网络维护实战_CHAP03_Windows_2003安全管理实战.ppt

BENET3.0第一学期课程,第三章Windows2003安全管理实战,2,内容回顾,如何选择建立网站的方式？如何选择IDC？如何查找Web服务器的性能瓶颈？如何优化Web服务器性能？如何对Web服务器进行安全加固？,3,技能展示,掌握计算机病毒和木马的清除与预防掌握Windows系统的安全加固掌握配置和管理注册表掌握使用IPSEC加密数据传输,4,本章结构,5,计算机病毒的清除与预防,计算机病毒概述随着计算机应用的日益普及，计算机病毒的影响越来越大凡是人为编制的，干扰计算机正常运行并造成计算机软、硬件故障,或者破坏计算机数据的可自我复制的计算机程序都是计算机病毒,6,案例1：计算机病毒防治,BENET上海分公司的计算机经常受到病毒的侵扰。为减少病毒破坏，公司决定部署防病毒系统实现全方位、多层次防毒可以从某一中心位置统一管理整个防病毒系统,7,案例1：计算机病毒防治,安装SymantecAntiVirus服务器程序安装Symantec系统中心配置网络防病毒一级服务器解除服务器的锁定使服务器成为一级服务器安装SymantecAntiVirus客户端远程安装本地安装,8,案例1：计算机病毒防治,设置病毒扫描策略设置服务器扫描和客户端扫描设置扫描名称、扫描频率、扫描时间,9,案例1：计算机病毒防治,设置防病毒策略启用自动防护自动防护高级选项设置Internet电子邮件自动防护设置MicrosoftExchange自动防护验证客户端自动防护功能已经生效设置病毒文件升级策略,10,案例1：计算机病毒防治,学员练习：安装SymantecAntiVirus服务器程序安装Symantec系统中心配置网络防病毒一级服务器安装SymantecAntiVirus客户端设置病毒扫描策略设置防病毒策略设置病毒文件升级策略,30分钟内完成,11,计算机木马的清除与预防,计算机木马概述常见木马的识别常见木马的清除方法,12,计算机木马概述,与病毒一样，木马也是一种非常危险的程序它隐藏在系统内部，随系统启动而启动，在用户不知情的情况下，连接并控制被感染计算机木马由两部分组成：服务器端和客户端,13,常见木马的识别,手动识别使用netstat命令查看启动程序,14,常见木马的识别,手动识别检查注册表启动项修改注册表,查看“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”或“RunOnce”；查看“HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun”或“RunOnce”或“RunServices”或“RunServicesOnce”,将“HKEY_Classes_ROOTtxtfileshellopencommand”中的键值改为“c:windowssystem32notepad.exe%1”将“HKEY_Classes_ROOTexefileshellopencommand”中的键值改为“%1”,15,常见木马的识别,软件识别SymantecAntiVirusActivePorts木马克星,16,案例2：计算机木马的识别与清除,BENET上海分公司一台计算机在执行一个未知程序后变得非常慢管理员使用任务管理器查看系统进程，发现有一个未知进程占用90%以上的CPU资源，他怀疑计算机感染了冰河木马，他想清除该木马,17,案例2：计算机木马的识别与清除,执行“netstatan|FINDLISTENING”命令，查看已开放的端口使用任务管理器查看当前进程,18,案例2：计算机木马的识别与清除,结束“Kernel32.exe”进程找到并删除冰河的主程序Kernel32.exe和Sysexplr.exe删除和修改注册表,删除“HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun”下的“C:windowssystem32Kernel32.exe”键值,删除“HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRunservices”下键值为C:windowssystem32Kernel32.exe”的项,将“HKEY_CLASSES_ROOTtxtfileshellopencommand