计算机安全防范解决方案研究个人电脑安全设计Word格式文档下载.docx
《计算机安全防范解决方案研究个人电脑安全设计Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《计算机安全防范解决方案研究个人电脑安全设计Word格式文档下载.docx(28页珍藏版)》请在冰豆网上搜索。
密码;
病毒;
Thecomputersafetyguardagainstasolutionaresearch
-Personalcomputersafety
Summary
Beforethecalculatorhavenolarge-scaleuniversality,peoplemeetingimportanceofdocumentdatalockarrivedocumentcabinetorsafe
Preservation.InclinetowardexploitationcalculatorandnetworkrealizationinformationwiththequickdevelopmentofthecalculatorandInternet
Ofthedataturnamanagement.Iftheinformation(likebusinesssecret,techniquepatent...etc.)ofvariousimportancedepositinthereisnosafetyguardingagainstthecalculatorofmeasurein,thisisliketousenotlockofdocumentcabinettodepositsecretdocument.Becausethecalculatoropensexandstandardizeanetc.structurecharacteristics,makethecalculatorinformationhaveheightsharewithbeeasytoproliferationofcharacteristic,causethecalculatorinformation(suchasimportancepassword)isintheprocessing,savingly,deliverwiththeapplicationtheprocessveryeasyisreveal,steal,distortwithbreak,perhapsbesubjectedtocalculatorvirusinfection,backdoorprocedure,loopholeandthenetworkblackguestofattack,bringbusinessenterprisebiggestofrisk.Bythistime,thesafetyofcalculatorhighlightofimportance.Eachcalculatorcustomerormanyorlittlelyandallandpersonallytheexperienceleadvirusperhapswoodhorse,blackguestofharassment.Aimatpersonaltosaybringofthelossmaystillnotcalculatebig,butsayforthebusinessenterprise,mayisdrownofdisaster.
Keyword:
Thenetworksafety;
information;
attack;
backdoorprocedure;
loophole;
password;
virus;
第1章计算机端口及服务安全防范1
1.1端口的概述1
1.2常用的端口和服务2
1.3端口的安全防范3
1.4计算机常用服务防范4
第2章计算机系统漏洞5
2.1漏洞分析5
4.3.3查杀IMG病毒的常用方法及防范措施21
第一章计算机端口及服务安全防范
1.1端口的概述
计算机“端口”是英文port的义译,可以认为是计算机与外界通讯交流的出口。
其中硬件领域的端口又称接口,如:
USB端口、串行端口等。
软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基本输入输出)缓冲区。
端口号有两种基本分配方式:
第一种叫全局分配这是一种集中分配方式,由一个公认权威的中央机构根据用户需要进行统一分配,并将结果公布于众,第二种是本地分配,又称动态连接,即进程需要访问传输层服务时,向本地操作系统提出申请,操作系统返回本地唯一的端口号,进程再通过合适的系统调用,将自己和该端口连接起来(binding,绑定)。
TCP/IP端口号的分配综合了以上两种方式,将端口号分为两部分,少量的作为保留端口,以全局方式分配给服务进程。
每一个标准服务器都拥有一个全局公认的端口叫周知口,即使在不同的机器上,其端口号也相同。
剩余的为自由端口,以本地方式进行分配。
TCP和UDP规定,小于256的端口才能作为保留端口。
按端口号可分为3大类:
(1)公认端口(WellKnownPorts):
从0到1023,它们紧密绑定(binding)于一些服务。
通常这些端口的通讯明确表明了某种服务的协议。
例如:
80端口实际上总是HTTP通讯。
(2)注册端口(RegisteredPorts):
从1024到49151。
它们松散地绑定于一些服务。
也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。
许多系统处理动态端口从1024左右开始。
(3)动态和/或私有端口(Dynamicand/orPrivatePorts):
从49152到65535。
理论上,不应为服务分配这些端口。
实际上,机器通常从1024起分配动态端口。
但也有例外:
SUN的RPC端口从32768开始。
1.2常用的端口及服务
端口:
21
服务:
FTP
说明:
FTP服务器所开放的端口,用于上传、下载。
最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。
这些服务器带有可读写的目录。
木马DolyTrojan、Fore、InvisibleFTP、WebEx、WinCrash和BladeRunner所开放的端口。
23
Telnet
远程登录,入侵者在搜索远程登录UNIX的服务。
大多数情况下扫描这一端口是为了找到机器运行的操作系统。
还有使用其他技术,入侵者也会找到密码。
木马TinyTelnetServer就开放这个端口。
25
SMTP
SMTP服务器所开放的端口,用于发送邮件。
入侵者寻找SMTP服务器是为了传递他们的SPAM。
入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。
木马Antigen、EmailPasswordSender、HaebuCoceda、ShtrilitzStealth、WinPC、WinSpy都开放这个端口。
53
DomainNameServer(DNS)
DNS服务器所开放的端口,入侵者可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其他的通信。
因此防火墙常常过滤或记录此端口。
80
HTTP
用于网页浏览。
木马Executor开放此端口
1.3端口的安全防范
1.关闭自己的139端口,ICP和RPC漏洞存在于此。
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口
2.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled为REG_DWORD类型键值为0。
3.4899端口的防范
网络上有许多关于3389和4899的入侵方法。
4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。
需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的
4.135端口
运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;
然后切换到“默认协议”,删除“面向连接的TCP/IP”。
5.23端口
关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序
6.21端口
关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管单元提供FTP连接和管理。
1.4计算机常用服务防范
在运行中,输入Services.msc,将以下服务关闭:
1.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]。
2.DistributedFileSystem[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享]。
3.DistributedLinkTrackingServer[适用局域网分布式链接?
