win2003服务器管理器前兆检测

对于Windows 2003服务器来说,一个很大的威胁也来自系统帐号密码的猜解,因为如果配置不佳的服务器允许进行空会话的建立,这样, 者能够进行远程的帐号枚举等,然后根据枚举得到的帐号进行密码的猜测。即使服务器拒绝进行空会话的建立, 者同样能够进行系统帐号的猜测,因为基本上很多服务器的系统管理员都使用administrator、admin、root等这样的帐号名。那些***工具,比如“流光”等,就可以进行这样的密码猜测,通过常用密码或者进行密码穷举来破解系统帐号的密码。
要检测通过系统帐号密码猜解的 ,需要设置服务器安全策略,在审核策略中进行记录,需要审核记录的基本事件包括:审核登录事件、审核帐户登录事件、帐户管理事件。审核这些事件的“成功、失败”,然后我们可以从事件查看器中的安全日志查看这些审核记录。、
iis7远程桌面管理,iis7远程桌面连接工具,又叫做iis7远程桌面管理软件,是一款绿色小巧,功能实用的远程桌面管理工具,其界面简洁,操作便捷,能够同时远程操作多台服务器,并且多台服务器间可以自由切换,适用于网站管理人员使用。
比如:如果我们在安全日志中发现了很多失败审核,就说明有人正在进行系统帐号的猜解。我们查看其中一条的详细内容,可以看到:
登录失败:
原因:用户名未知或密码错误
用户名:administrator
域:ALARM
登录类型:3
登录过程:NtLmSsp
身份验证程序包:MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名:REFDOM
进行密码猜解的者打算猜测系统帐号administrator的密码, 者的来源就是工作站名:REFDOM,这里记录是 者的计算机名而不是他的IP地址。
当我们发现有人打算进行密码猜解的时候,就需要对相应的配置和策略进行修改。比如:对IP地址进行限制、修改被猜解密码的帐号的帐号名、加强帐号密码的长度等等来应对这样的 。
四、终端服务 的前兆检测
Windows2003 提供终端控制服务(Telminal Service),它是一个基于远程桌面协议(RDP)的工具,方便管理员进行远程控制,是一个非常好的远程控制工具。终端服务使用的界面化控制让管理员使用起来非常轻松而且方便,速度也非常快,这一样也让 者一样方便。而且以前终端服务存在输入法漏洞,可以绕过安全检查获得系统权限。对于打开终端服务的服务器来说,很多 者喜欢远程连接,看看服务器的样子(即使他们根本没有帐号)。
对终端服务进行的 一般在系统帐号的猜解之后, 者利用猜解得到的帐号进行远程终端连接和登录。
在管理工具中打开远程控制服务配置,点击"连接",右击你想配置的RDP服务(比如 RDP-TCP(Microsoft RDP 5.0),选中书签"权限",点击"高级",加入一个Everyone组,代表所有的用户,然后审核他的"连接"、"断开"、"注销"的成功和"登录"的成功和失败,这个审核是记录在安全日志中的,可以从"管理工具"->"日志查看器"中查看。但是这个日志就象前面的系统密码猜解那样,记录的是客户端机器名而不是客户端的IP地址。我们可以做一个简单的批处理bat文件(文件名为TerminalLog.bat),用它来记录客户端的IP,文件内容是:
time /t >>Terminal.log
netstat -n -p tcp | find ":3389">>Terminal.log
start Explorer
端服务使用的端口是TCP 3389,文件第一行是记录用户登录的时间,并把这个时间记入文件Terminal.log中作为日志的时间字段;第二行是记录用户的IP地址,使用netstat来显示当前网络连接状况的命令,并把含有3389端口的记录到日志文件中去。这样就能够记录下对方建立3389连接的IP地址了。
要设置这个程序运行,可以在终端服务配置中,登录脚本设置指定TerminalLOG.bat作为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本是Explorer(资源管理器),所以在Terminal.bat的最后一行加上了启动Explorer的命令start Explorer,如果不加这一行命令,用户是没有办法进入桌面的。当然,可以把这个脚本写得更加强大,但是请把日志记录文件放置到安全的目录中去。
通过Terminal.log文件记录的内容,配合安全日志,我们就能够发现通过终端服务的 事件或者前兆了。
对于Windows2003服务器来说,上面四种 是最常见的,也占 Windows2003事件的绝大多数。从上面的分析,我们能够及时地发现这些 的前兆,根据这些前兆发现 者的 出发点,然后采取相应的安全措施,以杜绝 者 。
我们也可以从上面分析认识到,服务器的安全配置中各种日志记录和事件审核的重要性。这些日志文件在被 后是 者的重要目标,他们会删除和修改记录,以便抹掉他们的 足迹。因此,对于各种日志文件,我们更应该好好隐藏并设置权限等保护起来。同时,仅仅记录日志而不经常性地查看和分析,那么所有的工作就等于白做了。
在安全维护中,系统管理员应该保持警惕,并熟悉***使用的 手段,做好 前兆的检测和分析,这样才能未雨绸缪,阻止 事件的发生。

