资源描述
网络安全手册东北大学网络中心2006年12月30日提纲1个人计算机的安全配置与使用规范2校园网近期安全问题3个人计算机常见安全问题与解决办法4校内安全资源2一、个人计算机的安全配置与使用规范1.Windows系统的安全保护机制2.校内安全资源的使用3.初装计算机的正确步骤3一、个人计算机的安全配置与使用规范Windows系统的安全保护机制q系统与应用程序补丁q防火墙q帐号与口令q防病毒软件q正确的使用习惯4windows的安全保护机制q系统与应用程序补丁补丁的安装方法:1.Windows在线的update网站更新(需要是正版)2.微软提供的自动更新服务(速度慢)3.学校提供的WSUS服务器(推荐使用)4.手动下载补丁程序安装(不推荐)需要提醒的时除了系统补丁外,很多应用软件也需要安装补丁程序,如(office、IE、OUTLOOK等)5windows的安全保护机制q防火墙的选用1.Winxp或者win2003自带的防火墙(推荐使用)2.Windows自身的组策略安全规则(配置复杂)3.第三方的防火墙(如天网个人防火墙、norton提供的防火墙、瑞星杀毒软件提供的防火墙、趋势防火墙)防火墙是必须的6windows的安全保护机制q口令设置要求1.口令应该不少于8个字符;2.不包含字典里的单词、不包括姓氏的汉语拼音;3.同时包含多种类型的字符,比如大写字母(A,B,C,.Z)小写字母(a,b,c.z)数字(0,1,2,9)标点符号(,#,!,$,%,&)7windows的安全保护机制q防病毒系统1.一定要及时升级病毒库文件(推荐使用企业版)2.实时监控功能一定要开着3.推荐使用的杀毒软件赛门铁克的norton防毒软件瑞星杀毒软件(rising)趋势科技的officescan防毒软件卡巴斯基。8windows的安全保护机制q正确的使用习惯1.不随便下载程序运行2.不访问一些来历不明的网页链接3.不使用的情况下尽量关闭机器4.经常备份重要数据9一、个人计算机的安全配置与使用规范1.Windows系统的安全保护机制2.校内安全资源的使用3.初装计算机的正确步骤10校内安全资源的使用补丁更新服丁更新服务器器q东北大学WSUS服务器http:/地址:202.118.1.113qWSUS服务配置方法1.修改注册表2.修改组策略(推荐)11补丁更新服务器(组策略)一、选择“开始”,“运行”,输入gpedit.msc,打开组策略窗口。二、选择“管理模板”,然后从菜单中选择“操作”,“添加/删除模板”。(注意:winxp sp1以上版本的操作系统中这个wuau.adm已经添加了,您可以直接跳到第六步)三、在“添加/删除模板”窗口中选择“添加”。12补丁更新服务器(组策略)四、在“策略模板”中选择“wuau.adm”,并选择“打开”。五、选择“关闭”,关闭“添加/删除模板”窗口。六、选择“计算机配置”-“管理模板”-“Windows 组件”-“Windows Update”,并选择“配置自动更新”。七、在“配置自动更新”的属性窗口中,选择“启用”,并选择“确定”。13补丁更新服务器(组策略)八、在“指定Intranet Microsoft更新服务器位置”的属性窗口中,选择“启用”,并在“设置检测更新的Intranet更新服务:”框中输入“http:/ wuauclt.exe/detectnow 命令,立即启动wsus服务!14补丁更新服务器(注册表)Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate“WUServer”=“http:/WUStatusServer=http:/HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAUUseWUServer=dword:0000000115补丁更新服务器(注册表)当系统右下角的托盘中出现了黄色的小盾牌(windows2000为绿色的小地球图标)后,说明系统有需要安装的补丁程序,双击该图标后按照系统提示安装相应的补丁程序!16Symantec杀毒软件q病毒服务器地址:http:/202.118.1.39q病毒软件的安装方法:1.在线安装(需要把控件功能打开)2.下载安装包安装企业版的Norton杀毒软件采用的是服务器自动分发病毒库文件,无需用户手动更新。