计算机安全防护笔记.doc

计算机安全防护第一章 安全使用计算机一、 什么是计算机安全：保护计算机的硬件、软件和数据，不因偶然和恶意的原因而遭到破坏、更改和泄露，系统连续正常地运行二、 误操作、误删除、停电、雷击、操作系统的漏洞、垃圾邮件、毒三、人为因素：计算机的实施主体是人，安全设备与安全策略最终要依靠人才能应用与贯彻 逻辑安全：1、预防为主 2、开展计算机安全培训 3、用来历不明的U盘、光盘等物理安全：火灾、盗窃、静电、雷击、电磁辐射四、操作系统安全级别：A级最高：没有安全性可言，例如MS DOS不区分用户，基本的访问控制有自主的访问安全性，区分用户标记安全保护，如System V等结构化内容保护，支持硬件保护安全域，数据隐藏与分层、屏蔽校验级保护，并提供B3级安全手段D 级C1 级C2 级B1 级B2 级B3 级A 级操作系统 安全级别 SCO OpenServe C2 Linux C2 Windows Server 2003/2000 C2Saloris C2DOS DUnixWare 2.1/ES B2 五、系统漏洞：1、不安全服务：1、Remote Registry Service 2、Messenger2、 共享漏洞：1、IPC$ 、ADMIN$、C$2、Net use IPipc$ “” /user:”3、Net view IP六、安全帐户设置：（1）密码策略A、 密码复杂性要求启用 B、密码长度最小值 8位 C、强制密码历史 5次D、 最长存留期 30天（2）帐户锁定策略a) 账户锁定 3次错误登录b) 锁定时间 20分钟c) 复位锁定计数 20分钟七、NTFS权限管理标准权限基于目录基于文件不可访问无无列出RX不适用读取 RX RX 添加 WX 不适用 读取和运行 RWX RX 更改 RWXD RWXD 完全控制 ALL ALL 八、关闭默认共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters设置键值AutoShareServer，类型为DWORD，键值为0。如果没有可以新建一个，同样也生效。九、禁止建立空连接HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa设置键值restrictanonymous，类型为DWORD，键值为1。十、禁止CD-ROM的自动运行HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom设置AutoRun值为0十一、病毒的危害v 1、病毒体执行后，将自身拷贝到系统目录： v %SystemRoot%SVCH0ST.EXEv %SystemRoot%system32SVCH0ST.EXE v 2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载： v 键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunv 键名：Userinitv 键值："C:WINDOWSsystem32SVCH0ST.exe" v 3、连接ddos2.*.com，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。 v 配置文件如下：v :3389v :80v :80v :80病毒脚本Cd >> benetType benetCopy lon cd >> benet查看远程端口：netstat ano查看SID号：whoami /user查看共享：net share查看本机用户：net user第二章 部署企业防病毒方案一、病毒定义 ：人为编制的计算机程序，干扰计算机正常运行并造成计算机软硬件故障，破坏计算机数据，可自我复制二、病毒特点 ：1、非授权执行性：并不是管理员赋予的许可，2、隐蔽性：伪装自身，逃避防病毒系统的检查 3、传染性：自身不断繁殖并传染给其他计算机4、潜伏性：长期隐藏在系统中，特定条件下启动 5、破坏性：破坏数据或删除文件 6、可触发性：被激活的计算机病毒才能破坏计算机系统 三、病毒分类 ：病毒类型 特征危害文件型感染DOS下的COM， EXE文件随着DOS的消失已逐步消失，危害越来越小引导型启动DOS系统时，病毒被触发随着DOS的消失已逐步消失，危害越来越小宏病毒针对Office的一种病毒，由 Office的宏语言编写只感染Office文档，其中以 Word文档为主VB脚本病毒通过IE浏览器激活用户浏览网页时会感染，清除较容易蠕虫有些采用电子邮件附件的方式发出，有些利用操作系统漏洞进行攻击破坏文件、造成数据丢失，使系统无法正常运行，是目前危害性最大的病毒木马通常是病毒携带的一个附属程序夺取计算机控制权黑客程序一个利用系统漏洞进行入侵的工具通常会被计算机病毒所携带，用以进行破坏 四、系统安装工作： 注：在安装系统时，注意安装IIS组件 1、 安装系统补丁：建议先安装SP4，以及一些漏洞性的补丁，然后联网作update 2、 进行网络配置：注意IP地址，保证可以与企业网互通，同时所有客户端也可以访问到此服务器。 