《局域网组建与维护教程》第11章__局域网安全维护.pdf

局域网组建与维护教程 维护篇 214 全能培训 局域网组建与维护教程 第11章 局域网安全维护 学习目的 掌握局域网安全基础知识 学会更新操作系统和安装系统补丁 掌握局域网的数据安全 本章要点 网络安全知识 黑客 防火墙概述 系统更新与补丁 课堂讲解 通过前面章节的叙述与讲解 终于可以自如的架设各种各样的局域网 并能轻松地接入 Internet 享受无尽的网络资源了 但病毒和黑客 使得我们的局域网出现安全危机 稍一疏 忽 就会让我们辛苦架设的局域网毁于一旦 下面 我们就来从局域网维护角度入手 讲解常见的网络病毒及防治措施 防火墙的相 关知识和运用 最好介绍有关 IE 高级设置的问题 局域网安全维护 215 11 1 网络安全知识 大多数人都知道在 Internet 上冲浪的时候要注意安全 一方面防止网上病毒的蔓延 另 一方面又要防止黑客的攻击 然而对局域网内部的安全隐患却很少看见 事实上 Internet 只不过是局域网的一个延伸 在 Internet 上可能遇到的安全问题在局域网上同样可能遇到 对局域网的安全掉以轻心使非法侵入局域网的病毒得以肆意蔓延 这个问题在对等网中尤为 严重 而一些不怀好意的来自局域网内部的攻击更是防不胜防 11 1 1 病毒的由来 1988 年 11 月 2 日下午 5 时 1 分 59 秒 美国康奈尔大学的计算机科学系研究生 23 岁 的莫里斯 Morris 将其编写的蠕虫程序输入计算机网络 几小时后因特网连接严重堵塞 这个网络连接着大学 研究机关的 155000 台计算机 整个网络全部瘫痪 这件事就像是计 算机界的一次大地震 引起了巨大反响 震惊全世界 引起了人们对计算机病毒的恐慌 也 使更多的计算机专家重视和致力于计算机病毒研究 从此 病毒 成为计算机界一个令人恐怖的词语 而病毒 队伍 也不断 发展壮大 以后的 CIH 病毒和梅莉莎病毒和前段时间新出现的冲击波 振荡波病毒等部对整个社会带 来了重大的损失 11 1 2 病毒的分类 计算机病毒也是一种应用程序 但它与其他计算机应用程序不同的是 它本身具有破坏 性 更重要的是 计算机病毒可以通过自身进行复制 而且这些计算机病毒一般都有很好的 隐蔽性 来躲避计算机使用者的注意 而在特定的触发条件下 比如时间或者具体的操作事 件等都会导致计算机病毒的发作 病毒的破坏性主要是软件方面的 按照计算机病毒的属性 病毒可以按照如下分类 1 根据病毒的传播介质分类 根据病毒的传播介质分类 根据病毒的传播媒体 病毒可以划分为网络病毒 文件病毒和引导型病毒 网络病毒通 过计算机网络传播感染网络中的可执行文件 文件病毒感染计算机中的文件 如 COM BAT EXE DOC 等文件 并通过这些文件的使用不断地复制自身 以摧毁整个系统 引 导型病毒感染启动扇区 Boot 和硬盘的系统引导扇区 MBR 事实上 随着 病毒技术 的不断进步 现在的病毒大多数是这三种情况的综合型 例 如 著名的 CIH 病毒就是一个典型 这个病毒初期通过 Internet 传播到世界上每一个角落 而 216 全能培训 局域网组建与维护教程 本身又寄生在文件中 在内存调用文件时感染下一个文件 然后损坏引导区 继续向下感染 和传播 最终使全球无数的计算机难逃劫难 2 根据病毒的破坏能力分类 根据病毒的破坏能力分类 基本无害型 除了传染时减少磁盘的可用空间外 对系统没有其他影响 但对于这样的病毒也不可以 掉以轻心 它们的变种往往会大量吞噬掉硬盘空间 基本无危险型 这类病毒仅仅是减少内存 显示图像 发出声音 这样的病毒事实上是一个恶作剧的计 算机程序 编写者自称这样的程序是跟计算机的使用者开一个玩笑或者以此来证明自己的计 算机水平 但它终究是一个病毒 没有人愿意在工作的时候听到或者看到一些令人厌恶的声 音或者图像 危险型 这类病毒在计算机系统操作中造成严重的错误 无数次的 蓝屏 和 非法操作 最终 使计算机系统崩溃 极端危险型 这类病毒属于恶性病毒 它们不仅删除程序 破坏数据 清除系统内存区和操作系统中 重要的信息 甚至损坏计算机硬件设备 重写 BIOS 修改硬盘引导区信息 让你的电脑不 停地重新启动等等都是它们的拿手好戏 典型的就是 CIH 病毒和振荡波病毒 3 根据病毒特有的算法分类 根据病毒特有的算法分类 伴随型病毒 这一类病毒并不改变文件本身 它们根据算法产生 exe 文件的伴随体 具有同样的名字 和不同的扩展名 COM 例如 XCOPY EXE 的伴随体是 XCOPY COM 病毒把自身 写入 COM 文件并不改变 EXE 文件 当 Dos 加载文件时 优先执行伴随体 再由伴随体加 载执行原来的 EXE 