《信息系统攻击与防御第八章优秀PPT.ppt》由会员分享,可在线阅读,更多相关《信息系统攻击与防御第八章优秀PPT.ppt(48页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息系统攻击与防御第八章第1页,本讲稿共48页内容简介本章介绍了与防御有关的基础知识和方法,内容包括:计算机泄密的主要途径;信息系统安全子系统的安全服务分析;网络安全概念、内容和主要技术;安全体系的核心HIDS;应用系统的安全分析;网际网络安全技术分析;通过注册表打造一个安全的系统;建立安全的Web站点分析;中国黑客常用的工具及防御方法分析;介绍了安全防御系统新趋势入侵防护系统(IPS)。第2页,本讲稿共48页8.1.计算机泄密的主要途径计算机泄密的主要途径 计算机泄密的主要途径有以下几种:1.计算机电磁波辐射泄漏2计算机网络化造成的泄密3计算机媒体泄密4内部工作人员泄密第3页,本讲稿共48页
2、8.2.信息系统的安全子系统 没有一个系统具有绝对的安全 尽管我们无法达到绝对的安全,但是我们可以通过一些措施将安全风险控制在可以将安全风险控制在可以接受的范围接受的范围。还有一个关键的原则:一个好的安全措施有一个平衡点,它不应该影响合法用户的不应该影响合法用户的正常工作正常工作。第4页,本讲稿共48页8.2.信息系统的安全子系统(续)信息安全子系统需要保护的资源如下,这些资源通常是黑客攻击的目标。1终端用户资源:通常指普通用户用的电脑及其外设,其本身数据的重要性并不一定很高,通常如果被黑客攻击也不会对全局造成重大的损失。但是,它会被黑客利用作为跳板去获取网络中其它资源的有效信息。而且,由于普
3、通用户的电脑水平和防范意识不同,这类资源的安全性一般不是很高。2网络资源:指路由器、交换机、集线器、布线系统、和机房等。如果黑客控制了这些资源,那网络就不再安全了,对外联络处于极度危险之中。3服务器资源:Web服务器、邮件服务器、文件传输服务器等。与终端用户资源不同的是,服务器资源通常是一些公共数据,容许大家合法的访问。黑客以它作为目标一般是要控制这些资源或者影响正常用户的访问。4信息存储资源:存储资源上的信息是黑客最感兴趣的。第5页,本讲稿共48页8.2.信息系统的安全子系统(续)国际标准化组织(ISO)将安全子系统所提供的服务分成5种:1认证:需要对访问者的身份进行确认后才容许其访问访问相
4、应的资源或者接受其通信请求;2访问控制:制定一个策略限定访问者的行为以及规定他访问的权限;3数据的保密性(加密):保护数据不被非法访问者访问。一些黑客会利用一些工具从网络上捕获数据,如果对数据做了加密处理,即使黑客捕获了数据也无法正确读出;4数据的完整性:安全子系统不但要保证数据安全的传输到接收者,还要保证传输到的数据没有被篡改;5不可否认性(抗抵赖性):这是一种机制,一方面向接收者确认发送者的身份;同时也提供足够的证据让发送者对自己在发送行为无法否认;第6页,本讲稿共48页8.2.信息系统的安全子系统(续)在信息安全子系统中,认证认证分成两类:控制访问权的身份认证,身份认证是网络通信中建立可
5、信安全通信信道的重要过程,是安全信息子系统的“门卫”模块。身份认证使用最多的是密码认证,同时会辅助以其它的方式。身份认证的方式可以分成四类:密码、智能卡、身份特征、源地址。通信双方进行通信前所做的信息认证。信息认证的目的为:(1)确认信息发送者的身份以保证信息的真实来源;(2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。认证技术主要有数字摘要、数字信封、数字证书等。第7页,本讲稿共48页8.2.信息系统的安全子系统(续)访访问问控控制制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识
6、别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。第8页,本讲稿共48页8.2.信息系统的安全子系统(续)加加密密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。加密技术通常分为两大类:“对称式”和“非对称式”。第9页,本讲稿共48页8.2.信息系统的安全子系统(续)信息的完整性服务信息的完整性服务 信息的安全对需要更安全来说数据保密是不够的。数据仍能够被非法破解并修改。信息的完整性是指避免资料在传输时被篡改。完整性是通过刚才介绍的HASH(哈希)运算来确定数据是否被修改过。下面介绍一下完整性是如何实现的:数据的发送方对要发出的数据
