首页 《局域网组建与维护教程》第11章__局域网安全维护

《局域网组建与维护教程》第11章__局域网安全维护

举报
开通vip

《局域网组建与维护教程》第11章__局域网安全维护 局域网组建与维护教程 维护篇 214 全能培训——局域网组建与维护教程 第11章 局域网安全维护 学习目的 � 掌握局域网安全基础知识 � 学会更新操作系统和安装系统补丁 � 掌握局域网的数据安全 本章要点 � 网络安全知识 � 黑客 � 防火墙概述 � 系统更新与补丁 课堂讲解 通过前面章节的叙述与讲...

《局域网组建与维护教程》第11章__局域网安全维护
局域网组建与维护教程 维护篇 214 全能培训——局域网组建与维护教程 第11章 局域网安全维护 学习目的 � 掌握局域网安全基础知识 � 学会更新操作系统和安装系统补丁 � 掌握局域网的数据安全 本章要点 � 网络安全知识 � 黑客 � 防火墙概述 � 系统更新与补丁 课堂讲解 通过前面章节的叙述与讲解,终于可以自如的架设各种各样的局域网,并能轻松地接入 Internet,享受无尽的网络资源了。但病毒和黑客,使得我们的局域网出现安全危机,稍一疏 忽,就会让我们辛苦架设的局域网毁于一旦。 下面,我们就来从局域网维护角度入手,讲解常见的网络病毒及防治措施、防火墙的相 关知识和运用,最好介绍有关 IE高级设置的问 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 。 局域网安全维护 215 11.1 网络安全知识 大多数人都知道在 Internet上冲浪的时候要注意安全,一方面防止网上病毒的蔓延,另 一方面又要防止黑客的攻击,然而对局域网内部的安全隐患却很少看见。事实上,Internet 只不过是局域网的一个延伸,在 Internet上可能遇到的安全问题在局域网上同样可能遇到。 对局域网的安全掉以轻心使非法侵入局域网的病毒得以肆意蔓延,这个问题在对等网中尤为 严重,而一些不怀好意的来自局域网内部的攻击更是防不胜防。 11.1.1 病毒的由来 1988年 11月 2日下午 5时 1分 59秒,美国康奈尔大学的计算机科学系研究生,23岁 的莫里斯(Morris)将其编写的蠕虫程序输入计算机网络。几小时后因特网连接严重堵塞。 这个网络连接着大学、研究机关的 155000 台计算机,整个网络全部瘫痪。这件事就像是计 算机界的一次大地震,引起了巨大反响,震惊全世界,引起了人们对计算机病毒的恐慌,也 使更多的计算机专家重视和致力于计算机病毒研究。 从此,“病毒”成为计算机界一个令人恐怖的词语,而病毒“队伍”也不断“发展壮大”。 以后的 CIH 病毒和梅莉莎病毒和前段时间新出现的冲击波、振荡波病毒等部对整个社会带 来了重大的损失。 11.1.2 病毒的分类 计算机病毒也是一种应用程序。但它与其他计算机应用程序不同的是,它本身具有破坏 性,更重要的是,计算机病毒可以通过自身进行复制,而且这些计算机病毒一般都有很好的 隐蔽性,来躲避计算机使用者的注意。而在特定的触发条件下,比如时间或者具体的操作事 件等都会导致计算机病毒的发作。 病毒的破坏性主要是软件方面的,按照计算机病毒的属性,病毒可以按照如下分类。 1、根据病毒的传播介质分类 根据病毒的传播媒体,病毒可以划分为网络病毒、文件病毒和引导型病毒。网络病毒通 过计算机网络传播感染网络中的可执行文件。文件病毒感染计算机中的文件(如:COM, BAT,EXE,DOC等文件),并通过这些文件的使用不断地复制自身,以摧毁整个系统。引 导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。 事实上,随着“病毒技术”的不断进步,现在的病毒大多数是这三种情况的综合型。例 如,著名的 CIH病毒就是一个典型,这个病毒初期通过 Internet传播到世界上每一个角落.而 216 全能培训——局域网组建与维护教程 本身又寄生在文件中,在内存调用文件时感染下一个文件,然后损坏引导区,继续向下感染 和传播,最终使全球无数的计算机难逃劫难。 2、根据病毒的破坏能力分类 � 基本无害型 除了传染时减少磁盘的可用空间外,对系统没有其他影响。但对于这样的病毒也不可以 掉以轻心,它们的变种往往会大量吞噬掉硬盘空间。 � 基本无危险型 这类病毒仅仅是减少内存、显示图像、发出声音。这样的病毒事实上是一个恶作剧的计 算机程序,编写者自称这样的程序是跟计算机的使用者开一个玩笑或者以此来证明自己的计 算机水平,但它终究是一个病毒,没有人愿意在工作的时候听到或者看到一些令人厌恶的声 音或者图像。 � 危险型 这类病毒在计算机系统操作中造成严重的错误。无数次的“蓝屏”和“非法操作”最终 使计算机系统崩溃。 � 极端危险型 这类病毒属于恶性病毒,它们不仅删除程序,破坏数据,清除系统内存区和操作系统中 重要的信息,甚至损坏计算机硬件设备,重写 BIOS,修改硬盘引导区信息,让你的电脑不 停地重新启动等等都是它们的拿手好戏,典型的就是 CIH病毒和振荡波病毒。 3、根据病毒特有的算法分类 � 伴随型病毒 这一类病毒并不改变文件本身,它们根据算法产生 exe文件的伴随体,具有同样的名字 和不同的扩展名(COM),例如,XCOPY.EXE 的伴随体是 XCOPY.COM。病毒把自身 写入 COM 文件并不改变 EXE 文件,当 Dos 加载文件时,优先执行伴随体,再由伴随体加 载执行原来的 EXE文件。 � “蠕虫”型病毒 通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其他 机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了 内存不占用其他资源。这种病毒的攻击对象主要是网络,其破坏结果往往是使整个网络瘫痪。 局域网安全维护 217 � 寄生型病毒 除了伴随型和“蠕虫”型,其他病毒均可称为寄生型病毒,它们依附在系统的引导扇区 或文件中,通过系统的功能进行传播。这种病毒往往并不是立即发作,还有一段潜伏期,在 潜伏期内通过各种途径迅速地传染和蔓延,最后通过触发条件发作。 综上所述,病毒的分类是一个很模糊的概念。越是高级的病毒,其算法就越复杂,传播 途径就越多,破坏力就越强。 11.1.3 病毒的攻击对象 如果计算机已经感染病毒,会出现什么症状呢?不同的症状是病毒攻击了计算机不同的 部分造成的,病毒攻击对象以及表现特征有以下几种: 1、攻击系统数据区 攻击部位包括:硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统 数据区的病毒是恶性病毒,受损的数据不易恢复。 2、攻击文件 病毒对文件的攻击方式很多,如删除,改名,替换内容,丢失部分程序代码,内容颠倒, 写入时间空白,变碎片,假冒文件,丢失文件簇和丢失数据文件。 3、攻击内存 内存是计算机的重要资源,也是病毒的主要攻击目标。病毒额外地占用和消耗系统的内 存资源,可以导致一些大程序受阻。如占用大量内存,禁止分配内存及蚕食内存。 4、干扰系统运行 病毒会干扰系统的正常运行,以此作为自己的破坏行为。此类行为也是花样繁多,如不 执行命令,干扰内部指令的执行,虚假报警.打不开文件,占用特殊数据区,换现行盘,时 钟倒转,重启动,死机,强制游戏和扰乱串并行口。 5、占用资源 病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算 机空转,计算机速度明显下降。 6、扰乱屏幕显示 病毒扰乱屏幕显示的方式很多,如字符跌落、环绕、倒置、显示前一屏、光标下跃、滚 218 全能培训——局域网组建与维护教程 屏、抖动、乱写、颜色显示异常和无图标等等。 7、键盘 病毒干扰键盘操作,如响铃、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱等等。 8、攻击 CMOS 在机器的 CMOS 区中,保存着系统的重要数据。例如系统时钟、磁盘类型及内存容量 等,有的病毒激活时,能够对 CMOS区进行写人动作,破坏系统 CMOS中的数据。 9、吞噬网络资源 最明显的就是“蠕虫”病毒,其明显持征是网络速度变慢,系统反应迟钝。 11.1.4 几种常见的病毒 1、“爱虫”病毒(love bug) “爱虫”病毒是一种“蠕虫”病毒,前面说过“蠕虫”病毒主要就是通过占用内存和网 络资源达到使网络瘫痪的目的。“爱虫”就是个典型的例子,它通过Microsoft Outlook电子 邮件系统传播,邮件的主题为“I Love You”,包含一个附件(“Love-Letter-for-you.txt.vbs”)。 一旦在Microsoft Outlook中打开这个附件,系统就会自动复制并向通信簿中的所有电子邮件 地址发送这个病毒。 用户感染了该病毒后,邮件系统会变慢,并可能导致整个网络系统崩溃,这个病毒对于 电子邮件系统具有极大的危险性。