东北大学网络中心网络安全手册-200612版PPT课件.ppt

网络安全手册 东北大学网络中心2006年12月30日 提纲 个人计算机的安全配置与使用规范校园网近期安全问题个人计算机常见安全问题与解决办法校内安全资源 2 一 个人计算机的安全配置与使用规范 Windows系统的安全保护机制校内安全资源的使用初装计算机的正确步骤 3 一 个人计算机的安全配置与使用规范 Windows系统的安全保护机制系统与应用程序补丁防火墙帐号与口令防病毒软件正确的使用习惯 4 windows的安全保护机制 系统与应用程序补丁补丁的安装方法 Windows在线的update网站更新 需要是正版 微软提供的自动更新服务 速度慢 学校提供的WSUS服务器 推荐使用 手动下载补丁程序安装 不推荐 需要提醒的时除了系统补丁外 很多应用软件也需要安装补丁程序 如 office IE OUTLOOK等 5 windows的安全保护机制 防火墙的选用Winxp或者win2003自带的防火墙 推荐使用 Windows自身的组策略安全规则 配置复杂 第三方的防火墙 如天网个人防火墙 norton提供的防火墙 瑞星杀毒软件提供的防火墙 趋势防火墙 防火墙是必须的 6 windows的安全保护机制 口令设置要求口令应该不少于8个字符 不包含字典里的单词 不包括姓氏的汉语拼音 同时包含多种类型的字符 比如大写字母 A B C Z 小写字母 a b c z 数字 0 1 2 9 标点符号 7 windows的安全保护机制 防病毒系统一定要及时升级病毒库文件 推荐使用企业版 实时监控功能一定要开着推荐使用的杀毒软件赛门铁克的norton防毒软件瑞星杀毒软件 rising 趋势科技的officescan防毒软件卡巴斯基 8 windows的安全保护机制 正确的使用习惯不随便下载程序运行不访问一些来历不明的网页链接不使用的情况下尽量关闭机器经常备份重要数据 9 一 个人计算机的安全配置与使用规范 Windows系统的安全保护机制校内安全资源的使用初装计算机的正确步骤 10 校内安全资源的使用 补丁更新服务器东北大学WSUS服务器地址 202 118 1 113WSUS服务配置方法修改注册表修改组策略 推荐 11 补丁更新服务器 组策略 一 选择 开始 运行 输入gpedit msc 打开组策略窗口 二 选择 管理模板 然后从菜单中选择 操作 添加 删除模板 注意 winxpsp1以上版本的操作系统中这个wuau adm已经添加了 您可以直接跳到第六步 三 在 添加 删除模板 窗口中选择 添加 12 补丁更新服务器 组策略 四 在 策略模板 中选择 wuau adm 并选择 打开 五 选择 关闭 关闭 添加 删除模板 窗口 六 选择 计算机配置 管理模板 Windows组件 WindowsUpdate 并选择 配置自动更新 七 在 配置自动更新 的属性窗口中 选择 启用 并选择 确定 13 补丁更新服务器 组策略 八 在 指定IntranetMicrosoft更新服务器位置 的属性窗口中 选择 启用 并在 设置检测更新的Intranet更新服务 框中输入 14 补丁更新服务器 注册表 WindowsRegistryEditorVersion5 00 HKEY LOCAL MACHINE SOFTWARE Policies Microsoft Windows WindowsUpdate WUServer WUStatusServer HKEY LOCAL MACHINE SOFTWARE Policies Microsoft Windows WindowsUpdate AU UseWUServer dword 00000001 15 补丁更新服务器 注册表 当系统右下角的托盘中出现了黄色的小盾牌 windows2000为绿色的小地球图标 后 说明系统有需要安装的补丁程序 双击该图标后按照系统提示安装相应的补丁程序 16 Symantec杀毒软件 病毒服务器地址 http 202 118 1 39病毒软件的安装方法 在线安装 需要把控件功能打开 下载安装包安装企业版的Norton杀毒软件采用的是服务器自动分发病毒库文件 无需用户手动更新 17 Symantec杀毒软件 查看病毒码更新日期 主窗口 病毒定义文件 版本 Liveupdate 立即更新功能 一般情况下不需要手动点击立即更新 应该连接到校内地址202 118 1 64 9 0版 10 0版 18 卡巴的升级 目前东北大学网络中心提供卡巴的病毒定于升级地址 http 202 118 1 39支持版本 5 0 6 0 19 一 个人计算机的安全配置与使用规范 Windows系统的安全保护机制校内安全资源的使用初装计算机的正确步骤 20 初装计算机的正确步骤 系统的选择原则选择最新版的操作系统 推荐winxp或2003 尽量选择已经带有servicepack的版本遵从 最小安装原则 如果有专职管理员 请专职管理员协助安装操作系统 21 操作系统初始安装的过程 系统安装与加固预先将东西准备好 