|
|
 |
|
|
 |
|
上海荧科信息技术有限公司是一家采用世界高新技术结晶,研究、推广和发展新技术的高科技公司。
网络安全咨询热线:
021-28540584 64833425 64823067 |
|
|
Windows操作系统常见安全问题解决方法 |
|
|
|
使用Windows的人非常多,而Windows系统的安全问题也越来越被人们关注。虽然Windows的漏洞众多,安全隐患也很多,不过经过适当的设置和调整,你还是可以用上相对安全的Windows的。本文就为你详细讲述了Windows的安全调整,希望对你有用。
这篇文章将针对一些常见的安全问题给你一些解决方法,其中大部分的操作都是针对Windows
2000/XP的,不保证在Windows 98/Me上可行。
使用Windows的人非常多,而Windows系统的安全问题也越来越被人们关注。虽然Windows的漏洞众多,安全隐患也很多,不过经过适当的设置和调整,你还是可以用上相对安全的Windows的。本文就为你详细讲述了Windows的安全调整,希望对你有用。
这篇文章将针对一些常见的安全问题给你一些解决方法,其中大部分的操作都是针对Windows
2000/XP的,不保证在Windows 98/Me上可行。
准备活动
给系统安装补丁程序的重要性是不言而喻的,尤其是一些重要的安全补丁和针对IE,OE漏洞的补丁(即使你并不打算使用它们)。微软会经常的发布一些已知漏洞的修补程序,这些东西一般都可以通过Windows
Update来安装。你需要做的只是经常性的访问Windows Update网站 。或者直接点击开始菜单中Windows
Update的快捷方式。而Windows XP和最新的Windows
2000更加进步了,可以自动检查更新,在后台下载,完成后通知你下载完成并询问是否开始安装。对于Windows
2000/XP的用户,微软还提供了一个检查安全性的实用工具:基准安全分析器(Microsoft Baseline
Security
Analyzer),这个程序可以自动对你的系统进行安全性检测,并且对于出现的问题,都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。你可以在这里详细了解和下载这个工具。
在你安装了所有的补丁程序后,下面开始我们的调整设置。
重命名和禁用默认的帐户
安装好Windows后,系统会自动建立两个账户:Administrator和Guest,其中Administrator拥有最高的权限,Guest则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题,他将轻易的得知你的超级用户的名称,剩下的就是寻找密码了。因此,安全的做法是把Administrator账户的名称改掉,然后再建立一个几乎没有任何权限的假Administrator账户。具体的方法是:
在运行中输入secpol.msc然后回车,打开“Local Security
Settings(本地安全设置)”对话框,依次展开Local Policies(本地策略)-Security
Options(安全选项),在右侧窗口有一个“Accounts: Rename administrator
(guest)
account(账户:重命名Administrator/Guest账户)”的策略,双击打开后可以给Administrator重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为Administrator的受限制用户,以迷惑闯入者。
安全选项的设置
同样是在Local Security Settings中,展开Local Policies-Security
Options,这里还有很多其它的设置,经过合理的配置,可以使你的系统更加安全。一下列举的选项最好全部禁止:
Interactive logon: Do not require CTRL+ALT+DEL,交互式登录:不需要按Ctrl+Alt+Del。
Network access: Allow anonymous SID/name
translation,网络访问:允许匿名SID/名称转换。
Network access: Let Everyone permissions apply to
anonymous users,网络访问:让Everyone权限应用到匿名用户。
Recovery console: Allow automatic administrative
logon,故障恢复控制台:允许自动系统管理级登录。
而以下的选项最好启用:
Devices: Restrict CD-ROM access to locally logged-on user
only,设备:只有本地登录的用户才能访问CD-ROM。
Devices: Restrict floppy access to locally logged-on user
only,设备:只有本地登录的用户才能访问软驱。
Interactive logon: Do not display last user
name,交互式登录:不显示上一次使用的用户名。
