Знайте свою систему

Есть целый ряд правил по управлению системой, которые вы должны выполнять: • проверять список процессов на наличие необычных и неизвестных процессов;

• проверять список программ на неавторизованные добавления или изменения;

• проверять всю файловую систему в поисках новых или модифицированных файлов, текстов или приложений;

• обращать внимание на необычное уменьшение свободного пространства на диске;

• постоянно убеждаться в том, что все системы и пользователи работают и убирать «спящие» или неизвестные директории;

• проверять, что все специальные аккаунты сконфигурированы так, чтобы не допускать интерактивного входа в них со стороны сети;

• проверять, что все директории системы и файлы имеют соответствующие разрешения на допуск к файлам;

• проверять все записи об активности системы на предмет наличия в них необычной активности (например, удаленного доступа неизвестного происхождения или в необычное время, то есть, в нерабочие часы или в выходные дни);

• проверять все записи об активности Интернет‑сервера, чтобы идентифицировать все запросы неавторизованного доступа к файлам; атакующие, как продемонстрировано в этой главе, будут копировать файлы в директорию Интернет‑сервера, и перегружать файлы через Интернет (HTTP);

• постоянно убеждаться в том, что на Интернет‑сервере, FrontPage или WebDav установлены соответствующие разрешения для предотвращения неавторизованного проникновения с файлов доступа.