桌面终端安全防护策略.ppt

桌面终端安全防护策略 大纲 终端安全与注册表终端安全与安全策略终端安全管理数据防泄密标准个人计算机桌面环境 终端安全与注册表 什么是注册表 Windows注册表是帮助Windows控制硬件 软件 用户环境和Windows界面的一套数据文件 注册表包含在Windows目录下两个文件system dat和user dat里 还有它们的备份system da0和user da0 从Windows95开始 Microsoft在Windows中引入了注册表 英文为REGISTRY 的概念 实际上原来在WindowsNT中已有此概念 如果该注册表由于某种原因受到了破坏 会使Windows的启动过程出现异常 严重的可能会导致整个Windows系统的完全瘫痪 如何打开注册表在修复注册表前请备份 点 开始 运行 输入 regedit 确定 注册表结构划分1 1 HKEY USERS该根键保存了存放在本地计算机口令列表中的用户标识和密码列表 每个用户的预配置信息都存储在HKEY USERS根键中 HKEY USERS是远程计算机中访问的根键之一 2 HKEY CURRENT USER该根键包含本地工作站中存放的当前登录的用户信息 包括用户登录用户名和暂存的密码 注 此密码在输入时是隐藏的 用户登录Windows98时 其信息从HKEY USERS中相应的项拷贝到HKEY CURRENT USER中 3 HKEY CURRENT CONFIG该根键存放着定义当前用户桌面配置 如显示器等 的数据 最后使用的文档列表 MRU 和其他有关当前用户的Windows98中文版的安装的信息 为HKEY CURRENT CONFIG子关键字之间的连接情况 注册表结构划分2 4 HKEY CLASSES ROOT根据在Windows98中文版中安装的应用程序的扩展名 该根键指明其文件类型的名称 5 HKEY LOCAL MACHINE该根键存放本地计算机硬件数据 此根键下的子关键字包括在SYSTEM DAT中 用来提供HKEY LOCAL MACHINE所需的信息 或者在远程计算机中可访问的一组键中 该根键中的许多子键与System ini文件中设置项类似 图7显示了HKEY LOCAL MACHINE根键下的各个子键之间的情况 6 HKEY DYN DATA该根键存放了系统在运行时动态数据 此数据在每次显示时都是变化的 因此 此根键下的信息没有放在注册表中 显示了HKEY DYN DATA根键下的各个子键的情况 注册表部分重要内容1 一 HKEY CLASS ROOT1 HKEY CLASS ROOT Paint Pricture DefaultIcon双击窗口右侧的默认字符串 在打开的对话框中删除原来的 键值 输入 1 重新启动后 在 我的电脑 中打开Windows目录 选择 大图标 然后你看到的Bmp文件的图标再也不是千篇一律的MSPAINT图标了 而是每个Bmp文件的略图 前提是未安装ACDSee等看图软件 二 HKEY CURRENT USER1 HKEY CURRENT USER ControlPanel Desktop中新建串值名MenuShowDelay 0可使 开始 菜单中子菜单的弹出速度提高 2 在HKEY CURRENT USER ControlPanel Deskt op WindowsMeterics中新建串值名MinAnimate 值为1启动动画效果开关窗口 值为0取消动画效果 注册表部分重要内容2 三 HKEY LOCAL MACHINE1 HKEY LOCAL MACHINE software microsoft windows currentVersion explorer usershellfolders保存个人文件夹 收藏夹的路径 2 HKEY LOCAL MACHINE system currentControl Set control keyboardLayouts保存键盘使用的语言以及各种中文输入法 3 HKEY LOCAL MACHINE software microsoft windows currentVersion uninstall保存已安装的Windows应用程序卸载信息 4 HKEY LOCAL MACHINE system CurrentControl