win2003服务器管理器前兆检测

对于Windows 2003服务器来讲，一个很大的威胁也来自系统账号密码的猜解，由于若是配置不佳的服务器容许进行空会话的创建，这样， 者可以进行远程的账号枚举等，而后根据枚举获得的账号进行密码的猜想。即便服务器拒绝进行空会话的创建， 者一样可以进行系统账号的猜想，由于基本上不少服务器的系统管理员都使用administrator、admin、root等这样的账号名。那些***工具，好比“流光”等，就能够进行这样的密码猜想，经过经常使用密码或者进行密码穷举来破解系统账号的密码。
要检测经过系统账号密码猜解的 ，须要设置服务器安全策略，在审核策略中进行记录，须要审核记录的基本事件包括：审核登陆事件、审核账户登陆事件、账户管理事件。审核这些事件的“成功、失败”，而后咱们能够从事件查看器中的安全日志查看这些审核记录。、
iis7远程桌面管理，iis7远程桌面链接工具，又叫作iis7远程桌面管理软件，是一款绿色小巧，功能实用的远程桌面管理工具，其界面简洁，操做便捷，可以同时远程操做多台服务器，而且多台服务器间能够自由切换，适用于网站管理人员使用。
好比：若是咱们在安全日志中发现了不少失败审核，就说明有人正在进行系统账号的猜解。咱们查看其中一条的详细内容，能够看到：
登陆失败：
缘由：用户名未知或密码错误
用户名：administrator
域：ALARM
登陆类型：3
登陆过程：NtLmSsp
身份验证程序包：MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工做站名：REFDOM
进行密码猜解的者打算猜想系统账号administrator的密码， 者的来源就是工做站名：REFDOM，这里记录是 者的计算机名而不是他的IP地址。
当咱们发现有人打算进行密码猜解的时候，就须要对相应的配置和策略进行修改。好比：对IP地址进行限制、修改被猜解密码的账号的账号名、增强账号密码的长度等等来应对这样的 。
4、终端服务 的前兆检测
Windows2003 提供终端控制服务(Telminal Service)，它是一个基于远程桌面协议(RDP)的工具，方便管理员进行远程控制，是一个很是好的远程控制工具。终端服务使用的界面化控制让管理员使用起来很是轻松并且方便，速度也很是快，这同样也让 者同样方便。并且之前终端服务存在输入法漏洞，能够绕过安全检查得到系统权限。对于打开终端服务的服务器来讲，不少 者喜欢远程链接，看看服务器的样子(即便他们根本没有账号)。
对终端服务进行的 通常在系统账号的猜解以后， 者利用猜解获得的账号进行远程终端链接和登陆。
在管理工具中打开远程控制服务配置，点击"链接"，右击你想配置的RDP服务(好比 RDP-TCP(Microsoft RDP 5.0)，选中书签"权限"，点击"高级"，加入一个Everyone组，表明全部的用户，而后审核他的"链接"、"断开"、"注销"的成功和"登陆"的成功和失败，这个审核是记录在安全日志中的，能够从"管理工具"->"日志查看器"中查看。可是这个日志就象前面的系统密码猜解那样，记录的是客户端机器名而不是客户端的IP地址。咱们能够作一个简单的批处理bat文件(文件名为TerminalLog.bat)，用它来记录客户端的IP，文件内容是：
time /t >>Terminal.log
netstat -n -p tcp | find ":3389">>Terminal.log
start Explorer
端服务使用的端口是TCP 3389，文件第一行是记录用户登陆的时间，并把这个时间记入文件Terminal.log中做为日志的时间字段;第二行是记录用户的IP地址，使用netstat来显示当前网络链接情况的命令，并把含有3389端口的记录到日志文件中去。这样就可以记录下对方创建3389链接的IP地址了。
要设置这个程序运行，能够在终端服务配置中，登陆脚本设置指定TerminalLOG.bat做为用户登陆时须要打开的脚本，这样每一个用户登陆后都必须执行这个脚本，由于默认的脚本是Explorer(资源管理器)，因此在Terminal.bat的最后一行加上了启动Explorer的命令start Explorer，若是不加这一行命令，用户是没有办法进入桌面的。固然，能够把这个脚本写得更增强大，可是请把日志记录文件放置到安全的目录中去。
经过Terminal.log文件记录的内容，配合安全日志，咱们就可以发现经过终端服务的 事件或者前兆了。
对于Windows2003服务器来讲，上面四种 是最多见的，也占 Windows2003事件的绝大多数。从上面的分析，咱们可以及时地发现这些 的前兆，根据这些前兆发现 者的 出发点，而后采起相应的安全措施，以杜绝 者 。
咱们也能够从上面分析认识到，服务器的安全配置中各类日志记录和事件审核的重要性。这些日志文件在被 后是 者的重要目标，他们会删除和修改记录，以便抹掉他们的 足迹。所以，对于各类日志文件，咱们更应该好好隐藏并设置权限等保护起来。同时，仅仅记录日志而不常常性地查看和分析，那么全部的工做就等于白作了。
在安全维护中，系统管理员应该保持警戒，并熟悉***使用的 手段，作好 前兆的检测和分析，这样才能未雨绸缪，阻止 事件的发生。