Network access: Do not allow anonymous enumeration of SAM
accounts,网络访问:不允许匿名SAM帐户的匿名枚举。
Network access: Do not allow anonymous enumeration of SAM
accounts & shares,网络访问:不允许SAM账户和共享的匿名枚举。
Network security: Do not store LAN Manager hash value on
next password change,网络安全:不要在下次更改密码时存储LAN Manager的Hash值。
System objects: Strengthen default permissions of internal
system objects (e.g., Symbolic Links)
,系统对象:增强内部系统对象的默认权限(例如Symbolic Links)。
可靠的密码
尽管绝对安全的密码时不存在的,但是相对安全的密码还是可以实现的。这个还是需要运行secpol.msc来配置Local
Security Settings。展开到Account Policies-Password
Policy,经过这里的配置,你就可以建立一个完备密码策略,并且你的密码也可以得到最大限度的保护。
Enforce password
history(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码,可是换来换去就是有限的几个在轮换,配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximum
password
age这个策略,就能保证密码安全了。默认情况下,这个策略不保存用户的密码,你可以自己设置,建议保存5个以上,而最多可以保存24个。
Maximum password
age(密码最长存留期)。这个策略决定了一个密码可以使用多久,之后就会过期,并要求用户更换密码。如果设置为0,则密码永不过期。一般情况下设置为30到60天左右就可以了,具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。
Minimum password
age(密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的Enforce
password
history结合起来就可以得知新的密码是否是以前使用过的,如果是,则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用,而最大值为999。
Minimum password
length(密码长度最小值)。这个策略决定了一个密码的长度,有效值在0到14之间。如果设置为0,则表示不需要密码。建议的密码长度不能小于6位。
邮件病毒过滤:首先将正常邮件进行病毒扫描、杀毒,根据设置情况,对带病毒邮件进行处理,然后进入邮件服务器。
邮件过滤器是专门过滤邮件,具有特殊功能的专用设备。安装在邮件服务器的前端,所有邮件的接收都必须通过过滤器处理,然后再交给邮件服务器处理。对于邮件系统分为发送服务器和接收服务器,过滤器安装在
SMTP 服务器之前。
|
|
|
|
|
 网络安全解决方案咨询热线:021-54820288
64833425 64823067 |
|
◆ 网络安全服务概述 |
| |
|
上海荧科信息技术有限公司是最早从事局域网/网络建设管理的IT高科技公司,目前业务主要以企业局域网为主,立足上海,辐射长三角上海周边城市.我们的口号:网络问题,找荧科!
内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用,荧科凭借多年网络安全维护经验为您企业的信息系统保驾护航。
服务内容包括: 具体服务内容及价格电话(合同)确认
网络安全管理政策的咨询;网络安全技术方案的咨询;网络安全发展事态的及时通告;
及时的网络安全事件应急响应;定期的网络安全技术培训。入侵检测(Intrusion
Detection);安全相关事件响应(Incident
Response);网络行为安全特征分析
。预防、发现、处理计算机病毒,有效预防、发现、处理非法的外部和内部网络访问;
保证重要业务系统能够提供正常服务,建立有效的防病毒应急处理流程;
主动地实时发现垃圾邮件,减少系统开销;主动、实时、高效率地过滤垃圾邮件,尽可能减少人工干预;
保障办公用户的正常工作和教育系统服务器的正常运行。 防病毒维护体系
升级企业级防病毒代码和杀毒引擎,升级网关层防病毒系统和反垃圾邮件系统的最新补丁
重大病毒的发作之前发布病毒预警通知,接收用户的病毒报告
定期对重要的服务器进行全盘杀毒,对防病毒日志进行审计
负责所管理计算机的病毒防治产品的安装和使用,防病毒体系设计及维护
防病毒体系设计目标,防病毒体系设计原则,防病毒体系整体解决方案 |
|
◆ 网络安全服务内容 |
| |
|
| |
安全顾问服务 |
|
|
|
|
| |
|
标号 |
|
内容 |
|
说明 |
|
记费标准 |
| |
|
|
|
|
|
|
|
NET-SC-01 |
|
安全策略制定 |
