回到首頁
Microsoft Windows伺服器"系統比對"與"執行比對"的執行條件與設定
-
大部份的伺服器都已安裝資安防護的防毒軟體,Watchdog資訊維運系統也加強對主機安全做防護措失
"系統比對"與"執行比對"的的功能是其中一項
"系統比對"與"執行比對"主要是針對高風險的檔案先封存後再定時做百分百二進位比對 檔案類型 如:
*.二進位程式檔案(.exe.dll)
*.Shell Script程式檔案
*.系統設定檔
*.文字檔
*.密碼檔
*.二進位影像檔
"系統比對"與"執行比對"是伺服主機在資訊安全層的輔助監測功能之一
維運系統對於伺服器是採全面監控,而不放過任何有可能造成主機營運異常的事件
當上述情況發生時,Watchdog資訊維運系統即會發佈警報並且執行警報機制,務求達到整體妥善率的防護加強
"系統比對"與"執行比對"是保護與防止程式碼或設定檔遭到無心的更改編寫或是惡意的竄改
或是成為駭客的惡意病毒的管道,而造成程式無法正確執行運作
系統比對功能就是在比對Windows的作業系統,針對目標伺服主機的作業系統作整個系統封裝之後
進行全面性的比對,所以本系統比對功能即是在封裝與設定上進行調整的基礎功能
在需要特別設定與定義的地方可以在本項次進行設定與調整,請注意本功能是針對Windows系統的伺服主機專用
要進行設定請點選伺服主機的偵測項目之後,往下拉即可看到,如下圖:
維運監控系統在伺服主機的項目有眾多的監控功能,也包含各種微調的設定功能
能讓維運人員依照管理需求進行系統的偵測調整等設定
本項功能是屬於目標伺服主機的作業系統進行封裝與全面比對的項目,在比對前的系統封裝大項下有:
檔案長度限制 副檔名 不要封裝的目錄 新增封裝檔案 自動更新封裝的位置
每個項次都有其設定與調整的目的,請直接點選檔案長度限制進入到以下的畫面:
以下文字為設定畫面擷取下來進行說明:
clitab-ms_125:本設定功能檔案的功能名稱,可以對應到資料夾內的檔案
檔案名稱:/usr/rooty/wdog/Client/Cip/192.168.5.101/Oscmp/oscmp_flen
本設定功能的檔案所擺放於資料夾的路徑位置
clitab-ms_125:[20] (MB)
本項次主要是針對封裝的檔案進行檔案的長度容量限制,也就是假設欄位內的設定為20MB
則檔案只要超過這個大小,則排除在封裝的名單之外
點選副檔名的文字連結進入以下圖型:
如上圖,在輸入欄位內的各種副檔名,則Watchdog系統在進行封裝的時候,會將這些附檔名的檔案進行封裝
但是仍會受到其他條件的限制,例如前一個項次檔案長度限制的設定限制為20M
則被封裝檔案即使附檔名符合封裝條件,假如其容量超過20M,則仍然會被排除在封裝範圍之外
本比對前的系統封裝項目,底下有檔案長度限制,副檔名,不要封裝的目錄,新增封裝檔案與自動更新封裝的位置
等五個項目,功能包含可以針對封裝檔案進行檔案的長度容量限制,並且可以輸入不要封裝的目錄的路徑以及指定
要封裝的檔案等等功能,主要是設定比對Windows的作業系統
針對目標伺服主機的作業系統作整個系統封裝之後,進行全面性的比對,協助維運人員進行微調等動作
點選不要封裝的目錄功能進入以下畫面:
本功能主要是在輸入欄位內,輸入不要封裝的目錄的路徑,這樣Watchdog系統在進行封裝時,會自動排除掉該目錄
點選新增封裝檔案進入以下畫面:
新增封裝檔案的作用就是指定要封裝的檔案,只要將路徑與檔案名稱輸入之後並且存檔,即可排進封裝的名單之中
並且本功能假設封裝的附檔名不在範圍內或是高過設定的檔案長度,一樣可以進行封裝
自動更新封裝的位置功能的設定畫面如下:
本功能欄位可以輸入未來要自動更新時,檔案封裝的位置,輸入完畢之後存檔即可.
當封裝的功能設定完之後,接著就要設定以下的系統比對的一些細節了
有關系統比對底下又分成兩個項次,分別為非法檔案-系統與不要比對的目錄
點選非法檔案-系統進入以下的畫面:
本非法檔案-系統功能的輸入欄位,主要是輸入非法檔案的名稱,當系統在進行比對時,有出現該名稱,則視為警報
點選不要比對的目錄進入到以下設定畫面:
欄位內所設定的目錄,不管有沒有在封裝的名單內,只要有設定在此,則監控系統在進行比對時
會將該目錄排除在比對的範圍之外.
