Windows 2000服务器入侵前兆检测方法技巧

• 关 键 词：
• windows 2000
• windows2000
• microsoft
• internet
• explorer

　　终端服务使用的端口是TCP 3389，文件第一行是记录用户登录的时间，并把这个时间记入文件Terminal.log中作为日志的时间字段；第二行是记录用户的IP地址，使用netstat来显示当前网络连接状况的命令，并把含有3389端口的记录到日志文件中去。这样就能够记录下对方建立3389连接的IP地址了。

　　要设置这个程序运行，可以在终端服务配置中，登录脚本设置指定TerminalLOG.bat作为用户登录时需要打开的脚本，这样每个用户登录后都必须执行这个脚本，因为默认的脚本是Explorer（资源管理器），所以在Terminal.bat的最后一行加上了启动Explorer的命令start Explorer，如果不加这一行命令，用户是没有办法进入桌面的。当然，可以把这个脚本写得更加强大，但是请把日志记录文件放置到安全的目录中去。

　　通过Terminal.log文件记录的内容，配合安全日志，我们就能够发现通过终端服务的入侵事件或者前兆了。

　　对于Windows2000服务器来说，上面四种入侵是最常见的，也占入侵Windows2000事件的绝大多数。从上面的分析，我们能够及时地发现这些入侵的前兆，根据这些前兆发现攻击者的攻击出发点，然后采取相应的安全措施，以杜绝攻击者入侵。

　　我们也可以从上面分析认识到，服务器的安全配置中各种日志记录和事件审核的重要性。这些日志文件在被入侵后是攻击者的重要目标，他们会删除和修改记录，以便抹掉他们的入侵足迹。因此，对于各种日志文件，我们更应该好好隐藏并设置权限等保护起来。同时，仅仅记录日志而不经常性地查看和分析，那么所有的工作就等于白做了。

　　在安全维护中，系统管理员应该保持警惕，并熟悉黑客使用的入侵手段，做好入侵前兆的检测和分析，这样才能未雨绸缪，阻止入侵事件的发生。

【深 度 阅 读】 相 关 文 章

• 下载Flash播放插件
• 如何重装xp系统图解
• 如何利用路由器设置局域网
• 巧妙清除Windows 2000/XP登录密码