|
|
|
|
|
|
|
|
2:54 TCP 192.168.12.28:338
192.168.12.29:1039 ESTABLISHED也就是说只要这个TSLog.bat文件一运行,所有连在3389端口上的IP都会被记录,那么如何让这个批处理文件自动运行呢?我们知道,终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本(相当于shell环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer。如果不加这一行命令,用户是没有办法进入桌面的!当然,如果你只需要给用户特定的shell,例如:cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法,作为系统管理员,你完全可以自由发挥你的想象力、自由利用自己的资源,例如,写一个脚本把每个登录用户的IP发送到自己的信箱,对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限,所以他不会知道你对登录进行了IP审核,只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了。不过,需要注意的是这只是一个简单的终端服务日志策略,并没有太多的安全保障措施和权限机制。如果服务器有更高的安全要求,那还是需要通过编程或购买入侵监测软件来完成的。
8.陷阱技术
早期的陷阱技术只是一个伪装的端口服务用来监测扫描,随着“矛”和“盾”的不断升级,现在的陷阱服务或者陷阱主机已经越来越完善,越来越像真正的服务,不仅能截获半开式扫描,还能伪装服务器一端的回应并记录入侵者的行为,从而帮助判断入侵者的身页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第8页、共9页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
