你必須提前安排入侵者
希望您可以保持計算機的修補和更新,並確保您的網絡安全。 但是,在某些情況下,您將遭受惡意行為 - 病毒 , 蠕蟲 , 特洛伊木馬 ,黑客攻擊或其他攻擊是不可避免的。 當發生這種情況時,如果在攻擊發生之前你做了正確的事情,那麼你將更容易確定攻擊何時以及如何成功。
如果你曾經看過電視節目CSI ,或者其他任何警察或法律電視節目,你都知道,即使有最細微的法醫證據,調查人員也可以識別,跟踪和追查犯罪者。
但是,如果他們不必通過纖維篩選實際屬於犯罪者的頭髮並進行DNA測試以識別其擁有者,那不是很好嗎? 如果在每個人身上存儲了與他們接觸過的人以及何時接觸到的記錄呢? 如果有關於該人做了什麼的記錄呢?
如果是這樣的話,像CSI這樣的調查人員可能會倒閉。 警方會找到屍體,檢查記錄,看看最後一位與死者有過接觸的人以及做了什麼,他們已經擁有身份,而不必挖掘。 這就是日誌記錄在您的計算機或網絡上存在惡意活動時提供法庭證據所提供的信息。
如果網絡管理員沒有打開日誌記錄或不記錄正確的事件,挖掘法醫證據以確定未經授權的訪問或其他惡意活動的時間和日期或方法可能與尋找諺語中的針頭一樣困難草垛。 通常從未發現攻擊的根本原因。 被打黑的或被感染的機器都會被清理乾淨,每個人都像往常一樣重新開始工作,而沒有真正知道系統是否受到保護,比他們首先受到的影響更好。
有些應用程序默認情況下會記錄事物 像IIS和Apache這樣的Web服務器通常會記錄所有傳入的流量。 這主要用於查看有多少人訪問了該網站,他們使用了什麼IP地址以及有關該網站的其他指標類型信息。 但是,對於類似CodeRed或Nimda的蠕蟲,Web日誌還可以顯示受感染系統何時嘗試訪問您的系統,因為他們有某些命令會嘗試在日誌中顯示它們是否成功。
某些系統具有內置的各種審計和記錄功能。您還可以安裝其他軟件來監視和記錄計算機上的各種操作(請參閱本文右側鏈接框中的工具 )。 在Windows XP Professional計算機上,可以選擇審核帳戶登錄事件,帳戶管理,目錄服務訪問,登錄事件,對象訪問,策略更改,權限使用,進程跟踪和系統事件。
對於其中的每一個,您都可以選擇記錄成功,失敗或沒有任何記錄。 以Windows XP Pro為例,如果您未啟用對象訪問的任何日誌記錄,則不會記錄上次訪問文件或文件夾的時間。 如果您僅啟用了失敗日誌記錄功能,則會記錄某人何時試圖訪問該文件或文件夾,但由於沒有正確的權限或授權而失敗,但您不會記錄授權用戶訪問文件或文件夾的時間。
由於黑客很可能使用破解的用戶名和密碼,因此他們可能能夠成功訪問文件。 如果您查看日誌並且發現Bob Smith在周日凌晨3點刪除了公司財務報表,那麼假設Bob Smith正在睡覺並且他的用戶名和密碼已被洩露可能是安全的。 無論如何,你現在知道文件發生了什麼,什麼時候該文件給你一個調查它發生的起點。
失敗和成功記錄都可以提供有用的信息和線索,但是您必須在監視和記錄活動與系統性能之間取得平衡。 使用上面的人類記錄本例子 - 如果人們記錄他們接觸的每個人以及在互動過程中發生了什麼,它將有助於調查人員,但這肯定會減緩人們的生活。
如果你不得不停下來寫下誰,什麼時候以及什麼時候每天遇到你一整天,這可能會嚴重影響你的生產力。 監控和記錄計算機活動也是如此。 您可以啟用所有可能的失敗和成功日誌記錄選項,並且您將對計算機中發生的所有事情有非常詳細的記錄。 但是,您將嚴重影響性能,因為每次有人按下按鈕或單擊鼠標時,處理器都會忙於記錄日誌中的100個不同條目。
您必須權衡什麼樣的記錄會對系統性能產生影響,並提出最適合您的平衡。 您還應該記住,許多黑客工具和特洛伊木馬程序(如Sub7)都包含一些實用程序,這些實用程序允許它們更改日誌文件以隱藏其操作並隱藏入侵,因此您無法100%依賴日誌文件。
在設置日誌記錄時,您可以通過考慮某些因素來避免某些性能問題以及可能的黑客工具隱藏問題。 您需要測量日誌文件的大小,並確保您有足夠的磁盤空間。 您還需要設置策略,以確定舊日誌是否會被覆蓋或刪除,或者您是否想要每日,每週或其他定期存檔日誌,以便還可以查看舊數據。
如果可以使用專用硬盤驅動器和/或硬盤驅動器控制器,則性能影響會更小,因為可以將日誌文件寫入磁盤,而無需與您嘗試訪問驅動器的應用程序進行對抗。 如果您可以將日誌文件導向單獨的計算機(可能專用於存儲日誌文件並使用完全不同的安全設置),那麼您也可以阻止入侵者更改或刪除日誌文件的能力。
最後要說明的是,在查看日誌之前,您不應該等到太遲,並且系統已經崩潰或被入侵。 最好定期查看日誌,以便知道什麼是正常的並建立基準。 這樣,當你遇到錯誤的條目時,你可以識別它們,並採取積極的措施來加強你的系統,而不是在太晚之後進行法醫調查。