計(jì)算機(jī)安全防護(hù)筆記

1、計(jì)算機(jī)安全防護(hù)第一章 安全使用計(jì)算機(jī)一、 什么是計(jì)算機(jī)安全：保護(hù)計(jì)算機(jī)的硬件、軟件和數(shù)據(jù)，不因偶然和惡意的原因而遭到破壞、更改和泄露，系統(tǒng)連續(xù)正常地運(yùn)行二、 誤操作、誤刪除、停電、雷擊、操作系統(tǒng)的漏洞、垃圾郵件、毒三、人為因素：計(jì)算機(jī)的實(shí)施主體是人，安全設(shè)備與安全策略最終要依靠人才能應(yīng)用與貫徹 邏輯安全：1、預(yù)防為主 2、開展計(jì)算機(jī)安全培訓(xùn) 3、用來(lái)歷不明的U盤、光盤等物理安全：火災(zāi)、盜竊、靜電、雷擊、電磁輻射四、操作系統(tǒng)安全級(jí)別：A級(jí)最高：沒(méi)有安全性可言，例如MS DOS不區(qū)分用戶，基本的訪問(wèn)控制有自主的訪問(wèn)安全性，區(qū)分用戶標(biāo)記安全保護(hù)，如System V等結(jié)構(gòu)化內(nèi)容保護(hù)，支持硬件保護(hù)安全域

2、，數(shù)據(jù)隱藏與分層、屏蔽校驗(yàn)級(jí)保護(hù)，并提供B3級(jí)安全手段D 級(jí)C1 級(jí)C2 級(jí)B1 級(jí)B2 級(jí)B3 級(jí)A 級(jí)操作系統(tǒng) 安全級(jí)別 SCO OpenServe C2 Linux C2 Windows Server 2003/2000 C2Saloris C2DOS DUnixWare 2.1/ES B2 五、系統(tǒng)漏洞：1、不安全服務(wù)：1、Remote Registry Service 2、Messenger2、 共享漏洞：1、IPC$ 、ADMIN$、C$2、Net use IPipc$ “” /user:”3、Net view IP六、安全帳戶設(shè)置：（1）密碼策略A、 密碼復(fù)雜性要求啟用 B、密碼

3、長(zhǎng)度最小值 8位 C、強(qiáng)制密碼歷史 5次D、 最長(zhǎng)存留期 30天（2）帳戶鎖定策略a) 賬戶鎖定 3次錯(cuò)誤登錄b) 鎖定時(shí)間 20分鐘c) 復(fù)位鎖定計(jì)數(shù) 20分鐘七、NTFS權(quán)限管理標(biāo)準(zhǔn)權(quán)限基于目錄基于文件不可訪問(wèn)無(wú)無(wú)列出RX不適用讀取 RX RX 添加 WX 不適用 讀取和運(yùn)行 RWX RX 更改 RWXD RWXD 完全控制 ALL ALL 八、關(guān)閉默認(rèn)共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters設(shè)置鍵值A(chǔ)utoShareServer，類型為DWORD，鍵值為0。如果沒(méi)有可以新建一個(gè)，同樣

4、也生效。九、禁止建立空連接HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa設(shè)置鍵值restrictanonymous，類型為DWORD，鍵值為1。十、禁止CD-ROM的自動(dòng)運(yùn)行HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom設(shè)置AutoRun值為0十一、病毒的危害v 1、病毒體執(zhí)行后，將自身拷貝到系統(tǒng)目錄： v %SystemRoot%SVCH0ST.EXEv %SystemRoot%system32SVCH0ST.EXE v 2、該病毒后下載運(yùn)行后，添加注冊(cè)表啟動(dòng)項(xiàng)目確保自身在系

5、統(tǒng)重啟動(dòng)后被加載： v 鍵路徑：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunv 鍵名：Userinitv 鍵值：C:WINDOWSsystem32SVCH0ST.exe v 3、連接ddos2.*.com，獲取攻擊地址列表和攻擊配置，并根據(jù)配置文件，進(jìn)行相應(yīng)的攻擊。 v 配置文件如下：v :3389v :80v :80v :80病毒腳本Cd benetType benetCopy lon cd benet查看遠(yuǎn)程端口：netstat ano查看SID號(hào)：whoami /user查看共享：net share查看本機(jī)用戶：n