17Symantec杀毒软件q查看病毒码更新日期(主窗口-病毒定义文件-版本)qLive update-立即更新功能(一般情况下不需要手动点击立即更新):应该连接到校内地址202.118.1.649.0版10.0版18卡巴的升级q目前东北大学网络中心提供卡巴的病毒定于升级q地址:http:/202.118.1.39q支持版本:5.0/6.019一、个人计算机的安全配置与使用规范1.Windows系统的安全保护机制2.校内安全资源的使用3.初装计算机的正确步骤20初装计算机的正确步骤q系统的选择原则1.选择最新版的操作系统(推荐winxp或2003)2.尽量选择已经带有service pack的版本3.遵从“最小安装原则”4.如果有专职管理员,请专职管理员协助安装操作系统21操作系统初始安装的过程q系统安装与加固1.预先将东西准备好(如防火墙软件等)2.安装过程请拔掉网线3.系统安装结束后请安装并启用防火墙后再插上网线4.配置补丁自动更新,并升级补丁程序5.安装防病毒软件并升级到最新的病毒库q具体过程请参照 qftp:/202.118.1.64/pub2/Sercurity/doc/初装计算机补丁安装.doc22提纲1个人计算机的安全配置与使用规范2校园网近期安全问题3个人计算机常见安全问题与解决办法4校内安全资源23二、近期校园网常见安全问题qARP攻击q系统入侵q熊猫烧香病毒24ARP攻击q什么是ARP攻击?利用ARP协议本身的缺陷进行的一种非法攻击,目的是为了在全交换环境下实现数据监听。通常这种攻击方式可能被病毒、木马或者有特殊目的攻击者使用。qARP攻击有什么危害?致使同网段的其他用户无法正常上网(频繁断网或者网速慢),泄露用户的敏感信息。25ARP原理qARP(AddressResolutionProtocol)地址解析协议用于将计算机的网络地址(IP地址32位)转化为物理地址(MAC地址48位)RFC826 qARP协议是属于链路层的协议,在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址(硬件地址)来确定接口的,而不是根据32位的IP地址。内核(如驱动)必须知道目的端的硬件地址才能发送数据。q点对点的连接是不需要ARP协议的。26ARP原理主机名 IP地址 MAC地址主机A 192.168.1.2 01-01-01-01-01-01主机B 192.168.1.3 02-02-02-02-02-02网关C 192.168.1.1 03-03-03-03-03-03主机D 10.1.1.2 04-04-04-04-04-04网关E 10.1.1.1 05-05-05-05-05-0527ARP工作原理q假如主机A要与主机B通讯,它首先会检查自己的ARP缓存中是否有192.168.1.3这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,大致的意思是192.168.1.3的MAC地址是什么请告诉192.168.1.2,而广播地址会把这个请求包广播给局域网内的所有主机,但是只有192.168.1.3这台主机才会响应这个请求包,它会回应192.168.1.2一个arp包,大致的意思是192.168.1.3的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了,直到通讯停止后两分钟,这个对应关系才会被从表中删除。28ARP工作原理q假如主机A需要和主机D进行通讯,它首先会发现这个主机D的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关192.168.1.1对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通讯,然后再由网关C通过路由将数据包送到网关E,网关E收到这个数据包后发现是送给主机D(10.1.1.2)的,它就会检查自己的ARP缓存(没错,网关一样有自己的ARP缓存),看看里面是否有10.1.1.2对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址与主机D通讯。29ARP欺骗qArp欺骗原理 主机在实现ARP缓存表的机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截取主机A与主机D之间的数据通信成为可能30ARP欺骗1.