文件 蠕虫 型病毒 通过计算机网络传播 不改变文件和资料信息 利用网络从一台机器的内存传播到其他 机器的内存 计算网络地址 将自身的病毒通过网络发送 有时它们在系统存在 一般除了 内存不占用其他资源 这种病毒的攻击对象主要是网络 其破坏结果往往是使整个网络瘫痪 局域网安全维护 217 寄生型病毒 除了伴随型和 蠕虫 型 其他病毒均可称为寄生型病毒 它们依附在系统的引导扇区 或文件中 通过系统的功能进行传播 这种病毒往往并不是立即发作 还有一段潜伏期 在 潜伏期内通过各种途径迅速地传染和蔓延 最后通过触发条件发作 综上所述 病毒的分类是一个很模糊的概念 越是高级的病毒 其算法就越复杂 传播 途径就越多 破坏力就越强 11 1 3 病毒的攻击对象 如果计算机已经感染病毒 会出现什么症状呢 不同的症状是病毒攻击了计算机不同的 部分造成的 病毒攻击对象以及表现特征有以下几种 1 攻击系统数据区 攻击系统数据区 攻击部位包括 硬盘主引导扇区 Boot 扇区 FAT 表 文件目录 一般来说 攻击系统 数据区的病毒是恶性病毒 受损的数据不易恢复 2 攻击文件 攻击文件 病毒对文件的攻击方式很多 如删除 改名 替换内容 丢失部分程序代码 内容颠倒 写入时间空白 变碎片 假冒文件 丢失文件簇和丢失数据文件 3 攻击内存 攻击内存 内存是计算机的重要资源 也是病毒的主要攻击目标 病毒额外地占用和消耗系统的内 存资源 可以导致一些大程序受阻 如占用大量内存 禁止分配内存及蚕食内存 4 干扰系统运行 干扰系统运行 病毒会干扰系统的正常运行 以此作为自己的破坏行为 此类行为也是花样繁多 如不 执行命令 干扰内部指令的执行 虚假报警 打不开文件 占用特殊数据区 换现行盘 时 钟倒转 重启动 死机 强制游戏和扰乱串并行口 5 占用资源 占用资源 病毒激活时 其内部的时间延迟程序启动 在时钟中纳入了时间的循环计数 迫使计算 机空转 计算机速度明显下降 6 扰乱屏幕显示 扰乱屏幕显示 病毒扰乱屏幕显示的方式很多 如字符跌落 环绕 倒置 显示前一屏 光标下跃 滚 218 全能培训 局域网组建与维护教程 屏 抖动 乱写 颜色显示异常和无图标等等 7 键盘 键盘 病毒干扰键盘操作 如响铃 封锁键盘 换字 抹掉缓存区字符 重复和输入紊乱等等 8 攻击 攻击 CMOS 在机器的 CMOS 区中 保存着系统的重要数据 例如系统时钟 磁盘类型及内存容量 等 有的病毒激活时 能够对 CMOS 区进行写人动作 破坏系统 CMOS 中的数据 9 吞噬网络资源 吞噬网络资源 最明显的就是 蠕虫 病毒 其明显持征是网络速度变慢 系统反应迟钝 11 1 4 几种常见的病毒 1 爱虫 病毒 爱虫 病毒 love bug 爱虫 病毒是一种 蠕虫 病毒 前面说过 蠕虫 病毒主要就是通过占用内存和网 络资源达到使网络瘫痪的目的 爱虫 就是个典型的例子 它通过 Microsoft Outlook 电子 邮件系统传播 邮件的主题为 I Love You 包含一个附件 Love Letter for you txt vbs 一旦在 Microsoft Outlook 中打开这个附件 系统就会自动复制并向通信簿中的所有电子邮件 地址发送这个病毒 用户感染了该病毒后 邮件系统会变慢 并可能导致整个网络系统崩溃 这个病毒对于 电子邮件系统具有极大的危险性 这种病毒同时会感染并坏文件名为 VBS VBE JS JSEE CSS WSH SCT HTA JPG JPEC PM3 和 MP2 等 12 种数据文 件 2 Funlove 病毒病毒 Win32 Funlove 4099 文件型病毒主要针对局域网 如果局域网中的一台计算机感染该病 毒 那么 Win32 Funlove 4099 将感染 Windows 9X 和 Windows NT 4 0 的 Win32PE 文件 如 exe scr和 ocx文件 当该病毒首次运行时 会在系统System目录下生成一个名为Flcss Exe 的文件 然后感染所有的 exe scr 和 ocx 文件 而且 Explorer exe 也会在 NT 系统重新启动 后被感染 这个病毒还会修改 Ntoskrnl exe 和 Ntldr 等 NT 系统文件 并通过这种方式实现在 系统重启动后拥有 NT 系统的所有通道 局域网安全维护 219 3 CIH 病毒病毒 图 11 1 CIH 病毒文件 臭名昭著的 CIH 病毒相信很多人都知道 其破坏力之强令任何一个计算机使用者都为 之咋舌 首先 CIH 病毒将感染 Windows 9X 及在 Windows 9X 下运行的后缀名为 exe com vxd vxe 的应用程序 自解压文件 压缩文件和压缩包中的这 