Set services class保存控制面板 增添硬件设备 设备类型目录 5 HKEY LOCAL MACHINE system Current ControlSet control update设置刷新方式 值为00设置为自动刷新 01设置为手工刷新 在资源管理器中按F5 6 HKEY LOCAL MACHINE software microsoft win dows currentVersion run保存由控制面板设定的计算机启动时运行程序的名称 其图标显示在任务条右边 在 启动 文件夹程序运行时图标也在任务条右边 7 HKEY LOCAL MACHINE software microsoft windows currentVersion Policies Ratings保存IE4 0中文版 安全 分级审查 中设置的口令 数据加密 若遗忘了口令 删除Ratings中的数据即可解决问题 8 HKEY LOCAL MACHINE software microsoft windows currentVersion explorer desktop nameSpace保存桌面中特殊的图标 如回收站 收件箱 MSNetwork等 注册表部分重要内容3 四 HKEY USERS1 HKEY USERS Default software microsoft internetexplorer typeURLs保存IE4 0浏览器地址栏中输入的URL地址列表信息 清除文档菜单时将被清空 2 HKEY USERS Default so mi wi current Version ex menuOrder startMenu保留程序菜单排序信息 3 HKEY USERS Default so microsoft windows current Version explorer RunMRU保存 开始 运行 中运行的程序列表信息 清除文档菜单时将被清空 4 HKEY USERS Default so microsoft windows current Version explorer RecentDocs保存最近使用的十五个文档的快捷方式 删除掉可解决文档名称重复的毛病 清除文档菜单时将被清空 5 HKEY USERS default software microsoft windows currentVersion applets保存Windows应用程序的记录数据 6 HKEY USERS default software microsoft windows currentVersion run保存由用户设定的计算机启动时运行程序的名称 其图标显示在任务条右侧 注册表使用技巧 关闭 Messenger 服务安全隐患 在Windows2000 XP系统中 默认Messenger服务处于启动状态 不怀好意者可通过 netsend 指令向目标计算机发送信息 目标计算机会不时地收到他人发来的骚扰信息 严重影响正常使用 解决方法 注册表 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services 项下的进行管理 其中的每个子键就是系统中对应的 服务 Messenger 服务对应的子键是 Messenger START键值 将该值修改为4即可 注册表使用技巧 关闭 远程注册表服务 安全隐患 如果黑客连接到了我们的计算机 而且计算机启用了远程注册表服务 RemoteRegistry 那么黑客就可远程设置注册表中的服务 因此远程注册表服务需要特别保护 解决方法 将远程注册表服务 RemoteRegistry 的启动方式设置为禁用 为了避免黑客在入侵我们的计算机后 将该服务从 禁用 转换为 自动启动 因此我们有必要将该服务删除 注册表 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services 下的RemoteRegistry项 右键点击该项选择 删除 将该项删除后就无法启动该服务了 注册表使用技巧 关闭默认共享安全隐患 在Windows2000 XP 2003中 系统默认开启了一些 共享 它们是IPC c d e 和admin 很多黑客和病毒都是通过这个默认共享入侵操作系统的 