主机b向网关C发送ARP应答包说:我是A我的MAC地址是02-02-02-02-02-02,主机b同时向主机A发送ARP应答包说:我是C我的MAC地址是02-02-02-02-02-02qB获得A发给C的数据,修改后发给C,同时获得C发给A的数据修改后发给A,实现了监听过程31ARP攻击几个概念:Arp缓存表32ARP攻击qARP数据包13:10:44.802151 arp who-has 192.168.1.1 tell 192.168.1.213:10:44.802607 arp reply 192.168.1.1 is-at 00:00:0c:07:ac:0033ARP攻击q什么情况下表明局域网内有ARP攻击1.校园网登陆系统频繁掉线2.网速突然变慢3.使用ARP a命令发现网关的MAC地址不停的变换4.使用sniffer软件发现局域网内存在大量的ARP reply包34ARP攻击q如何发现正在进行ARP攻击的主机1、在知道正确的网关MAC的情况下,通过ARP a命令看到的另一个网关MAC就是攻击主机的MAC2、使用Sniffer等抓包软件抓包发现大量的以网关的IP地址发送的ARP reply包,包中指定的MAC就是攻击主机的MAC3、使用清华开发的ARP保护程序发现攻击主机的MACftp:/202.118.1.64/pub2/Security/tools/ArpFix.rar35ARP攻击q如何处理感染主机1.发现感染主机,第一时间拔掉网线2.按照安全手册重新安装操作系统36ARP攻击q目前已知的ARP病毒的传播途径1.通过外挂程序传播2.通过网页传播3.通过其他木马程序传播4.通过即时通讯软件传播(QQ、MSN)5.通过共享传播(网络共享、P2P软件共享)37ARP攻击q如何预防感染ARP病毒?1.关闭不必要的共享2.及时安装系统补丁程序3.安装防病毒软件并及时升级病毒库4.不随便运行来历不明的程序5.不访问一些来历不明的链接38二、近期校园网常见安全问题qARP攻击q系统入侵q熊猫烧香病毒39近期校园网常见安全问题q系统入侵多数被攻击的都是服务器,操作系统多为windows2000 server 或者linux针对linux常利用的漏洞为:openssh 和 apche等软件的漏洞针对windows2000 server更多的是利用网页编写本身的漏洞。40二、近期校园网常见安全问题qARP攻击q系统入侵q熊猫烧香病毒41近期校园网常见安全问题q熊猫烧香病毒可对用户系统进行破坏,导致大量应用软件无法使用可删除扩展名为gho的所有文件,造成用户的系统备份文件的丢失,从而无法进行系统恢复能终止大量反病毒软件进程,降低用户系统的安全性急速变种感染型的蠕虫病毒42近期校园网常见安全问题q熊猫烧香病毒立即检查本机administrator组成员口令,一定放弃简单口令甚至空口令,安全的口令是字母数字字符的组合,自己记得住,别让病毒猜到就行。利用组策略,关闭所有驱动器的自动播放功能。修改文件夹选项,以查看不明文件的真实属性,避免无意双击骗子程序中毒。时刻保持操作系统获得最新的安全更新,建议用毒霸漏洞扫描功能,很可惜,现在光缆还没修好,网不通,不好修复。启用windows防火墙保护本地计算机。43提纲1个人计算机的安全配置与使用规范2校园网近期安全问题3个人计算机常见安全问题与解决办法4校内安全资源44三、常见安全问题及解决方法1.系统中的自启动程序2.浏览器的恢复3.本地病毒木马程序检查45系统中的自启动程序qWindows支持多种在系统启动时自动加载应用程序的方法包括:1.启动组2.Boot.ini、win.ini、system.ini文件3.注册表启动项4.添加成系统服务5.计划任务6.动态库文件加载46系统中的自启动程序q启动组和win.ini、system.ini开始-程序-启动里面对应的目录:C:Documents and Settingsadministrator开始菜单程序启动C:Boot.iniC:WindowsWin.iniC:Windowssystem.ini47系统中的自启动程序q注册表启动项1.HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun2.HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun48系统中的自启动程序q系统服务1.使用管理工具中服务选项来管理系统服务2.