如防火墙软件等 安装过程请拔掉网线系统安装结束后请安装并启用防火墙后再插上网线配置补丁自动更新 并升级补丁程序安装防病毒软件并升级到最新的病毒库具体过程请参照ftp 202 118 1 64 pub2 Sercurity doc 初装计算机补丁安装 doc 22 提纲 个人计算机的安全配置与使用规范校园网近期安全问题个人计算机常见安全问题与解决办法校内安全资源 23 二 近期校园网常见安全问题 ARP攻击系统入侵熊猫烧香病毒 24 ARP攻击 什么是ARP攻击 利用ARP协议本身的缺陷进行的一种非法攻击 目的是为了在全交换环境下实现数据监听 通常这种攻击方式可能被病毒 木马或者有特殊目的攻击者使用 ARP攻击有什么危害 致使同网段的其他用户无法正常上网 频繁断网或者网速慢 泄露用户的敏感信息 25 ARP原理 ARP AddressResolutionProtocol 地址解析协议用于将计算机的网络地址 IP地址32位 转化为物理地址 MAC地址48位 RFC826 ARP协议是属于链路层的协议 在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址 硬件地址 来确定接口的 而不是根据32位的IP地址 内核 如驱动 必须知道目的端的硬件地址才能发送数据 点对点的连接是不需要ARP协议的 26 ARP原理 主机名IP地址MAC地址主机A192 168 1 201 01 01 01 01 01主机B192 168 1 302 02 02 02 02 02网关C192 168 1 103 03 03 03 03 03主机D10 1 1 204 04 04 04 04 04网关E10 1 1 105 05 05 05 05 05 27 ARP工作原理 假如主机A要与主机B通讯 它首先会检查自己的ARP缓存中是否有192 168 1 3这个地址对应的MAC地址 如果没有它就会向局域网的广播地址发送ARP请求包 大致的意思是192 168 1 3的MAC地址是什么请告诉192 168 1 2 而广播地址会把这个请求包广播给局域网内的所有主机 但是只有192 168 1 3这台主机才会响应这个请求包 它会回应192 168 1 2一个arp包 大致的意思是192 168 1 3的MAC地址是02 02 02 02 02 02 这样的话主机A就得到了主机B的MAC地址 并且它会把这个对应的关系存在自己的ARP缓存表中 之后主机A与主机B之间的通讯就依靠两者缓存表里的MAC地址来通讯了 直到通讯停止后两分钟 这个对应关系才会被从表中删除 28 ARP工作原理 假如主机A需要和主机D进行通讯 它首先会发现这个主机D的IP地址并不是自己同一个网段内的 因此需要通过网关来转发 这样的话它会检查自己的ARP缓存表里是否有网关192 168 1 1对应的MAC地址 如果没有就通过ARP请求获得 如果有就直接与网关通讯 然后再由网关C通过路由将数据包送到网关E 网关E收到这个数据包后发现是送给主机D 10 1 1 2 的 它就会检查自己的ARP缓存 没错 网关一样有自己的ARP缓存 看看里面是否有10 1 1 2对应的MAC地址 如果没有就使用ARP协议获得 如果有就是用该MAC地址与主机D通讯 29 ARP欺骗 Arp欺骗原理主机在实现ARP缓存表的机制中存在一个不完善的地方 当主机收到一个ARP的应答包后 它并不会去验证自己是否发送过这个ARP请求 而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息 这就导致主机B截取主机A与主机D之间的数据通信成为可能 30 ARP欺骗 主机b向网关C发送ARP应答包说 我是A我的MAC地址是02 02 02 02 02 02 主机b同时向主机A发送ARP应答包说 我是C我的MAC地址是02 02 02 02 02 02B获得A发给C的数据 修改后发给C 同时获得C发给A的数据修改后发给A 实现了监听过程 31 ARP攻击 几个概念 Arp缓存表 32 ARP攻击 ARP数据包13 10 44 802151arpwho has192 168 1 1tell192 168 1 213 10 44 802607arpreply192 168 1 1is at00 00 0c 07 ac 00 33 ARP攻击 什么情况下表明局域网内有ARP攻击校园网登陆系统频繁掉线网速突然变慢使用ARP a命令发现网关的MAC地址不停的变换使用sniffer软件发现局域网内存在大量的ARPreply包 34 ARP攻击 如何发现正在进行ARP攻击的主机1 在知道正确的网关MAC的情况下 通过ARP a命令看到的另一个网关MAC就是攻击主机的MAC2 使用Sniffer等抓包软件抓包发现大量的以网关的IP地址发送的ARPreply包 包中指定的MAC就是攻击主机的MAC3 使用清华开发的ARP保护程序发现攻击主机的MACftp 202 118 1 64 pub2 