电子课件-任务52网络及主机加固防护.ppt

1、专专 业业 务务 实实 学学 以以 致致 用用计算机网络安全技术与实施计算机网络安全技术与实施教学课件教学课件学习学习情境情境5 5：任务：任务5.25.2网络及主机加固防护网络及主机加固防护专专 业业 务务 实实 学学 以以 致致 用用网络及主机加固防护网络及主机加固防护专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本1 1、MBSAMBSA Microsoft Baseline Security Analyzer(MBSA)是专为 IT 专业人员设计的一个简单易用的工具，可帮助中小型企业根据 Microsoft 安全建议确定其安全状态，并根据结果提供具

2、体的修正指南。使用 MBSA 检测常见的安全性错误配置和计算机系统遗漏的安全性更新，改善安全性管理流程。MBSA 检查操作系统和 SQL Server 更新，还扫描计算机以检查不安全配置。检查 Windows service packs 和修补程序时，它会包括 Windows 组件，例如 Internet 信息服务(IIS)和 COM+。MBSA 使用一个 XML 文件作为现有更新的清单。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本2 2、NESSUSNESSUS Nessus 号称是“世界上最流行的漏洞扫描程序，全世界超过75,000个组织在使用它”

3、。尽管这个扫描程序可以免费下载得到，但是要从Tenable Network Security更新到所有最新的威胁信息，每年的直接订购费用是$1,200。Linux,FreeBSD,Solaris,Mac OS X和Windows下都可以使用 Nessus。2002年时,Renaud 与 Ron Gula,Jack Huffard 创办了一个名为 Tenable Network Security 的机构。在第三版的Nessus 发布之时,该机构收回了 Nessus 的版权与程序源代码(原本为开放源代码),并注册成为该机构的网站。目前此机构位于美国马里兰州的哥伦比亚。专专 业业 务务 实实 学学

4、以以 致致 用用5.2.2 5.2.2 引导文本引导文本2 2、NESSUSNESSUS采用客户/服务器体系结构，客户端提供了运行在X window 下的图形界面，接受用户的命令与服务器通信，传送用户的扫描请求给服务器端，由服务器启动扫描并将扫描结果呈现给用户；扫描代码与漏洞数据相互独立，Nessus 针对每一个漏洞有一个对应的插件，漏洞插件是用NASL(NESSUS Attack Scripting Language)编写的一小段模拟攻击漏洞的代码，这种利用漏洞插件的扫描技术极大的方便了漏洞数据的维护、更新；Nessus 具有扫描任意端口任意服务的能力；以用户指定的格式（ASCII 文本、h

5、tml 等）产生详细的输出报告，包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本3 3、主机安全防护、主机安全防护用户默认安装的操作系统，往往是造成安全漏洞的祸首。用户，包含IT的管理人员，不知道自己在操作系统到底安装了哪些东西。一旦这些不明的功能出现漏洞，并未实时加以修补的话，会成为黑客入侵的通道。操作系统可能有漏洞，使用端口号扫描工具或是漏洞扫描工具来确认。应删除或关闭操作系统上不必要的功能、网络服务与通讯端口，以有效解决安全问题。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.

6、2 引导文本引导文本3 3、主机安全防护、主机安全防护网络通讯端口是合法用户连接至主机端取得服务的通道，黑客也利用同样的途径来入侵。因此，减少系统上开放的通讯端口数目是有效的防范措施之一，除了有必要对外提供服务的通讯端口之外，其它通讯端口应予以关闭。帐户与密码的使用通常是许多系统预设的防护措施。事实上，有许多的用户的密码是很容易被猜中，或使用系统预设的密码，甚至不设密码。用户应该要避免使用不当的密码、系统预设密码、或是使用空白密码。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本3 3、主机安全防护、主机安全防护黑客入侵的常用手段之一就是试图获得Admin

7、istrator帐户的密码。每台计算机都有一个帐户拥有Administrator(管理员)权限，但不一定是“Administrator”这个名称。所以，可以创建另一个拥有全部权限的帐户，然后停用Administrator帐户。要为所有帐户设置足够复杂的密码。为了增强计算机的安全性，应该使用具有强保密性的密码。对网络登录和计算机的管理员帐户尤为重要。强密码应该：至少有七个字符的长度；包含大小写字母、数字和符号字符；在第二到第六个位置中至少应有一个符号字符；和以前的密码有明显的不同；不能包含名字或用户名；不能是普通的单词或名称。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2

