CERT 的Windows 入侵者检测清单是一个好的开始。

本文档概述了确定您的 Windows 系统是否已被入侵的建议步骤。系统管理员可以使用此信息来查找多种类型的入侵。我们还鼓励您查看本文档的所有部分并修改您的系统以解决潜在的弱点。

它特别指出，日志虽然可能有用，但对于检测入侵并不可靠。

主动审计和监控是入侵检测的重要步骤。审计更改的数据或受损的系统是无效的——它们的日志不可靠。为您认为您的环境的正常活动建立一个基线，以便您可以确定异常事件并做出适当的响应。有关有助于检测成功攻击或正在进行的攻击的审计设置和事件的更多信息，请参阅本文档的 C16 部分。

在广泛的层面上，他们的清单是

1. 关于 Rootkit 的一句话
2. 检查日志文件
3. 检查奇怪的用户帐户和组
4. 检查所有组的意外用户成员身份
5. 寻找未经授权的用户权利
6. 检查自动启动的未经授权的应用程序
7. 检查您的系统二进制文件是否有更改
8. 检查您的网络配置中是否存在未经授权的条目
9. 检查未经授权的共享
10. 检查任何计划运行的作业
11. 检查未经授权的进程
12. 在整个系统中查找异常或隐藏文件
13. 检查文件或注册表项上的更改权限
14. 检查用户或计算机策略的更改
15. 确保系统未加入其他域
16. 入侵检测审计

定期检查的事项清单，例如每周、每月、

检查你的备份！这是一项经常被忽视的任务，但备份对您的完整性和可用性至关重要。从某些妥协中恢复的最佳方法是从备份中恢复。使用您的备份在实际计算机上执行还原。不太频繁地使用备份来恢复到正在备份的实际机器。如果您有异地备份，请定期对其进行测试。每次备份测试的频率取决于您的资源和恢复需求。

检查日志

不要忘记检查您的打印机、复印机和其他网络连接设备的日志。如果您使用钥匙卡进行物理访问，请同时检查这些日志。

检查 AD 和 Notes 中不再在这里工作的用户

最好检查一下，但是您还应该有一个程序，当用户不再需要访问（合同完成、不再受雇等）时，人力资源或负责部门会立即通知您。检查应包括与 HR 数据库的比较和同步。

检查管理员权限

还要审核具有管理权限的用户所做的所有更改。

检查防火墙中的漏洞。

还要进行流量分析并与基线进行比较。

清理安全漏洞

防止利用安全漏洞的良好做法是及时了解您使用的产品。

SANS 有一个很棒的博客http://www.sans.org/windows-security/

US-CERT http://www.us-cert.gov/cas/alldocs.html

微软安全情报报告http://www.microsoft.com/security/sir/default.aspx

Microsoft Windows 服务器安全论坛http://social.technet.microsoft.com/Forums/en-US/winserversecurity/threads

Lotus 安全手册http://www.redbooks.ibm.com/abstracts/sg247017.html

检查未被注意到的攻击的迹象？

一种简单的方法是在干净（安全）状态下测量您的系统（计算机、网络和设备）。做简单的流量监控和使用统计，然后定期自动测量当前系统并与您的基线进行比较。更主动的方法是使用入侵检测系统 (IDS) 和/或入侵防御系统 (IPS)。