解决方法 要防范IPC 攻击应该将注册表中 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Control LSA 的RestrictAnonymous项设置为 1 禁止IPC 的连接 注册表使用技巧 对于c d 和admin 等类型的默认共享 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services LanmanServer Parameters 项 Windows2000Server或Windows2003 在该项中添加键值 AutoShareServer 类型为 REG DWORD 值为 0 注册表使用技巧 禁止病毒启动服务安全隐患 高级病毒会通过系统服务进行加载 解决方法 运行 regedt32 指令启用带权限分配功能的注册表编辑器 注册表中找到 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services 分支接着点击菜单栏中的 安全 权限 注册表使用技巧 在弹出的Services权限设置窗口中单击 添加 按钮 将Everyone账号导入进来选中 Everyone 账号将该账号的 读取 权限设置为 允许 将它的 完全控制 权限取消该方法只对没有获得管理员权限的病毒和木马有效 注册表使用技巧 禁止病毒运行安全隐患 很多病毒都是通过注册表中的RUN值进行加载而实现随操作系统的启动而启动的 我们可以按照 禁止病毒启动服务 中介绍的方法将病毒和木马对该键值的修改权限去掉 解决方法 运行 regedt32 指令启动注册表编辑器 注册表 HKEY CURRENT MACHINE SOFTWARE Microsoft Windows CurrentVersion RUN 分支将Everyone对该分支的 读取 权限设置为 允许 取消对 完全控制 权限的选择 注册表使用技巧 注册表使用技巧 IE默认连接首页被修改攻击方式 更改 HKEY LOCAL MACHINE SOFTWARE Microsoft InternetExplorer Main StartPageHKEY CURRENT USER Software Microsoft InternetExplorer Main StartPage通过修改 StartPage 的键值 来达到修改浏览者IE默认连接首页的目的 如不慎浏览某一恶意网站 该网站就会将你的IE默认连接首页修改为 注册表使用技巧 解决方案 1 在Windows启动后 点击 开始 运行 菜单项 在 打开 栏中键入regedit 然后按 确定 2 展开注册表到HKEY LOCAL MACHINE SOFTWARE Microsoft InternetExplorer Main下 在右半部分窗口中找到串值 StartPage 双击 将StartPage的键值改为 about blank 即可 3 展开注册表到HKEY CURRENT USER Software Microsoft InternetExplorer Main在右半部分窗口中找到串值 StartPage 然后按2中所述方法处理 Win7系统中备份注册表的方法 终端安全与安全策略 建立安全的Windows客户端 1 本地策略设置本地策略设置可以通过本地安全策略控制台或基于ActiveDirectory域的GPO在运行WindowsXPProfessional的任何计算机上进行配置 本地策略设置包括 审核策略 用户权利指派 和 安全选项 2 审核策略设置审核策略确定要向管理员报告的安全事件 以便记录具有指定事件类别的用户或系统活动 管理员可以监视与安全有关的活动 如谁访问某个对象 用户何时登录或注销计算机 是否对审核策略设置进行过更改 基于所有这些原因 Microsoft建议您为管理员创建一个可在您的环境中实施的审核策略 通过组策略对象编辑器在以下位置配置WindowsXP的审核策略设置 计算机配置 Windows设置 安全设置 本地策略 审核策略 建立安全的Windows客户端 审核策略设置建议 建立安全的Windows客户端 3 审核帐户登录事件如果启用此策略设置 则生成用于凭据验证的事件 这些事件是在对于凭据具有权威性的计算机上发生的 