網(wǎng)絡(luò)維護(hù)實戰(zhàn)CHA03Windows安全管理實戰(zhàn)

1、BENET3.0第一學(xué)期課程第三章 Windows 2003安全管理實戰(zhàn)內(nèi)容回顧如何選擇建立網(wǎng)站的方式？如何選擇IDC？如何查找Web服務(wù)器的性能瓶頸？如何優(yōu)化Web服務(wù)器性能？如何對Web服務(wù)器進(jìn)行安全加固？2技能展示掌握計算機(jī)病毒和木馬的清除與預(yù)防掌握Windows系統(tǒng)的安全加固掌握配置和管理注冊表掌握使用IPSEC加密數(shù)據(jù)傳輸3本章結(jié)構(gòu)Windows 2003安全管理實戰(zhàn)病毒的清除與預(yù)防木馬的清除與預(yù)防利用注冊表提高系統(tǒng)安全性Windows安全加固與性能優(yōu)化使用IPSEC加密數(shù)據(jù)傳輸計算機(jī)病毒概述Symantec企業(yè)版防病毒軟件的安裝和部署計算機(jī)木馬概述常見木馬的識別常見木馬的清除方法4

2、計算機(jī)病毒的清除與預(yù)防計算機(jī)病毒概述隨著計算機(jī)應(yīng)用的日益普及，計算機(jī)病毒的影響越來越大 凡是人為編制的，干擾計算機(jī)正常運(yùn)行并造成計算機(jī)軟、硬件故障,或者破壞計算機(jī)數(shù)據(jù)的可自我復(fù)制的計算機(jī)程序都是計算機(jī)病毒5案例1：計算機(jī)病毒防治BENET上海分公司的計算機(jī)經(jīng)常受到病毒的侵?jǐn)_ 。為減少病毒破壞，公司決定部署防病毒系統(tǒng)實現(xiàn)全方位、多層次防毒可以從某一中心位置統(tǒng)一管理整個防病毒系統(tǒng)6案例1：計算機(jī)病毒防治安裝Symantec AntiVirus服務(wù)器程序安裝Symantec系統(tǒng)中心配置網(wǎng)絡(luò)防病毒一級服務(wù)器解除服務(wù)器的鎖定使服務(wù)器成為一級服務(wù)器安裝Symantec AntiVirus客戶端遠(yuǎn)程安裝本地

3、安裝教員演示操作過程7案例1：計算機(jī)病毒防治設(shè)置病毒掃描策略設(shè)置服務(wù)器掃描和 客戶端掃描設(shè)置掃描名稱、掃 描頻率、掃描時間 教員演示操作過程8案例1：計算機(jī)病毒防治設(shè)置防病毒策略啟用自動防護(hù)自動防護(hù)高級選項設(shè)置Internet電 子郵件自動防護(hù)設(shè)置Microsoft Exchange自動防護(hù)驗證客戶端自動防 護(hù)功能已經(jīng)生效設(shè)置病毒文件升級 策略教員演示操作過程9案例1：計算機(jī)病毒防治學(xué)員練習(xí)：安裝Symantec AntiVirus服務(wù)器程序安裝Symantec系統(tǒng)中心配置網(wǎng)絡(luò)防病毒一級服務(wù)器安裝Symantec AntiVirus客戶端設(shè)置病毒掃描策略設(shè)置防病毒策略設(shè)置病毒文件升級策略30分

4、鐘內(nèi)完成10計算機(jī)木馬的清除與預(yù)防計算機(jī)木馬概述常見木馬的識別常見木馬的清除方法11計算機(jī)木馬概述與病毒一樣，木馬也是一種非常危險的程序 它隱藏在系統(tǒng)內(nèi)部，隨系統(tǒng)啟動而啟動，在用戶不知情的情況下，連接并控制被感染計算機(jī) 木馬由兩部分組成：服務(wù)器端和客戶端 12常見木馬的識別手動識別使用netstat命令查看啟動程序13常見木馬的識別手動識別檢查注冊表啟動項修改注冊表查看“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”或“Run Once”；查看“HKEY_CURRENT_USERSOFTWAREMicrosoftWind