Security tools ArpFix rar 35 ARP攻击 如何处理感染主机发现感染主机 第一时间拔掉网线按照安全手册重新安装操作系统 36 ARP攻击 目前已知的ARP病毒的传播途径通过外挂程序传播通过网页传播通过其他木马程序传播通过即时通讯软件传播 QQ MSN 通过共享传播 网络共享 P2P软件共享 37 ARP攻击 如何预防感染ARP病毒 关闭不必要的共享及时安装系统补丁程序安装防病毒软件并及时升级病毒库不随便运行来历不明的程序不访问一些来历不明的链接 38 二 近期校园网常见安全问题 ARP攻击系统入侵熊猫烧香病毒 39 近期校园网常见安全问题 系统入侵多数被攻击的都是服务器 操作系统多为windows2000server或者linux针对linux常利用的漏洞为 openssh和apche等软件的漏洞针对windows2000server更多的是利用网页编写本身的漏洞 40 二 近期校园网常见安全问题 ARP攻击系统入侵熊猫烧香病毒 41 近期校园网常见安全问题 熊猫烧香病毒可对用户系统进行破坏 导致大量应用软件无法使用可删除扩展名为gho的所有文件 造成用户的系统备份文件的丢失 从而无法进行系统恢复能终止大量反病毒软件进程 降低用户系统的安全性急速变种感染型的蠕虫病毒 42 近期校园网常见安全问题 熊猫烧香病毒 43 提纲 个人计算机的安全配置与使用规范校园网近期安全问题个人计算机常见安全问题与解决办法校内安全资源 44 三 常见安全问题及解决方法 系统中的自启动程序浏览器的恢复本地病毒木马程序检查 45 系统中的自启动程序 Windows支持多种在系统启动时自动加载应用程序的方法包括 启动组Boot ini win ini system ini文件注册表启动项添加成系统服务计划任务动态库文件加载 46 系统中的自启动程序 启动组和win ini system ini开始 程序 启动里面对应的目录 C DocumentsandSettings administrator 开始 菜单 程序 启动 C Boot iniC Windows Win iniC Windows system ini 47 系统中的自启动程序 注册表启动项HKEY CURRENT USER Software Microsoft Windows CurrentVersion RunHKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 48 系统中的自启动程序 系统服务使用管理工具中服务选项来管理系统服务系统服务对应的注册表值HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion RunServices 49 系统中的自启动程序 任务计划在控制面板的任务计划里查看动态库文件加载判断相对困难 需要有丰富的经验和相应的工具 50 系统中的自启动程序 有用但不为人知的系统启动检测命令msconfig 51 五 常见安全问题及解决方法 系统中的自启动程序浏览器的恢复本地病毒木马程序检查 52 浏览器的恢复 IE浏览器容易出现的故障自动关闭默认主页被篡改 默认主页被禁止修改 自动弹出多个页面 53 浏览器的恢复 IE浏览器自动关闭的原因很多 例如 系统内存偏小系统内核故障 中木马了 IE软件故障IE与其他应用冲突 如打印进程 我们可以通过查看事件日志查找IE出错的原因 54 浏览器的恢复 解决IE浏览器自动关闭的方法使用杀毒软件杀毒察看事件记录看看是否记录关闭原因使用修复工具对IE进行修复安装新版本的IE浏览器重新安装操作系统增加系统内存 55 浏览器的恢复 IE浏览器手动修复方式 比较复杂 修复IE的标题栏 编辑注册表HKEY CURRENT USER Software Microsoft InternetExplorer MainHKEY LOCAL MACHINE Software Microsoft InternetExplorer Main找到键值项WindowTitle 修改成你要的或删除即可 56 浏览器的恢复 恢复注册表修改权限 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies system DisableRegistryTools dword 00000001方法1 使用其他注册表编辑器恢复 将DisableRegistryTools的值改为1方法2 通过组策略工具修改 57 浏览器的恢复 恢复IE默认主页修改权限的操作 即 Internet属性 控制面板设置IE主页 使用默认页 使用空白页 等按钮变为灰色不可用 解决方法 编辑注册表查找HKEY CURRENT USER Software Policies Microsoft InternetExplorer ControlPanel删除键值项HomePage 或将其值改为0 58 浏览器的恢复 修改IE默认页IE默认页为 59 浏览器的恢复 使用工具修