7、做一次哈希运算,得出一个哈希值,为了安全起见可以将这个哈希值加密后附着在原始数据后送到接收方。接收方收到数据后对数据部分做同样的哈希运算,也会得出一个哈希值,接收方在解密收到的哈希值,然后对比双方的哈希值:如果二者相同,说明数据在传送过程中没有被修改过,如果二者不同,说明数据在传输过程中有了变化。第10页,本讲稿共48页8.2.信息系统的安全子系统(续)信息的不可否认性服务信息的不可否认性服务 数据的不可否认性(Non-Repudiation)又称抗抵赖性,实际上就是保证数据的有效性。不可否认性提供了让接收方有证据确认所收的数据的确来自某发送者,且该发送者对其发送行为无法否认。我们举个简单的不
8、可否认性的实现的例子,在发送信件时有一种信件叫“挂号信”,在送达接收者时必须要收件人亲自签收。从而接收信件的人就无法否认其收到信件的事实。第11页,本讲稿共48页8.3.网络安全的概念、内容和主要技术网络安全的概念网络安全的概念国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。所以,建立网络安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、
9、丢失和泄露等。第12页,本讲稿共48页8.3.网络安全的概念、内容和主要技术(续)Internet的安全隐患主要体现在下列几方面的安全隐患主要体现在下列几方面 1Internet是一个开放的、无控制机构的网络,黑客(Hacker)经常会侵入网络中的计算机系统,或窃取机密数据和盗用特权,或破坏重要数据,或使系统功能得不到充分发挥直至瘫痪。2Internet的数据传输是基于TCP/IP通信协议进行的,这些协议缺乏使传输过程中的信息不被窃取的安全措施。3Internet上的通信业务多数使用Unix操作系统来支持,Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。4在计算机上存储、传输和处
10、理的电子信息,还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实,内容是否被改动,以及是否泄露等,在应用层支持的服务协议中是凭着君子协定来维系的。5电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。6计算机病毒通过Internet的传播给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。第13页,本讲稿共48页8.3.网络安全的概念、内容和主要技术(续)网络安全防范的内容网络安全防范的内容一个安全的计算机网络应该具有可
11、靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。计算机病毒是大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等,如非法转移银行资金、盗用他人银行帐号购物等。第14页,本讲稿共48页8.3.网络安全的概念、内容和主要技术(续)确保网络安全的主要技术 1、防火墙技术:网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络
12、,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。根据防火墙所采用的技术不同,可以将它分为四种基本类型:包过滤型网络地址转换-NAT代理型监测型。第15页,本讲稿共48页8.3.网络安全的概念、内容和主要技术(续)确保网络安全的主要技术 2、加密技术:信息交换加密技术分为两类:即对称加密和非对称加密。3、虚拟专用网技术:目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)
13、、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。第16页,本讲稿共48页8.3.网络安全的概念、内容和主要技术(续)确保网络安全的主要技术 4、安全隔离:隔离产品发展至今共经历了五代。第一代隔离技术,完全的隔离。采用完全独立的设备、存储和线路来访问不同的网络,做到了完全的物理隔离,但需要多套网络和系统,建设和维护成本较高。第二代隔离技术,硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问,它仍然存在使用不便、可用性差等问题,有的设计上还存在较大的安全隐患。第三代隔离技术,数据转播隔离。利用转播系统分时复制文件的
