time;/t;>>Terminal.log;
netstat;-n;-p;tcp;|;find;":3389">>Terminal.log;
start;Explorer
端服务使用的端口是TCP;3389 , 文件第一行是记录用户登录的时间 , 并把这个时间记入文件Terminal.log中作为日志的时间字段;第二行是记录用户的IP地址 , 使用netstat来显示当前网络连接状况的命令 , 并把含有3389端口的记录到日志文件中去 。这样就能够记录下对方建立3389连接的IP地址了 。
要设置这个程序运行 , 可以在终端服务配置中 , 登录脚本设置指定TerminalLOG.bat作为用户登录时需要打开的脚本 , 这样每个用户登录后都必须执行这个脚本 , 因为默认的脚本是Explorer(资源管理器) , 所以在Terminal.bat的最后一行加上了启动Explorer的命令start;Explorer , 如果不加这一行命令 , 用户是没有办法进入桌面的 。当然 , 可以把这个脚本写得更加强大 , 但是请把日志记录文件放置到安全的目录中去 。
通过Terminal.log文件记录的内容 , 配合安全日志 , 我们就能够发现通过终端服务的入侵事件或者前兆了 。
对于Windows2003服务器来说 , 上面四种入侵是最常见的 , 也占入侵Windows2003事件的绝大多数 。从上面的分析 , 我们能够及时地发现这些入侵的前兆 , 根据这些前兆发现攻击者的攻击出发点 , 然后采取相应的安全措施 , 以杜绝攻击者入侵 。
我们也可以从上面分析认识到 , 服务器的安全配置中各种日志记录和事件审核的重要性 。这些日志文件在被入侵后是攻击者的重要目标 , 他们会删除和修改记录 , 以便抹掉他们的入侵足迹 。因此 , 对于各种日志文件 , 我们更应该好好隐藏并设置权限等保护起来 。同时 , 仅仅记录日志而不经常性地查看和分析 , 那么所有的工作就等于白做了 。
在安全维护中 , 系统管理员应该保持警惕 , 并熟悉安全使用的入侵手段 , 做好入侵前兆的检测和分析 , 这样才能未雨绸缪 , 阻止入侵事件的发生 。
推荐阅读
- 图 使用Windows Server 2003搭建安全服务器
- 强化Win2003文件服务器
- 群集的形成和操作
- 下 Win2K安装与服务器配置
- 使用Win Server 2003搭建安全文件服务器
- 更贴心更实用!为Windows2003移植系统还原
- 用Win 2003配置邮件服务器
- 用Windows Server 2003搭建安全文件服务器
- 上 windows 2K安装与服务器配置
- 如何配置windows 2003的DNS服务器