?
踪客户端服务]。
4.IMAPICD-BurningCOMService[管理CD录制]。
5.IndexingService[提供本地或远程计算机上文件的索引内容和属性,泄露信息]。
6.LicenseLogging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]。
7.NetMeetingRemoteDesktopSharing[netmeeting公司留下的客户信息收集]。
8.NetworkDDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]。
9.PrintSpooler[打印机服务,没有打印机就禁止吧]。
10.Telnet[允许远程用户登录到此计算机并运行程序]。
11.TerminalServices[允许用户以交互方式连接到远程计算机]
12.PrintSpooler[打印机服务,没有打印机就禁止吧]。
13.RemoteDesktopHelp&
nbsp;
SessionManager[管理并控制远程协助]。
14.RemoteRegistry[使远程计算机用户修改本地注册表]。
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必上停止该服务,因为这完全有可能是黑客使用控制程序的服务端
第二章计算机系统漏洞
2.1漏洞分析
系统漏洞就是开发商在操作系统设计的时候没有考虑周全,当程序遇到了
一个看似合理,但实际上无法处理的问题时,就会引发一些不可预见的错误,而这些错误是不可避免的,就像网站的漏洞也是,比如说这个网站,它就存在不少漏洞,只是站长没有去发现这些问题而已。
系统漏洞又称为“安全缺陷”或者“系统BUG”同时也成为黑客为了达到他们的攻击目的而寻找的一个攻击入口。
漏洞是随着操作系统,无论是Windows还是Linux程序的规模不断增大而逐渐增加的。
操作系统的安全漏洞越多,暴露给攻击者的目标也就越大。
同时。
操作系统是控制整个系统的安全核心,选择操作系统的安全漏洞进行攻击可以迅速产生巨大的破坏性,使被攻击方迅速处于瘫痪或崩溃状态。
正因为如此,黑客在实施攻击前往往首先要寻找到的就是对方操作系统的安全漏洞,然后再有针对性的利用相应的攻击手段实现攻击。
目前服务器常用的操作系统有3类:
Windows、Unix、Linux。
这3类操作系
都是符合C3级安全级别的操作系统。
但应用最广泛的服务器操作系统仍然
WindowsServer2003、Windows2000Serve,同时每隔一段时间都会被发现有
些大大小小的漏洞,其中有很多漏洞可以使攻击者直接取得系统管理员的高级控制
限,这样的后果将不堪设想。
轻则会被拿来作为攻击其他机器的跳板,重则可能造成
信息泄露,更有可能会破坏用户所有的数据。
据统计,一台未打补丁的Windows系统,接入互联网后,不到2分钟就会受到各种漏洞所攻击,并导致计算机中毒或崩溃。
目前普通用户碰到的漏洞威胁主要以微软的操作系统漏洞居多。
微软被新发现的漏洞数量每年都在增长,仅2005年截止到11月,微软公司便对外公布漏洞51个,其中严重等级27个。
众所周知,微软的Windows操作系统在个人计算机中有极高的市场占有率,用户群体非常庞大。
利用微软的系统漏洞传播的病毒明显具有传播速度快、感染人群多、破坏严重的特点。
2003年的冲击波就是利用WindowsXP和WindowsServer2003系统的一种
程服务漏洞进行攻击的,如果没有安装相关的安全补丁,那么目标计算机系统将强
不停的重新启动。
用户根本没办法使用。
造成系统漏洞的原因是多方面的,但主要包括两个方面的内容:
不安全的服务、配置与初始化错误。
2.2漏洞解决方案
系统漏洞补丁的下载
“系统漏洞补丁”一词,想必大家都不陌生,就微软的操作系统而言,因其庞大的市场占有率,使得黑客们加倍的“喜爱”,因此微软会定期的发布一些最新的补丁升级包供用户下载安装,从而完善和确保系统的稳定性,阻止黑客的攻击,达到进一步保障系统安全的目的。
微软发出的补丁包更多针对于系统和IE,因为更多时候黑客会选择IE和系统的漏洞进行攻击,让人防不胜防。
其实,避免因为系统漏洞造成的损害很简单,您可以通过打开Windows系统自动升级功能进行下载安装,但是,由于操作系统的版本问题,部分用户可能无法正常下载,或者下载了一些对自己的操作系统并不实用的补丁升级包,反而占用了大量计算机空间,这样一来就不是很合适了。
图示1:
第三章计算机共享资源及本地策略安全防范
3.1共享资源安全分析
随着计算机网络的迅速普及,很多企事业单位都铺设了局域网,有的还开通了Internet连接。
单位内部各个部门之间,甚至企事业单位之间,经常会因工作需要而共享某些信息,由此引发了共享信息资源的安全问题。
尤其是一些关键部门的信息安全问题更不容忽视。
姑且不论网络病毒感染、黑客入侵,就连保证共享资源的基本安全就已经让一般的工作人员头痛不已。
尽管网络安全问题日渐突出,然而计算机网络化已是大势所趋,不能因为存在安全问题隐患就因噎废食。
事实上,只要防范措施得当,在一定程度上共享信息资源的安全是可以得到有效保障的。