5、owsCurrent VersionRun”或“Run Once”或“Run Services”或“RunServicesOnce”將“HKEY_Classes_ROOTtxtopencommand”中的鍵值改為“c:windowssystem32notepad.exe %1”將“HKEY_Classes_ROOTexeopencommand”中的鍵值改為“%1”14常見木馬的識別軟件識別Symantec AntiVirus Active Ports木馬克星 15案例2：計算機(jī)木馬的識別與清除BENET上海分公司一臺計算機(jī)在執(zhí)行一個未知程序后變得非常慢管理員使用任務(wù)管理器查看系統(tǒng)進(jìn)程，發(fā)現(xiàn)有一

6、個未知進(jìn)程占用90%以上的CPU資源，他懷疑計算機(jī)感染了冰河木馬，他想清除該木馬16案例2：計算機(jī)木馬的識別與清除執(zhí)行“netstat an | FINDLISTENING” 命令，查看已開放的端口使用任務(wù)管理器查看當(dāng)前進(jìn)程教員演示操作過程17案例2：計算機(jī)木馬的識別與清除結(jié)束“Kernel32.exe” 進(jìn)程找到并刪除冰河的主程序Kernel32.exe和Sysexplr.exe 刪除和修改注冊表教員演示操作過程刪除“HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun”下的“C:windowssystem32Kernel32

7、.exe” 鍵值刪除“HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersion Runservices”下鍵值為C:windowssystem32Kernel32.exe”的項將“HKEY_CLASSES_ROOTtxtopencommand”下的默認(rèn)值，由中木馬后的“C:windowssystem32Sysexplr.exe %1”改為正常的“C:windows notepad.exe %1”18案例2：計算機(jī)木馬的識別與清除學(xué)員練習(xí)：執(zhí)行“netstat an | FINDLISTENING” 命令使用任務(wù)管理器查看當(dāng)前進(jìn)程結(jié)束“Ke

8、rnel32.exe” 進(jìn)程找到并刪除冰河的主程序Kernel32.exe和Sysexplr.exe 刪除注冊表“HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun”下的“C:windowssystem32Kernel32.exe” 鍵值19案例2：計算機(jī)木馬的識別與清除學(xué)員練習(xí)：刪除注冊表修改注冊表30分鐘內(nèi)完成“HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVer-sion Runservices”下鍵值為“C:windowssystem32Kernel32.exe”的項

9、“HKEY_CLASSES_ROOTtxtopencommand”下的默認(rèn)值，由中木馬后的“C:windowssystem32Sysexplr.exe %1”改為正常的“C:windows notepad.exe %1”20Windows安全加固與性能優(yōu)化使用MBSA掃描系統(tǒng)漏洞使用X_Scan掃描系統(tǒng)漏洞通過安全工具軟件加強(qiáng)計算機(jī)安全 21案例3：使用MBSA掃描系統(tǒng)漏洞BENET上海分公司有一臺文件服務(wù)器被黑客入侵，公司要求管理員盡快采取措施，避免類似事件再次發(fā)生管理員懷疑文件服務(wù)器存在安全漏洞，他想對該服務(wù)器進(jìn)行安全掃描，找出安全漏洞22案例3：使用IIS搭建企業(yè)Web站點(diǎn)安裝MBSA使