|
一般需5-15人日 |
|
人日 |
| |
|
与客户合作制订出一份基于客户当前业务流程、网络环境、企业结构和战略目标的安全策略与实施计划,并详细说明如何实现这些安全策略。该服务包括:安全管理体系设计、安全技术选择和推荐、安全管理制度的制定、灾难恢复计划咨询等 |
|
| |
|
|
|
|
|
|
|
NET-SC-02 |
|
安全解决方案设计 |
|
只针对大客户提供,一般需5-15人日 |
|
人日 |
| |
|
根据客户需求,从网络结构、应用系统以及管理制度等方面设计安全解决方案。该服务包括:安全网络设计、入侵检测和防病毒系统实施方案、安全认证系统设计、电子商务安全设计、安全邮件系统设计等 |
|
| |
|
|
|
|
|
|
|
|
|
|
|
| |
安全顾问服务,安全评估服务,系统加固服务,紧急响应服务安全,系统集成服务,安全培训服务 |
|
| |
安全评估服务 |
|
|
|
|
| |
|
标号 |
|
内容 |
|
说明 |
|
记费标准 |
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
NET-SE-01 |
|
操作系统平台安全评估 |
|
|
|
每台 |
| |
|
包括用户安全,操作系统安全,
网络服务安全,
系统程序安全,采用人工和软件扫描两种方式,提供分析报告
»
UNIX系统平台(Solaris 2.5-8,
Linux,BSD)
»
UNIX系统平台(IBM-AIX,HP-UX,Digital
UNIX)
»
Windows系统平台(NT,2000)
»
网络设备: WAN/LAN, Router |
|
| |
|
|
|
|
|
|
|
NET-SE-02 |
|
应用软件安全评估 |
|
|
|
每套 |
| |
|
采用人工和软件扫描两种方式,提供分析报告
»
数据库(SQL Server)
»
数据库(Oracle,Sybase)
»
Web Servers |
|
| |
|
|
|
|
|
|
|
NET-SE-03 |
|
防火墙评估 |
|
|
|
每台 |
| |
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
| |
|
|
|
|
|
|
|
NET-SE-04 |
|
网络效率及故障检测 |
|
|
|
每次 |
| |
|
测试客户的网络流量,对可疑内容的检测和分析,以及网络协议及性能的分析,提供结果--《网络性能分析报告》 |
|
| |
|
|
|
|
|
|
|
NET-SE-05 |
|
模拟黑客攻击 |
|
一般为2-4人日 |
|
人日 |
| |
|
在客户许可和可控的情况下,采用常用的黑客攻击手法,模拟黑客攻击,提供分析报告,时间两天 |
|
| |
|
|
|
|
|
|
|
NET-SE-06 |
|
总体安全评估 |
|
一般为2-10人日 |
|
人日 |
| |
|
|
|
|
|
|
|
| |
|
|
| |
安全顾问服务-安全评估服务-系统加固服务-紧急响应服务-安全系统集成服务-安全培训服务 |
|
| |
系统加固服务 |
|
|
|
|
| |
|
标号 |
|
内容 |
|
说明 |
|
记费标准 |
| |
|
|
|
|
|
|
|
NET-SS-01 |
|
操作系统修补、加固和优化 |
|
|
|
每台 |
| |
|
根据评估报告进行打补丁、升级、修补、加固和优化,提供详细操作报告
»
UNIX系统平台(Solaris 2.5-8,
Linux,BSD)
»
UNIX系统平台(IBM-AIX,HP-UX,Digital
UNIX
»
Windows系统平台(NT,2000)
»
网络设备: WAN/LAN,Router
|
|
| |
|
|
|
|
|
|
|
NET-SS-02 |
|
应用软件安全修补、加固和优化 |
|
|
|
每套 |
| |
|
根据评估报告进行修补、加固和优化,提供详细操作报告
»
数据库(SQL Server)
»
数据库(Oracle,Sybase)
»
Web servers |
|
| |
|
|
|
|
|
|
|
NET-SS-03 |
|
防火墙配置和优化 |
|
|
|
每台 |
| |
|
进行修补和加固,按照安全策略进行安全配置和优化,提供详细操作报告 |
|
| |
|
|
|
|
|
|
|
NET-SS-04 |
|
网络性能优化 |
|
|
|
每次 |
| |
|
根据《网络性能分析报告》的建议,提出解决问题的方案,优化网络性能,并提供
--《网络性能优化解决方案》。 |
|
| |
|
|
|
|
|
|
|
NET-SS-05 |
|
总体安全优化 |
|
一般需要2-5人日 |
|
人日 |
| |
|
|
|
|
|
|
|
| |
|
|
| |
|
|
| |
紧急响应服务 |
|
|
|
|
| |
|
标号 |
|
内容 |
|
说明 |
|
记费标准 |
| |
|
|
|
|
|
|
|
NET-SR-01 |
|
紧急事件响应 |
|
一般需2人日 |
|
人日 |
| |
|
»
入侵分析
»
消除被破坏的和非法的文件
»
恢复正常操作
»
对系统的安全进行重新评估
»