对于域帐户 域控制器具有权威性 而对于本地帐户 本地计算机具有权威性 在域环境中 大多数帐户登录事件在对于域帐户具有权威性的域控制器的安全日志中发生 然而 这些事件也可能在组织的其他计算机上发生 具体取决于用于登录的帐户 审核帐户登录事件 设置仅针对EC环境配置为 成功 而对于SSLF环境则配置为 成功 和 失败 建立安全的Windows客户端 4 审核帐户管理此策略设置用于跟踪以下企图 新建用户或组 重命名用户或组 启用或禁用用户帐户 更改帐户密码 启用对帐户管理事件的审核 如果启用此审核策略设置 管理员可以跟踪事件 以检测恶意创建 意外创建和授权创建用户帐户和组帐户的情况 对于EC环境 审核帐户管理 设置配置为 成功 对于SSLF环境则配置为 成功 和 失败 5 审核目录服务访问启用此策略设置只是为了对域控制器执行审核任务 因此 未在工作站级别定义该设置 此策略设置不适用于运行WindowsXPProfessional的计算机 因此 对于本章中论述的两种环境 确保 审核目录服务访问 设置被配置为 没有定义 6 审核登录事件此策略设置生成记录创建和销毁登录会话的事件 这些事件在所访问的计算机上发生 为进行交互式登录 将在所登录的计算机上生成这些事件 如果执行网络登录是为了访问共享 则将在宿主所访问资源的计算机上生成这些事件 建立安全的Windows客户端 如果将 审核登录事件 设置配置为 无审核 则很难或无法确定哪些用户访问或尝试访问了组织中的计算机 对于EC环境 请将 审核登录事件 设置配置为记录 成功 事件 对于SSLF环境 请将此策略设置配置为 成功 和 失败 事件 7 审核对象访问就其自身而言 本策略设置不会导致任何事件被审核 它确定是否审核某个用户对于具有指定的系统访问控制列表 SACL 的对象的访问 这些对象可以是文件 文件夹 注册表项或打印机 建立安全的Windows客户端 SACL由访问控制项 ACE 组成 每个ACE包含三部分信息 审核的安全主体 用户 计算机或组 要审核的特定访问类型 称作访问掩码 一个标记 表示是审核失败的访问事件 还是审核成功的访问事件或两者全部都进行审核 如果将 审核对象访问 设置配置为 成功 则每当用户成功访问具有指定SACL的对象时均会生成一个审核项目 如果将此策略设置配置为 失败 则每当用户尝试访问具有指定SACL的对象失败时均会生成一个审核项目 组织应该仅定义它们配置SACL时想要启用的操作 例如 可能需要在可执行文件上启用 写入和添加数据审核 设置以跟踪那些文件的更改或替换操作 因为计算机病毒 蠕虫和特洛伊木马通常会以可执行文件为目标 同样 可能需要跟踪访问或更改敏感文档的时间 建立安全的Windows客户端 对于EC环境 将 审核对象访问 设置配置为 无审核 对于SSLF环境则配置为 失败 启用此设置之后 下列过程才会生效 为文件或文件夹定义审核规则 1 使用Windows资源管理器定位该文件或文件夹 然后选择它 2 单击 文件 菜单并选择 属性 3 单击 安全 选项卡 然后单击 高级 按钮 4 单击 审核 选项卡 5 单击 添加 按钮 随后将出现 选择用户 计算机或组 对话框 6 单击 对象类型 按钮 在 对象类型 对话框中选择要查找对象类型 注意 用户 组 和 内置安全性原则 对象类型会默认选中 7 单击 位置 按钮 在 位置 对话框中选择域或本地计算机 建立安全的Windows客户端 8 在 选择用户或组 对话框中 键入要审核的组或用户的名称 然后在 输入要选择的对象名称 对话框中 键入AuthenticatedUsers 审核所有经过身份验证的用户的访问 然后单击 确定 此时将显示 审核项目 对话框 9 使用 审核项目 对话框确定要针对文件或文件夹进行审核的访问类型 注意 记住 每次访问都会在事件日志中生成多个事件 这会导致日志迅速变大 10 在 审核项目 对话框中 选择 列出文件夹 读取数据 旁边的 成功 和 失败 然后单击 确定 11 已启用的审核项目将出现在 高级安全设置 对话框的 审核 选项卡下面 12 单击 确定 关闭 属性 对话框 建立安全的Windows客户端 8 审核策略更改此策略设置确定是否审核对权限分配策略 Windows防火墙策略 信任策略进行更改或者对审核策略本身进行更改的每个事件 