14、途径来实现隔离,切换时间较长,甚至需要手工完成,不仅大大降低了访问速度,更不支持常见的网络应用,只能完成特定的基于文件的数据交换。第四代隔离技术,空气开关隔离。该技术是通过使用单刀双掷开关,通过内外部网络分时访问临时缓存器来完成数据交换的,但存在支持网络应用少、传输速度慢和硬件故障率高等问题,往往成为网络的瓶颈。第五代隔离技术,安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制,来实现网络间的隔离和数据交换,不仅解决了以往隔离技术存在的问题,并且在网络隔离的同时实现高效的内外网数据的安全交换,它透明地支持多种网络应用,成为当前隔离技术的发展方向。第17页,本讲稿共48页8.3.网络安
15、全的概念、内容和主要技术(续)确保网络安全的主要技术 5、访问控制:访问控制可以达到以下目的:保护存储在某些机器上的个人信息;保护重要信息的机密性;维护机器内信息的完整性;减少病毒感染机会,从而延缓这种感染的传播。防止非法用户进入系统及合法用户对系统资源的非法使用,这就是访问控制的基本任务。访问控制需采取两种措施:一是识别与确证访问系统的用户;二是决定该用户对某一系统资源可进行何种类型的访问(读、写、删、改、运行等)。可具体描述如下:(1)规定需要保护的资源,又称客体;(2)规定可以访问该资源的实体又称主体(通常指一个人,但有时指另一个软件程序进程);(3)规定可对该资源执行的动作(如读、写、
16、执行或不许访问);(4)通过确定每个实体可对哪些资源执行哪些动作来确定该安全方案。第18页,本讲稿共48页8.3.网络安全的概念、内容和主要技术(续)确保网络安全的主要技术 5、访问控制:直到70年代初期,人们才逐渐认识到,为了使计算机系统更安全,需要两种不同类型的访问控制:自主访问控制(DAC,Discretionary Access Control)与强制访问控制(MAC,Mandatory Access Control)。自主访问控制是一种最普通的访问控制手段。在自主访问控制下,用户可以按自己的意愿对系统参数做适当的修改以决定哪个用户可以访问他们的文件。一个用户(或一段用户程序或一个进程
17、)可以有选择地与其它用户共享他的文件。强制访问控制下,用户与文件都有一个固定的安全属性。系统利用安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的,它是由安全管理员或操作系统根据限定的规则分配的,用户或用户的程序不能修改安全属性。如果系统认为具有某一安全属性的用户不适于访问某个文件,那么任何人(包括文件的拥有者)都无法使该用户具有访问文件的能力。第19页,本讲稿共48页8.4.安全体系的核心HIDS在建立由防火墙、IDS等安全产品组成的安全体系中,安全业界有两种截然不同的观点:一种是以防火墙为核心,另一种是以IDS为核心。以前很多防火墙为核心,现在基本倾向以IDS为核心。入侵检测(
18、IDS)分为基于主机(HIDS)和基于网络(NIDS)两种。HIDS安装在被监测的主机系统上,监测用户的访问行为;NIDS安装在被监测的网段上,监听网段内的所有数据包,判断其是否合法。第20页,本讲稿共48页8.4.安全体系的核心HIDS(续)NIDS与HIDS比较:核心技术有差别 性能和效能标准不同 应用领域分化明显 第21页,本讲稿共48页8.4.安全体系的核心HIDS(续)HIDS的原理及体系结构的原理及体系结构:主机入侵检测系统通常在被重点检测的主机上运行一个代理程序。该代理程序扮演着检测引擎的角色,它根据主机行为特征库对受检测主机上的可疑行为进行采集、分析和判断,并把警报信息发送给控
19、制端程序,由管理员集中管理。此外,代理程序需要定期给控制端发出信号,以使管理员能确信代理程序工作正常。如果是个人主机入侵检测,代理程序和控制端管理程序可以合并在一起,管理程序也简单得多。主机入侵检测系统主要依靠主机行为特征进行检测。第22页,本讲稿共48页8.4.安全体系的核心HIDS(续)相对于网络入侵检测,主机入侵检测有以下优点:性价比高。在主机数量较少的情况下,这种方法的性价比可能更高。更加细致。这种方法可以很容易地监测一些活动,如对敏感文件、目录、程序或端口的存取,而这些活动很难在基于协议的线索中被发现。视野集中。一旦入侵者得到了一个主机的用户名和口令,基于主机的代理是最有可能区分正常