當系統封裝與系統比對設定好之後,可以接著進行設定執行比對
有關執行比對功能底下有非法執行與非法檔案-根目錄兩項功能,點選非法執行之後進入以下畫面:
本功能欄位內所要輸入的為非法執行的程式名稱,如果在系統進行比對的過程中,有偵測到欄位內的名稱
則視同警報的發生
接著請點選非法檔案-根目錄功能的文字連結,進入以下的設定畫面:
本欄位內所設定的為非法檔案-跟目錄,也就是該跟目錄的名稱與路徑可以輸入在欄位內,當在進行比對時
如果有比對到欄位內的名稱,則系統會判定發生警報並且通知維運人員
以上的功能說明,在系統比對功能底下的基本設定,其實對於伺服主機的管理上,是必性的
監控伺服主機的作業系統,依照需求在此進行設定與調整之後,進行整體的封裝之後再進行全面性的比對
對於維運管理人員來說,此功能是屬於資訊維運的重要依據,全面比對也保證了整個作業系統的運作是否完善與正常
"系統比對"與"執行比對"發佈警報的條件設定
維運監控系統對於伺服主機的管理,是屬於全面化的,比對功能包含了封裝與比對
比對又有系統比對與執行比對等各種不同的功能,除了立即執行與查詢報告相關的功能之外
對於警報也是將其獨力為一個項目,本篇章的對於伺服主機的等待與報告記錄
本功能是對立即執行的系統比對己發出警報的各類檔案系列功能
可以視同為針對伺服主機管理的系統比對與執行比對等系列功能
當系統發出警報時,本系列功能則是提供給維運人員查詢確認用的
本項目功能請點選伺服主機的偵測項目之後,往下拉即可看到下圖:
本系列功能的項目請參考上圖或是下列文字敘述,伺服主機之系統比對-己發出警報的各類檔案的系列功能
分成系統比對與執行比對,這兩種系列功能有發出警報的告警作用,本功能就是記錄已發出警報內的各類檔案
系統比對
*.非法檔案-系統
*.新增檔案
*.比對異常
執行比對
*.非法執行
*.非法檔案-根目錄
*.新增檔案
*.比對異常
在系統比對的系列功能包含有非法檔案-系統,新增檔案與比對異常,於下圖的上半部:
在己發出警報的各類檔案系列功能底下,系統比對是屬於整體作業系統比對時產生的警報作出警報與記錄的各類檔案
以下有非法檔案-系統 新增檔案與比對異常等三個項目,只需要點選各自的文字連結即可進入查詢
請點選非法檔案-系統的文字連結進入到以下的畫面:
上圖的文字內容如下:
非法檔案-系統
執行識別: [oscmp_011530.scmp]
011530就是簡訊發送的識別碼
點選新增檔案的文字連結進入以下畫面:
上圖底下的部分內容,請參考下列文字:
新增檔案
執行識別: [oscmp_011530.scmp]底下有三種資訊,為檔案記錄時間 檔案大小與檔案位子
3/10/14 14:39 7796464 Bytes c:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{A6D1DD06-C580-4579-959A-7AEF5E0E833D}\mpengine.dll
2012/11/16 13:11 416 Bytes c:\Documents and Settings\All Users\Application Data\Microsoft\MSDN\9.0\1028\ResourceCache.dll
2012/11/15 17:34 416 Bytes c:\Documents and Settings\All Users\Application Data\Microsoft\MSDN\9.0\1036\ResourceCache.dll
2012/11/16 13:11 191040 Bytes c:\Documents and Settings\All Users\Application Data\Microsoft\VBExpress\9.0\1028\ResourceCache.dll
2012/11/15 17:34 113280 Bytes c:\Documents and Settings\All Users\Application Data\Microsoft\VCExpress\9.0\1036\ResourceCache.dll
2013/08/31 08:07 468560 Bytes c:\Documents and Settings\gotsun\Application Data\Real\Update\UpgradeHelper\RealPlayer\10.60\agent\rnupgagent.exe
2013/08/31 10:27 771248 Bytes c:\Documents and Settings\gotsun\Application Data\Real\Update\UpgradeHelper\RealPlayer\10.60\agent\stub_exe\RealPlayer_tw.exe
2012/09/14 17:46 177664 Bytes c:\Documents and Settings\gotsun\Application Data\Sun\Java\jre1.7.0_07\lzma.dll
2012/11/01 08:35 177664 Bytes c:\Documents and Settings\gotsun\Application Data\Sun\Java\jre1.7.0_09\lzma.dll
2013/10/23 13:33 152576 Bytes c:\Documents and Settings\gotsun\Application Data\Sun\Java\jre1.7.0_45\lzma.dll
2013/10/03 14:03 844752 Bytes c:\Documents and Settings\gotsun\Local Settings\Application Data\Google\Chrome\Application\old_chrome.exe
2013/10/09 08:01 57296 Bytes c:\Documents and Settings\gotsun\Local Settings\Application Data\Google\Chrome\Application\30.0.1599.101\chrome_frame_helper.dll
2013/10/09 08:01 83408 Bytes c:\Documents and Settings\gotsun\Local Settings\Application Data\Google\Chrome\Application\30.0.1599.101\chrome_frame_helper.exe
再取得識別碼之後,可以依照時間來此頁面查詢,協助維運人員了解警報的詳細內容與狀況.