6、et user第二章 部署企業(yè)防病毒方案一、病毒定義 ：人為編制的計(jì)算機(jī)程序，干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障，破壞計(jì)算機(jī)數(shù)據(jù)，可自我復(fù)制二、病毒特點(diǎn) ：1、非授權(quán)執(zhí)行性：并不是管理員賦予的許可，2、隱蔽性：偽裝自身，逃避防病毒系統(tǒng)的檢查 3、傳染性：自身不斷繁殖并傳染給其他計(jì)算機(jī)4、潛伏性：長(zhǎng)期隱藏在系統(tǒng)中，特定條件下啟動(dòng) 5、破壞性：破壞數(shù)據(jù)或刪除文件 6、可觸發(fā)性：被激活的計(jì)算機(jī)病毒才能破壞計(jì)算機(jī)系統(tǒng) 三、病毒分類 ：病毒類型 特征危害文件型感染DOS下的COM， EXE文件隨著DOS的消失已逐步消失，危害越來(lái)越小引導(dǎo)型啟動(dòng)DOS系統(tǒng)時(shí)，病毒被觸發(fā)隨著DOS的消失已逐步消失，危害

7、越來(lái)越小宏病毒針對(duì)Office的一種病毒，由 Office的宏語(yǔ)言編寫只感染Office文檔，其中以 Word文檔為主VB腳本病毒通過(guò)IE瀏覽器激活用戶瀏覽網(wǎng)頁(yè)時(shí)會(huì)感染，清除較容易蠕蟲有些采用電子郵件附件的方式發(fā)出，有些利用操作系統(tǒng)漏洞進(jìn)行攻擊破壞文件、造成數(shù)據(jù)丟失，使系統(tǒng)無(wú)法正常運(yùn)行，是目前危害性最大的病毒木馬通常是病毒攜帶的一個(gè)附屬程序奪取計(jì)算機(jī)控制權(quán)黑客程序一個(gè)利用系統(tǒng)漏洞進(jìn)行入侵的工具通常會(huì)被計(jì)算機(jī)病毒所攜帶，用以進(jìn)行破壞 四、系統(tǒng)安裝工作： 注：在安裝系統(tǒng)時(shí)，注意安裝IIS組件 1、 安裝系統(tǒng)補(bǔ)丁：建議先安裝SP4，以及一些漏洞性的補(bǔ)丁，然后聯(lián)網(wǎng)作update 2、 進(jìn)行網(wǎng)絡(luò)配置：注

8、意IP地址，保證可以與企業(yè)網(wǎng)互通，同時(shí)所有客戶端也可以訪問(wèn)到此服務(wù)器。 一、Symantec防病毒產(chǎn)品服務(wù)器安裝步驟： 1、 運(yùn)行安裝盤，安裝“管理員工具”下的“symantec系統(tǒng)中心” 2、 運(yùn)行安裝盤，安裝“管理員工具”下的“中央隔離區(qū)” 3、 運(yùn)行安裝盤，安裝“管理員工具”下的“隔離區(qū)控管臺(tái)” 4、 運(yùn)行安裝盤，安裝“l(fā)iveupdate管理實(shí)用程序 ，必須重啟計(jì)算機(jī)5、 運(yùn)行安裝盤，安裝“Symantec Antivirus”下的“部署防病毒服務(wù)器”。二、Symantec防病毒控管臺(tái)配置中的關(guān)鍵步驟： 1、 進(jìn)入symantec系統(tǒng)中心，首先將此服務(wù)器升級(jí)為一級(jí)控制器：右鍵單擊“服務(wù)

9、器圖標(biāo)”，選擇“使服務(wù)器成為一級(jí)服務(wù)器”。 2、 命名服務(wù)器組的名稱，規(guī)則是“*防病毒”；例如“大興防病毒”。 3、 進(jìn)行服務(wù)器的升級(jí)配置： 工具查找計(jì)算機(jī)網(wǎng)絡(luò)搜索輸入服務(wù)器IP地址查到后退出 ；右鍵單擊“服務(wù)器圖標(biāo)”所有任務(wù)symantec antivirus病毒定義管理器：（1）選擇只更新服務(wù)器組的一級(jí)服務(wù)器點(diǎn)擊右邊的“配置”選擇“源”選擇“其他受保護(hù)的服務(wù)器”點(diǎn)擊“配置”選擇一級(jí)控管臺(tái)服務(wù)器“Symantec” （2）選擇“調(diào)度自動(dòng)掃描”點(diǎn)擊“調(diào)度”選擇“每天”設(shè)定具體時(shí)間和頻率 4、 進(jìn)行客戶端的配置：右鍵單擊“服務(wù)器圖標(biāo)”所有任務(wù)symantec antivirus客戶端管理員專用選

