win2003服務器管理器前兆檢測

對於Windows 2003服務器來說，一個很大的威脅也來自系統帳號密碼的猜解，因爲如果配置不佳的服務器允許進行空會話的建立，這樣， 者能夠進行遠程的帳號枚舉等，然後根據枚舉得到的帳號進行密碼的猜測。即使服務器拒絕進行空會話的建立， 者同樣能夠進行系統帳號的猜測，因爲基本上很多服務器的系統管理員都使用administrator、admin、root等這樣的帳號名。那些***工具，比如“流光”等，就可以進行這樣的密碼猜測，通過常用密碼或者進行密碼窮舉來破解系統帳號的密碼。
要檢測通過系統帳號密碼猜解的 ，需要設置服務器安全策略，在審覈策略中進行記錄，需要審覈記錄的基本事件包括：審覈登錄事件、審覈帳戶登錄事件、帳戶管理事件。審覈這些事件的“成功、失敗”，然後我們可以從事件查看器中的安全日誌查看這些審覈記錄。、
iis7遠程桌面管理，iis7遠程桌面連接工具，又叫做iis7遠程桌面管理軟件，是一款綠色小巧，功能實用的遠程桌面管理工具，其界面簡潔，操作便捷，能夠同時遠程操作多臺服務器，並且多臺服務器間可以自由切換，適用於網站管理人員使用。
比如：如果我們在安全日誌中發現了很多失敗審覈，就說明有人正在進行系統帳號的猜解。我們查看其中一條的詳細內容，可以看到：
登錄失敗：
原因：用戶名未知或密碼錯誤
用戶名：administrator
域：ALARM
登錄類型：3
登錄過程：NtLmSsp
身份驗證程序包：MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
工作站名：REFDOM
進行密碼猜解的者打算猜測系統帳號administrator的密碼， 者的來源就是工作站名：REFDOM，這裏記錄是 者的計算機名而不是他的IP地址。
當我們發現有人打算進行密碼猜解的時候，就需要對相應的配置和策略進行修改。比如：對IP地址進行限制、修改被猜解密碼的帳號的帳號名、加強帳號密碼的長度等等來應對這樣的 。
四、終端服務 的前兆檢測
Windows2003 提供終端控制服務(Telminal Service)，它是一個基於遠程桌面協議(RDP)的工具，方便管理員進行遠程控制，是一個非常好的遠程控制工具。終端服務使用的界面化控制讓管理員使用起來非常輕鬆而且方便，速度也非常快，這一樣也讓 者一樣方便。而且以前終端服務存在輸入法漏洞，可以繞過安全檢查獲得系統權限。對於打開終端服務的服務器來說，很多 者喜歡遠程連接，看看服務器的樣子(即使他們根本沒有帳號)。
對終端服務進行的 一般在系統帳號的猜解之後， 者利用猜解得到的帳號進行遠程終端連接和登錄。
在管理工具中打開遠程控制服務配置，點擊"連接"，右擊你想配置的RDP服務(比如 RDP-TCP(Microsoft RDP 5.0)，選中書籤"權限"，點擊"高級"，加入一個Everyone組，代表所有的用戶，然後審覈他的"連接"、"斷開"、"註銷"的成功和"登錄"的成功和失敗，這個審覈是記錄在安全日誌中的，可以從"管理工具"->"日誌查看器"中查看。但是這個日誌就象前面的系統密碼猜解那樣，記錄的是客戶端機器名而不是客戶端的IP地址。我們可以做一個簡單的批處理bat文件(文件名爲TerminalLog.bat)，用它來記錄客戶端的IP，文件內容是：
time /t >>Terminal.log
netstat -n -p tcp | find ":3389">>Terminal.log
start Explorer
端服務使用的端口是TCP 3389，文件第一行是記錄用戶登錄的時間，並把這個時間記入文件Terminal.log中作爲日誌的時間字段;第二行是記錄用戶的IP地址，使用netstat來顯示當前網絡連接狀況的命令，並把含有3389端口的記錄到日誌文件中去。這樣就能夠記錄下對方建立3389連接的IP地址了。
要設置這個程序運行，可以在終端服務配置中，登錄腳本設置指定TerminalLOG.bat作爲用戶登錄時需要打開的腳本，這樣每個用戶登錄後都必須執行這個腳本，因爲默認的腳本是Explorer(資源管理器)，所以在Terminal.bat的最後一行加上了啓動Explorer的命令start Explorer，如果不加這一行命令，用戶是沒有辦法進入桌面的。當然，可以把這個腳本寫得更加強大，但是請把日誌記錄文件放置到安全的目錄中去。
通過Terminal.log文件記錄的內容，配合安全日誌，我們就能夠發現通過終端服務的 事件或者前兆了。
對於Windows2003服務器來說，上面四種 是最常見的，也佔 Windows2003事件的絕大多數。從上面的分析，我們能夠及時地發現這些 的前兆，根據這些前兆發現 者的 出發點，然後採取相應的安全措施，以杜絕 者 。
我們也可以從上面分析認識到，服務器的安全配置中各種日誌記錄和事件審覈的重要性。這些日誌文件在被 後是 者的重要目標，他們會刪除和修改記錄，以便抹掉他們的 足跡。因此，對於各種日誌文件，我們更應該好好隱藏並設置權限等保護起來。同時，僅僅記錄日誌而不經常性地查看和分析，那麼所有的工作就等於白做了。
在安全維護中，系統管理員應該保持警惕，並熟悉***使用的 手段，做好 前兆的檢測和分析，這樣才能未雨綢繆，阻止 事件的發生。