无论在Internet还是Intranet环境下,网络会时时刻刻遭遇各式各样的安全威胁;为了能够“知己知彼,百战不殆”,我们必须想办法充分对系统自身的网络安全状态进行明察秋毫,才能有的放矢地化解安全威胁。监控网络安全状态的变化,有多种方法可供选用,不过很多方法都需要借助专业工具的帮忙才能完成;其实,重要主机系统自身就具有这方面的本领,我们只要自力更生、对其进行深入挖掘,完全也可以对系统的网络安全变化进行明察秋毫。
1、监控网络服务变化
一旦中的重要主机被网络攻击,那么对应系统中的网络服务状态可能会发生明显的变化。为此,我们可以通过及时监控重要主机系统中的网络服务状态变化情况,来判断目标主机是否遭遇了网络病毒或程序的袭击。那如何才能知道目标主机系统中新启动了哪些网络服务,又关闭了哪些网络服务呢?其实很简单,我们可以利用Windows系统自带的net start命令,来快速监测出网络服务的状态变化情况,下面就是具体的监测步骤:
首先在重要主机运行状态正常的情况下,依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入“cmd”字符串命令,单击回车键后,将系统状态切换到DOS命令行状态;
其次在DOS命令行状态下输入字符串命令“net start > e:\normal.txt”,单击回车键后,目标主机系统就会自动将正常状态下的网络服务启用状态信息输出保存到“e:\normal.txt”文件中了,我们可以将该文件作为目标主机系统网络服务正常状态的参照;
日后,当我们感觉目标主机系统突然运行缓慢或出现其他明显异常现象时,可以再次执行字符串命令“net start > e:\ignor.txt”,将目标主机系统状态不正常时的网络服务状态信息输出保存到“e:\ignor.txt”文件中;
之后,在DOS命令行状态下执行“fc e:\normal.txt e:\ignor.txt”字符串命令,来比较目标主机系统发生明显异常后的网络服务状态信息,看看究竟有哪些新的网络服务被启动成功了,这些新启动的网络服务很可能就是网络病毒的进程服务或木马服务,此时我们应该采用手工方法强行将新的网络服务关闭掉,再借助专业的来对重要主机系统进行病毒查杀操作,直到恢复重要主机系统的工作状态为止。
2、监控共享状态变化
一些木马或恶意攻击程序为了达到攻击目的,往往会偷偷在重要主机系统中创建隐藏共享文件夹,并通过该隐藏共享文件夹来偷窥对应系统中的隐私信息。为了避免重要主机系统中的隐私信息被他人偷窥,我们必须想办法对本地系统中的共享文件夹状态变化情况进行监控,一旦发现有陌生的共享文件夹被偷偷创建时,必须及时将它删除;那么如何对重要主机系统中的共享文件夹状态变化情况进行监控呢?我们可以利用Windows系统内置的net share命令来实现这一监控目的,下面就是该方法的具体实现步骤:
首先打开目标重要主机系统的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行框中执行“cmd”命令,将系统切换到DOS命令行工作状态;
其次在该工作状态的命令行提示符下,执行“net share > e:\old.txt”字符串命令,Windows系统会将当前状态下的所有共享文件夹状态信息自动输出到“e:\old.txt”文件中,此时进入对应系统的“我的电脑”窗口中,打开“e:\old.txt”文件时,我们就能清楚地看到目标主机系统中的所有共享状态信息了。
日后定期在目标主机系统中执行一次“net share > e:\new.txt”字符串命令,将最新的共享文件夹状态信息输出保存到“e:\new.txt”文件中;为了判断出共享状态信息是否发生变化,我们继续执行“fc e:\old.txt e:\new.txt”字符串命令,该命令执行的结果会准确告诉我们目标主机系统中的共享文件夹究竟发生了哪些变化,例如新创建的共享文件夹有哪些,被取消的共享文件夹有哪些等等。