4 种后缀名的程序也会受 到感染 拷贝到硬盘上压缩名为 CAB 中的压缩文件中的 Windows 98 以及备份包中的 Windows 98 文件均会受到感染 也就是说 CIH 病毒会毁坏掉磁盘上的所有系统文件 其 次 CIH 病毒会感染硬盘上的所有逻辑驱动器 以硬盘中 2048 个扇区为单位 从硬盘主引 导区开始依次向硬盘中写入垃圾数据 直到硬盘中数据被全部破坏为之 最坏的情况是硬盘 所有数据 含全部逻辑盘数据 均被破杯 然而 这都没有什么 更为可怕的是 CIH 病毒 还会破坏主板上的 BIOS 使 CMOS 的参数回到出厂时的设置 假如用户的 CMOS 是 Flash Rom 型的 那么主板将会报废 对于硬盘数据的恢复用一些查毒工具基本就可以做到 而破坏的 BIOS 则比较难恢复 一般来说都要先下载主板 BIOS 然后重刷 BIOS 具体的刷 BIOS 步骤这里就不详细叙述了 请参考 全能培训 电脑组装与维护教程 一书相关章节 4 YAI 病毒病毒 YAI You And I 是第一个国内编写的大规模流行的 黑客 病毒 它是由重庆的一位 叫杜江的大学生编写的 YAI backdoor 属于文件型病毒 通过各种存储介质和因特网传 播 主要以右键附件的形式传递 在 YAI backdoor 病毒感染 Windows 系统的可执行文件 并执行了染毒文件后 系统没有任何特殊现象 即在毫无征兆的情况下能够将病毒激活 使 之侵入系统 当染毒文件 exe 被运行后 会在当前目录下生成 TMP 和 TMP YAI 两个文 件 同时此病毒自动搜索系统内的可执行文件 并将这些可执行文件感染 220 全能培训 局域网组建与维护教程 5 圣诞节 病毒 圣诞节 病毒 圣诞节 病毒也是一种极度恶性病毒 它不但能删除计算机上的文件 而且通过破坏 计算机的 FLASH BIOS 使其完全瘫痪 在破坏 FLASH BIOS 时 该病毒的作者使用了与 CIH 病毒一样的手法 这种病毒能感染 Windows 95 Windows 98 及 Windows NT 这种病 毒在 12 月 25 日发作 目前的杀毒软件基本上都可以查杀这种病毒 11 1 5 防毒措施 在前面已经介绍了计算机中病毒的各种特征表现 如果计算机出现了这些表现就不得不 怀疑系统已经中毒 这时候需要用专业的查毒工具检查系统 通过检查 如果计算机已经感 染了病毒 则要尽快进行杀毒 因此 在平时就要准备一个专业的杀毒软件 例如 Symantec Antivirus 等 检查文件时 不要以为只有 exe com 等可执行文件会感染病毒 就忽略了其他文件 事实上一些宏病毒就潜伏在 doc 文件中 而且通过一些特别技术 txt 文件也可以感染病 毒 因此必须对硬盘上的所有文件进行检查 检查完硬盘上的所有文件还必须对硬盘的引导扇区进行检查 一些隐藏在硬盘引导扇区 的病毒是最容易被人遗忘的 要使计算机时刻保持正常状态 对病毒的预防是首要的 不要用盗版光盘 在这些光盘中经常带有大量的病毒 已经成为传播计算机病毒的 个重要途径 在因持网上下载软件时 应该到一些知名的网站去下载 一些来历不明的软件很可 能就携带了病毒 下载后也不要忘了用查毒软件查毒 对重要的数据和硬盘引导区等进行备份 以防不测 图 11 2 杀毒软件 Symantec AntiVirus 局域网安全维护 221 11 2 黑 客 本节介绍的网络入侵不仅在 Internet 上应当注意 在局域网中的计算机同样可能受到来 自网络内部的攻击 11 2 1 黑客与骇客 黑客一词的英文为 Hacker 即凭借自己掌握的计算机技术知识 采用非法手段逃过计算 机网络系统的存取控制而获得进入计算机网络 进行未经授权的或非法访问的人 黑客队伍日渐壮大 一些后来在 IT 技术史中占有重要地位的人物开始崭露头角 其中 包括苹果机创始人之一的沃兹尼亚克 越来越多的黑客们在共享着技术所带来的喜悦的时 候 发现惟一美中不足的是欠缺互相交流心得的地方 因此 在 1978 年 来自芝加哥的兰 边 索萨及沃招 克里斯琴森便制作了第一个供黑客交流的网上公告版 此 BBS 至今仍在 运行之中 11 2 2 黑客攻击的常用几种手段 黑客常用的攻击手段有 1 密码入侵 密码入侵 所谓密码入侵就是指用一些软件解开加密文档 但是 许多忠于此术的黑客并不采用这 种方法而是用一种可以绕开或屏蔽密码保护的程序 对于那些可以解开或屏蔽密码保护的程 序通常校称为 Crack 2 特洛伊木马 特洛伊木马 说到特洛伊木马只要知道这个故事的人就不难理解 它最为广泛的方法就是把某一特定 程序依附在某一合法用户程序中 这时 合法用户的程序代码已被改变 而一旦用户触发该 程序 