系统服务对应的注册表值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices 49系统中的自启动程序q任务计划在控制面板的任务计划里查看q动态库文件加载判断相对困难,需要有丰富的经验和相应的工具50系统中的自启动程序q有用但不为人知的系统启动检测命令msconfig51五、常见安全问题及解决方法1.系统中的自启动程序2.浏览器的恢复3.本地病毒木马程序检查52浏览器的恢复qIE浏览器容易出现的故障1.自动关闭2.默认主页被篡改(默认主页被禁止修改)3.自动弹出多个页面53浏览器的恢复qIE浏览器自动关闭的原因很多,例如:1.系统内存偏小2.系统内核故障(中木马了)3.IE软件故障4.IE与其他应用冲突(如打印进程)我们可以通过查看事件日志查找IE出错的原因54浏览器的恢复q解决IE浏览器自动关闭的方法1.使用杀毒软件杀毒2.察看事件记录看看是否记录关闭原因3.使用修复工具对IE进行修复4.安装新版本的IE浏览器5.重新安装操作系统6.增加系统内存55浏览器的恢复qIE浏览器手动修复方式(比较复杂)q修复IE的标题栏:编辑注册表HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainHKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain找到键值项Window Title,修改成你要的或删除即可56浏览器的恢复q恢复注册表修改权限HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystemDisableRegistryTools=dword:00000001方法1:使用其他注册表编辑器恢复,将DisableRegistryTools的值改为1方法2:通过组策略工具修改.57浏览器的恢复q恢复IE默认主页修改权限的操作:即“Internet 属性”控制面板设置IE主页,“使用默认页”、“使用空白页”等按钮变为灰色不可用。q解决方法:编辑注册表查找HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel删除键值项HomePage,或将其值改为058浏览器的恢复q修改IE默认页IE默认页为:http:/ ExplorerMainHKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain改键值项Default_Page_URL59浏览器的恢复q使用工具修复IE浏览器q常用的IE修复工具 IE修复专家 超级兔子IE管理专家 IE浏览器修复工具 黄山IE修复专家 瑞星卡卡上网助手 金山IE修复工具 HijackThis60浏览器的恢复q控制浏览器的加载项IE-工具-管理加载项(需要IE6.0以上版本)61五、常见安全问题及解决方法1.系统中的自启动程序2.浏览器的恢复3.本地病毒木马程序检查62本地病毒木马程序检查q检查发现1.系统运行突然变慢2.杀毒软件查出病毒,但是无法清除也无法隔离3.启动系统后不做任何网络操作,在命令行执行netstat an命令4.启动系统后不做任何网络操作几分钟后运行netstat s命令5.查看系统进程中是否有可疑进程(例如Svohost.exe之类的)6.查看系统启动项里是否有可疑进程63本地病毒木马程序检查q查找相关木马程序所在位置:1.直接使用杀毒软件查杀2.将可疑进程的名字到google上去查找看是否有相关资料3.自己使用netstat ano(winxp以上版本)或者fport.exe(win2000及以下版本)软件查看4.到注册表里去查找5.使用一些其他的进程查看软件64本地病毒木马程序检查q手动清除的基本过程:1.关闭系统还原功能2.重新启动系统到安全模式下(启动时按F8)3.找到相应文件删除掉4.修改相应的注册表值65一个有用的安全工具qICESWORDftp:/202.118.1.64/pub2/Security/tools/IceSword.rar66提纲1个人计算机的安全配置与使用规范2校园网近期安全问题3个人计算机常见安全问题与解决办法4校内安全资源67校内安全资源q补丁更新服务器:http:/q病毒软件服务器:http:/202.118.1.39q校园网服务:http:/ q白山黑水BBS-校园网服务版http:/ 张登科 2006-12-3168
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