原文地址:https://blog.51cto.com/14479189/2442273

时间: 2024-10-08 01:34:47

win2003服务器管理器前兆检测的相关文章

[转]给Linux系统管理员准备的Nmap命令的29个实用范例+ tsysv 系统服务器管理器

原文链接:http://os.51cto.com/art/201401/428152.htm Nmap即网络映射器对Linux系统/网络管理员来说是一个开源且非常通用的工具.Nmap用于在远程机器上探测网络,执行安全扫描,网络审计和搜寻开放端口.它会扫描远程在线主机,该主机的操作系统,包过滤器和开放的端口. 关闭或者打开主机端口1.nmap localhost #查看主机当前开放端口2.ntsysv #打开系统服务器管理器(需要先安装yum install ntsysv),选择要关闭或者打开的服

Windows Server 2012 R2 服务器管理器介绍和配置使用

1. 服务管理器是用于管理系统服务的管理工具.一般常用于windows系统,使用这个工具你可以启动.停止服务:设置服务是自动.手动启动或禁用:查看某个服务的相关信息:设置服务以什么用户启动等等(一般包括了超级管理员用户.管理员用户和游客用户):设置用户注销,软件等 2. 服务器管理器配置: http://www.jb51.net/os/windows/63454.html http://bbs.51cto.com/thread-953444-1-1.html Windows防火墙:控制面板-->

win 2012R2 服务器管理器: 在可管理性-联机-数据检索失败

几天前升级 windows server 2008 R2 到 windows server 2012 R2, 在服务器管理器中收到报警:服务器管理器: 在可管理性-联机-数据检索失败.仪表板中角色和服务组,全部红色.通过提示查看日志Microsoft-Windows-ServerManager-MgmtProvider/Operational.日志消息:无法查询 bpa xpath (Microsoft/Windows/DHCPServer:$reports$*\Result.xml:/Resu

ntsysv --打开系统服务器管理器(需要先安装yum install ntsysv),选择要关闭或者打开的服务,centos中查看系统服务。

ntsysv            #打开系统服务器管理器(需要先安装yum install ntsysv),选择要关闭或者打开的服务. 1. 2. 原文地址:https://www.cnblogs.com/yong-heng/p/10493674.html

批量windows3389服务器管理器有哪些,哪款最值得推荐

一.IIS7远程桌面地址:IIS7远程桌面批量管理IIS7远程桌面管理工具(3389.vps.服务器批量管理.批量远程工具)简介:1.批量管理WIN系列服务器,VPS,电脑.2.批量导入服务器的IP,端口,账号和密码3.批量打开N个服务器的远程桌面4.远程桌面后,远程窗口右上角会出现 服务器备注的信息,如郑州xxx号服务器5.远程桌面后,不影响任务栏显示.可以及时看其他窗口.6.自定义远程桌面窗口分辨率7.定时监测服务器是否正常8.服务器到期提醒9.可选择是否加载本地硬盘.硬盘映射10.可选择是

2008服务器管理器认证Simpana 8

美国慷孚系统公司(CommVault)日前宣布,CommVault的一体化数据管理平台Simpana 8已顺利通过微软Windows Server 2008 R2认证,并全面支持Windows 7,确保了Simpana能与微软最新版本的服务器和台式机操作系统无缝地协同运行.CommVault承诺,将继续通过充分的自动化和最优化方式,帮助客户进一步降低数据管理成本,提升IT服务水准,并提高运营效率和个人生产力.这就需要我们在iis7远程桌面管理工具下完成,iis7远程桌面连接工具,又叫做iis7远

在windows sever2012安装web服务器时出现“无法打开运行空间池。服务器管理器 WinRM 插件可能已损坏或丢失”

解决方法 方法一:如果是没有打开WinRM服务 第一步:在服务器中选择"工具"--"服务" 第二步:找到Windows Remote Mangement服务,如果没打开,选择开启. 方法二:如果上面的服务打开了还是不行. 第一步:在服务器中打开"我的电脑"--"属性" 第二步:选择"高级系统设置" 第三步:选择"高级选项"--"性能"--"设置"

windows10服务器管理器不能启动怎么解决

服务器系统(Win10/ Win2000/2016)不能启动的几个解决方法如下!!! 最好在iis7远程桌面下完成,以免本地的文件被破坏. ◆当系统启动显示操作系统列表时, 按F8 出现高级启动选项: a. Safe mode: 只加载基本的服务和驱动. 用于解决安装了额外的硬件驱动或软件后,导致系统不能正常启动的情况.选择Safe mode,若能进入操作系统,卸载额外的驱动或软件. b.Last known good: 启动上一次的成功配置. 用于解决对系统的驱动,及服务进行了错误的配置后导致

win10的iis7服务器监控管理器在哪里开启

WIN10系统电脑怎么开启iis7服务器监控管理器的方法 1.点击开始菜单,选择"windows 系统"--"控制面板": 2.打开控制面板后在右侧将 查看方式修改为"大图标",然后在下面找到点击[程序和功能]: 3.在卸载界面点击左上角的[启用或关闭 Windows 功能]选项: 4.进去打开或关闭windows功能之后,可以看到Internet信息服务(internet information Services)默认是没有勾选的. Inter