那么依附在内的黑客指令代码同时被激活 这些代码往往能完成黑客早已指定的任务 由于这种入侵法需要黑客有很好的编程经验 且要更改代码 要一定的权限 所以较难掌握 但是正因为它的复杂性 一般的管理员很难发现 对于黑客来说就要有一点耐心了 3 监听法 监听法 目前的局域网基本上都采用以广播为技术基础的以太网 任何两个节点之间的通信数据 包 不仅为这两个节点的网卡所接收 也同时为处在同一以太网上的任何一个节点的网卡所 截取 因此 黑客只要接入以太网上的任一节点进行侦听 就可以捕获发生在这个以太网卡 222 全能培训 局域网组建与维护教程 的所有数据包 对其进行解包分析 从而窃取关键信息 达就是以太网所固有的安全隐患 有一种软件 Sniffer 网络嗅探器就是通过这种途径来监听网络中的数据流向 它可以截 获密码 可以截获秘密的信息 可以用来攻击相邻的网络 11 3 防火墙概述 图 11 3 Sygate 个人防火墙 开放的计算机和服务器 工作站体系结构较以前的各种网络结构确实具有许多好处 但 安全问题却变得十分严重 特别是在连接到互联网的时候 在这种条件下 防火墙产品应运 而生 防火墙是网络安全工具中最早成熟 最早产品化的 网络防火墙一般定义为在两个网 络间执行访问控制策略的一个或一组系统 防火墙可以分为两大类 即边界式防火墙和分布式防火墙 下面我们详细的介绍一下 11 3 1 边界式防火墙 根据边界式防火墙的特点和原理可将其分成不同的几类 1 按边界式防火墙的特点分类 按边界式防火墙的特点分类 边界式防火墙按其特点可分为 屏蔽路由器 应用网关 屏蔽主机网关 被屏蔽子网等 几种 屏蔽路由器 最简单和最流行的防火墙形式是 屏蔽路由器 一般说来 屏蔽路由器类型的防火墙 具有以下优点 通常其性能要优于其他类型的防火墙 规则设置简单 局域网安全维护 223 不需对客户端计算机进行专门的配置 通过 NAT 网络地址转换 可以对外部用户屏蔽内部 IP 地址 但它本身也具有一定的缺点 无法识别到应用层协议 也无法对协议子集进行约束 通常不能提供其他附加功能 如 HTTP 的目标缓存 URL 过滤以及认证等 只能控制信息进出 但细心的人可以看到 入侵者可能访问到防火墙主机的服务 换句话说 入侵者可以攻击到防火墙主机 从而带来安全隐患 没有或缺乏审计追踪 从而也就缺乏报警机制 由于对众多网络服务的 广泛 支持所造成的复杂性 很难对规则有效性进行测试 应用网关 它通常被配置为 双宿主网关 具有两个网络接口卡 同时接入内部和外部网 由于 网关可以与两个网络通信 它是安装传递数据软件的理想位置 这种软件就称为 代理 通常是为其所提供的服务定制的 代理级防火墙和屏蔽路由器一样具有一些共同的特点 例如 可以识别并实施高层的协议 如 HTTP 和 FTP 等 包含通过防火墙服务器的通信信息 可以提供源于部分传输层 全部应用层和部分 会话层的信息 可以用于禁止访问特定的网络服务 而允许其他服务的使用 能够处理数据包 可以屏蔽掉内部网的 IP 地址 这是因为代理服务不允许外部和内部主机间直接通 信 因此内部主机名对外部是不可知的 屏蔽主机网关 屏蔽主机网关易于实现也最为安全 一个堡垒主机安装在内部网络上 通常在路由器上 设立过滤规则 并使这个堡垒主机成为从外部网络惟一可直接到达的主机 这确保了内部网 络不受未被授权的外部用户的攻击 如果受保护网是一个虚拟扩展的本地网 即没有子网和 路由器 那么内部网的变化不影响堡垒主机和屏蔽路由器的配置 危险带限制在堡垒主机和 屏蔽路由器 网关的基本校制策略由安装在上面的软件决定 如果攻击者设法登录到它上面 内网中的其余主机就会受到很大威胁 这与应用网关受攻击时的情形差不多 被屏蔽子网 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网 并且通过两台分组 过滤路由器将这一子网分别与内部网络和外部网络分开 在很多案例的实现中 两台分组过 滤路由器均放在子网的两端 224 全能培训 局域网组建与维护教程 2 边界式防火墙的原理分类 边界式防火墙的原理分类 防火墙根据其工作原理分为 3 种 包过滤防火墙 代理服务器和状态监视器 包过滤防火墙 IP Filting Firewall 包过滤 Packet Filter 是在网络层中对数据包实施有选择地放行 依据系统事先设定好 的过滤逻辑 检查数据据流中的每个数据包 根据数据包的源地址 目标地址以及包所使用 端口确定是否允许该类数据包通过 配置繁琐是包过滤防火墙的一个缺点 它阻挡别人进入内部网络 但也不告诉何人进入 系统 或者何人从内部进入网际网路 包过滤另一个关键的弱点就是不能在用户级别上进行 过滤 