您可以通过推荐的设置查看攻击者试图提升的任何帐户特权 例如添加 调试程序 特权或 备份文件和目录 特权 9 审核特权使用此策略设置确定是否对用户行使用户权限的每个实例进行审核 如果将此值配置为 成功 则每当成功行使用户权限时均会生成一个审核项目 如果将此值配置为 失败 则每当行使用户权限成功时均会生成一个审核项目 此策略设置可生成非常多的事件记录 对于EC环境中的计算机 审核特权使用 设置被配置为 无审核 而对于SSLF环境则配置为 失败 以审核所有使用特权的不成功尝试 建立安全的Windows客户端 10 审核过程追踪此策略设置确定是否审核事件的详细跟踪信息 如程序激活 进程退出 句柄复制和间接对象访问等 启用 审核过程追踪 将生成大量事件 因此通常将它设置为 无审核 但是 在事件响应期间 即过程详细日志开始记录和这些过程被启动的时间 此设置会发挥很大的作用 11 审核系统事件此策略设置非常重要 因为它允许您监视成功和失败的系统事件 并提供这些事件的记录 从而帮助确定未经授权的系统访问的实例 系统事件包括启动或关闭环境中的计算机 全部事件日志或其他影响整个系统的安全相关事件 用户权限分配设置除了WindowsXPProfessional中的许多特权组之外 还可以为特定用户和组分配普通用户没有的用户权限 不要向其中添加任何用户或组 要将用户权限的值设置为 没有定义 请不要启用此设置 在组策略对象编辑器的下列位置配置用户权限分配设置 计算机配置 Windows设置 安全设置 本地策略 用户权利指派 建立安全的Windows客户端 建立安全的Windows客户端 建立安全的Windows客户端 建立安全的Windows客户端 建立安全的Windows客户端 建立安全的Windows客户端 安全选项计算机配置 Windows设置 安全设置 本地策略 安全选项账户 建立安全的Windows客户端 审核 建立安全的Windows客户端 设备 建立安全的Windows客户端 交互式登录 建立安全的Windows客户端 Microsoft网络客户端 Microsoft网络服务器 建立安全的Windows客户端 网络访问 建立安全的Windows客户端 检查列表 验证NTFS的使用保护本地安全策略设置系统文件和目录权限保护文件共享启用ICF配置软件限制策略删除不必要的服务 协议 用户和组建立IP安全策略安装防病毒软件系统自动升级防病毒软件自动升级查看安全日志查看系统用户和共享 终端安全管理 47 桌面终端系统管理的问题 1 遍布各个办公场所的开放式信息插座如何防止外来非法电脑接入 内部不符合安全规定的电脑接入网络如何处理 外来非法电脑接入可能带来的问题窃取内部资料文件截获重要人物收发的E mail 密码账户等 监听 ARP欺骗 外来电脑本身带病毒 木马 影响网络安全运行内部不符合安全规定的电脑接入网络容易成为肉机被木马 黑客 病毒直接攻击本身带病毒 木马 影响网络安全运行违反内部的安全规定 危害公司信息安全 48 桌面终端系统管理的问题 2 桌面终端的信息安全管理问题公司内部大量的机密文件将文件从终端传送出去的手段通过U盘 软盘Copy通过网络共享Copy通过MSN QQ外传通过E Mail发送出去 49 桌面终端系统管理的问题 3 桌面终端的系统安全管理问题频繁的操作系统补丁和漏洞安全设置漏洞 口令 屏幕保护 可写共享违反管理规定 在内部网络拨号上网 使用非法黑客软件 使用BT下载工具 访问不该访问的网站这些问题轻则导致电脑感染病毒 木马 重则危害整个网络的安全运行 50 桌面终端系统管理的问题 4 数量太多 数以千计 管理困难如何在成百上千台电脑中快速定位某个IP的机器 如何批量管理 设置桌面电脑 如防火墙设置 统一打补丁 统一设置安全策略 统一检查可疑注册表项等等如何对非法操作行为进行管理和监控 拨号 安装非法软件 使用外部邮箱 BT下载 非法COPY文件如何发现网络流量已经有异常的电脑 它已经被中招 或者正在破坏网络的安全运行还有其它 桌面终端的软件 硬件资产及配置统计 变更报告如何快速 批量安装软件 提高管理效率如何远程维护 提高管理效率 51 为什么今天终端安全管理问题如此重要 越来越多的安全威胁 病毒 木马 间谍件 黑客工具等单靠几个设备 几个产品解决安全问题的时代已经过去解决安全问题是一个综合系统工程 管理 技术 