主机防御安全.pptVIP

面对各种安全事件如何防范？ 安全隐患发生的途径 网络 其他 网络中存在的安全隐患 病毒(Virus) 病毒的危害： 1、系统无法工作 2、信息丢失 3、其他 蠕虫(Worm) 蠕虫一般由3个部分组成： 感染（Enabling Vulnerability） 利用最新的漏洞获得系统的权限 传播（Spreading Mechanism） 自动选择新目标并传播，速度非常快 Nimda、CodeRed 携带（Malicious Payload） DOS Zombie、Backdoor、Rootkit等 木马 木马 木马程序一般是C/S结构； Server端一般安装在被控主机上，字节较小，常使用较让人迷惑的名字，如patch.exe Client端一般是图形化界面； 常存在配置程序，可以按需要生成server程序 病毒、木马感染的途径 邮件、网页、其他不明确的文件 如何防御病毒、木马 恶意代码、恶意程序 恶意程序、代码的发现 检测这些恶意软件的方法(注册表，任务管理器….) 1、有时这些程序能够驻留在内存里 2、这些程序能够通过网络或电子邮件对其它系统进行攻击 3、系统速度异常降低 4、系统或屏幕出现异常行为 恶意程序、代码的发现 检测注册表，查找病毒可能存在的迹象 运行注册表编辑 Regedit.exe，检测下列注册表项 1. \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run： RunOnce： RunServices： RunServicesOnce 2. HKEY_LOCAL_MACHINE\SOFTWARE Microsoft\Windows NT\CurrentVersion\WinLogon 恶意程序、代码的发现 恶意程序、代码的发现 也可以检测这个位置 检查启动文件； – %systemroot%\profiles\%username%\starmenu\programes\starup – Win.ini – SYSTEM.INI文件内加入load、 run 可以调用程序 – Autoexec.bat – Rc.d 目录与 inetd.conf文件(Unix) 恶意程序、代码的发现 检查\System 与\System32 下的可执行文件，检查他们的属性，若无版本说明，多为可疑文件 改变这些文件的属性。 第三方的软件配合使用 其他网络攻击 社会工程学 主机防御手段 主机策略 主机策略 口令禁忌: – 不要选择可以在任何字典或语言中找到的口令 – 不要选择简单字母组成的口令 – 不要选择任何指明个人信息的口令 – 不要选择包含用户名或相似类容的口令 – 不要选择短于6个字符或仅包含字母 或数字的口令 – 不要选择作为口令范例公布的口令 主机策略 好的口令 选择至少6个字符长度的口令 选择一个包含非字母字符的口令, 包括 数字或特殊字符 选择一个容易记住而不必写下来的口令 选一个不看键盘而迅速键入的口令,使偷 看的人不能识别 主机策略 如果非得写下口令时 – 在折叠的纸条上写下口令并放在 保险柜或安全的地方 – 写在总放在钱包中的某些东西 – 不把用户名和口令记在一起 – 以能记住的方式把它改动, 增加额 外字符或改换顺序 – 不要把口令贴到任何计算机的硬件上面 管理员注意事项 确保每个用户都有一个有效的口令； 对用户进行口令教育； 使用防止用户选择弱口令的配置与工具； 进行口令检查，确保没有弱口令； 确保系统与网络设备没有缺省账号和口令； 不要在多个机器上使用相同的口令； 从不记录也不与他人共享密码； 管理员注意事项 从不将网络登录密码用作其他用途； 域Administrators账户和本地的 Administrators帐户使用不同的密码； 小心地保护在计算机上保存密码的地方； 对于特权用户强制30天更换一次口令， 一般用户60天更换； 使用VPN、SSH、一次性口令等安全机制. ? 2004, Lenovo InfoSec, Inc. All rights reserved. Security Technology Training ? 2004, Lenovo InfoSec, Inc. All rights reserved. Security Technology Training 思科认证信息安全系统专家 思科认证防火墙专家 思科认证IDS专家 思科VPN系统专家 思科认证MPLS专家 思科QoS专家 CCNA/CCNP/CCDA 自我介绍 木马 黑客攻击 恶意软件 其他网络攻击 存在的各种安全隐患： 1、病毒