù)用來(lái)監(jiān)測(cè)掃描�,隨著矛和盾的不斷升級(jí)����,現(xiàn)在的陷阱服務(wù)或者陷阱主機(jī)已經(jīng)越來(lái)越完善,越來(lái)越象真正的服務(wù)�����,不僅能截獲半開(kāi)式掃描�,還能偽裝服務(wù)的回應(yīng)并記錄入侵者的行為,從而幫助判斷入侵者的身份�����。
我本人對(duì)于陷阱技術(shù)并不是非常感興趣����,一來(lái)從技術(shù)人員角度來(lái)說(shuō),低調(diào)行事更符合安全的原則��;二來(lái)陷阱主機(jī)反而成為入侵者跳板的情況并不僅僅出現(xiàn)在小說(shuō)中���,在現(xiàn)實(shí)生活中也屢見(jiàn)不鮮����,如果架設(shè)了陷阱反而被用來(lái)入侵,那真是偷雞不成了����。
記得CoolFire說(shuō)過(guò)一句話(huà),可以用來(lái)作為對(duì)陷阱技術(shù)介紹的一個(gè)結(jié)束:在不了解情況時(shí)�,不要隨便進(jìn)入別人的系統(tǒng),因?yàn)槟阌肋h(yuǎn)不能事先知道系統(tǒng)管理員是真的白癡或者偽裝成白癡的天才......
入侵監(jiān)測(cè)的初步介紹就到這里����,在實(shí)際運(yùn)用中,系統(tǒng)管理員對(duì)基礎(chǔ)知識(shí)掌握的情況直接關(guān)系到他的安全敏感度���,只有身經(jīng)百戰(zhàn)而又知識(shí)豐富�����、仔細(xì)小心的系統(tǒng)管理員才能從一點(diǎn)點(diǎn)的蛛絲馬跡中發(fā)現(xiàn)入侵者的影子����,未雨綢繆�����,扼殺入侵的行動(dòng)����。
- 作者:互聯(lián)網(wǎng) 來(lái)源:本站整理 發(fā)布時(shí)間:2005-11-20 21:45:39
------------------------------- · 相關(guān)文檔瀏覽 · --------------------------------------------------------------------- · 熱門(mén)文檔瀏覽 · -------------------------------------
