服務(wù)器維護(hù)實(shí)務(wù)

1、最新 精品 Word 歡迎下載 可修改一、入侵檢測和數(shù)據(jù)備份（一）入侵檢測工作 作為服務(wù)器的日常管理，入侵檢測是一項(xiàng)非常重要的工作，在平常的檢測過程中，主要包含日常的服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查，也就是分為在入侵進(jìn)行時(shí)的安全檢查和在入侵前后的安全檢查。系統(tǒng)的安全性遵循木桶原理，木桶原理指的是：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么這個(gè)木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。應(yīng)用到

2、安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最脆弱的地方，這些地方是日常的安全檢測的重點(diǎn)所在。 日常的安全檢測 日常安全檢測主要針對系統(tǒng)的安全性，工作主要按照以下步驟進(jìn)行： 1、查看服務(wù)器狀態(tài)： 打開進(jìn)程管理器，查看服務(wù)器性能，觀察 CPU 和內(nèi)存使用狀況。查看是否有 CPU 和內(nèi)存占用過高等異常情況。 2、檢查當(dāng)前進(jìn)程情況 切換“任務(wù)管理器”到進(jìn)程，查找有無可疑的應(yīng)用程序或后臺進(jìn)程在運(yùn)行。用進(jìn)程管理器查看進(jìn)程時(shí)里面會有一項(xiàng)最新 精品 W

3、ord 歡迎下載 可修改且沒有其他正常開放服務(wù)依存在該服務(wù)上，可暫時(shí)停止掉該服務(wù)，然后測試下各種應(yīng)用是否正常。對于一些后門由于采用了hook 系統(tǒng) API 技術(shù)，添加的服務(wù)項(xiàng)目在服務(wù)管理器中是無法看到的，這時(shí)需要打開注冊表中的HKEY_LOCAL_MACHINE—SYSTEM—CurrentControlSet—Services 項(xiàng)進(jìn)行查找，通過查看各服務(wù)的名稱、對應(yīng)的執(zhí)行文件來確定是否是后門、木馬程序等。 6、查看相關(guān)日志 運(yùn)行

4、eventvwr.msc，粗略檢查系統(tǒng)中的相關(guān)日志記錄。在查看時(shí)在對應(yīng)的日志記錄上點(diǎn)右鍵選“屬性” ，在“篩選器”中設(shè)置一個(gè)日志篩選器，只選擇錯(cuò)誤、警告，查看日志的來源和具體描述信息。對于出現(xiàn)的錯(cuò)誤如能在服務(wù)器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細(xì)記錄下事件來源、ID 號和具體描述信息，以便找到問題解決的辦法。 7、檢查系統(tǒng)文件 主要檢查系統(tǒng)盤的 exe 和 dll 文件，建議系統(tǒng)安裝完畢之

5、后用 dir *.exe /s >1.txt 將 C 盤所有的 exe 文件列表保存下來，然后每次檢查的時(shí)候再用該命令生成一份當(dāng)時(shí)的列表，用 fc 比較兩個(gè)文件，同樣如此針對 dll 文件做相關(guān)檢查。需要注意的是打補(bǔ)丁或者安裝軟件后重新生成一次原始列表。檢查相關(guān)系統(tǒng)文件是否被替換或系統(tǒng)中是否被安裝了木馬后門等惡意程序。必要時(shí)可運(yùn)行一次殺毒程序?qū)ο到y(tǒng)盤進(jìn)行一次掃描處理。 8、檢查安全策略是否更改 打開本地連接的屬性，查看“常規(guī)”中是

6、否只勾選了“TCP/IP 協(xié)議” ，打開“TCP/IP”協(xié)議設(shè)置，點(diǎn)“高級”==》 “選項(xiàng)” ，查看“IP 安全機(jī)制”是否是設(shè)定的 IP 策略，查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略” ，查看目前使用的 IP 安全策略是否發(fā)生更改。 9、檢查目錄權(quán)限 重點(diǎn)查看系統(tǒng)目錄和重要的應(yīng)用程序權(quán)限是否被更改。需要查看的目錄有 c:;c:winnt; C:winntsystem32;c:winntsyst