8、引导文本引导文本3 3、主机安全防护、主机安全防护 Guest帐户即来宾帐户，它可以访问计算机，但受到限制。Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户，最好禁用它。利用系统自带的“本地安全策略”可以使系统更安全。单击“控制面板”、“管理工具”、“本地安全策略”后进入。常采取的策略有：禁止枚举账号、加强账户管理 、指派本地用户权利 、用IP策略限制端口、加强密码安全策略等。安全审核对于任何系统来说都极其重要，使用审核日志可说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵，正确的审核设置所生成的审核日志将包含有关入侵的重要信息。专专 业业 务务 实实 学学 以以

9、 致致 用用5.2.2 5.2.2 引导文本引导文本3 3、主机安全防护、主机安全防护NTFS（New Technology File System）是安全性很高的文件系统，当多人使用一台微机时，若希望每人仅能访问自己的资料，对同一机器上的他人资料不能、有权限地能访问某些资料，在该机上可实施NTFS文件系统，用户自己设权限。在缺省情况下，当用户拥有了对目录的权限后，便用于了对该目录下文件同样的操作权限，该特性即权限的继承性。如果你分配某种权限给父文件夹，则其下面的子文件和子文件夹就会自动地继承该父文件夹的权限。用户也可以阻止这种继承性，从而使新文件和文件夹将不继承父文件夹的权限。可以把权限分配

10、给文件夹或文件，每个文件都可能设置有基本权限和高级权限。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本3 3、主机安全防护、主机安全防护使用NTFS文件系统并创建用户组，可以在文件上设置权限。只有那些需要访问该文件的用户才能够实际地访问这些文件。NTFS卷上分配权限的实质是为每个文件或目录设置与用户相关的访问控制列表。当用户试图访问文件或文件夹时，该文件或文件夹上的ACL就被询问。如果用户不在该ACL列表上，就会终止用户的访问；如果用户在该列表上，就会完成查对以核实该用户具有何权限。通过使用Convert.exe，可以在安装过程结束后对分区格式进行转换。

11、专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本3 3、主机安全防护、主机安全防护补丁包(Service packs)是微软发布的产品更新的集成。补丁包可能包含系统稳定性，安全，以及其他方面的更新。建议为微软的相关产品下载和安装最新的补丁包,以确保软件是最新的。针对一台仅安装了操作系统的主机而言，需要做很多工作才能安全地使用，常规操作如下：安装杀毒软件与防火墙；安装Service Pack，并及进行进行更新补丁的安装；对系统用户进行管理与保护；根据系统应用，关闭不需要的服务与端口；设置一些安全策略，并对产生的安全事件进行审计；根据需要为相应的用户设置权限；

12、对主机系统进行安全检测与扫描。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本3 3、主机安全防护、主机安全防护一般关闭如下服务：Messenger、Remote Registry、ClipBook、Computer Browser、Indexing Service、DNS Client、Server、Workstation、TCP/IP NetBIOS Helper、Terminal Services、Help and Support、Print Spooler。关闭服务的方法是依次点击“开始”、“设置”、“控制面板”、“管理工具”、“服务”。以关闭DN

13、S Client服务为例，选中后单击右键，选择“停止”，服务即关闭。如果想使此服务不跟Windows系统一起启动，需右键点击服务名称并选择“属性”菜单，在“常规”选项卡中把“启动类型”改成“手动”，再点击“停止”按钮。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本3 3、主机安全防护、主机安全防护不要运行不必要的服务，尤其是IIS，如果不需要它，就根本不要安装。IIS历来存在众多问题，有几点在配置时值得注意：1）操作系统补丁版本；2）运行WEB的默认路径；3）以下ISAPI应用程序扩展：.ida.idq.idc.shtm.shtml.printer。关掉

14、大部分没用使用的服务后，系统的资源占用率有了大幅度的下降，系统运行也更加顺畅、安全。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本3 3、主机安全防护、主机安全防护网络中的各种活动和事件都可以通过的事件日志来监视。通过“管理工具”下的“事件查看器”打开，也可运行Eventvwr.msc命令打开。在事件查看器中记载错误、警告、信息、成功审核、失败审核五种事件，可以方便地监视计算机和整个网络。应用程序日志、系统日志和安全日志三种方式记录事件，应用程序日志包含由应用程序或系统程序记录的事件；系统日志包含系统组件记录的事件，预先确定由系统组件记录的事件类型；安全