20、的活动和非法活动的。易于用户剪裁。每一个主机有其自己的代理,用户剪裁更方便。较少的主机。基于主机的方法不需要增加专门的硬件平台。对网络流量不敏感。用代理的方式一般不会因为网络流量的增加而丢失对网络行为的监视。第23页,本讲稿共48页8.4.安全体系的核心HIDS(续)主机入侵检测系统也有它的局限性:操作系统局限。不象NIDS,厂家可以自己定制一个足够安全的操作系统来保证NIDS自身的安全,HIDS的安全性受其所在主机操作系统的安全性限制。系统日志限制。HIDS会通过监测系统日志来发现可疑的行为,但有些程序的系统日志并不详细,或者没有日志。有些入侵行为本身不会被具有系统日志的程序纪录下来。被修改
21、过的系统核心能够骗过文件检查。如果入侵者修改系统核心,则可以骗过基于文件一致性检查的工具。第24页,本讲稿共48页8.5.应用系统的安全 1避免安装或运行未经认证的不明软件或内容。了解电脑上正在运行哪些程序以及它们为什么运行。如果你不知道你的系统上都有什么,你就不能充分对你的系统进行保护。2不要让非管理员用户以系统管理员或者根权限身份登录。3保护你的e-mail。将所有进入的HTML内容转换为普通文本格式,阻止所有文件默认文件扩展,除了少数你希望允许通过的。4保护你的密码。设置较长的密码,普通用户,以10个字符或更长为佳,系统管理帐户为15个字符或更长为佳。执行帐户锁定,哪怕就只是一分钟的。在
22、Windows系统里,禁用LM密码hash。在Unix/Linux下,使用较新的crypt(3)hash,MD5类型hash,或者如果你的操作系统支持的话,选择更好的bcrypt hash。5尽可能地使用默认禁用和最小化权限。当执行最小化权限的安全策略的时候,使用基于规则的安全。应当一个IT规则一个组,而不是只有一个“IT安全组”。6定义和加强安全域。谁需要访问什么?什么类型的通信连接是合法的?回答这些问题然后设计周边防御。定义基准值,记录反常的通信量。第25页,本讲稿共48页8.5.应用系统的安全(续)7在可能的情况下加密所有的机密数据,特别是在便携式电脑和存储设备上。8操作系统和所有程序的
23、升级补丁管理。自我检查一下,最近有没有升级你的Macromedia Flash,Real Player,和Adobe Acrobat呢?9尽可能地在网关和主机上装配反病毒、反垃圾邮件和反间谍套件。10模糊化地设置安全信息。重命名你的管理员和根权限帐户。不要以ExchangeAdmin来命名一个帐号。不要将你的文件服务器命名为如FS1,Exchange1或者GatewaySrv1等。在条件允许时将服务置于非默认端口:比如,你可以为内部用户和商业伙伴将SSH服务移到30456端口,RDP到30389,HTTP到30080等等。11在你的网络上扫描并调查未知TCP或者UDP端口监听。12跟踪记录每个
24、用户在Internet上所浏览的区域和时间。将结果置于一个人人都可以接触到的实时在线报告中。这个建议就是使用户对自己互联网冲浪习惯进行自我管理。13自动化安全策略。如果你不设为自动的话,它将处于一个不和谐的状态。14对全体雇员进行有关信息安全的教育,并制定合适的策略和程序。习惯于变化的和结构化的管理。对于不依从者经行严厉处罚。第26页,本讲稿共48页8.6.网际网络安全技术分析1、局域网安全、局域网安全局域网安全的解决办法有以下几种:1网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非
25、法侦听,网络分段可分为物理分段和逻辑分段两种方式。2以交换式集线器代替共享式集线器3VLAN的划分为了克服以太网的广播问题,除了上述方法外,还可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种:基于交换机端口的VLAN、基于节点MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活,但却比较成熟,在实际应用中效果显著,广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性,但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用却尚不成熟。第27页,本讲稿共48页8.
