保护Win2003网络服务器安全-防止服务器被攻击 瘫痪 挂机(3)
把ClearPageFileAtShutdown 值改为1
二、监控
1、端口监控
文件名:del_netshare.bat,用脚本来进行IP日志记录的,看着这个命令:
netstat -n -p tcp 10>>Netstat.log,这个命令每10秒钟自动查看一次TCP的连接状况,基于这个命令我们做一个Netlog.bat文件:
time /t>>Netstat.log
Netstat -n -p tcp 10>>Netstat.log
2、终端服务的日志监控
文件名:remote_HP_record.bat,用来记录登录者的IP,内容如下:
time /t >>TSLog.log
netstat -n -p tcp | find ":3389">>TSLog.log
//start Explorer
同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。
3、监控服务器状态
文件名:pingServer_DNS.bat
time /t >> pingServer.log
ping 58.49.58.89 >> pingServer.log
ping 58.49.58.90 >> pingServer.log
ping 202.103.24.68 >> pingServer.log
三、查看状态:
netstat –a :查看本地计算机开放的端口
netstat –n :查看与本地计算机建立连接的IP地址
netstat –r :查看路由器信息
netstat –s :查看协议统计信息
netstat –e :查看以太网使用情况
netstat -p tcp :查看网络协议
nbtstat——显示远程计算机的MAC地址
nbtstat -a guowei-sd
nbtstat -A 192.168.1.108
四、网络工具的使用:
(1)PortReporter下载
[url]http://download.microsoft.com/download/[/url]2/8/8/28810043-0e21-4004-89a3-2f477a74186f/PRParser.exe
小提示:
1)将PortReporter安装在一个NTFS文件系统分区上;
2)调整安装文件夹上的ACL,以便只有本地Administrators组才能访问此文件夹。
删除PortReporter服务:pr-setup.exe –u
3)日志默认路径:C:\WINDOWS\system32\LogFiles\PortReporter
日志重定向:ld 'c:\logfile'
日志文件的大小:ls 102400 即日志文件大小10M
三种日志内容:
1)PR-INITIAL-*.log 启动服务时计算机运行的端口、进程和模块的数据。其中记录了每个进程运行所在的用户上下文;
2)PR-PORTS日志文件 包含计算机上TCP和UDP端口活动的摘要数据。
Windows2003:日期,时间,协议,本地端口,本地IP地址,远程端口,远程IP地址,PID,模块,用户上下文。
3)PR-PIDS日志文件:日志文件包含有关端口、进程、相关模块和运行进程所用的用户帐户的详细信息
(2)网络系统状态监视——WhatsUp Gold [url]www.ipswitch.com[/url]
(3)PingPlus
实现多个主机网络状态的实时监测,并有自动记录分析结果、断网自动告警、端口扫描。
(4)漏洞检测:X-Scan [url]http://www.xfocus.net[/url]
(5)其它工具:
带宽测试——Ping Plotter Freeware [url]http://www.pingplotter.com/[/url]
TCPView、pathping——路径信息提示工具、IPSentry、pcanywhere10
五、常用服务名称简称