第七期网管员培训日程安排.pptVIP

4.WebShell 入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作. 对应措施:取消相应服务和功能 一般WebShell用到以下组件 WScript.Network WScript.Network.1 WScript.Shell WScript.Shell.1 Shell.Application Shell.Application.1 我们在注册表中将以上键值改名或删除 同时需要注意按照这些键值下的CLSID键的内容 从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除 5.执行SHELL 入侵者获得shell来执行更多指令 对应措施:.修改CMD.EXE以及NET.EXE权限 将两个文件的权限.修改到特定管理员才能访问设置ACL权限 windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE 我们将此文件的ACL修改为 某个特定管理员帐户(比如administrator)拥有全部权限. 其他用户.包括system用户,administrators组等等.一律无权限访问此文件. 6.利用已有用户或添加用户 入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进 对应措施:设置ACL权限.修改用户 将除管理员外所有用户的终端访问权限去掉. 限制CMD.EXE的访问权限. 限制SQL SERVER内的XP_CMDSHELL 7.登陆图形终端 入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端, 获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的. 所以这步是每个入侵WINDOWS的入侵者都希望获得的 对应措施:端口限制 入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问. 我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马. 所以在端口限制中.由本地访问外部网络的端口越少越好. 如果不是作为MAIL SERVER.可以不用加任何由内向外的端口. 阻断所有的反弹木马. 8.擦除脚印 入侵者在获得了一台机器的完全管理员权限后 就是擦除脚印来隐藏自身. 对应措施:审计 首先我们要确定在windows日志中打开足够的审计项目. 如果审计项目不足.入侵者甚至都无需去删除windows事件. 其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的. 将运行的指令保存下来.了解入侵者的行动. 本学期网管工作的总结 DNS服务器的软、硬件升级 莫愁校区网络结构调整，实现上网提速 为增强安全性，在校区出口部署了硬件防火墙 电影服务器的影片即时更新并增加了上传下载功能 博采众长，制定校园网络规划 教育网镜像网站的联通 老邮件系统的功能挖掘 城市热点认证系统测试中 1、DNS服务器的软、硬件升级 硬件：服务器由普通PC迁移至IBM 专用服务器。 软件：由老版本LINUX升级到最新系统。 升级效果：性能更稳定，执行效率更高。 为安全起见，新版本的dns1、dns2都做了禁ping处理。 为防止dns1出现故障造成断网，请勿忘记在上网主机的tcp/ip设置中填入dns2。 2、莫愁校区上网提速 10M—200M 原网络结构：莫愁校区有教育网出口和电信10M出口；方山校区有网通200M出口 调整目标：莫愁校区也走网通200M出口。 应用服务平台 网络管理及运行平台 核心交换机 N7 电信 网通 Cernet 核心交换机 n7 行知南楼 出口引擎-锐捷npe50 防火墙 YG-FWS-NP 1号楼 2号楼 3号楼 4号楼 办公南楼 办公北楼 行知北楼 行知东楼 生物平房 食堂 服务中心 生物楼 音乐楼 美术楼 风雨操场 行知B楼 行知C楼 行知D楼 行知E楼  新传楼 二食堂 行知A楼 2号楼 3号楼 4号楼 6号楼 体育系 印刷厂 东门继教院 北门IT学院 韩中苑 外教宿舍 1号楼 心研所 防火墙 YG-FWS-NP 2、莫愁校区上网提速 10M—200M 经网络调整，达到了以下效果 莫愁校区上网提速成功： 10M——200M 教育网出口成功透传到了方山，出口结构集中统一，趋于理想 从单一静态路由转变为策略路由+静态路由 节省了一条10M的电信线路和一台硬件防火墙 应用服务平台 网络管理及运行平台 核心交换机 N7 核心交换机 n7 行知南楼 防火墙 YG-FWS-NP 1号楼 2号楼 3号楼 4号楼 办公南楼 办公北楼 行知北楼 行知东楼 生物平房 食堂 服务中心