一、Symantec防病毒产品服务器安装步骤： 1、 运行安装盘，安装“管理员工具”下的“symantec系统中心” 2、 运行安装盘，安装“管理员工具”下的“中央隔离区” 3、 运行安装盘，安装“管理员工具”下的“隔离区控管台” 4、 运行安装盘，安装“liveupdate管理实用程序 ，必须重启计算机5、 运行安装盘，安装“Symantec Antivirus”下的“部署防病毒服务器”。二、Symantec防病毒控管台配置中的关键步骤： 1、 进入symantec系统中心，首先将此服务器升级为一级控制器：右键单击“服务器图标”，选择“使服务器成为一级服务器”。 2、 命名服务器组的名称，规则是“*防病毒”；例如“大兴防病毒”。 3、 进行服务器的升级配置： 工具查找计算机网络搜索输入服务器IP地址查到后退出 ；右键单击“服务器图标”所有任务symantec antivirus病毒定义管理器：（1）选择只更新服务器组的一级服务器点击右边的“配置”选择“源”选择“其他受保护的服务器”点击“配置”选择一级控管台服务器“Symantec” （2）选择“调度自动扫描”点击“调度”选择“每天”设定具体时间和频率 4、 进行客户端的配置：右键单击“服务器图标”所有任务symantec antivirus客户端管理员专用选项：（1）“常规”标签内，“显示”项内，选择“在桌面上显示图标 （2）“安全”标签内，对客户端卸载产品进行限制。 5、 进行扫描的配置：右键单击“服务器图标”所有任务symantec antivirus客户端自动防护选项：可根据一定的原则，进行设置，主要针对的是“文件系统”和“Internet email”的设置。第三章 木马查杀及Windows注册表的使用 后缀： .reg一、什么是木马：驻留在目标计算机里，随计算机自动启动并在某一端口进行侦听，对目标计算机执行特定操作二、木马的特点：未经授权就可获得目标计算机的使用权，程序小，执行时不占用太多资源，执行时很难停止，一次执行后，就会在系统中驻留，之后每次在系统加载时自动执行，一次执行后，就会自动变更文件名，甚至隐形 三、注册表结构：键值说明HKEY_LOCAL_MACHINE本地计算机系统的信息，包括硬件和操作系统数据HKEY_CLASSES_ROOT各种 OLE 技术和文件类关联数据的信息HKEY_CURRENT_USER用户配置文件，包括环境变量、桌面设置、网络连接、打印机和程序首选项等HKEY_USERS动态加载的用户配置文件和默认的配置文件的信息HKEY_CURRENT_CONFIG 计算机系统使用的硬件配置文件的相关信息。用于配置一些设置，如要加载的设备驱动程序、显示时要使用的分辨率四、木马的危害：窃取密码，文件操作，修改注册表，系统操作五、人工识别：1、利用netstat命令 2、注册表启动项目的检查 3、利用msconfig查看启动程序 六、木马的手工清除：1、结束木马进程 2、查找并删除木马主程序 3、Kernel32.exe 4、Sysexplr.exe5、恢复Windows注册表七、软件清除：1、利用木马克星清除 2、扫描硬盘及内存 3、拦截木马选项 4、查看系统当前进程八、木马防御方法：1、端口扫描 2、查看链接 3、检查注册表 4、查找可疑文件九、木马的预防：1、不去不明网站下载软件 2、不随意浏览附件 3、不浏览不良网站4、及时升级杀毒软件 5、妥善保存机密文件和资料 十、木马的工作原理：十一、修改3389默认端口1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp2、打开PortNumber键值-改3389值3、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp4、打开PortNumber键值-改3389值灰鸽子的步骤：一、服务器1、建文件夹2、建文本文档，IP。Txt （192.168.3.1本机IP）3、灰鸽子-工具-FTP主目录4、启动开启5、工具web主目录二、自动上线1、自动上线本机IP2、与以上相同三、生成木马1、配置服务程序2、本机IP下一步删除