即不能鉴别不同的用户和防止 IP 地址被盗用 包过滤型防火墙是某种意义上的绝对安全的系统 代理服务器 Proxy Server 代理服务器通常也称为应用级防火墙 包过滤防火墙可以按照 IP 地址来禁止未授权者 的访问 但是它不适合单位用来控制内部人员访问外界的网络 对于这样的企业来说 应用 级防火墙是更好的选择 所谓代理服务 即防火墙内外的计算机系统应用层的连接是在两个 终止于代理服务的连接来实现的 这样便成功地实现了防火墙内外计算机系统的隔离 代理服务器像真的墙一样挡在内部用户和外界之间 特别是从外面来的访问者只能看到 代理服务器而看不到任何内部资源 诸如用户的 IP 地址等 而内部客户根本感觉不到它的 存在 可以自由访问外部站点 但代理服务器同时也存在一些不足 特别是它会使网络的访 问速度变慢 因为它不允许用户直接访问网络 而代理又要处理入和出的通信量 因此每增 加一种新的媒体应用 则必须对代理进行设置 状态监视器 Stateful Inspection 状态监视器作为防火墙技术其安全特性最佳 它采用了一个在网关上执行网络安全策略 的软件引擎 称之为检测模块 检测模块在不影响网络正常工作的前提下 采用抽取相关数 据的方法对网络通信的各层实施监测 抽取部分数据 即状态信息 并动态地保存起来作为 以后制定安全决策的参考 3 边界防火墙的缺点 边界防火墙的缺点 结构性受限制 边界防火墙的工作机理依赖于网络的物理拓扑结构 例如家庭移动办公和服务器托管越 来越普遍 所谓内联网已经变成一个逻辑上的概念 实际的内部物理网络已经很模糊 另一 局域网安全维护 225 方面 电子商务的应用要求商务伙伴之间在一定权限下可以进入到彼此的内部网络 所以说 内联网的边界已经是一个逻辑的边界 物理的边界日趋模糊 边界防火墙的应用受到了愈来 愈多的结构件限制 内部不够安全 边界防火墙设置安全策略的一个基本假设是 网络的一边即外部的所有人是不可信任 的 另一边即内部的所有人是可信任的 但在实际环境中 80 的攻击和越权访问来自于内 部 也就是说 边界防火墙在对付网络安全的主要威胁时束手允策 基于上述缺陷诞生了一种新兴的防火墙技术 分布式防火墙 Distributed Firewalls 它能够有效地防止来自内部网络的攻击 11 3 2 分布式防火墙 从狭义来讲 分布式防火墙产品是指那些驻留在网络中主机 如服务器或桌面机 并对 主机系统自身提供安全防护的软件产品 从广义来讲 分市式防火墙 是一种新的防火墙 体系结构 1 分布式防火墙结构组成 分布式防火墙结构组成 分布式防火墙由网络防火墙 主机防火墙和中心管理三个部分组成 边界防火墙只是网 络中的单一设备 管理是局部的 对分布式防火墙来说 每个防火墙作为安全监测机制 可 以根据安全性的不同要求布置在网络中的任何需要的位置上 但总体安全策略又是统一策划 和管理的 安全策略的分发及日志的汇总都是中心管理应具备的功能 中心管理是分布式防 火墙系统的核心和重要特征之一 2 分布式防火墙的优点 分布式防火墙的优点 分布式防火墙 在局域网尤其是大型局域网中的典型应用优点如下 系统购安全性 增加了针对主机的入侵监测和防护功能 加强了对来自内部攻击的防范 可以实施全方位的安全策略 提供了多层次立体的防范体系 系统性能的保证 消除了结构性瓶颈问题 提高 系统性能 226 全能培训 局域网组建与维护教程 系统的扩展性 随系统扩充提供了安全防护无限扩充的能力 代表性的主机防火墙 11 4 系统更新与补丁 我们所使用的微软操作系统 同样也是一种软件 针对硬件应用的软件 既然是软件 那么它就有 BUG 即平常我们所说的系统漏洞 接下来 我们就从网络安全的角度讲解微 软 Windows 操作系统的漏洞 11 4 1 Windows 9X 安全漏洞 Microsoft 9X 登录漏洞 Windows 9X Me 系统在用户登录计算机时可以通过不输入密码 单按 取消 按钮就能 登录到系统 在网络登录时输入正确的用户名并按确定 这时将会出现 Windows 登录窗口 按 取消 按钮将会以该用户的身份成功登录进入系统 Microsoft Windows 9X 客户端驱动器类漏洞 TCP IP 协议中 Net BIOS 密码验证方案中存在安全漏洞 攻击者可以修改它的文件共亨 服务 并执行 DOS 命令 攻击访问共享服务的 Windows 9X 客户端 处理方法 禁用基于 TCP IP 的 Net BIOS 如图 11 4 所示 图 11 4 网络协议中的 Net BIOS 从上面这些漏洞中可以看出 NetBIOS 服务给 Windows 9X 带来了巨大的危险 本章 局域网安全维护 227 在前面的内容中也已经提到其危害性 