你必须提前安排入侵者
希望您可以保持计算机的修补和更新,并确保您的网络安全。 但是,在某些情况下,您将遭受恶意行为 - 病毒 , 蠕虫 , 特洛伊木马 ,黑客攻击或其他攻击是不可避免的。 当发生这种情况时,如果在攻击发生之前你做了正确的事情,那么你将更容易确定攻击何时以及如何成功。
如果你曾经看过电视节目CSI ,或者其他任何警察或法律电视节目,你都知道,即使有最细微的法医证据,调查人员也可以识别,跟踪和追查犯罪者。
但是,如果他们不必通过纤维筛选实际属于犯罪者的头发并进行DNA测试以识别其拥有者,那不是很好吗? 如果在每个人身上存储了与他们接触过的人以及何时接触到的记录呢? 如果有关于该人做了什么的记录呢?
如果是这样的话,像CSI这样的调查人员可能会倒闭。 警方会找到尸体,检查记录,看看最后一位与死者有过接触的人以及做了什么,他们已经拥有身份,而不必挖掘。 这就是日志记录在您的计算机或网络上存在恶意活动时提供法庭证据所提供的信息。
如果网络管理员没有打开日志记录或不记录正确的事件,挖掘法医证据以确定未经授权的访问或其他恶意活动的时间和日期或方法可能与寻找谚语中的针头一样困难草垛。 通常从未发现攻击的根本原因。 被打黑的或被感染的机器都会被清理干净,每个人都像往常一样重新开始工作,而没有真正知道系统是否受到保护,比他们首先受到的影响更好。
有些应用程序默认情况下会记录事物 像IIS和Apache这样的Web服务器通常会记录所有传入的流量。 这主要用于查看有多少人访问了该网站,他们使用了什么IP地址以及有关该网站的其他指标类型信息。 但是,对于类似CodeRed或Nimda的蠕虫,Web日志还可以显示受感染系统何时尝试访问您的系统,因为他们有某些命令会尝试在日志中显示它们是否成功。
某些系统具有内置的各种审计和记录功能。您还可以安装其他软件来监视和记录计算机上的各种操作(请参阅本文右侧链接框中的工具 )。 在Windows XP Professional计算机上,可以选择审核帐户登录事件,帐户管理,目录服务访问,登录事件,对象访问,策略更改,权限使用,进程跟踪和系统事件。
对于其中的每一个,您都可以选择记录成功,失败或没有任何记录。 以Windows XP Pro为例,如果您未启用对象访问的任何日志记录,则不会记录上次访问文件或文件夹的时间。 如果您仅启用了失败日志记录功能,则会记录某人何时试图访问该文件或文件夹,但由于没有正确的权限或授权而失败,但您不会记录授权用户访问文件或文件夹的时间。
由于黑客很可能使用破解的用户名和密码,因此他们可能能够成功访问文件。 如果您查看日志并且发现Bob Smith在周日凌晨3点删除了公司财务报表,那么假设Bob Smith正在睡觉并且他的用户名和密码已被泄露可能是安全的。 无论如何,你现在知道文件发生了什么,什么时候该文件给你一个调查它发生的起点。
失败和成功记录都可以提供有用的信息和线索,但是您必须在监视和记录活动与系统性能之间取得平衡。 使用上面的人类记录本例子 - 如果人们记录他们接触的每个人以及在互动过程中发生了什么,它将有助于调查人员,但这肯定会减缓人们的生活。
如果你不得不停下来写下谁,什么时候以及什么时候每天遇到你一整天,这可能会严重影响你的生产力。 监控和记录计算机活动也是如此。 您可以启用所有可能的失败和成功日志记录选项,并且您将对计算机中发生的所有事情有非常详细的记录。 但是,您将严重影响性能,因为每次有人按下按钮或单击鼠标时,处理器都会忙于记录日志中的100个不同条目。
您必须权衡什么样的记录会对系统性能产生影响,并提出最适合您的平衡。 您还应该记住,许多黑客工具和特洛伊木马程序(如Sub7)都包含一些实用程序,这些实用程序允许它们更改日志文件以隐藏其操作并隐藏入侵,因此您无法100%依赖日志文件。
在设置日志记录时,您可以通过考虑某些因素来避免某些性能问题以及可能的黑客工具隐藏问题。 您需要测量日志文件的大小,并确保您有足够的磁盘空间。 您还需要设置策略,以确定旧日志是否会被覆盖或删除,或者您是否想要每日,每周或其他定期存档日志,以便还可以查看旧数据。
如果可以使用专用硬盘驱动器和/或硬盘驱动器控制器,则性能影响会更小,因为可以将日志文件写入磁盘,而无需与您尝试访问驱动器的应用程序进行对抗。 如果您可以将日志文件导向单独的计算机(可能专用于存储日志文件并使用完全不同的安全设置),那么您也可以阻止入侵者更改或删除日志文件的能力。
最后要说明的是,在查看日志之前,您不应该等到太迟,并且系统已经崩溃或被入侵。 最好定期查看日志,以便知道什么是正常的并建立基准。 这样,当你遇到错误的条目时,你可以识别它们,并采取积极的措施来加强你的系统,而不是在太晚之后进行法医调查。