电脑安全设定与网路入侵防护(PPT-40).ppt

電腦安全設定與網路入侵防護 王惠民 電算中心 網路組 大綱 常見電腦安全事件 電腦安全事件發生途徑 病毒與防護 入侵與因應 電腦安全防護守則 電腦安全設定 常見之電腦安全事件 病毒感染 駭客入侵 廣告信件 電腦安全事件發生途徑 儲存媒體 磁碟片 隨身碟 其他移動式儲存、讀取裝置 網路 區域網路 網際網路 什麼是電腦病毒 是一隻小程式 必需要有寄生主 具備複製、與感染檔案的能力???? 會破壞或刪除檔案內容、佔資源、格式化磁碟、刪除CMOS內容 會消耗網路頻寬或植入後門 病毒種類 開機型病毒 可執行檔型病毒 混合型 巨集病毒(office VBA程式) Java applet, Active X控制項 網蟲 惡作劇程式 後門程式 HTML惡意程式碼：VB script , Java script 病毒生命週期 管道：一切可接觸感染源的方式與途徑 感染：確定經由管道感染病毒 病發：待病發條件成立時，將形成破壞 擴散：向外擴散 防堵：阻絕再次感染之途徑 清除：清除已存在之病毒 偵測：持續偵測預防病毒再次感染 中毒症狀 檔案size變大 程式執行失敗甚至當機 系統反應速度變慢 電腦自動重新開機或無法開關機 出現不正常之提示或視窗或網頁。 軟體或程式無傳輸資料卻有大量網路傳輸。 工作列有非預期之啟動圖示。 中毒怎麼辦? 先使網路處於離線狀態(如拔除網路線或將網卡Disable)。 由別部電腦上網下載最新之病毒碼。 然後copy至有問題之電腦上，放置於同一資料夾下並將病毒碼解壓縮。 重新開機至安全模式（開機程序時按F8） 於安全模式下執行掃毒程式。 若找到病毒或入侵檔案會刪除。 使網路連線(如裝上網路線或將網卡Enable)。 開啟防火牆（XP : 開始/控制台/Windows防火牆） 後重新開機至一般模式。 開機後執行Windows update（於 開始/所有程式/Windows update）。 於開始/控制台/自動更新設為「自動」。 確定防毒軟體為啟動且病毒碼為最新的狀況下並將病毒碼更新設為自動。 若無法開機，只能格式化硬碟重新安裝作業系統。 駭客入侵管道 電子郵件 電子郵件夾帶隱含惡意程式的WORD檔案，利用Office程式的漏 洞，開啟後便連帶安裝後門或木馬程式。 系統本身漏洞 駭客對目標系統或網路之漏洞進行攻擊以取得控制權。常見方法 包括：網芳相關、IIS、IE弱點攻擊。 惡意網頁 駭客首先攻陷一般網站，並在網站的主頁上動手腳，加上了重新 導向至惡意網頁的程式碼，使得瀏覽該網頁的用戶，在不知情的 狀況下，雖然正常連結到該網站的頁面，但是卻被偷偷地植入了 木馬或後門程式。 系統不當權限設定 系統不當設定以弱密碼、防毒軟體未更新、防火牆規則不嚴謹為 主。駭客可以利用掃描工具直接獲得帳號密碼，取得開啟大門的 鑰匙。 入侵生命週期 針對系統或人為漏洞入侵 植入後門程式 進行破壞(當跳板, 竊取資料, 服務阻斷) 修補漏洞 清除後門程式或病毒 持續監控 駭客操作型態-中繼站轉接 入侵或病毒之程序 駭客入侵流程 勘查 利用公開的資訊得到攻擊主機的相關資料 whois: 使用IP網段、管理者電子報 DNS: 透過DNS Zone Transfer找出有註冊網域名稱的系統，取得較明確的攻擊目標 Search Engine ： google、yahoo News 公佈欄 其他… 掃描 對攻擊目標送出特定的封包，想辦法找出有用的資訊 Ping、Traceroute Nessus、Port Scan 防火牆的policy 入侵或破壞系統 利用系統或軟體弱點，竊取資料或置換網頁 密碼破解 系統管理權限錯誤 攔截及更改封包 阻絕性服務 維持存取 為了在第一次攻擊之後，還可以竊取資料或發動攻擊 安裝後門程式或遠端管理程式 安裝竊聽程式 當作攻擊的跳板，再向其他的主機發動攻擊 湮滅入侵記錄 企圖讓管理者不知道主機被攻擊的事件 刪除或修改log檔 隱藏檔案 漏洞偵測 Microsoft 基線安全性分析器 (MBSA) Microsoft Baseline Security Analyzer(MBSA)會掃描你的Windows 系統，藉由檢查是否有漏洞來檢視是否未更新。如何執行？執行之後請選擇「Scan a computer」項，在掃瞄過程中會顯示一個進度條，掃瞄完畢後，MBSA將顯示一個對話框，會清楚地列出各測試項目在本系統內的狀態。 下載網址 /taiwan/security/tools/mbsahome.asp 被入侵了怎麼辦? 先使網路處於離線狀態(如拔除網路線或將網卡Disable)。 由別部電腦上網下載最新之病毒碼。 然後copy至有問題之電腦上，放置於同一資料夾下並將病毒碼解壓縮。