并详细叙述了解除 NetBIOS 服务绑定的方法 用户 可以参考 11 4 2 Windows 2000 非法登录漏洞 输入法漏洞 漏洞描述 通过该漏洞用户可浏览计算机上的所有文件 且可执行 net exe 命令添加 Administrator 级别的管理员用户 从而完全控制计算机 解释 在 Windows 2000 的登陆窗口中 按 Ctrl Shift 键 切换至全拼输入法 在输 入法状态条上按鼠标右键 选择 帮助 的 输入指南 然后选择 选项 按右键选择 跳 转到 URL 命令 随后即可输入各类命令 如使用系统的 net 命令 即可添加系统管理 员用户 随后即可通过该帐户登录 图 11 5 卸载输入法 对策 1 卸载不用的输入法 并删除输入法的帮助文件 2 安装 Windows 2000 的 Service Pack 1 以上的版本 Unicode 漏洞 漏洞描述 攻击者可通过 IE 浏览器远程运行被攻击计算机的 cmd exe 文件 从而使该 计算机的文件暴露 且可随意执行和更改文件 解释 Unicode 标准被很多软件开发者所采用 无论何种平台 程序或开发语言 Unicode 均为每个字符提供独一无二的序号 如向 IIS 服务器发出包括非法 Unicode UTF 8 序列的 228 全能培训 局域网组建与维护教程 URL 攻击者可使服务器逐字 进入或退出 目录并执行任意程序 该攻击即称为目录转换 攻击 Unicode 用 2f 和 5c 分别代表 和 字符 但也可用 超长 序列来代 替这些字符 超长 序列是非法的 Unicode 表示符 如用 c0 af 代表 字符 由于 IIS 不对超长序列进行检查 因此在 URL 中添加超长的 Unicode 序列后 可绕过微软的安全 检查 如在一个标记为可执行的文件夹发出该请求 攻击者即可在服务器上运行可执行文件 图 11 6 微软更新主页 对策 1 为避免该类攻击 建议下载最新补丁 网址如下所述 2 安装 IIS Lockdown 和 URL Scan 来加固系统 从而避免该类攻击 IIS Lockdown 的下载地址如下所述 URLScan 的下载地址如下所述 3 安装 Windows 2000 的 Service Pack 2 或 Service Pack 2 以上的版本 如下图所示 图 11 7 Windows 2000 SP2 的系统 MS SQL Server 的 SA 空密码漏洞 漏洞描述 攻击者可在安装MS SQL Server的Windows 2000服务器上新建Administrators 局域网安全维护 229 组用户 解释 在 Windows 2000 中 企业级用户一般均使用微软的数据库管理软件 MS SQL Server 在安装 MS SQL Server 后 会将产生默认的 SA 用户 且初始密码在管理员未设置 的情况下为空 但 SA 为 SQL Server 中非常重要的安全模块成员 因此入侵者即可通过 SQL Server 客户端进行数据库远程连接 然后通过 SQL 的远程数据库管理命令进行命令操作 从而在 MS SQL Server 服务器上新建管理员级别的 Administrators 组用户 对策 1 安装 SQL Server 后应立即修改 SA 的空密码 2 安装 Windows 2000 的 Service Pack 3 以上版本补丁 图 11 8 安装了 Windows 2000 SP4 的系统 系统管理权限漏洞 漏洞描述 操作系统权限有可能被登录至 Windows 2000 的普通用户所窃取 解释 该漏洞发现于网络连接管理器 Network Connection Manager 即 NCM 中 网 络连接管理器是管理并设置系统网络连接的组件 在建立网络连接时 连接管理器将调用某 个处理程序 由于连接管理器中的安全漏洞 因此经过某些复杂的操作步骤 被调用的处理 程序将在局部系统权限下运行 且有可能调用其他处理程序 如作为处理程序而指定任意程序后 该程序将在局部系统权限下运行 而该权限即 Windows 系统自身的执行权限 且基本未受任何限制 因此在该权限下任何程序均可运行 普通用户即可控制整个系统 对策 安装 Windows 2000 的 Service Pack 3 以上版本补丁 微软操作系统的漏洞并非仅仅只有以上介绍的这些 但是由于用户的反馈以及微软系统 测试员的不断努力 其操作系统的漏洞不断的在减少 自从微软的 Windows 系列操作系统 开发以来 微软就推出了操作系统的更新 这也是解决系统漏洞的一个很好途径 11 5 如何更新与升级操作系统 本节将以 Windows 2000 为例 