当然,如果想对共享状态的变化情况进行自动监控时,我们可以打开记事本程序,在文本编辑窗口中输入下面的命令行代码:
@echo off
net share > e:\new.txt
fc e:\old.txt e:\new.txt
3、监控登录状态变化
一些不自觉的用户,往往会趁主人离开计算机的那一段间隙,偷偷登录对应系统,来偷窥重要的隐私信息。那么我们能否找到一种合适的办法,来对用户的偷偷登录行为进行自动监控,并将监控的结果自动反馈给计算机的主人呢?答案是肯定的!我们可以在Windows Vista以上版本系统中,启用登录监控功能来对用户的偷偷登录行为进行自动监控,下面就是具体的监控操作步骤:
首先依次单击目标主机系统桌面上的“开始”、“运行”选项,打开对应系统的运行文本框,在其中执行“gpedit.msc”字符串命令,弹出编辑界面;
其次将鼠标定位于该编辑界面左侧列表中的“计算机配置”分支上,同时从目标分支下面依次展开“管理模板”、“Windows组件”、 “Windows登录选项”节点选项,再用鼠标双击目标节点下面的“在用户登录期间显示有关以前登录的信息”组策略选项,打开目标组策略属性窗口;
检查该属性窗口中的“已启动”选项是否已经被选中,一旦看到它还没有处于选中状态时,我们应该及时选中它,同时单击“确定”按钮执行设置保存操作,这么一来目标主机系统日后就能支持登录监控功能了。
日后,要是有非法用户趁计算机主人暂时离开现场,偷偷利用主人的账号登录进入本地系统时,Windows系统的登录监控功能就能把非法用户偷偷登录行为记忆下来了,下次计算机主人重新登录系统时,就能看到具体的监控结果了,包括偷偷登录操作使用的用户账号名称、登录时间等等。
4、监控账号状态变化
为了达到恶意攻击或监视目的,非法攻击者常常会偷偷地在系统后台创建恶意账号,日后他们就能利用恶意账号对重要主机实施攻击行为了。为了保护重要主机系统的安全,我们必须想办法在第一时间发现恶意账号的创建行为,并及时删除恶意账号;要做到这一点,其实很简单,我们可以巧妙利用Windows系统的审核功能,来对恶意账号的创建操作进行自动报警,下面就是具体的操作步骤:
首先对目标主机系统的账号创建事件进行审核。在缺省状态下,Windows系统不会自动对恶意账号的创建行为进行监控,只有对该操作启用审核功能后,系统日志才会对账号创建事件进行跟踪、记录;在审核恶意账号的创建操作时,我们可以先打开目标主机系统的运行文本框,在其中执行 “secpol.msc”字符串命令,弹出本地安全策略控制台界面;
其次将鼠标定位于“安全设置”分支上,并从目标分支下面依次展开“本地策略”、“审核策略”节点选项,再用鼠标双击目标节点下面的“审核账户管理”选项,进入如图3所示的目标组策略属性窗口,将该窗口中的“成功”、“失败”选项选中,同时单击“确定”按钮执行设置保存操作;
接着依次点选“开始”/“设置”/“控制面板”命令,单击系统控制面板窗口中的“用户账户”图标,在其后弹出的用户账户管理窗口中,手工创建一个用户账号,创建完毕后,我们再打开目标主机系统的计算机管理窗口,并从中逐一展开“系统工具”、“事件查看器”、“Windows日志”、“系统”节点选项,在目标节点选项下面我们就可以看到刚才的用户账号创建操作记录了;
下面再用鼠标右键单击该记录选项,从弹出的快捷菜单中执行“附加任务到事件”命令,打开附加任务向导框,按照向导屏幕的提示,设置好附加任务的名称,选择好合适的任务内容,这里我们选中“显示消息”作为具体的报警方式,之后设置好具体的报警内容,例如可以输入“有人刚刚创建了恶意账号,请及时查看”,最后单击“完成”按钮结束附加任务的设置操作,这么一来日后目标主机系统中一旦有人偷偷创建恶意账号时,系统屏幕上会自动弹出类似“有人刚刚创建了恶意账号,请及时查看”这样的报警信息,看到这样的报警内容,我们就能迅速采取措施进行安全防范了。