26、6.网际网络安全技术分析(续)2、广域网安全、广域网安全必须采取手段,使得在广域网上发送和接收信息时能够保证:除了发送方和接收方外,其他人是无法知悉的(隐私性);传输过程中不被篡改(真实性);发送方能确知接收方不是假冒的(非伪装性);发送方不能否认自己的发送行为(不可抵赖性)。为了达到以上安全目的,广域网通常采用以下安全解决办法:1加密技术2VPN技术3身份认证技术第28页,本讲稿共48页8.6.网际网络安全技术分析(续)3、外部网安全、外部网安全 对外部网安全的威胁主要表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。外部网安全解决办法主要依靠
27、防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中,往往采取上述三种技术(即防火墙、入侵检测、网络防病毒)相结合的方法。第29页,本讲稿共48页8.7.通过注册表打造一个安全的系统操作系统操作系统的所有系统设置都可以在注册表中找到踪影,的所有系统设置都可以在注册表中找到踪影,所有的程序启动方式和服务启动类型都可通过注册表中所有的程序启动方式和服务启动类型都可通过注册表中的小小键值来控制。的小小键值来控制。然而,正因为注册表的强大使得病毒和木马常常寄生在然而,正因为注册表的强大使得病毒和木马常常寄生在此,威胁着原本健康的操作系统。如何才能有效地防范此,威胁着原本健康的操作系统。如
28、何才能有效地防范病毒和木马的侵袭,保证系统的正常运行呢病毒和木马的侵袭,保证系统的正常运行呢?下面将从下面将从服务、默认设置、权限分配等九个方面介绍如何通过注册服务、默认设置、权限分配等九个方面介绍如何通过注册表打造一个安全的系统。表打造一个安全的系统。特别提示:在进行修改之前,一定要备份原有注册表。特别提示:在进行修改之前,一定要备份原有注册表。第30页,本讲稿共48页8.7.通过注册表打造一个安全的系统(续)1.1.拒绝拒绝“信信”骚扰骚扰安全隐患:在安全隐患:在Windows 2000Windows 2000/XP/XP系统中,默认系统中,默认MessengerMessenger服务处于
29、启动状态,不怀好意者可通过服务处于启动状态,不怀好意者可通过“net sendnet send”指指令向目标计算机发送信息。目标计算机会不时地收到令向目标计算机发送信息。目标计算机会不时地收到他人发来的骚扰信息,严重影响正常使用。他人发来的骚扰信息,严重影响正常使用。解决方法:首先打开注册表编辑器。系统服务可以通过注解决方法:首先打开注册表编辑器。系统服务可以通过注册表中册表中“HKEY_LOCAL_MACHI HKEY_LOCAL_MACHI NESYSTEMCurrentControlSetServicesNESYSTEMCurrentControlSetServices”项下的各个选项项
30、下的各个选项来进行管理,其中的每个子键就是系统中对应的来进行管理,其中的每个子键就是系统中对应的“服务服务”,如,如“MessengerMessenger”服务对应的子键是服务对应的子键是“MessengerMessenger”。只。只要找到要找到MessengerMessenger项下的项下的STARTSTART键值,将该值修改为键值,将该值修改为4 4即可。即可。这样该服务就会被禁用,用户就再也不会受到这样该服务就会被禁用,用户就再也不会受到“信信”骚骚扰了。扰了。第31页,本讲稿共48页8.7.通过注册表打造一个安全的系统(续)2.关闭关闭“远程注册表服务远程注册表服务”安全隐患:如果黑
31、客连接到了目标计算机,而且计算机启用了远安全隐患:如果黑客连接到了目标计算机,而且计算机启用了远程注册表服务程注册表服务(RemoteRegistry),那么黑客就可远程设置注册,那么黑客就可远程设置注册表中的服务,因此远程注册表服务需要特别保护。表中的服务,因此远程注册表服务需要特别保护。解决方法:可将远程注册表服务解决方法:可将远程注册表服务(RemoteRegistry)的启动方式设置为的启动方式设置为禁用。不过,黑客在入侵计算机后,仍然可以通过简单的操作将该服禁用。不过,黑客在入侵计算机后,仍然可以通过简单的操作将该服务从务从“禁用禁用”转换为转换为“自动启动自动启动”。因此有必要将该