”下的默认值，由中木马后的“C:windowssystem32Sysexplr.exe%1”改为正常的“C:windowsnotepad.exe%1”,19,案例2：计算机木马的识别与清除,学员练习：执行“netstatan|FINDLISTENING”命令使用任务管理器查看当前进程结束“Kernel32.exe”进程找到并删除冰河的主程序Kernel32.exe和Sysexplr.exe删除注册表,“HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun”下的“C:windowssystem32Kernel32.exe”键值,20,案例2：计算机木马的识别与清除,学员练习：删除注册表修改注册表,30分钟内完成,“HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVer-sionRunservices”下键值为“C:windowssystem32Kernel32.exe”的项,“HKEY_CLASSES_ROOTtxtfileshellopencommand”下的默认值，由中木马后的“C:windowssystem32Sysexplr.exe%1”改为正常的“C:windowsnotepad.exe%1”,21,Windows安全加固与性能优化,使用MBSA扫描系统漏洞使用X_Scan扫描系统漏洞通过安全工具软件加强计算机安全,22,案例3：使用MBSA扫描系统漏洞,BENET上海分公司有一台文件服务器被黑客入侵，公司要求管理员尽快采取措施，避免类似事件再次发生管理员怀疑文件服务器存在安全漏洞，他想对该服务器进行安全扫描，找出安全漏洞,23,案例3：使用IIS搭建企业Web站点,安装MBSA使用MBSA扫描系统漏洞,24,案例3：使用IIS搭建企业Web站点,学员练习：安装MBSA使用MBSA扫描系统漏洞,10分钟内完成,25,案例4：使用X_Scan扫描系统漏洞,除了使用MBSA扫描服务器漏洞之外，管理员还想使用X_Scan扫描系统，以便找到更多漏洞,26,案例4：使用X_Scan扫描系统漏洞,运行X_Scan设置扫描参数执行安全扫描,27,案例4：使用X_Scan扫描系统漏洞,学员练习：运行X_Scan设置扫描参数执行安全扫描,15分钟内完成,28,案例5：使用工具软件加强系统安全,BENET上海分公司许多计算机经常感染木马、恶意软件和系统插件管理员想为计算机安装一款安全工具软件，防止木马、恶意软件和恶意插件的影响,29,案例5：使用工具软件加强系统安全,安装360安全卫士系统安全检测修复系统漏洞,30,案例5：使用工具软件加强系统安全,学员练习：安装360安全卫士系统安全检测修复系统漏洞,10分钟内完成,31,利用注册表提高系统安全,注册表概述注册表的备份和恢复通过修改注册表排除上网故障（通过修改组策略修改注册表）,32,注册表概述,Windows注册表存储系统和软件的配置信息通过修改注册表可以调整系统的性能，检测和修复系统错误，定制桌面等,33,备份和恢复注册表,利用NTBackup备份注册表通过导入注册表恢复注册表,34,案例6：设置IE浏览器缺省主页,一台Windows2003计算机的IE浏览器缺省主页被修改，并且锁定设置项，禁止用户更改回来，如何解决？,35,案例6：设置IE浏览器缺省主页,运行“gpedit.msc”，找到“禁用更改主页设置”,36,案例6：设置IE浏览器缺省主页,学员练习：运行“gpedit.msc”，禁用主页更改设置,5分钟内完成,37,案例7：启用注册表编辑器,一台Windows2003计算机的默认主页被修改，当用户希望通过修改注册表解决该问题时，注册表编辑器不可用，如何解决？,38,案例7：启用注册表编辑器,运行“gpedit.msc”，禁用“阻止访问注册表编辑工具”,39,案例7：启用注册表编辑器,学员练习：运行“gpedit.msc”，禁用“阻止访问注册表编辑工具”,5分钟内完成,40,使用IPSEC加密数据传输,IPSEC简介IPSEC全称为Internet协议安全，是一种工业标准的网络安全协议，它可以保证数据在传输过程中的安全IPSEC工作原理通信之前进行安全协商，确定SA双方遵照SA内的协议传送信息,41,案例8：保证远程数据传输的安全性,BENET上海分公司经常在北京总部和上海分公