Vi devas plani antaŭe por kapti intrudon
Espereble, ke viaj komputiloj tranĉu kaj ĝisdatiĝu kaj via reto estas sekura. Tamen, estas sufiĉe neevitebla, ke vi iomete trafos malbonan agadon - viruso , vermo , troa ĉevalo, hako atako aŭ alie. Kiam tio okazas, se vi faris la ĝustajn aferojn antaŭ la atako, vi faros la laboron determini kiam kaj kiel la atako sukcesis multe pli facile.
Se vi iam spektus la televidan spektaklon CSI , aŭ nur pri iu alia polico aŭ jura televidprogramo, vi scias, ke eĉ kun la plej maldikaj ŝildoj de jura provo, la esploristoj povas identigi, spuri kaj kapti la krimulon.
Sed ĉu ne estus bela, se ili ne bezonas perforti fibrojn por trovi la unu haron, kiu efektive apartenas al la farinto kaj fari DNA-testadon por identigi ĝian posedanton? Kion se ĝi registris en ĉiu persono, pri kiu ili kontaktiĝis kaj kiam? Kion se estis registrita pri kio fariĝis al tiu persono?
Se tio estus la kazo, esploristoj kiel tiuj en CSI povus esti senkomercaj. La polico trovus la korpon, kontrolu la rekordon por vidi, kiuj laste kontaktis la mortintinon kaj kio fariĝis kaj ili jam havus la identecon sen devi fosi. Ĉi tio estas, kion ensaluti provizas laŭ provizado de jura pruvo kiam ekzistas malica agado en via komputilo aŭ reto.
Se administranto de reto ne ŝaltas ensalutadon aŭ ne registras la ĝustajn eventojn, fosado de juĝaj evidentecoj por identigi la tempon kaj daton aŭ metodon de ne rajtigita aliro aŭ alia malica agado povas esti tiel malfacile kiel serĉi la proverbonan nadlon en Haystack. Ofte la rusa kaŭzo de atako neniam estas malkovrita. Hakitaj aŭ infektitaj maŝinoj estas purigitaj kaj ĉiuj revenas al komercado kiel kutime sen vere scii, ĉu la sistemoj estas pli protektataj ol tiuj, kiam ili sukcesis bati en la unua loko.
Iuj aplikoj ensaluti aferojn implicite. Retelaj serviloj kiel IIS kaj Apache ĝenerale registras ĉiujn venontajn trafikojn. Ĉi tio estas plejparte uzita por vidi kiom da homoj vizitis la retpaĝaron, kian IP-adreson ili uzis kaj aliajn metrikajn informojn pri la retejo. Sed, en la kazo de vermoj kiel CodeRed aŭ Nimda, la TTT-registroj ankaŭ povas montri al vi, kiam infektitaj sistemoj provas aliri vian sistemon, ĉar ili havas iujn ordonojn, kiujn ili provas, kiuj montros en la registroj, ĉu ili sukcesas aŭ ne.
Iuj sistemoj havas diversajn funkciojn de ensalutado kaj ensalutado. Vi ankaŭ povas instali plian programaron por kontroli kaj registri diversajn agojn en la komputilo (vidu Iloj en la ligiloŝipo dekstre de ĉi tiu artikolo). En Windows XP Profesia maŝino ekzistas ebloj por registri koncernajn ensalutojn, administradon de kontoj, alireblaj adresaroj, ensalutintaj eventoj, objekto aliro, politika ŝanĝo, uzo de privilegioj, procezoj de sekvado kaj sistemaj eventoj.
Por ĉiu el ĉi tiuj vi povas elekti registri sukceson, malsukceson aŭ nenion. Uzante Windows XP Pro kiel ekzemplon, se vi ne ebligis iun ensalutadon por objekto aliro, vi ne havos registron pri kiam lasta dosiero aŭ dosierujo estis aliritaj. Se vi ebligis nur malsukcesan ensalutadon, vi havos registron, kiam iu provis aliri la dosieron aŭ dosierujon, sed malsukcesis pro ne havi la konvenajn permesojn aŭ rajtigon, sed vi ne havus registron de kiam rajtigita uzanto aliris la dosieron aŭ dosierujon. .