32、服务删除。因此有必要将该服务删除。找到注册表中找到注册表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”下的下的RemoteRegistry项,右键点击该项选择项,右键点击该项选择“删除删除”,将该项删,将该项删除后就无法启动该服务了。除后就无法启动该服务了。在删除之前,一定要将该项信息导出并保存。想使用该服务时,在删除之前,一定要将该项信息导出并保存。想使用该服务时,只要将已保存的注册表文件导入即可。只要将已保存的注册表文件导入即可。第32页,本讲稿共48页8.7.通过注册表打造一个安全的系统(续)3.请走请走“默认共享默认共享”安全隐
33、患:大家都知道在安全隐患:大家都知道在Windows 2000/XP/2003Windows 2000/XP/2003中,系统默认开启中,系统默认开启了一些了一些“共享共享”,它们是,它们是IPC$IPC$、c$c$、d$d$、e$e$和和admin$admin$。很多黑客和。很多黑客和病毒都是通过这个默认共享入侵操作系统的。病毒都是通过这个默认共享入侵操作系统的。解决方法:要防范解决方法:要防范IPC$IPC$攻击应该将注册表中攻击应该将注册表中“HKEY_LOCAL_MACHI HKEY_LOCAL_MACHI NESYSTEM Current ControlSetControl LSAN
34、ESYSTEM Current ControlSetControl LSA”的的RestrictAnonymousRestrictAnonymous项设项设置为置为“1 1”,这样就可以禁止,这样就可以禁止IPC$IPC$的连接。对于的连接。对于c$c$、d$d$和和admin$admin$等类等类型的默认共享则需要在注册表中找到型的默认共享则需要在注册表中找到“HKEY_LOCAL_ HKEY_LOCAL_ MACHINESYSTEM MACHINESYSTEM CurrentControlSetServicesLanmanServerParametersCurrentControlSetS
35、ervicesLanmanServerParameters”项。如果系统项。如果系统为为Windows 2000 ServerWindows 2000 Server或或Windows 2003Windows 2003,则要在该项中添加键值,则要在该项中添加键值“AutoShareServerAutoShareServer”(类型为类型为“REG_DWORDREG_DWORD”,值为,值为“0 0”)。如果系。如果系统为统为Windows 2000 PROWindows 2000 PRO,则应在该项中添加键值,则应在该项中添加键值“AutoShareWksAutoShareWks”(类类型为型为
36、“REG_DWORDREG_DWORD”,值为,值为“0 0”)。第33页,本讲稿共48页8.7.通过注册表打造一个安全的系统(续)4.严禁系统隐私泄露严禁系统隐私泄露安全隐患:在安全隐患:在WindowsWindows系统运行出错的时候,系统内部有一个系统运行出错的时候,系统内部有一个DR.WATSONDR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在在user.dmpuser.dmp和和drwtsn32.logdrwtsn32.log文件中。攻击者可以通过破解这个程文件中。攻击者可以通过破解这个程序而了解系统的隐
37、私信息。因此要阻止该程序将信息泄露出去。序而了解系统的隐私信息。因此要阻止该程序将信息泄露出去。解决方法:找到解决方法:找到“HKEY_LOACL_MACHINESOFTWAREMicrosoftWindows HKEY_LOACL_MACHINESOFTWAREMicrosoftWindows NT Current Version AeDebugNT Current Version AeDebug”,将,将AUTOAUTO键值设置为键值设置为0 0,现在,现在DR.WATSONDR.WATSON就不会记录系统运行时的出错信息了。同时,依次点击就不会记录系统运行时的出错信息了。同时,依次点击“