15、日志记录安全事件，如有效的或无效的登录尝试，以及与创建、打开或删除文件等资源使用相关联的事件。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本4 4、防病毒的方法、防病毒的方法(1)用户应养成及时下载最新系统安全漏洞补丁的安全习惯，从根源上杜绝黑客利用系统漏洞攻击用户计算机的病毒。同时，升级杀毒软件、开启病毒实时监控应成为每日防范病毒的必修课。(2)请定期做好重要资料的备份，以免造成重大损失。(3)选择具备“网页防马墙”功能的杀毒软件，每天升级杀毒软件病毒库，定时对计算机进行病毒查杀，上网时开启杀毒软件全部监控。(4)请勿随便打开来源不明的Excel或Wo

16、rd文档，并且要及时升级病毒库，开启实时监控，以免受到病毒的侵害。(5)上网浏览时一定要开启杀毒软件的实时监控功能，以免遭到病毒侵害。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本4 4、防病毒的方法、防病毒的方法(6)上网浏览时，不要随便点击不安全陌生网站，以免遭到病毒侵害。(7)及时更新计算机的防病毒软件、安装防火墙，为操作系统及时安装补丁程序。(8)在上网过程中要注意加强自我保护，避免访问非法网站，这些网站往往潜入了恶意代码，一旦用户打开其页面时，即会被植入木马与病毒。(9)利用Windows Update功能打全系统补丁，避免病毒从网页木马的方式

17、入侵到系统中。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本4 4、防病毒的方法、防病毒的方法(10)将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。(11)开启瑞星杀毒软件“系统漏洞检查”功能，全面扫描操作系统漏洞，及时更新Windows操作系统，安装相应补丁程序，以避免病毒利用微软漏洞攻击计算机，造成损失。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本4 4、防病毒的方法、防病毒的方法网络病毒防治

18、必须考虑安装病毒防治软件。(1)安装的病毒防治软件应具备四个特性集成性：所有的保护措施必须在逻辑上是统一的和相互配合的。单点管理：作为一个集成的解决方案，最基本的一条是必须有一个安全管理的聚焦点。也就是可以通过一台或几台计算机对整个网络中的防病毒软件集中管理。自动化：系统需要有能通过Internet自动更新病毒特征码数据库和其它相关信息的功能。这种自动更新的频率是由防病毒软件厂商来决定的，有的防病毒软件厂商可以达到每天升级病毒特征码数据库。多层分布：这个解决方案应该是多层次的，适当的防毒部件在适当的位置分发出去，最大限度地发挥作用，而又不会影响网络负担。常见的企业级防病毒软件主要有如下几个层次

19、：服务器防病毒软件、客户机防病毒软件、邮件防病毒软件、网关防病毒软件和中央控管系统。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本4 4、防病毒的方法、防病毒的方法(2)病毒防治软件安装位置 工作站：病毒进入网络的主要途径，所以应该在工作站上安装防病毒软件。这种做法是比较合理的。因为病毒扫描的任务是由网络上所有工作站共同承担的，这使得每台工作站承担的任务都很轻松，如果每台工作站都安装最新防毒，这样就可以在工作站的日常工作中加入病毒扫描的任务，性能可能会有少许下降，但无需增添新的设备。邮件服务器：是防病毒软件的第二个着眼点。邮件是重要的病毒来源。邮件在发往

20、其目的地前，首先进入邮件服务器并被存放在邮箱内，所以在这里安装防病毒软件是十分有效的。假设工作站与邮件服务器的数量比是100：1，那么这种做法显而易见节省费用。(3)常用的防病毒软件：瑞星杀毒，金山毒霸，江民杀毒，kv3000等。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本5 5、Windows PEWindows PE当一台计算机的操作系统损坏，无法正常引导系统，但系统盘下又有很多重要的文档，不能直接重新安装系统，而要进行系统修复或把其中的文档复制出来后再重新安装系统。此时往往需要有一张能够启动系统的PE光盘或U盘。Windows PE的全称是Win

21、dows Preinstallation Environment，即Microsoft Windows 预安装环境，是一个基于保护模式下运行的Windows 系统的工具，只有较少核心服务的Win32子系统。它用于为安装 Windows 而准备计算机，以便从网络文件服务器复制磁盘映像并启动 Windows 安装程序。将PE镜像制作到光盘或U盘中，并与ERD Commander结合可以制作出功能强大的系统维修盘。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本6 6、网页防篡改、网页防篡改互联网网站为公众提供便利服务的同时，也极易成为不法分子和敌对势力的攻击目