这种病毒同时会感染并坏文件名为:*.VBS、*.VBE、*.JS、 *.JSEE、*.CSS、*.WSH、*.SCT、*.HTA、*.JPG、*.JPEC、*.PM3和*.MP2等 12种数据文 件。 2、Funlove病毒 Win32.Funlove.4099文件型病毒主要针对局域网,如果局域网中的一台计算机感染该病 毒,那么 Win32.Funlove.4099 将感染 Windows 9X 和 Windows NT 4.0 的 Win32PE 文件。 如.exe、.scr和.ocx文件。当该病毒首次运行时,会在系统System目录下生成一个名为Flcss.Exe 的文件,然后感染所有的.exe、.scr和.ocx文件,而且 Explorer.exe也会在 NT系统重新启动 后被感染。这个病毒还会修改 Ntoskrnl.exe和 Ntldr等 NT系统文件,并通过这种方式实现在 系统重启动后拥有 NT系统的所有通道。 局域网安全维护 219 3、CIH病毒 图 11-1 CIH病毒文件 臭名昭著的 CIH 病毒相信很多人都知道,其破坏力之强令任何一个计算机使用者都为 之咋舌。 首先,CIH病毒将感染Windows 9X及在Windows 9X下运行的后缀名为*.exe,*.com、 *.vxd,*.vxe的应用程序,自解压文件、压缩文件和压缩包中的这 4种后缀名的程序也会受 到感染,拷贝到硬盘上压缩名为 CAB 中的压缩文件中的 Windows 98 以及备份包中的 Windows 98 文件均会受到感染,也就是说,CIH 病毒会毁坏掉磁盘上的所有系统文件;其 次,CIH 病毒会感染硬盘上的所有逻辑驱动器.以硬盘中 2048 个扇区为单位,从硬盘主引 导区开始依次向硬盘中写入垃圾数据,直到硬盘中数据被全部破坏为之,最坏的情况是硬盘 所有数据(含全部逻辑盘数据)均被破杯;然而.这都没有什么,更为可怕的是 CIH 病毒 还会破坏主板上的 BIOS,使 CMOS的参数回到出厂时的设置,假如用户的 CMOS是 Flash Rom型的,那么主板将会报废。 对于硬盘数据的恢复用一些查毒工具基本就可以做到,而破坏的 BIOS则比较难恢复, 一般来说都要先下载主板 BIOS,然后重刷 BIOS。具体的刷 BIOS步骤这里就不详细叙述了, 请参考《全能培训——电脑组装与维护教程》一书相关章节。 4、YAI病毒 YAI(You And I)是第一个国内编写的大规模流行的“黑客”病毒,它是由重庆的一位 叫杜江的大学生编写的,YAI(backdoor)属于文件型病毒,通过各种存储介质和因特网传 播,主要以右键附件的形式传递。在 YAI(backdoor)病毒感染Windows系统的可执行文件 并执行了染毒文件后,系统没有任何特殊现象,即在毫无征兆的情况下能够将病毒激活,使 之侵入系统。当染毒文件*.exe 被运行后,会在当前目录下生成*.TMP 和*.TMP.YAI 两个文 件,同时此病毒自动搜索系统内的可执行文件,并将这些可执行文件感染。 220 全能培训——局域网组建与维护教程 5、“圣诞节”病毒 “圣诞节”病毒也是一种极度恶性病毒,它不但能删除计算机上的文件,而且通过破坏 计算机的 FLASH BIOS,使其完全瘫痪。在破坏 FLASH BIOS时,该病毒的作者使用了与 CIH病毒一样的手法——这种病毒能感染Windows 95,Windows 98及Windows NT,这种病 毒在 12月 25日发作。目前的杀毒软件基本上都可以查杀这种病毒。 11.1.5 防毒措施 在前面已经介绍了计算机中病毒的各种特征表现,如果计算机出现了这些表现就不得不 怀疑系统已经中毒,这时候需要用专业的查毒工具检查系统,通过检查,如果计算机已经感 染了病毒,则要尽快进行杀毒。因此,在平时就要准备一个专业的杀毒软件,例如 Symantec Antivirus等。 检查文件时,不要以为只有*.exe、*.com等可执行文件会感染病毒,就忽略了其他文件, 事实上一些宏病毒就潜伏在*.doc 文件中,而且通过一些特别技术,*.txt 文件也可以感染病 毒.因此必须对硬盘上的所有文件进行检查。 检查完硬盘上的所有文件还必须对硬盘的引导扇区进行检查,一些隐藏在硬盘引导扇区 的病毒是最容易被人遗忘的。要使计算机时刻保持正常状态,对病毒的预防是首要的。 � 不要用盗版光盘,在这些光盘中经常带有大量的病毒,已经成为传播计算机病毒的 —个重要途径。 � 在因持网上下载软件时,应该到一些知名的网站去下载,一些来历不明的软件很可 能就携带了病毒。