信息安全常见问题与解决方案.pdf

信息安全常见问题与解决方案 1. 弱口令问题检查与改进 要求所有服务必须使用账号登录，所有账号必须使用复杂密码，必须包含大 小写、数字、特殊字符，并且长度不低于 12 位,不要含有数字、字母、键盘 多个连输及常用单词，建议采取无意义的字符串作为密码。 1.1 检查操作系统  是否存在冗余账号？禁用或删除冗余账号。  保留的账号不允许空密码和弱密码，检查并设置复杂密码。  服务器避免使用相同密码  Windows 系统如果有共享访问（开启了 SMB 服务），必须设置访问账 号，账号设置复杂密码，如不是必须，建议卸载服务。  及时更新操作系统补丁 1.2 检查数据库  包含但不限于这些数据库：MS SqlServer、Oracle、mysql、 mariadb、postgresql、redis、memcached、DM  是否存在冗余账号？禁用或删除冗余账号。  保留的账号不允许空密码和弱密码，检查并设置复杂密码。 1.3 检查 ftp 服务  ftp 服务如必须，请取消匿名访问，并设置复杂密码，否则请将服务停用 并设置为禁用。 1.4 检查 ssh 服务  ssh 服务如必须，设置复杂密码，否则请将服务停用并设置为禁用。 2. 系统账户检查及关闭 2.1 在计算机或此电脑上右键单击，选择管理 2.2 计算机管理--系统工具--本地用户和组--用户，删除或禁用不用账号 3. 病毒检查与防护 3.1 永恒之蓝下载器木马检查 4.1.1 查看系统进程 打开任务管理器查看以下进程，注意 CPU 占用过高进程，如 taskmgr.exe 进程，在进程上点右键—属性—数字签名，如果是下列签名人信息则为中毒 “ShenzhenSmartspace Software technology Co.,Limited” 4.1.2 检查系统任务计划 打开控制面板—系统和安全—管理工具—任务计划程序，查看是否存在以下 定时任务，如果有则为中毒（注意检查每层节点） 3.2 手工解决办法 4.2.1. 在任务管理器中结束病毒进程 结束名为 taskmgr.exe、wmiex.exe 等 CPU 占用异常的进程以及描述为 “svchost”的 svchost 进程；（注：通常正常的 svchost 进程描述为“Windows 服务主进程”）； 4.2.2. 打开任务管理器，关闭服务 4.2.3. 打开任务计划程序，删除以下任务 删除名为 Ddrivers 和 WebServers 的计划任务； 删除名为 DnsScan 的计划任务； 删除名为\ Microsoft\Windows\ Bluetooths 的计划任务； 删除可能存在的计划任务 Certificate ； 删除可能存在的计划任务 Credentials ； 4.2.4. 打开路径 C:\Windows\SysWOW64 ：删除最新修改的两个文件 4.2.5. 打开路径 C:\Windows\Temp 下已修改时间排序，删除部分文件 4.2.6. 删除下载和释放的病毒文件，路径如下： c:\ Users\ [Username]\AppData\ Roaming\ Microsoft\Windows\Start Menu\ Programs\Startup\ run.bat(注:[Username] 替换为当前登录的用户名) ； c:\ Users\ [Username]\AppData\ Roaming\ Microsoft\cred.ps1( 注 :[Userna me]替换为当前登录的用户名) ； c:\ programdata\ microsoft\cred.ps1 ； c:\windows\system32\svhost.exe ； c:\windows\system32\drivers\svchost.exe ； c:\windows\system32\drivers\taskmgr.exe ； c:\windows\system32\wmiex.exe ； 4.2.7. 删除病毒创建的注册表项 HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Run\ Ddriver； HKLM\SOFTW