Ĉar hakisto eble bone uzos fenditan uzantnomon kaj pasvorton, ke ili eble sukcese aliri dosierojn. Se vi vidos la registrojn kaj vidos, ke Bob Smith forigis la financan deklaron de la firmao je la 3a dimanĉo, ĝi povus esti sekura supozi, ke Bob Smith dormis kaj eble lia uzantnomo kaj pasvorto kompromitis . En ajna kazo, vi nun scias, kio okazis al la dosiero kaj kiam kaj ĝi donas al vi komencan punkton por esplori kiel okazis.
Ambaŭ misfunkciadoj kaj sukcesaj ensalutoj povas provizi utilajn informojn kaj aŭtoveturejojn, sed vi devas ekvilibrigi viajn viglado kaj ensalutado de agadoj kun sistemo. Uzante la homan diskon-libron ekzemple de supre - ĝi helpus al esploristoj se homoj konservis logon de ĉiuj, kiujn ili kontaktiĝis kaj kio okazis dum la interago, sed certe malrapidiĝus homoj.
Se vi devis ĉesi kaj skribi, kiu, kio kaj kiam por ĉiu renkontiĝo, kiun vi havis ĉiutage, ĝi povus efike efiki vian produktadon. La sama afero estas vera pri viglado kaj ensaluto komputila aktiveco. Vi povas ebligi ĉiun eblon de eventuala fiasko kaj sukceso, kaj vi havos tre detalan registron pri ĉio, kio daŭras en via komputilo. Tamen, vi severe efikos, ĉar la procesoro okupos registri 100 malsamajn enirojn en la registroj ĉiufoje kiam iu premas butonon aŭ klakas sian muson.
Vi devas pripensi, kian logadon estus utila kun la efiko en la agado de la sistemo kaj ekpensas la ekvilibron, kiu plej bone funkcias por vi. Vi ankaŭ devas konsideri, ke multaj hackaj iloj kaj Trojan ĉevalprogramoj kiel ekzemple Sub7 inkluzivas utilecojn, kiuj permesas ŝanĝi al ili logajn dosierojn por kaŝi iliajn agojn kaj kaŝi la intrusion, por ke vi ne povas fidi 100% en la registraj dosieroj.
Vi povas eviti iujn el la agado-demandoj kaj eble la hakistojn de iloj de hakiloj per konsiderado de iuj aferoj kiam vi agordas vian ensalutadon. Vi devas pripensi, kiom granda la logaj dosieroj ricevos kaj certigu, ke vi havas sufiĉan disk-spacon en la unua loko. Vi ankaŭ bezonas agordi politikon pri ĉu malnovaj registroj estos superskribitaj aŭ forigitaj aŭ se vi volas enarkivigi la protokolojn ĉiutage, semajne aŭ alia periódica bazo por ke vi havas pli malnovajn datumojn por rigardi reen.
Se ĝi eblas uzi malmola disko kaj / aŭ malmola disko-kontrolilo, vi havos malpli efikecon, ĉar la registraciaj dosieroj povas esti skribitaj al la disko sen devi batali kun la aplikoj, kiujn vi provas kuri por aliri al la disko. Se vi povas direkti la registrajn dosierojn al aparta komputilo - eble dediĉita al konservado de logaj dosieroj kaj kun tute malsamaj sekurecaj agordoj - vi eble povus bloki kapablon de entrudulo ŝanĝi aŭ forigi la registrajn dosierojn.
Fina noto estas, ke vi ne devas atendi ĝis ĝi estas tro malfrue kaj via sistemo jam frakasis aŭ kompromitis antaŭ vidi la registrojn. Plej bone estas revizii periode la logojn, por ke vi sciu, kio estas normala kaj establi bazan linion. Tiel, kiam vi trovos erarajn enirojn, vi povas rekoni ilin kiel tiaj kaj prenu antaŭajn paŝojn por hardigi vian sistemon prefere ol fari la jurajn esplorojn post kiam ĝi estas tro malfrue.