中级通信工程师终端与业务精讲之安全日志的检测

>>>>>>通信工程师考试公开课，报名有你！

       离2017年中级通信工程师终端与业务考试只有4个月了。希赛小编为大家整理了部分中级通信工程师终端与业务课程知识，下文主讲基于安全日志的检测，供大家学习与参考！ 

       基于安全日志的检测

       如果入侵行为被iis日志记录，则基于ns日记可以监测相应的入侵行为。但是，iis曰志并不能记录所有的痕迹，在某种情况下甚至不能记录来自80端口的入侵。IIS只有在一个诮求完成后才会写入日志，如果一个请求中途失败（指从TCP层上没有完成HTTP请求，例如POST大量数据时异常中断日志文件中就不会有记录，入侵者就有可能绕过曰志系统完成大量的活动。

       对于非Web主机，入侵者也可以从其他服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

       Windows2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录。但是，默认安装下安全审核是关闭的，这种主机被攻击后根本没法追踪入侵者。因此.我们要做的第一步是配置安全审计。

       选择“管理工具”、“本地安全策略”-“本地策略”-“审核策略”命令，打开必要的审核。

       对审核事件的配置涉及记录的数据量，选择过多，数据量将剧增，过少就达不到检测要求。一般来说，“登录事件”与“账户管理”是我们最关心的事件，同时打开“成功”和“失败”审核非常必要，其他的审核也要打开失败审核。除了配置安全审核事件，还要适当配置曰志的大小和覆盖时限，否则，入侵者可以在真正入侵以后，大量伪造入侵请求覆盖掉以前的记录。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的曰志。

       设置了安全日志，还需要制定一个安全日志的检查机制，养成好的检査习惯。推荐的检査时间是每天上午，因为入侵者喜欢夜间行动。上班第一件事最好看看曰志有没有异常。

       除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹（如果他拿到了Admin权限，那么他一定会去清除痕迹的），在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。

       >>>>>>点击进入了解更多中级通信工程师终端与业务知识点知识。

       相关推荐：

       中级通信终端业务面授班

       中级通信终端业务考试教材

       2017年通信中级终端业务考试大纲