希望您保持计算机的补丁和更新,并确保您的网络安全。但是,您在某些时候会遭受恶意活动 - 病毒,蠕虫,特洛伊木马,黑客攻击或其他方式 - 是不可避免的。当发生这种情况时,如果你在攻击之前做了正确的事情,那么你将完成确定攻击何时以及如何成功的工作。
如果你曾经看过电视节目“CSI”或者只是看过任何其他警察或合法电视节目,你就会知道,即使有最细微的法医证据,调查人员也可以识别,追踪并抓住犯罪者。
但是,如果他们不必筛选纤维来找到实际上属于犯罪者的头发并进行DNA测试来识别其所有者,那不是很好吗?如果每个人都有与他们接触过的人以及何时接受记录怎么办?如果记录了对该人所做的事情,该怎么办?
如果是这种情况,像“CSI”那样的调查人员可能会破产。警察会找到尸体,检查记录,看看谁最后与死者接触过,做了什么,他们已经有了身份而无需挖掘。这是日志记录在您的计算机或网络上存在恶意活动时提供取证证据的方式。
如果网络管理员没有打开日志记录或者没有记录正确的事件,那么挖掘法医证据以确定未经授权的访问或其他恶意活动的时间和日期或方法可能就像在寻找一个众所周知的针头一样困难。草垛。通常永远不会发现攻击的根本原因。被黑客入侵或被感染的机器被清理干净,每个人都像往常一样恢复业务,而不是真正了解系统是否受到保护,而不是在他们被击中时更好。
某些应用程序默认记录事物。 IIS和Apache等Web服务器通常会记录所有传入流量。这主要用于查看访问该网站的人数,他们使用的IP地址以及有关该网站的其他指标类型信息。但是,对于像CodeRed或Nimda这样的蠕虫,网络日志也会在受感染的系统尝试访问您的系统时向您显示,因为他们会尝试在日志中显示的某些命令是否成功。
某些系统内置了各种审计和日志记录功能。您还可以安装其他软件来监视和记录计算机上的各种操作(请参阅 工具 在本文右侧的链接框中)。在Windows XP Professional计算机上,可以选择审核帐户登录事件,帐户管理,目录服务访问,登录事件,对象访问,策略更改,权限使用,进程跟踪和系统事件。
对于其中的每一个,您可以选择记录成功,失败或什么都不记录。以Windows XP Pro为例,如果您没有为对象访问启用任何日志记录,则无法记录上次访问文件或文件夹的时间。如果您仅启用了故障记录,则会记录有人试图访问该文件或文件夹但由于没有适当的权限或授权而失败,但您没有记录授权用户何时访问该文件或文件夹。
因为黑客可能正在使用破解的用户名和密码,所以他们可能能够成功访问文件。如果您查看日志并看到Bob Smith在周日凌晨3点删除了公司财务报表,则可以安全地假设Bob Smith正在睡觉并且可能他的用户名和密码已被泄露。在任何情况下,您现在都知道文件发生了什么,以及何时它为您提供了调查发生方式的起点。
故障和成功日志记录都可以提供有用的信息和线索,但您必须在监视和日志记录活动与系统性能之间取得平衡。使用上面的人类记录簿示例 - 如果人们记录他们接触到的每个人以及交互过程中发生的事情,它将有助于调查人员,但它肯定会减慢人们的速度。
如果你不得不停下来写下你每天遇到的人,时间和时间,这可能会严重影响你的工作效率。监视和记录计算机活动也是如此。您可以启用每个可能的故障和成功记录选项,您将获得计算机中所有内容的非常详细的记录。但是,您将严重影响性能,因为每当有人按下按钮或单击鼠标时,处理器将忙于在日志中记录100个不同的条目。
您必须权衡哪种类型的日志记录对系统性能的影响是有益的,并提出最适合您的平衡。您还应该记住,许多黑客工具和特洛伊木马程序(如Sub7)包含的实用程序允许它们更改日志文件以隐藏其操作并隐藏入侵,因此您无法“完全依赖日志文件”。
通过在设置日志记录时考虑某些事项,您可以避免一些性能问题以及可能的黑客工具隐藏问题。您需要估计日志文件的大小,并确保首先有足够的磁盘空间。您还需要设置一个策略,以确定是否会覆盖或删除旧日志,或者是否要每天,每周或其他定期存档日志,以便您还可以查看旧数据。
如果可以使用专用硬盘驱动器和/或硬盘驱动器控制器,则性能影响较小,因为日志文件可以写入磁盘,而不必与您尝试运行以访问驱动器的应用程序作斗争。如果您可以将日志文件定向到单独的计算机 - 可能专用于存储日志文件并使用完全不同的安全设置 - 您也可以阻止入侵者更改或删除日志文件的能力。
最后要注意的是,在查看日志之前,您不应该等到太晚并且系统已经崩溃或受到损害。最好定期查看日志,以便了解正常情况并建立基线。这样,当您遇到错误的条目时,您可以识别它们并采取主动措施来强化您的系统,而不是在太晚之后进行取证调查。