22、标。在各种破坏行为中，以篡改网页最为恶劣：政府网站上出现虚假甚至反动信息不仅直接损害了政府形象，也在一定程度上影响了社会稳定。防篡改系统保护网站安全运行，维护政府和企业形象，保障互联网业务的正常运营，彻底解决了网站被非法修改的问题。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本6 6、网页防篡改、网页防篡改网页防篡改技术的发展历程：(1)起始阶段人工对比检测 人工对比检测，其实就是一种专门指派网络管理人员，人工监控需要保护的网站，一旦发现被篡改，然后以人力对其修改还原的手段。(2)第一代时间轮巡技术 时间轮询技术是利用一个网页检测程序，以轮询方式读出要监

23、控的网页，通过与真实网页相比较来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本6 6、网页防篡改、网页防篡改网页防篡改技术的发展历程：(3)第二代事件触发技术&核心内嵌技术 所谓核心内嵌技术即密码水印技术，即最初先将网页内容采取非对称加密存放，在外来访问请求时将经过加密验证过的文件进行解密对外发布，若未经过验证，则拒绝对外发布，调用备份网站文件进行验证解密后对外发布。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本6 6、网页防篡改、网页防篡改网页防篡改技术的发展

24、历程：(4)第三代文件过滤驱动技术事件触发技术 将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法，实时进行监测。若发现属性变更，则通过非协议方式、纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本6 6、网页防篡改、网页防篡改网页防篡改方法：(1)给正常文件一个通行证将正常的程序文件数量、名称记录下来，并保存每一个正常文件的MD5散列做成数字签名存入数据库；如果当遇到黑客攻击修改主

25、页、挂马、提交webshell的时候，由于这些文件被修改过或者是新提交的，没有在数据库中存在，则将其删除或者恢复以达到防护效果。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本6 6、网页防篡改、网页防篡改网页防篡改方法：(2)检测和防护SQL注入攻击通过过滤SQL危险字符如：“、select、where、insert、,、;”等等将其进行无害化编码或者转码，从源头遏止；对提交到Web服务器的数据报进行过滤检测是否含有“eval、wscript.shell、iframe”等等。(3)检测和防护DNS攻击解析不断在本地通过nslookup解析域名以监视域名的

26、指向是否合法。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本6 6、网页防篡改、网页防篡改网页防篡改方法：(4)检测和防护ARP攻击绑定MAC地址，检测ARP攻击并过滤掉危险的ARP数据报。(5)过滤对Web服务器的请求设置访问控制列表，设置IP黑名单和白名单过滤掉非法访问后台的IP；对Web服务器文件的请求进行文件预解析，对比解析的文件与原文件差异，存在差异的取源文件返回请求。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本6 6、网页防篡改、网页防篡改网页防篡改方法：(6)做好集群或者数据库加密对于NT系统设置好

27、文件夹权限，控制因操作失误所带来的损失；对于数据库可以设置管理IP和数据库加密，切断数据库篡改的源头。(7)加强培训加强安全意识培训，操作合理化培训，从程序自身的源头遏制，从管理员自身的源头遏制。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本7 7、预防、预防SQLSQL注入注入从应用程序的角度来讲,我们要做以下三项工作:转义敏感字符及字符串(SQL的敏感字符包括:“exec”,”xp_”,”sp_”,”declare”,”Union”,”cmd”,”+”,”/”,”.”,”;”,”,”-”,”%”,”0 x”,”=!-*/()|”,和”空格”)。屏蔽出错信息：阻止攻击者知道攻击的结果。服务端正式处理之前对提交数据的合法性进行检查(包括：数据类型,数据长度,敏感字符的校验)。在确认客户端的输入合法之前,服务端拒绝进行关键性的处理操作。专专 业业 务务 实实 学学 以以 致致 用用5.2.2 5.2.2 引导文本引导文本7 7、预防、预防SQLSQL注入注入从实际应用还需要注意：只要是提交的数据包含非法字符，或者要替换为安全字符，或者提交的数据要替换为默认值。含有非法字符串的数据提交不应该显示“您所提交的数据非法”等类似的提示。因为对于访问者而言，这是没有必要的。尽可能完善操作日志记录和错误日记记录。