38、Documents and SettingsALL Documents and SettingsALL UsersDocumentsdrwatsonUsersDocumentsdrwatson”,找到,找到user.dmpuser.dmp和和drwtsn32.logdrwtsn32.log文件并删除。删除这两个文件的目的是将文件并删除。删除这两个文件的目的是将DR.WATSONDR.WATSON以前保存的隐私信息删除。以前保存的隐私信息删除。提示:如果已经禁止了提示:如果已经禁止了DR.WATSONDR.WATSON程序的运行,则不会找到程序的运行,则不会找到“drwatsondrwatson
39、”文件夹以及文件夹以及user.dmpuser.dmp和和drwtsn32.logdrwtsn32.log这两个文件。这两个文件。第34页,本讲稿共48页8.7.通过注册表打造一个安全的系统(续)5.拒绝拒绝ActiveX控件的恶意骚扰控件的恶意骚扰安全隐患:不少木马和病毒都是通过在网页中隐藏恶意安全隐患:不少木马和病毒都是通过在网页中隐藏恶意ActiveXActiveX控件控件的方法来私自运行系统中的程序,从而达到破坏本地系统的目的方法来私自运行系统中的程序,从而达到破坏本地系统的目的。为了保证系统安全,应该阻止的。为了保证系统安全,应该阻止ActiveXActiveX控件私自运行程序。控件
40、私自运行程序。解决方法:解决方法:ActiveXActiveX控件是通过调用控件是通过调用Windows scripting hostWindows scripting host组件的组件的方式运行程序的,所以可以先删除方式运行程序的,所以可以先删除“system32system32”目录下的目录下的wshom.ocxwshom.ocx文文件,这样件,这样ActiveXActiveX控件就不能调用控件就不能调用Windows scripting hostWindows scripting host了。然了。然后,在注册表中找到后,在注册表中找到“HKEY_LOCAL_MACHINESOFTWA
41、RE HKEY_LOCAL_MACHINESOFTWARE ClassesCLSIDF935DC22-1CF0-11D0-ADB9-00C04FD58A0BClassesCLSIDF935DC22-1CF0-11D0-ADB9-00C04FD58A0B”,将该,将该项删除。通过以上操作,项删除。通过以上操作,ActiveXActiveX控件就再也无法私自调用脚本程控件就再也无法私自调用脚本程序了。序了。第35页,本讲稿共48页8.7.通过注册表打造一个安全的系统(续)6.防止页面文件泄密防止页面文件泄密安全隐患:安全隐患:Windows 2000Windows 2000的页面交换文件也和上文提
42、到的的页面交换文件也和上文提到的DR.WATSONDR.WATSON程序一样经常成为黑客攻击的对象,因为页面文件有可能程序一样经常成为黑客攻击的对象,因为页面文件有可能泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易泄露一些原本在内存中后来却转到硬盘中的信息。毕竟黑客不太容易查看内存中的信息,而硬盘中的信息则极易被获取。查看内存中的信息,而硬盘中的信息则极易被获取。解决方法:找到解决方法:找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessioHKEY_LOCAL_MACHINESYSTEMCurrentControlSet
43、ControlSession ManagerMemory Managementn ManagerMemory Management”,将其下的,将其下的ClearPageFileAtShutdownClearPageFileAtShutdown项目的值设置为项目的值设置为1 1,这样,每当重新启动后,系统都会将页面文件删除,从而有效防止信息这样,每当重新启动后,系统都会将页面文件删除,从而有效防止信息外泄。外泄。第36页,本讲稿共48页8.7.通过注册表打造一个安全的系统(续)7.密码填写不能自动化密码填写不能自动化安全隐患:使用安全隐患:使用WindowsWindows系统冲浪时,常会遇到密
