十个细节做好服务器的入侵检测

       8.检查安全策略是否更改

　　服务器安全级别比较高，其默认的安全策略限制了攻击者的很多行为，因此他们在入侵过程中或者入侵后往往对服务器的安全策略进行调整设置以利用对服务器的长久控制。所以，安全策略检测也是服务器入侵检测的一个重要方面。

　　安全策略检测主要从下面几个方面入手：

　　(1).协议相关：打开“本地连接”的属性，查看“常规”中是否只勾选了“TCP/IP协议”。因为一个安全的服务器其他的选项是不需要，但这也许是攻击者所需要的。

　　(2).TCP/IP筛选：打开“TCP/IP”协议设置，点“高级”→“选项”，查看“IP安全机制”是否是设定的IP策略，查看“TCP/IP”筛选允许的端口有没有被更改。

　　(3).IP安全策略：依次打开“管理工具”→“本地安全策略”，查看目前使用的IP安全策略是否发生更改。

　　(4).本地策略：在“本地安全策略”查看“本地策略”下的“用户权限分配”和“安全选项”相关策略有无更改。比如“使用空白密码的本地帐户只允许进行控制台登录”策略默认是“启用”的，攻击者可能基于远程登录的需要会改为“已禁用”。(图12)

图12

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页

【责编:Zenghui】