83 95 2002 2004 Now 1999 计算机病毒 防病毒软件 Internet兴起外部网络攻击 网关型防火墙代理服务器 Internet攻击加剧DDoS攻击蠕虫病毒 网关型防火墙安全漏洞扫描入侵检测系统 蠕虫病毒泛滥变种蠕虫病毒攻击工具泛滥 网关型防病毒内网防火墙个人防火墙 SpyWare泛滥钓鱼网站新病毒传播通道MSN QQ 注入式病毒内部无线AP接入 如何保护内部网安全 阶段 攻击目标 安全威胁 防护手段 52 频繁发生的安全事件原因分析 认识上 对内部网络安全管理的重要性认识不足很多是从内部桌面终端直接进入环境上 需要保护的对象太多 应用环境复杂桌面终端的数量太多 数以千计内部人员计算机水平差距大 大量的访客要求接入网络技术上 缺乏有效的技术和管理手段不能及时掌握所有电脑系统的安全 漏洞 状况不能及时发现被感染 攻击 中招的电脑管理和技术手段脱节 令行禁不止投入上 资源投入限制不能为保障安全投入过多的资源和费用 安全接入管理 综合型桌面管理产品集准入控制 安全管理 传统桌面管理功能于一体以解决桌面安全管理问题为主 同时兼顾传统桌面管理需求努力成为世界领先的终端安全管理产品 系统安全文件安全 传统桌面管理 提升效率 网络准入控制 强制遵守组织安全策略禁止非法用户随意接入 软件部署资产发现使用监控远程维护设备定位 防病毒管理补丁管理策略遵循漏洞管理安全加固外联控制个人防火墙 54 一体化安全防御 试图访问网络的端点设备 安全策略设置安全评估 安全凭证检验 网络交换机防火墙 安全策略部署实施 服务器 管理任务 指令下达 安全策略创建 评估 SNMPAgent 系统构成 Agent 非802 1x接入 802 1x接入 外来 防火墙访问控制 网络准入控制效果 建立终端接入管理机制注册登记接入检查安全隔离安全通知安全修复外来终端无法接入或自动进入访客区不安全的终端访问受限只能访问指定的服务器和网络 准入控制认证服务器 访客区 工作区 修复区 身份 安全状态 硬件ID 57 802 1x网络准入控制技术 外来电脑 无Agent 进入GuestVLAN不符合安全的桌面电脑进入修复区进行自我修复合法且符合安全要求的进入工作区 Radius 访客区VLAN 工作区 修复区VLAN 身份 安全状态 硬件ID 802 1X VLAN动态切换 EAPoverLAN 58 EoU网络准入控制技术 EAPoverUDP认证通过ACL来控制终端访问动态下载ACL和重定向URL依据终端身份及安全状态终端可以通过HUB 无线AP VPN接入只要中间有支持NAC L2 3 IP的设备 Radius 访客可访问资源 安全区资源 修复区资源 身份 安全状态 硬件ID EAPoverUDP ACL访问控制 59 基于探测器的准入控制 通过ARP干扰实现在网络设备不支持802 1x或NAC L2 3 IP的情况下作为其他网络准入控制技术的补充未安装Agent的终端接入网络 可以对其HTTP访问进行重定向 60 一般部署 Internet 远程接入 分支机构 移动终端 VPN接入 Radius主 Radius备 应用服务器区后台资源 补丁服务器 防病毒服务器 应用服务器 DB 准入控制策略 LDAP 接入用户账户 故障 故障 故障 61 防止非法传送文件 总体思路 技术 管理 威慑防止Copy方式外传U盘使用监管 禁止 审计将文件从终端COPY到U盘禁止 审计将文件从终端COPY到软盘禁止 审计以共享方式COPY文件到其它计算机防止网络传送阻止 审计访问外部的WebMail阻止 审计使用外部的SMTP POP3服务器阻止 审计使用MSN QQ传送文件阻止本机终端开启FTP等网络服务 个人防火墙 62 安全策略管理 一 桌面终端安全检查口令 屏幕保护 共享 加入Windows域可疑注册表 可疑文件木马 间谍件等往往会生成注册表操作系统是否安装了必要的补丁桌面系统的防病毒系统设置是否安装了防病毒软件病毒特征码是否更新 63 安全策略管理 二 桌面终端安全加固禁止危险进程 非法软件的运行内置双向防火墙 网络访问控制访问 控制桌面PC的访问其它IP被访问 控制其它IP访问该桌面PC桌面终端操作系统的补丁安装自动安装 用户手工安装多种模式Windows的本地安全策略自动分发禁止桌面用户修改注册表 IP地址 IE的设置 