事件类型:

　　事件来源:IAS

　　事件种类:无

　　事件ID:2

　　日期:2009-10-16

　　事件:16:31:26

　　用户:N/A

　　计算机:SHDC

　　描述:

　　用户shixun\administrator被访问。

　　Reason=由于未知的用户名或错误密码，身份验证失败。

　　有关更多信息，请在的帮助和支持中心。

　　而ISA上有远程拨入VPN也是启用RADIUS身份验证，但可以正常拨入。为什么WEB代理就出现这样情况，期望专家为我解答一下？

　　A：日志最后面：Reason=由于未知的用户名或错误密码，身份验证失败。ISA和DC互通过程中身份验证方式的问题，请检查。您可以参考下这个帖子：

　　Q：内网安全，是不是要求管理层面的力度比技术层面的力度要大些哪?

　　A：一般说七分管理，三分技术，特别是内部网络的安全。如WEB安全，做好技术上的就问题不大，但是内网很多人都能接触到别人的计算机，所以更重要的是管理。我遇到很多单位实施内网安全产品，往往被技术部门的员工把客户端卸载或，出现这样的就必须用管理手段了，因为没有一款产品能做到100%的自身安全，哪怕通过了相关部门的测试。我经常举例子给他们，说：安全产品就是单位买的门和锁，谁弄坏了，谁就赔，就要罚款！用Windows的域管理，要相对好一点。

　　Q：内网中，入侵检测系统怎样部署，才能检测到具体是哪一个端口、哪一台PC有问题？

　　A：IDS为旁路设备，如果设备有报警，都会有IP地址的，这样可以定位到出问题的主机。当然IDS的误报比较多，这个要注意甄别。如，有的IDS默认对ping都报警，或对ARP的解析也有信息，量就很大了。可以对扫描设置一个阈值，超标则报警。

　　Q：如果公司经费紧张，而且属于生产制造企业，请问对于保障企业核心机密应该从哪里开始着手能够达到性价比最高？请说明一下先后次序。（生产制造企业一般来说经费考虑信息部门的不多，更不要说经营紧张的了）

　　A：1、操作审计；2、端口控制；3、文档加密；4、文档权限控制。现在1和2可以做到一起，3和4一般做在一起。当然现在四者做到一起的也有，个人一起用，因为现在一些数据防泄漏厂家都可以把四者做到一起，用的时候也简单。如果资金紧张，做文档加密。这样即使传出去，也不会被别人破解。

　　Q：我们已经部署了趋势网络版的，现在局域网的病毒特别的严重，如何才能有效的防护？如何可以检测到哪一台PC又问题？

　　A：据我所知，所有的网络版都可以看到是哪一台计算机中毒了，您可以仔细看看去是网络版的说明书。另外，局域网病毒严重很多是由于USB，如很多ARP类都可以通过U盘，另外安装360安全卫士，防护。如果购买了趋势的产品，可以要求厂家或代理商提供一定的技术支持。另外，Windows系统常打补丁，并最好不要用管理员帐号。

　　Q：如果我想在公司里做一个非常简单的数据备份，用一般的PC做服务器就够了，系统是Windows2003，如何设置既方便又安全的实现如下几点。（因为以前有过这种情况，由于硬题导致数据丢失，一些重要的文档无法恢复）

　　1、每个人有自己的空间，不要多，只要10M到50M，放一些最重要的文档

　　2、每个人只能看自己的文件夹，其他人的文件下对自己透明，自己的文件夹对别人也是透明。

　　A：如果担心硬盘损坏，可以用RAID，或者采用专业存储解决方案。你说的限定用户的空间，可以用Windows的磁盘配额功能实现；通过NTFS设置权限，实现每个用户只能管理自己的文件夹，对别人的目录无法读取。

　　Q：专家你好，我这两天正在为局域网安全犯愁呢。

　　你说到了三分技术，7分管理。但是我7分管理在我这里行不通，所以需要技术来解决。

　　公司是属于软件开发类型的，每个员工机器上都有部分代码，害怕员工把自己机器上的代码偷走。是AD，所有的机箱和USB都了。主要还有交叉线对联的安全漏洞和外部笔记本接入的问题。虽然交换机了端口安全，但是毕竟自己员工，可以搞到对应端口的MAC地址，所以我想请问还有没有其他方法呢？尽量不要使用硬件，预算部足。谢谢!

　　A：现在基于802。1x的非法接入控制方案是无法满足双机直接拷贝的问题的，但是可以解决外部笔记本接入的问题。有厂家出的可信域产品可以解决这个问题，实现方式：在所有计算机安装Agent，如果对方没有，则不与对方通信。并且可以划分可信和不可信域，这样外部计算机即使装上了Agent，由于没有管理员授权也无法和内部计算机通信。

　　Q：AD+ISA进行内网管理，安全性还应该注意哪些方面？

　　A：USB、红外、蓝牙，甚至串并口。操作系统下面，用户A拷贝了文件给B，B发送给C、D，权限是不好控制的……另外打印行为也要注意。

　　Q：我想请问专家的是，对于一个中小企业，对IT方面的投入不是很大，一般用路由器作为防火墙，除了内网的病毒更新、服务器的补丁更新之外，还应该注意些什么？谢谢！

　　A：传统的三件宝：防火墙、入侵检测、防病毒，不过现在很多用入侵防御系统替代防火墙和入侵检测，如果有文档需要保密，则需要数据防泄漏。用路由器做防火墙也没有太大的问题，就多数客户的情况来看，注意终端数据安全即可。

　　Q：我自己是觉得集成的好用，所以采用的安全方案是ISA(加了功能组件，可以做到病毒防火墙的功能)+AD+RMS+公司行政支持。专家认为还需要注意哪些问题?

　　A：内部网络的行为检测，网络审计、主机行为操作审计、终端防病毒，如U盘病毒，以及ARP等……有可执行的、针对内部业务的AD策略，有RMS，信息失窃的可能不大。能有公司强有力的行政支持，这一点很难得。

　　Q：我内网单位有较多的数据库，除了安装好软硬件防火墙及单机的杀病毒软件，还有哪些手段可以防止相关的和病毒。如SQL注入等等?

　　A：如果不放心WEB和数据库安全，可以考虑IPS和WEB应用防火墙，和数据库审计。用专业的WEB和数据库评估产品进行评估，SQL注入的问题可以通过说的WEB应用防火墙、IPS实现，当然最彻底的办法：用WEB评估工具扫描漏洞，进行漏洞的修复。病毒用防毒墙和客户端防病毒就差不多了。

　　Q：电子阅览室机器比较多，有没比较有效的管理软件可以个机的上网流量控制，特别是针对众多学生在线看电影，P2P下载等等，以及有计时功能?