将介绍一下如何将 Windows 2000 SP1 升级到 Windows 2000 SP4 版本的详细过程 首先我们了解一下 Windows 2000 SP4 与原版本有些什么改进 230 全能培训 局域网组建与维护教程 SP4 是 Windows 2000 更新的集合 SP4 包含对 Windows 2000 功能中下列方面的更 新 安全 操作系统可靠性 应用程序兼容性 Windows 2000 安装程序 SP4 还包括 Windows 2000 的 Service Pack 1 Service Pack 2 和 Service Pack 3 中包含的更新 Microsoft Internet Explorer 6 0 Service Pack 1 带有 Service Pack 2 的 Microsoft Outlook Express 5 5 SP4 包 含具备通用串行总线 2 0 增强主控制器接口 EHCI 外围组件互连 PCI 控制器的计算机 的驱动程序 同时 SP4 还支持 IEEE 802 1x 身份验证协议 更新与升级操作系统主要有两种方法 一种是先下载安装包文件 再在本地硬盘上安装 另外一种是直接登陆微软的官方网址 网络下载和安装 11 5 1 本地安装 先看看系统现在的版本吧 在桌面上右击 我的电脑 属性 就可以查看你的电脑操作 系统的版本 图 11 9 Windows 2000 SP2 我们可以看到 现在的系统版本是 Windows 2000 SP2 我们要将它升级到 Windows 2000 SP4 操作步骤如下 步骤1 我们先要到微软的官方网站或是其它网站下载 下载一个 Windows 2000 SP4 安 装包 内含 Windows 2000 SP4 的可执行文件 图 11 10 图 11 10 Windows 2000 SP4 安装文件 步骤2 双击执行它 出现正在提取文件的对话框 状态是正在验证文件 图 11 11 步骤3 验证完之后 开始提取文件 其实就是解压缩到一个文件夹 图 11 12 局域网安全维护 231 图 11 11 正在提取文件的对话框 图 11 12 提取文件 步骤4 提取文件完毕后 就会弹出 Windows 2000 SP4 的安装向导了 图 11 13 步骤5 在这里 安装向导给了我们一些建议 比如关闭其它打开的程序等等 因为它 们有可能会导致升级的失败 然后单击下一步 就会弹出许可协议 图 11 14 图 11 13 Windows 2000 SP4 的安装向导 图 11 14 许可协议 步骤6 选择 我同意 然后 单击 下一步 按钮 接着出现了选择选项的对话框 图 11 15 步骤7 其中有两个选项 一个是文件存档 一个是文件不存档 这里 建议选择 文 件存档 这样 如果装完 SP4 后出现了问题 可以卸载 Windows 2000 SP4 单击 下一 步 按钮 就开始更新了 Windows 图 11 16 图 11 15 选择选项 图 11 16 更新版本 步骤8 这里大约将进行 5 分钟左右 就更新完毕了 然后重新启动 让我们再看看 系统属性里的版本吧 图 11 17 232 全能培训 局域网组建与维护教程 图 11 17 更新后的属性 上面已经显示为 Service Pack 4 了 表明我们已经把 Windows 2000 SP2 成功升级为 Windows 2000 SP4 了 11 5 2 网络安装 对于互联网用户 还可以使用 Windows 自动更新方法登陆微软网站 直接升级操作系 统 这种方法也可以用于安装系统补丁 关于安装系统补丁 我们将在下节做介绍 以下 是通过网络更新的方法来升级操作系统 步骤1 首先 打开 Internet Explorer 在 IE 的菜单栏的 工具 子菜单选择 Windows Update 选项 如图 11 18 所示 步骤2 单击 Windows Updater 后 IE 连接到微软的网站 并出现一个安全设置警告 如图 11 19 所示 图 11 18 打开 IE 图 11 19 安全设置警告 步骤3 我们选择 是 IE 就继续连接到微软的 Windows 升级网页 如图 11 20 步骤4 在图 11 20 中 我们可以看到一个选项 查看以寻找更新 单击它 系统会 自动帮你查看你的系统需要更新的地方 如图 11 21 所示 局域网安全维护 233 图 11 20 微软的 Windows 升级网页 图 11 21 寻找的更新地方 步骤5 单击 复查并安装更新 后 出现了如图 11 22 所示的界面 图 11 22 显示安装的升级程序及补丁 步骤6 在上图下半部分 显示的是所要安装的升级程序及补丁 