添加网络打印机等统一设置服务启动方式 关闭不需要的服务 64 安全策略管理 三 桌面终端操作监管非法外联行为的监管 禁止或审计 Modem拨号USB大容量存储设备GPRS无线网卡CDMA无线网卡无线以太网卡红外蓝牙同时使用两个以上网络端口特殊软件的使用监管 禁止或审计 MSN QQBT 电驴访问外部网站 邮件服务器的监管 禁止或审计 软件 硬件配置变更监管 自动报告 管理员自行定义的白名单 黑名单软件的监管 禁止或审计 65 安全策略管理 四 网络异常分析发现广播 流量异常的终端 防止其破坏网络安全管理员可以定义流量的行为模式支持 广播 流量大小 TCP连接 端口扫描等异常检测异常分析的意义发现被未知病毒 Spyware 木马感染的计算机发现员工私自使用黑客或者网络工具扫描 破坏网络避免病毒 木马快速扩散异常分析是LeagView的独特功能 66 集中控制 批量管理 补丁管理软件分发资产管理远程监控 67 补丁管理 补丁服务器自动获取微软系统补丁支持内外网隔离支持中继器补丁情况统计 包括全部补丁 已装补丁 需装补丁灵活的补丁安装策略管理员可指定补丁安装时间 安装方式支持推 PUSH 和拉 PULL 支持快速安装支持断点续传支持补丁测试 安装授权客户端可以看到哪些补丁可以安装 68 软件分发 支持自动强制安装 交互式安装等多种方式对安装包格式无特殊要求非常灵活的安装条件按照操作系统 软件分组 按照部门 网段等可以设置策略避免网络拥塞断点续传支持大规模分发流量控制下载时间通过算法随机错开支持中继 二级接力详细的查询 统计 报表 69 资产管理 在线资产管理资产统计硬件资产统计软件资产统计软件 硬件资产变更报告CPU 内存 硬盘 内部插卡等的变化自动报告软件配置变化自动报告资产编号管理与财务的资产管理融合 70 远程协助和管理 远程监控强行监控远程协助需对方确认 不能修改密码高级客户端客户端可以禁止远程协助 可以修改密码 数据防泄密 数据泄密现状分析 公司痛点 第一 昨天刚放在公司知识管理系统或ISO管理系统上的SOP文件 今天就出现在百度文库上 第二 公司花了许多时间及金钱开发的新产品 却在产品上市时 即遇到竞争对手一模一样的产品 原来设计图早已外流 第三 公司员工在外出差时 不慎将移动硬盘遗失 硬盘内有许多公司内部的重要机密文件 第四 寄送邮件时 不慎将重要机密文件 寄给错误的收件者 第五 员工将笔记本带回家工作 却不慎遭黑客入侵 导致公司机密文件外泄 第六 离职员工将机密文件带到下一个公司 或者另外开设一家公司 与前公司进行商业竞争 数据泄密现状分析 新闻案例 July 2010维基解密的网站在 纽约时报 卫报 和 镜报 配合下 在网上公开了多达9 2万份的驻阿美军秘密文件Jan 2011 环球时报 环球网 报道 法国著名汽车公司雷诺6日宣布 该公司3名 处于战略重要地位 的高管涉嫌将电动汽车商业机密外泄 被无限期停职 July 2011香港警队泄密战术训练手册网上任下载July 2011百度文库曝千名业主信息上海警方抓获2泄密嫌犯今年 月 从事保险工作的袁某将一份含有东方城市花园一期 余名业主个人信息的文档上传到百度文库 用以交换下载其他文档 百度文库大量泄露用户信息 准确率达50 数据泄密现状分析 调研报告 了解21世纪IT环境的安全复杂性 的全球调研报告by波耐蒙研究所 PonemonInstitute Feb 2011去年有77 的受访机构曾遭遇数据泄漏数据泄漏的主因是设备丢失或被盗其次为网络攻击 不安全的移动设备 Web2 0和文件共享应用程序 以及无意地发送电子邮件给错误的收件人 最易泄漏的数据类型是客户信息和知识产权最常丢失的信息类型包括客户信息 52 知识产权 33 员工信息 31 公司计划 16 该调研访问了2 400多名IT安全管理人员 保护机密文件的宗旨 机密文件管控示意 业务助理阿美 业务部门文件业务同仁可编辑可打印 研发部门文件如新产品规格表研发部门人员可修改可打印其他部门人员只读 人事财务部门文件如财报 薪资表非人事财务部门人员皆不可阅读 机密文件管控模式 机密文件管控模式 实现模式 1 身份确认2 下载密钥 上传使用政策 ClientAgent 管理服务器 ClientAgent 文件管理者 政策制定者 编辑文件 制定文件 加密 阅读者 文件解密 文件可储存在网站服务器 