44、码信息被系统自动记系统冲浪时,常会遇到密码信息被系统自动记录的情况,以后重新访问时系统会自动填写密码。这样很容易造成自己录的情况,以后重新访问时系统会自动填写密码。这样很容易造成自己的隐私信息外泄。的隐私信息外泄。解决方法:在解决方法:在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersiHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion policieson policies”分支中找到分支中找到networknetwork子项子项(如果没有可自行添加如果没有可自行添加),
45、在,在该子项下建立一个新的双字节值,名称为该子项下建立一个新的双字节值,名称为disablepasswordcachingdisablepasswordcaching,并将该值设置为并将该值设置为1 1。重新启动计算机后,操作系统就不会自作聪。重新启动计算机后,操作系统就不会自作聪明地记录密码了。明地记录密码了。第37页,本讲稿共48页8.7.通过注册表打造一个安全的系统(续)8.禁止病毒启动服务禁止病毒启动服务安全隐患:现在的病毒很聪明,不像以前只会通过注册表的安全隐患:现在的病毒很聪明,不像以前只会通过注册表的RUNRUN值或值或MSCONFIGMSCONFIG中的项目进行加载。一些高级病
46、毒会通过系统服务进行加载。中的项目进行加载。一些高级病毒会通过系统服务进行加载。那么,能不能使病毒或木马没有启动服务的相应权限呢那么,能不能使病毒或木马没有启动服务的相应权限呢?解决方法:运行解决方法:运行“regedt32regedt32”指令启用带权限分配功能的注册表编指令启用带权限分配功能的注册表编辑器。在注册表中找到辑器。在注册表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分分支,接着点击菜单栏中的支,接着点击菜单栏中的“安全
47、安全权限权限”,在弹出的,在弹出的ServicesServices权权限设置窗口中单击限设置窗口中单击“添加添加”按钮,将按钮,将EveryoneEveryone账号导入进来,然后账号导入进来,然后选中选中“EveryoneEveryone”账号,将该账号的账号,将该账号的“读取读取”权限设置为权限设置为“允许允许”,将它的,将它的“完全控制完全控制”权限取消,如图权限取消,如图8-48-4所示。现在任何木马所示。现在任何木马或病毒都无法自行启动系统服务了。当然,该方法只对没有获得或病毒都无法自行启动系统服务了。当然,该方法只对没有获得管理员权限的病毒和木马有效。管理员权限的病毒和木马有效。第
48、38页,本讲稿共48页8.7.通过注册表打造一个安全的系统(续)9.不准病毒自行启动不准病毒自行启动安全隐患:很多病毒都是通过注册表中的安全隐患:很多病毒都是通过注册表中的RUNRUN值进行加载而实现值进行加载而实现随操作系统的启动而启动的,可以按照随操作系统的启动而启动的,可以按照“禁止病毒启动服务禁止病毒启动服务”中中介绍的方法将病毒和木马对该键值的修改权限去掉。介绍的方法将病毒和木马对该键值的修改权限去掉。解决方法:运行解决方法:运行“regedt32regedt32”指令启动注册表编辑器。找到注册表中指令启动注册表编辑器。找到注册表中的的“HKEY_ CURRENT HKEY_ CUR
49、RENT _MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支,将分支,将EveryoneEveryone对该分支的对该分支的“读取读取”权限设置为权限设置为“允许允许”,取消对,取消对“完完全控制全控制”权限的选择。这样病毒和木马就无法通过该键值启动权限的选择。这样病毒和木马就无法通过该键值启动自身了。自身了。病毒和木马是不断病毒和木马是不断“发展发展”的,我们也要不断学习新的防护知识,的,我们也要不断学习新的防护知识,才能抵御病毒和木马的入侵
50、。与其在感染病毒或木马后再进行查杀,才能抵御病毒和木马的入侵。与其在感染病毒或木马后再进行查杀,不如提前做好防御工作,修筑好牢固的城墙进行抵御。毕竟亡羊补牢不如提前做好防御工作,修筑好牢固的城墙进行抵御。毕竟亡羊补牢不是我们所希望发生的事情,不是我们所希望发生的事情,“防患于未然防患于未然”才是我们应该追求才是我们应该追求的。的。第39页,本讲稿共48页8.8.建立安全的Web站点World Wide WebWorld Wide Web称为万维网,简称称为万维网,简称WebWeb。它的基本结构是采用开放式的客户。它的基本结构是采用开放式的客户/服务器结构服务器结构(Client/Server)