點選比對異常的文字連結進入以下畫面:
上圖的文字敘述請參考下列文字說明:
比對異常的執行識別: [oscmp_011530.scmp]
如下:
c:\Documents and Settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
c:\Documents and Settings\gotsun\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
c:\Program Files\Common Files\Java\Java Update\jaucheck.exe
c:\Program Files\Common Files\Java\Java Update\jaureg.exe
c:\Program Files\Common Files\Java\Java Update\jucheck.exe
c:\Program Files\Common Files\Java\Java Update\jusched.exe
c:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
c:\Program Files\Common Files\Microsoft Shared\Help\ITIRCL55.DLL
c:\Program Files\Common Files\Microsoft Shared\Help\msitss55.dll
c:\Program Files\Common Files\Microsoft Shared\Help\1028\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\1031\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\1033\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\1036\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\1040\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\1041\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\1042\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\1046\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\1049\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\2052\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\Help\3082\hxdsui.dll
c:\Program Files\Common Files\Microsoft Shared\VS7Debug\msdbg2.dll
c:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
系統比對系列功能即為執行比對,本系列功能包含非法執行,非法檔案-根目錄,新增檔案與比對異常等
四種,請參考下圖的下半部:
相較於系統比對是整個作業系統的比對,執行比對屬於針對在執行的程式檔案進行比對的功能
底下的項目有非法執行非法檔案-根目錄 新增檔案與比對異常等四種項目功能
只需要點選文字連結即可進入察看其發出警報的各類檔案
點選非法執行的文字連結進入以下畫面:
點選非法檔案-根目錄的文字連結進入以下畫面:
點選新增檔案的文字連結進入以下畫面:
點選比對異常的文字連結進入以下畫面:
以本系列伺服主機之系統比對-己發出警報的各類檔案的系列功能,主要的應用方式的其中一類
當維運人員收到警報時,可以依照警報內容中識別碼,到此系列功能進行搜尋的動作
可以更詳細的了解警報的細節內容,其底下的所有項目功能,都為此應用的方式,系列功能如下:
系統比對
*.非法檔案-系統
*.新增檔案
*.比對異常
執行比對
*.非法執行
*.非法檔案-根目錄
*.新增檔案
*.比對異常
以分項的方式讓維運人員了解是哪一類型的比對發出警報,作到進一步的判斷與處理.
伺服主機"比對系統"的警報閘道(依異常項目)之功能
在管理伺服主機的所有功能中,有很多重要的選擇機制,影響著當狀況發生時的後續處理機制,
在設定伺服主機之比對系統的"警報閘道-依異常項目"整個項次中,所提到的就是利用警報閘道的機制
啟用命令閘道的後續功能作用,因為以伺服主機比對的功能中,系統比對與執行比對有可能比對出多個異常狀況
依照異常的分項,利用警報閘道啟用命令閘道去執行下一個步驟的動作,在比對狀況之下一個比對異常跟數個比對異常
同樣都是異常發生的狀況,所以使用此警報閘道去啟用命令閘道,主要是避免重複執行多個異常動作所產生的後果
也就是依照系統比對與執行比對底下的幾個大項,來啟用警報閘道去執行命令閘道,執行預先準備好的命令
例如說當非法執行比對出某支非法存在的執行程式時,利用本功能,命令整個系統重啟並且通知維運人員處理
以上即為本設定伺服主機之比對系統 警報閘道-依異常項目整個項次功能的使用方法
本項目功能請點選伺服主機的偵測項目之後,往下拉即可看到下圖:
以上畫面中為設定伺服主機之比對系統"警報閘道-依異常項目"系列功能底下分成兩個項目,系統比對與執行比對
*.系統比對:偵測系統異常 非法檔案-系統 新增檔案 比對異常
*.執行比對:非法執行 非法檔案-根目錄 新增檔案 比對異常
系統比對的偵測系統異常項目,僅有Windows系統才有的偵測項目,Linux或Unix的作業系統,則無此項功能
系統比對項目下有:偵測系統異常,非法檔案-系統,新增檔案與比對異常等四個項次,位於伺服主機比對系統
警報閘道(依異常項目)功能項目底下的第一大項,如下圖:
本設定伺服主機之比對系統"警報閘道-依異常項目"系列功能,是利用警報閘道執行命令閘道
控制伺服主機的一個機制,除了異常項目的分類之外,其使用方式一樣,如要進一步設定
請點選系統比對底下的偵測系統異常文字連結進入以下畫面:
回到首頁