文件服务器 光盘 磁盘 或者以e mail方式传送 储存文件使用政策 Database Accountsystem 演示 个人计算机安全小技巧 用户口令安全 选择强口令不要使用姓名 生日以及它们的简单组合作为口令口令应该保证一定的长度和复杂度长度最好在8位以上最好包含大小写字母 数字和其它字符的组合 选择强口令易记并且强度高密码推荐 1 以符号隔开的短句 如 I Want Apple2 长句的首字母Wiwy ilttr WhenIwasyoung Ilistenedtotheradio 3 诗词的首字母cqmyg ysdss 床前明月光 疑是地上霜 用户口令安全 启用密码策略使用Windows2000中的账号策略设置 1 启用密码的复杂性要求2 限制密码的最小长度3 设定密码的最大存留期4 设置账号的锁定次数5 设置账号的锁定时间 用户口令安全 其它建议1 新建一账号 赋予administrator权限 给该账号设置一个强的口令 2 将原来的administrator账号改为普通用户 3 禁用系统的guest账号 4 在多用户系统 为了保证其它用户账号不存在弱口令 系统管理员可以采用密码审计工具进行模拟的破解分析 用户口令安全 IP安全策略的启用 启用本机的IP安全策略可以实现对本机的简单访问控制 示例 禁止其它系统对本机的Ping操作如果IP安全策略提供的控制不符合要求 可以考虑采用个人防火墙系统 收发邮件的安全 邮件病毒 爱虫 Sircam Nimda 安全目标 1 避免感染计算机病毒或木马程序2 避免通过邮件发送的机密文件被网络窃听 邮件病毒的机理 1 利用IE浏览器存在的MIME漏洞来实现 2 当IE在解释邮件时 由于未能正确处理 Content Type audio x wav 导致附件自动下载 而且更为严重的是下载结束后自动打开附件 整个过程中并不提示用户 这就导致病毒自身获取本地权限执行附件内容 邮件病毒的防范 1 运行防病毒软件 实现实时的病毒检测 2 在进行病毒检测之前不要运行邮件的附件 3 对IE和OutlookExpress进行安全设置 4 对IE和OutlookExpress进行安全升级修补安全漏洞 5 针对由脚本编写的附件型邮件病毒 可以将vbs js的文件关联到 记事本 IE和OutlookExpress安全设置1 打开InternetExplorer2 依次用鼠标点击 工具 Internet选项 安全3 点击受限站点 查看其安全级别是否为高4 打开OutlookExpress5 依次用鼠标点击 工具 选项 安全6 将 安全区域 设置为 受限站点区域 邮件病毒的防范 文件关联重定向打开资源管理器依次点击 工具 文件夹选项在扩展名离查找后缀为vbs vbe js jse的条目用鼠标选中该条目 点击更改 在出现的打开方式对话框中查找记事本 然后选择 确定 邮件病毒的防范 避免邮件中的附件被网络窃听 在将附件利用邮件进行传送前进行加密对于Word Excel文档 可以用系统本身的加密功能进行加密 对于其它文件 可以采用Winzip进行加密 如果安全要求高 可以安装PGP套件 邮件防病毒小技巧 1 病毒感染OE后 会从通讯簿里按照字母顺序分别向联系人发送带毒邮件 解决技巧 可以在OE的通讯簿中加入一个名为 0000 的联系人 如果感染病毒 OE从通讯簿中首先选取 0000 而 0000 是一个无效的地址 发送失败 OE就会放弃继续发送 从而有效地防止病毒的入侵 很多嵌入在HTML格式邮件中的病毒代码会在预览的时候执行 绝大多数的邮件型病毒是由VBScript和JScript编写的 或是在HTML格式邮件中嵌入Script 可以通过下列方法禁止执行VBScript JScript 文件防治邮件型病毒 对于Win9X系统 在Windows目录找到WScript exe和JScript exe 更改其名称或者干脆删除对于WindowsNT4 0以上系统 可以通过控制面板中 添加 删除程序 项来安全删除WSH 邮件防病毒小技巧 2 1 微软IE的一些版本存在安全漏洞 可能导致用户在浏览网页时泄漏信息设置下载并运行恶意代码 2 网页中的ActiveX控件从而可以创建任意文件 修改注册表 甚至可以下载并运行恶意软件 浏览网页安全 安全措施1 IE升级2 设置IE安全级别3 禁用不安全的Ac