消除今后的入侵隐患,提供解决和防范报告
»
为了缩短恢复时间,一般复杂和严重事件派2个安全专家
»
7*24小时快速响应服务;本地4小时响应,外地选择最快的交通方式,尽快到达;按人日付费
|
|
| |
|
|
|
|
|
|
|
注: |
以上服务报价均为本地服务价格,其余地区需另外计算时间和路途花费 |
|
计算方法: |
附加费用=交通费用+路途时间所需人日*5000+住宿天数*400 |
|
|
|
|
|
|
| |
|
|
| |
安全系统集成服务 |
|
|
|
|
| |
|
标号 |
|
内容 |
|
说明 |
|
记费标准 |
| |
|
|
|
|
|
|
|
NET-SI-01 |
|
安全系统集成业务 |
|
|
|
|
| |
|
根据安全策略,参照评估结果,提供《整体安全解决方案》,其中涉及安全产品集成部分,提供安全系统集成业务
安全产品安装和配置实施
安全产品,包括防火墙,VPN,IDS,Scanner等
安全产品的培训
在线培训和课程培训
安全产品的安装, 配置, 操作,维修,故障恢复等内容 |
|
|
|
|
|
|
| |
安全培训服务 |
|
|
|
|
| |
|
标号 |
|
内容 |
|
说明 |
|
记费标准 |
|
NET-ST-01 |
|
安全基础理论 |
|
|
|
人次 |
| |
|
课程内容:
系统安全、网络安全及增强安全意识的重要性、主要网络安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施、商用安全产品分类等
课程效果:
增强系统管理员的安全意识,基本了解安全的实际要领,能够分辩出系统中存在的安全问题
|
|
| |
|
|
|
|
|
|
|
NET-ST-02 |
|
WINDOWS系统安全管理 |
|
|
|
人次 |
| |
|
课程内容:
该培训面向具有Windows系列平台管理基础的技术人员,从WINDOWS系列操作系统的安装、系统裁剪和系统应用的角度,分析了WINDOWS系列操作系统的安全问题及解决措施。
课程效果:
能够独立配置安全系统,独立维护WINDOWS系统安全,在没有防火墙的情况下使系统得到有效的保护
课时:
2天(10人以上开班) |
|
|
NET-ST-03 |
|
Unix系统安全管理 |
|
|
|
人次 |
| |
|
课程内容:
Sun
Solaris系统的实际安全策略,Unix常见攻击手段分析,掌握各种流行安全工具的使用,在实验环境中实际编译、配置、使用各种安全工具。
课程效果:
能够独立配置安全系统,独立维护UNIX系统安全,在没有防火墙的情况下使Solaris系统得到有效的保护
课时:
2天(10人以上开班) |
|
| |
|
|
|
|
|
|
|
NET-ST-04 |
|
防火墙培训 |
|
|
|
人次 |
| |
|
课程内容:
防火墙的基本概念和原理、作用与重要性、局限性、分类、防火墙安全策略、防火墙设计、自身的安全与日常维护、防火墙代表产品的演示和上机
课程效果:
了解防火墙的基本概念和原理;能够作日常维护;能够根据系统需求,作出相应的防火墙设计
课时:
2天(10人以上开班) |
|
| |
|
|
|
|
|
|
|
NET-ST-05 |
|
黑客理论&技术 |
|
|
|
人次 |
| |
|
课程内容:
流行进攻方法的解释、示范,并配有实验
课程效果:
使系统管理员掌握黑客进攻的手段、原理和方法;并能在实际工作中保护系统的安全性。
课时:
2天(10人以上开班) |
|
| |
|
|
|
|
|
|
|
NET-ST-06 |
|
病毒、木马与后门技术 |
|
|
|
人次 |
| |
|
课程内容:
该培训面向具有系统管理经验和编程的技术人员。作为黑客的基本手段之一,病毒、木马和后门对于安全的影响极大。该培训通过对病毒、木马和后门的原理分析。介绍其工作机理和表现征兆,通过剖析几种典型软件,阐述其危害性和防御方法。
课程效果:
使系统管理员掌握病毒的原理和防范手段;并能在实际工作中保护系统的安全性。
课时:
2天(10人以上开班) |
|
| |
|
|
|
|
|
|
|
NET-ST-07 |
|
Sniffer 网络故障检测及性能优化 |
|
|
|
人次 |
| |
|
课程内容:
* Use the Sniffer Pro Network
Analyzer to discover where
problem exit and implement ways
to resolve them
* Analyze Monitor application
screeens to quickly determine
the health of the network and
statistics of the active
protocols and stations
* Set-up filters to limit the
data you will capture or view so
you can focus on important areas
* Stress test your networks with
the Packet Ganerator
* Use the Tools to troubleshoot