人们通常采用口令保护的方法来限制非授权用户对共享信息资源的访问,但如果措施不当,仍会造成信息泄露。
常见的安全问题分析如下:
1.未设口令。
2.口令过于简单。
3.将"
访问类型"
设置为"
根据密码访问"
,但却仅仅设置了"
只读密码"
,而未设置"
完全访问密码"
。
这样,任何用户不必输入任何口令,就可以存取共享资源,导致"
形同虚设。
事实上,这种现象非常普遍。
4.很多人由于需要访问的共享资源较多,且分散在不同的位置上,而访问每种资源又必须逐个输入口令,因此倾向于选取口令对话框中?
quot;
保存密码"
选项,以在硬盘上保存这些口令。
下次再访问相同资源时就不必输入令人讨厌的口令。
孰不知,这种做法虽然省去了输入口令的烦恼,但却对整个网络的安全构成了很大的威胁。
因为一旦选择了"
选项,以后在访问相同的共享资源时,系统会自动填好口令。
虽然口令在屏幕上显示为一些星号,但实际上是很容易破解的。
已有很多工具软件专门破解这种口令,而且这种软件很容易编写。
5.Windows9x默认将口令保存到扩展名为PWL的缓存文件中。
PWL文件是保存在本机硬盘上的一个用于访问网络资源的高速缓存的口令清单。
由于PWL文件的加密算法早已被破解,使用有些工具可以轻而易举地破解出全部缓存中的口令。
3.2共享资源安全防范措施:
1.仔细检查是否每个共享资源均设置了口令保护。
2.保证口令的长度至少应在7个字符以上,且最好大小写字母、数字、符号混合使用,以增加破解的难度。
3.若将"
,则必须同时分别设置"
和"
4.不要在本机保存口令。
如千万不要在口令输入对话框中选择"
选项。
5.Windows9x默认允许缓存口令,导致安全保密工作难度加大。
建议完全禁止口令高速缓存。
具体方法是将注册表中"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching"
键对应的DWORD值设为1。
然后将Windows目录下所有扩展名为PWL的文件删除即可。
<
BR<
p>
完成上述设置后,口令输入对话框中就再不会出现"
选项了。
6.对于WindowsNT而言,可以进行登录审计,以限定用户登录的次数,这样可以有效防止非授权人员无限制地采用穷举方法破解口令。
7.除非必要,否则不要将整个硬盘分区都设为共享,尤其是引导分区,以防止他人在破解口令后安装上特洛伊木马程序。
8.所有包含共享资源的机器即使设置了口令,理论上也并非十分安全,破解口令实际上只是一个时间问题。
但如果入侵者连共享资源的名字都无法知道,那么破解口令就无从谈起。
我们只需在共享资源名字后面加上一个"
$"
符号即可隐藏共享资源。
网络上其他计算机无法通过浏览网络邻居或NETVIEW命令获得共享资源的名字,从而增强了保密性。
例如,若要共享StDir目录,则可将该目录的共享资源名字写作StDir$。
当然最好起一个更复杂的名字,而不应该起像C$这样容易猜中的名字,使入侵者无法轻易猜测出来。
9.删除共享(每次输入一个)
netshareadmin$/delete
netsharec$/deletenetshared$/delete(如果有e,f,……可以继续删除)
3.3本地策略安全防范
账号密码的安全原则:
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!
而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。
权限达到最大这个是密码策略:
用户可以根据自己的习惯设置密码。
本地安全策略,打开管理工具.本地安全设置.密码策略:
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史记住0个密码
6.用可还原的加密来存储密码禁用
3.4DIY在本地策略的安全选项
1)当登陆时间用完时自动注销用户(本地)防止黑客密码渗透.
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3)对匿名连接的额外限制
4)禁止按alt+crtl+del(没必要)
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6)只有本地登陆用户才能访问cd-rom
7)只有本地登陆用户才能访问软驱
8)取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。
当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
第四章计算机病毒及木马防范
4.1病毒及木马的概述
木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。
“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;
“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。
木马通常有两个可执行程序:
一个是客户端,即控制端,另一个是服务端,即被控制端。
植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客