可以选择不需要更新 笔者建议全部更新 单击 立即安装 图 11 23 安装过程 步骤7 接下来 系统自动下载更新程序并且自动安装更新 重新启动后即可 234 全能培训 局域网组建与维护教程 11 6 IE 高级设置 现在的浏览器市场上说不上百家争鸣 但也有数十种了 可以说是各有特色 微软的新 一代浏览器 IE 6 0 因为采用开放的标准并加强了对 Cookie 的管理而受到普遍欢迎 它是在 IE 5 5 基础上发展而来的 能够完全兼容 Windows 98 Me 2000 操作系统 而且微软采用了隐 私 P3P 标准 从理论上看 能更安全地访问网页 如果你访问的网页不符合指定的最低安全 要求 IE 6 0 将在任务栏上发出警告 当然上网的安全性保障措施有很多种 这里主要介绍一些必要的 IE 安全使用设置和技 巧 下面我们就来看一下 IE 6 0 的安全使用及优化设置技巧 1 清除上网记录 清除上网记录 单击 IE6 0 地址栏右侧的下拉标志 已访问过的站点无一遗漏 尽在其中 如果不想 让别人知道刚才访问了哪些站点 怎么办 清除部分上网记录 若只想清除部分上网记录 单击浏览器工具栏上的 历史 按钮 在右栏的地址历史记 录中 用鼠标右键选中某一希望清除的地址或其下一网页 选取 删除 也可用编辑注册表的方法达到目的 在注册表编辑器中 找到 HKEYCURRENT USER Software Microsoft Internet Explorer Typed URLS 在右栏中 删去不想再让其出现的主键即可 记住要让 urlx x 代表序号 以自然顺序排列 清楚全部上网记录 为 了 加 快 浏 览 速 度 IE 会 自 动 把 你 浏 览 过 的 网 页 保 存 在 缓 存 文 件 夹 C Windows Temporary Internet Files 下 当你确信已浏览过的网页不再需要时 在该文件夹 下选中所有网页 删除即可 若想清楚全部的上网记录 还可以打开 工具 Internet 属性 命令 单击 常规 标签 历史记录 选项中的 清除历史记录 按钮 这时系统会弹出警告 是否确实要让 Windows 删除已访问过网站的历史记录 选择 是 就行了 如图 11 24 所示 图 11 24 Internet 选项提示 局域网安全维护 235 这种方法清楚全部上网的记录不太彻底 会留下少许 Cookies 在文件夹内 在 常规 标签 Internet 临时文件 选项中 有一个 删除 Cookies 按钮 通过它可以很方便地删除 遗留的 Cookies 如图 11 25 所示 其实 比较快捷的设置做法是 将 IE6 0 的上网历史记录的天数设置为 0 天 这样 电脑只会保存当天的上网记录 昨天的记录则没有 如图 11 25 所示 如果想浏览网页却又不想网址出现在 IE6 0 的下拉框中 这里可以介绍一种更加简单的 方法 当每次上网时不要在 IE6 0 的地址栏中输入网址 从 文件 打开 命令中输入 网址 在单击 确定 按钮 如图 11 26 所示 通过这种方式浏览的网址就不会出现在 IE6 0 地址栏中了 读者可以试一试 图 11 25 历史纪录设置 图 11 26 目录打开网页方式 2 更改临时文件夹 更改临时文件夹 每当上网去浏览网页时 都会将网上的部分文件 包括图片和 HTML 文件等 储存于 系统内的 Temporary Internet files 临时文件夹 之中 以方便同一个网站的浏览 但 IE6 0 中设置的临时文件夹所占空间比较大 对硬盘比较小的读者来说可能不希望这样 打开 工具 Internet 选项 命令 在 常规 标签 Internet 临时文件 选项 设 置 按钮中 预设临时文件夹的使用情况 单击 设置 按钮 在弹出的 设置 对话框中 将 使用的磁盘空间 缩小为 20 MB 比较适合 也可以将 Internet 临时文件夹 的保存 位置设到 D 盘 如图 11 27 所示 3 禁用或限制使用 禁用或限制使用 Java Java Applet ActiveX 控件控件 由于互联网上 如在浏览 web 页和在聊天室里 经常使用 Java Java Applet ActiveX 编写的脚本 它们可能会获取你的用户标识 IP 地址 乃至口令 甚至会在你的机器上安装 某些程序或进行其他操作 因此对 Java Java Applet ActiveX 控件的使用进行限制是非常 必要的 在 IE 工具 菜单的 Internet 选项 窗口的 安全 标签中打开 自定义级别 就可 以对 Java ActiveX 控件的使用情况进行设置 如图 11 28 所示 236 全能培训 局域网组建与维护教程 图 11