connectivity problems
* Pinpoint problems quickly and
draw conclutions revealed in the
SnifferPro Network Analyzer
symptoms,diagnoses,and protocol
decodes
课程效果:
了解Sniffer的基本原理和方法、能够运用Sniffe进行网络的故障诊断和问题分析,深刻理解网络的协议原理和方法
课时:
2天(10人以上开班) |
|
|
|
|
|
|
| |
|
|
| |
|
|
| |
|
|
|
|
|
|
|
|
| |
| |
| |
|
|
| 网站地图 |
关于我们 | 公司招聘 | 加盟合作
| 数码相机维修 |
021-54379506 64085498
上海荧科信息技术有限公司版权所有
上海市龙漕路1弄8号物资大楼305室 Email:Chinatopsales@gmail.com |
|
 |
网络安全内容 |
 |
|
荧科网络防范服务内容:
升级企业级防病毒代码和杀毒引擎
工作内容:
负责获得计算机病毒防治产品的升 级版本,包括软件本身以及病毒库的升级,并负责计算机病毒防治产品的升级通知;
到防病毒厂商的网站定期检查和升级杀毒引擎和病毒代码;
根据病毒爆发的频率和防病毒厂家提供的通知,及时的调整病毒代码和杀毒引擎的更新周期; |
|
|
内联网入侵检测系统 | |
|
|
内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用,下面笔者根据安全监控高风险事件来分析问题、提出对策,以供大家参考。
事件1、Windows 2000/XP RPC服务远程拒绝服务攻击
漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP
135端口,发送畸形数据,可导致关闭RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。
[对策]
1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP
135端口进行限制,限制外部不可信任主机的连接。
2、彻底解决办法:打安全补丁。
事件2、Windows系统下MSBLAST(冲击波)蠕虫传播
感染蠕虫的计算机试图扫描感染网络上的其他主机,消耗主机本身的资源及大量网络带宽,造成网络访问能力急剧下降。
[对策]
1、下载完补丁后断开网络连接再安装补丁。
2、清除蠕虫病毒。
事件3、Windows系统下Sasser(震荡波)蠕虫传播
蠕虫攻击会在系统上留下后门并可能导致Win
2000/XP操作系统重启,蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。
[对策]
1、首先断开计算机网络。
2、然后用专杀工具查杀毒。
3、最后打系统补丁。
事件4、TELNET服务用户认证失败
TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况,TELNET服务器会使认证失败。如果登录用户名为超级用户,则更应引起重视,检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应,则说明主机可能在遭受暴力猜测攻击。
[对策]
1、检查访问来源的IP、认证用户名及口令是否符合安全策略。
2、密切关注FTP客户端大量失败认证的来源地址的活动,如果觉得有必要,可以暂时禁止此客户端源IP地址的访问。
事件5、TELNET服务用户弱口令认证
攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问,也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。
[对策]
1、提醒或强制相关的TELNET服务用户设置复杂的口令。
2、设置安全策略,定期强制用户更改自己的口令。
事件6、Microsoft SQL 客户端SA用户默认空口令连接
Microsoft SQL数据库默认安装时存在sa用户密码为空的问题,远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式,远程攻击者利用空口令登录到SQL服务器后,可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令,从而取得主机的完全控制。
[对策]
1、系统的安全模式尽量使用“Windows NT only”模式,这样只有信任的计算机才能连上数据库。
2、为sa账号设置一个强壮的密码。
3、不使用TCP/IP网络协议,改用其他网络协议。
4、如果使用TCP/IP网络协议,最好将其默认端口1433改为其他端口,这样攻击者用扫描器就不容易扫到。
事件7、POP3服务暴力猜测口令攻击
POP3服务是常见网络邮件收取协议。
发现大量的POP3登录失败事件,攻击者可能正在尝试猜测有效的POP3服务用户名和口令,如果成功,攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统,也可能读取用户的邮件,造成敏感信息泄露。
