由于在新的虚拟机上测试并写本文档,IIS访问帐号权限使用的是应用程序池帐号,所以这里就不像上一遍文章那样有很多帐号
查看Administrator帐号隶属组是否为空
检查DisableGuest帐号是否隶属于Guests,且帐号是否是禁用状态
如果还有其他帐号,也做以上检查
3.6. 检查Windows日志
日志文件对我们是非常重要的,可以从中查看各种帐户的操作痕迹,所以最好将日志存储路径重新修改一下,另外日志目录的SYSTEM帐号权限也设置成可以只读与添加,而不能修改,这样万一给入侵了,也删除、修改不了日志文件。(对于日志路径修改的文章网上很多,这里就不再详细描述了)
我们检查日志,主要查看日志中的警告和错误信息,从中分析出那些是由于代码问题引发的异常(将这些异常发给相关同事进行修复),那些是系统错误(判断是防火墙规则引起的还是服务或程序出错,判断需不需要进行相应处理),那些是黑客在进行入侵攻击(分析出攻击方式后,可以在相关的代码页面重新进行检查处理,以免有个别页面存在漏洞而导致入侵成功)……对于日志中显示的异常,其实有不少记录并不是代码自身引起的,比较常见的是有人使用XSS方式攻击提交引起的异常,对于这些异常可以不用去理会它,只要做好页面提交入口的SQL注入与XSS攻击过滤操作就没有问题。
另外,正常的信息有空的话也要抽时间看看,可以分析出很多已通过防火墙规则的各种操作,查看是否有入侵已经成功(比如查看一些正常进入后台访问的IP是否是其他地区的,再查看后台相关日志看是那位同事操作等)。
对于安全事件日志,查看审核成功与失败的记录都要认真看看,主要注意下面内容:正常或失败的登陆与注销时间,看看是否是服务器管理员自己上来的,看看是否有非自己创建的帐号;留意是否存在批处理登陆事件(及有可能入侵成功了);各种帐号管理事件与安全组管理事件(入侵成功后可能会创建帐号、修改密码或删除帐号等操作,这些都会被记录下来);审核策略更改事件(是否是管理员自己更改的,如果不是自己的是其他管理员的话,检查一下更改了什么)。具体可以百度一下《审核WINDOWS安全日志》认真研究一下各种审核事件说明。
