7.4、对策

在线银行站点应该要求所有的Web应用程序开发商一定要遵循基本的安全程序的惯例，或者要求对所有置入这个程序产品的代码进行审计。最好是限制用户输入传送到服务器端脚本的数量。使用硬编码的文件名和常量能够提升应用程序的安全系数，而这绝不是雄辩。

这个案例暴露出Citrix服务器网络监控程序松弛，口令安全保障拙劣。这是银行所犯的最大错误。只要银行安装了击键记录程序，隐藏其他授权用户，并植入反特洛伊木马程序，就很可能阻止Gabriel进入他们的网络。这个黑客编写了一些脚本，并把脚本放入管理员的启动文件夹内。这样，当管理员登录的时候，Pw Dump 3程序就开始悄无声息地运行。当然，他已经拥有管理员权限。这个黑客静静地等待一个域管理员登录，这样他就能获取他的管理员权限，并自动从主域控制器提取口令的散列。隐藏的脚本通常被称为“Trojan”或者“trapdoor”。

以下列出了部分对策：

☆ 检查所有账户口令，最后一次使用系统服务账户——比如说“TsInternetUser”的时间，不将此账户分配给个人。检查所有未经授权的管理员权限，未经授权的群组权限，以及最后一次登录的时间。这些定期检查能够确认安全事件。寻找那些在异常时间段内设置的口令，因为黑客很可能并不知道在他（或她）更改账户口令的时候，已经留下了一个审计跟踪记录。

☆ 只允许在营业时间内进行交互式登录。

☆ 对所有通过无线、拨号、Internet或者企业外部网络从外部访问银行系统的登录和注销进行记录以便审计。

☆ 配置SpyCop（可从www.spycop.com下载）之类的软件，用来侦查未经授权的击键记录程序。

☆ 在安装安全程序软件升级包时要保持警惕。在有些环境中，自动下载最新的软件升级包可能是恰当的。Microsoft总是积极鼓励用户将他们的计算机系统设置为自动更新。

☆ 检查那些通过远程控制软件——例如Win VNC，Tight VNC，Damware等等——来进行外部访问的系统。当他们拥有合法使用权时，这些软件程序就能使攻击者监视，并控制登录进入系统控制台的会话期。

☆ 仔细审计使用Windows Terminal Services或者Citrix Meta Frame的每一次登录。大部分攻击者会优先选择使用这些服务程序，而不选择远程控制软件，以减少被发现的几率。