2003服务器安全的策略 三.docVIP

2003服务器安全策略 三 2003服务器安全策略(三)2010-09-16 13：19日常的安全检测 日常安全检测主要针对系统的安全性，工作主要按照以下步骤进行： 1. 打开进程管理器，查看服务器性能，观察CPU和内存使用状况。查看是否有CPU和内存占用过高等异常情况。 2.检查当前进程情况 切换任务管理器到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理器查看进程时里面会有一项taskmgr，这个是进程管理器自身的进程。如果正在运行windows更新会有一项wuauclt.exe进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序开启的进程，可以在网络上搜索一下该进程名加以确定进程知识库：通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如svch0st.exe，此时要仔细辨别通常迷惑手段是变字母o为数字0，变字母l为数字1] 3.检查系统帐号 打开计算机管理，展开本地用户和组选项，查看组选项，查看administrators组是否添加有新帐号，检查是否有克隆帐号。 4.查看当前端口开放情况 使用activeport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看是否有未经允许的端口与外界在通信。如有，立即关闭该端口并记录下该端口对应的程序并记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》正在运行任务在此处可以查看进程管理器中看不到的隐藏进程，查看当前运行的程序，如果有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的后门等程序可尝试结束进程树，如仍然无法结束，在注册表中搜索该程序名，删除掉相关键值，切换到安全模式下删除掉相关的程序文件。 5.检查系统服务 运行services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么，如果确定该文件是系统内的正常使用的文件，可粗略放过。查看是否有其他正常开放服务依存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件并且没有其他正常开放服务依存在该服务上，可暂时停止掉该服务，然后测试下各种应用是否正常。对于一些后门由于采用了hook系统API技术，添加的服务项目在服务管理器中是无法看到的，这时需要打开注册表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices项进行查找，通过查看各服务的名称、对应的执行文件来确定是否是后门、木马程序等。 6. 运行eventvwr.msc，粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点右键选属性，在筛选器中设置一个日志筛选器，只选择错误、警告，查看日志的来源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办法处理该问题，如果无解决办法则记录下该问题，详细记录下事件来源、ID号和具体描述信息，以便找到问题解决的办法。 7.检查系统文件 主要检查系统盘的exe和dll文件，建议系统安装完毕之后用dir*.exe/s 1.txt将C盘所有的exe文件列表保存下来，然后每次检查的时候再用该命令生成一份当时的列表，用fc比较两个文件，同样如此针对dll文件做相关检查。需要注意的是打补丁或者安装软件后重新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。 8.检查安全策略是否更改 打开本地连接的属性，查看常规中是否只勾选了TCP/IP协议，打开TCP/IP协议设置，点高级==》选项，查看IP安全机制是否是设定的IP策略，查看TCP/IP筛选允许的端口有没有被更改。打开管理工具=》本地安全策略，查看目前使用的IP安全策略是否发生更改。 9.检查目录权限 重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有c：；c：winnt； C：winntsystem32；c：winntsystem32inetsrv；c：winntsystem32inetsrvdata；c：documents and Settings；然后再检查serv-u安装目录，查看这些目录的权限是否做过变动。检查system32下的一些重要文件是否更改过权限，包括：cmd，net，ftp，tftp，cacls等文件。 10.检查启动项 主要检查当前的开机自启动程序。可以使用AReporter来检查开机自启动的程序。 发现入侵时的应对措施 对于即时发现的入侵事件，以下情况针对系统已遭受到破坏情况下的处理，系统未遭受到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统遭受到破坏后应