10、用MBSA掃 描系統(tǒng)漏洞 教員演示操作過程23案例3：使用IIS搭建企業(yè)Web站點(diǎn)學(xué)員練習(xí)：安裝MBSA使用MBSA掃描系統(tǒng)漏洞10分鐘內(nèi)完成24案例4：使用X_Scan掃描系統(tǒng)漏洞除了使用MBSA掃描服務(wù)器漏洞之外，管理員還想使用X_Scan掃描系統(tǒng)，以便找到更多漏洞25案例4：使用X_Scan掃描系統(tǒng)漏洞運(yùn)行X_Scan設(shè)置掃描參 數(shù)執(zhí)行安全掃 描教員演示操作過程26案例4：使用X_Scan掃描系統(tǒng)漏洞學(xué)員練習(xí)：運(yùn)行X_Scan設(shè)置掃描參數(shù)執(zhí)行安全掃描15分鐘內(nèi)完成27案例5：使用工具軟件加強(qiáng)系統(tǒng)安全BENET上海分公司許多計算機(jī)經(jīng)常感染木馬、惡意軟件和系統(tǒng)插件管理員想為計算機(jī)安裝一款安全

11、工具軟件，防止木馬、惡意軟件和惡意插件的影響28案例5：使用工具軟件加強(qiáng)系統(tǒng)安全安裝360安 全衛(wèi)士系統(tǒng)安全 檢測修復(fù)系統(tǒng) 漏洞教員演示操作過程29案例5：使用工具軟件加強(qiáng)系統(tǒng)安全學(xué)員練習(xí)：安裝360安全衛(wèi)士系統(tǒng)安全檢測修復(fù)系統(tǒng)漏洞10分鐘內(nèi)完成30利用注冊表提高系統(tǒng)安全注冊表概述注冊表的備份和恢復(fù)通過修改注冊表排除上網(wǎng)故障（通過修改組策略修改注冊表）31注冊表概述Windows注冊表存儲系統(tǒng)和軟件的配置信息通過修改注冊表可以調(diào)整系統(tǒng)的性能，檢測和修復(fù)系統(tǒng)錯誤，定制桌面等 32備份和恢復(fù)注冊表利用NTBackup備份注冊表通過導(dǎo)入注冊表恢復(fù)注冊表教員演示操作過程33案例6：設(shè)置IE瀏覽器缺省主

12、頁 一臺Windows 2003計算機(jī)的IE瀏覽器缺省主頁被修改，并且鎖定設(shè)置項，禁止用戶更改回來，如何解決？34案例6：設(shè)置IE瀏覽器缺省主頁運(yùn)行“gpedit.msc”，找到“禁用更改主頁設(shè)置”教員演示操作過程35案例6：設(shè)置IE瀏覽器缺省主頁學(xué)員練習(xí)：運(yùn)行“gpedit.msc”，禁用主頁更改設(shè)置5分鐘內(nèi)完成36案例7：啟用注冊表編輯器一臺Windows 2003計算機(jī)的默認(rèn)主頁被修改，當(dāng)用戶希望通過修改注冊表解決該問題時，注冊表編輯器不可用，如何解決？37案例7：啟用注冊表編輯器運(yùn)行“gpedit.msc”，禁用“阻止訪問注冊表編輯工具”教員演示操作過程38案例7：啟用注冊表編輯器學(xué)員

13、練習(xí)：運(yùn)行“gpedit.msc”，禁用“阻止訪問注冊表編輯工具”5分鐘內(nèi)完成39使用IPSEC加密數(shù)據(jù)傳輸IPSEC簡介IPSEC全稱為Internet協(xié)議安全，是一種工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全協(xié)議，它可以保證數(shù)據(jù)在傳輸過程中的安全I(xiàn)PSEC工作原理通信之前進(jìn)行安全協(xié)商，確定SA雙方遵照SA內(nèi)的協(xié)議傳送信息40案例8：保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)陌踩訠ENET上海分公司經(jīng)常在北京總部和上海分公司之間傳輸重要文件，公司要求保證文件傳輸?shù)陌踩?，防止競爭對手截獲或修改這些文件北京總部上海分公司41案例8：保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)陌踩赃\(yùn)行MMC， 加載“IP 安全策略 管理”建立和配置 IPSEC策略使用sniffer 抓包測試IPSEC 策略教員演示操作