10、項(xiàng)：（1）“常規(guī)”標(biāo)簽內(nèi)，“顯示”項(xiàng)內(nèi)，選擇“在桌面上顯示圖標(biāo) （2）“安全”標(biāo)簽內(nèi)，對(duì)客戶端卸載產(chǎn)品進(jìn)行限制。 5、 進(jìn)行掃描的配置：右鍵單擊“服務(wù)器圖標(biāo)”所有任務(wù)symantec antivirus客戶端自動(dòng)防護(hù)選項(xiàng)：可根據(jù)一定的原則，進(jìn)行設(shè)置，主要針對(duì)的是“文件系統(tǒng)”和“Internet email”的設(shè)置。第三章 木馬查殺及Windows注冊(cè)表的使用 后綴： .reg一、什么是木馬：駐留在目標(biāo)計(jì)算機(jī)里，隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一端口進(jìn)行偵聽，對(duì)目標(biāo)計(jì)算機(jī)執(zhí)行特定操作二、木馬的特點(diǎn)：未經(jīng)授權(quán)就可獲得目標(biāo)計(jì)算機(jī)的使用權(quán)，程序小，執(zhí)行時(shí)不占用太多資源，執(zhí)行時(shí)很難停止，一次執(zhí)行后，就會(huì)在系統(tǒng)中駐

11、留，之后每次在系統(tǒng)加載時(shí)自動(dòng)執(zhí)行，一次執(zhí)行后，就會(huì)自動(dòng)變更文件名，甚至隱形 三、注冊(cè)表結(jié)構(gòu)：鍵值說(shuō)明HKEY_LOCAL_MACHINE本地計(jì)算機(jī)系統(tǒng)的信息，包括硬件和操作系統(tǒng)數(shù)據(jù)HKEY_CLASSES_ROOT各種 OLE 技術(shù)和文件類關(guān)聯(lián)數(shù)據(jù)的信息HKEY_CURRENT_USER用戶配置文件，包括環(huán)境變量、桌面設(shè)置、網(wǎng)絡(luò)連接、打印機(jī)和程序首選項(xiàng)等HKEY_USERS動(dòng)態(tài)加載的用戶配置文件和默認(rèn)的配置文件的信息HKEY_CURRENT_CONFIG 計(jì)算機(jī)系統(tǒng)使用的硬件配置文件的相關(guān)信息。用于配置一些設(shè)置，如要加載的設(shè)備驅(qū)動(dòng)程序、顯示時(shí)要使用的分辨率四、木馬的危害：竊取密碼，文件操作，修

12、改注冊(cè)表，系統(tǒng)操作五、人工識(shí)別：1、利用netstat命令 2、注冊(cè)表啟動(dòng)項(xiàng)目的檢查 3、利用msconfig查看啟動(dòng)程序 六、木馬的手工清除：1、結(jié)束木馬進(jìn)程 2、查找并刪除木馬主程序 3、Kernel32.exe 4、Sysexplr.exe5、恢復(fù)Windows注冊(cè)表七、軟件清除：1、利用木馬克星清除 2、掃描硬盤及內(nèi)存 3、攔截木馬選項(xiàng) 4、查看系統(tǒng)當(dāng)前進(jìn)程八、木馬防御方法：1、端口掃描 2、查看鏈接 3、檢查注冊(cè)表 4、查找可疑文件九、木馬的預(yù)防：1、不去不明網(wǎng)站下載軟件 2、不隨意瀏覽附件 3、不瀏覽不良網(wǎng)站4、及時(shí)升級(jí)殺毒軟件 5、妥善保存機(jī)密文件和資料 十、木馬的工作原理：十一、修改3389默認(rèn)端口1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp2、打開PortNumber鍵值-改3389值3、HKEY_LOCAL_MACHINESYSTEMCurrentCont