[对策]
密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。
事件8、POP3服务接收可疑病毒邮件
当前通过邮件传播的病毒、蠕虫日益流行,其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播,常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com
,带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。
邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。
此事件表示IDS检测到接收带可疑病毒附件邮件的操作,邮件的接收者很可能会感染某种邮件病毒,需要立即处理。
[对策]
1、通知隔离检查发送病毒邮件的主机,使用杀毒软件杀除系统上感染的病毒。
2、在邮件服务器上安装病毒邮件过滤软件,在用户接收之前就杀除之。
事件9、Microsoft Windows LSA服务远程缓冲区溢出攻击
Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。
LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。
[对策]
1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。
2、打系统补丁、升级。
事件10 Microsoft WindowsLSA服务远程缓冲区溢出攻击
Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。
LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。
[对策]
1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。
2、打系统补丁、升级。 |
|
|
防病毒体系整体解决方案 |
|
|
防病毒体系整体解决方案
有效防止计算机病毒,保障网络通信正常,教育系统正常运行,以及办公用户的正常工作。除了使用企业级的防病毒产品外,还需要增加网关层防病毒系统和反垃圾邮件过滤系统。
◆ 企业级防病毒系统的设计目标
无论是通过邮件中的附件感染病毒,或是访问 Web
页面遭受恶意木马程序,都将对正常业务工作的开展带来不利影响。建议采用集中管理和部署能力比较稳定的防病毒产品,体现集中、高效、实时地管理防
病毒系统的目标。
为了便于维护和安全管理,应该实现整个网络的集中管理和部署。应安装一台独立的服务器当作病毒的防控系统中心。管理员通过中心控制台,集中地实现全网范围内防毒策略的定制、分发和执行,并集中实现所有节点上杀毒软件的监控、配置、升级等等管理工作。应支持多级管理和分组管理。可以由上级中心进行统一发送查杀病毒命令、下达版本升级提示等管理工作;并支持管理员按照自己的需要对所有的网络终端结点进行任意分组,对全网所有的客户端进行统一管理。也可以根据分组,对某个组中成员进行特别管理,包括设置客户端密码、实时监控客户端配置、统一刷新客户端状态、统一发送广播、查询历史记录等。不同组可以执行不同的防病毒策略。这样就可以大大降低全网的管理难度,减少网络安全对管理人员的依赖。
◆ 网关层防病毒系统的设计目标
传统的防病毒软件无法抵御类似于 SQLSlammer
的新型蠕虫的功击,如果工作站上的防病毒软件未及时更新或被禁用了,那么病毒仍然有机会感染工作站。网关防毒产品在企业网络的入口提供了简单的“即插即忘”式的保护,病毒在进入网络之前被直接了当地拦截,同时也避免了由于病毒入侵到服务器和工作站所引起的一系列的典型问题,为企业网络提供了一个额外保护层。其
次,在病毒传播事件中(就像以前LoveLetter、Nimda、Klez和SQLSlammer所引起的),邮件服务器可能会由于超负荷而当机或拒绝服务,或者是仅仅因为害怕被感染而关机。网关防毒是唯一的一种能够减小这种风险的解决方案,因为它可以避免由于病毒传播而对邮件服务器造成的额外负载(记住,90%的病毒通过email传播的)。再次,另外,从采用与防火墙集成的防病毒软件和采用网关防毒两种方案的对比来看,硬件防毒墙能够拦截供给操作系统和应用软件安全漏洞的新型蠕虫(如SQLSlammer),而传统的与防火墙集成的防病毒软件是无法检测和清除该类蠕虫的;在新病毒的传播事件中,一台集成了防病毒软件的防火墙将消耗其大部分的资源用于拦截病毒,而将它的主要任务――防止网络攻击放在了从属的地位;从效益来看,部分的资源用于拦截病毒,而将它的主要任务――防止网络攻击放在了从属的地位;从效益来看,安装与防火墙集成的防病毒软件需要一笔重大的投资,并牵涉到改变防火墙的安全规则和改变边界网络的配置。
◆ 反垃圾邮件系统的设计目标
垃圾邮件过滤的基本思路是:寻找邮件里面的某些特征,根据邮件特征的严重程度,给不同特征以不同的分值,如果一封邮件累计的特征值超过一定的阀值,就认定为垃圾邮件。“特征”的具体表现形式为包含某些字眼的正规表达式和附件大小、类型的匹配。
|
| |
|