下载后也不要忘了用查毒软件查毒。 � 对重要的数据和硬盘引导区等进行备份,以防不测。 图 11-2 杀毒软件 Symantec AntiVirus 局域网安全维护 221 11.2 黑 客 本节介绍的网络入侵不仅在 Internet上应当注意,在局域网中的计算机同样可能受到来 自网络内部的攻击。 11.2.1 黑客与骇客 黑客一词的英文为 Hacker,即凭借自己掌握的计算机技术知识,采用非法手段逃过计算 机网络系统的存取控制而获得进入计算机网络,进行未经授权的或非法访问的人。 黑客队伍日渐壮大,一些后来在 IT 技术史中占有重要地位的人物开始崭露头角,其中 包括苹果机创始人之一的沃兹尼亚克。越来越多的黑客们在共享着技术所带来的喜悦的时 候,发现惟一美中不足的是欠缺互相交流心得的地方。因此,在 1978 年,来自芝加哥的兰 边·索萨及沃招·克里斯琴森便制作了第一个供黑客交流的网上公告版,此 BBS 至今仍在 运行之中。 11.2.2 黑客攻击的常用几种手段 黑客常用的攻击手段有: 1、密码入侵 所谓密码入侵就是指用一些软件解开加密文档,但是,许多忠于此术的黑客并不采用这 种 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 而是用一种可以绕开或屏蔽密码保护的程序。对于那些可以解开或屏蔽密码保护的程 序通常校称为 Crack。 2、特洛伊木马 说到特洛伊木马只要知道这个故事的人就不难理解,它最为广泛的方法就是把某一特定 程序依附在某一合法用户程序中,这时,合法用户的程序代码已被改变,而一旦用户触发该 程序,那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客早已指定的任务。 由于这种入侵法需要黑客有很好的编程经验,且要更改代码,要一定的权限,所以较难掌握。 但是正因为它的复杂性,一般的管理员很难发现,对于黑客来说就要有一点耐心了。 3、监听法 目前的局域网基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据 包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所 截取,因此,黑客只要接入以太网上的任一节点进行侦听,就可以捕获发生在这个以太网卡 222 全能培训——局域网组建与维护教程 的所有数据包,对其进行解包分析,从而窃取关键信息,达就是以太网所固有的安全隐患。 有一种软件 Sniffer 网络嗅探器就是通过这种途径来监听网络中的数据流向,它可以截 获密码,可以截获秘密的信息,可以用来攻击相邻的网络。 11.3 防火墙概述 图 11-3 Sygate个人防火墙 开放的计算机和服务器/工作站体系结构较以前的各种网络结构确实具有许多好处,但 安全问题却变得十分严重,特别是在连接到互联网的时候。在这种条件下,防火墙产品应运 而生。防火墙是网络安全工具中最早成熟,最早产品化的,网络防火墙一般定义为在两个网 络间执行访问控制策略的一个或一组系统。 防火墙可以分为两大类,即边界式防火墙和分布式防火墙,下面我们详细的介绍一下: 11.3.1 边界式防火墙 根据边界式防火墙的特点和原理可将其分成不同的几类。 1、按边界式防火墙的特点分类 边界式防火墙按其特点可分为:屏蔽路由器、应用网关、屏蔽主机网关、被屏蔽子网等 几种。 � 屏蔽路由器 最简单和最流行的防火墙形式是“屏蔽路由器”。一般说来,屏蔽路由器类型的防火墙 具有以下优点: � 通常其性能要优于其他类型的防火墙 � 规则设置简单 局域网安全维护 223 � 不需对客户端计算机进行专门的配置 � 通过 NAT(网络地址转换),可以对外部用户屏蔽内部 IP地址 但它本身也具有一定的缺点: � 无法识别到应用层 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ,也无法对协议子集进行约束 � 通常不能提供其他附加功能,如 HTTP的目标缓存,URL过滤以及认证等 � 只能控制信息进出,但细心的人可以看到,入侵者可能访问到防火墙主机的服务, 换句话说,入侵者可以攻击到防火墙主机,从而带来安全隐患 � 没有或缺乏审计追踪,从而也就缺乏报警机制 � 由于对众多网络服务的“广泛”支持所造成的复杂性,很难对规则有效性进行测试 � 应用网关 它通常被配置为“双宿主网关”,具有两个网络接口卡,同时接入内部和外部网。由于 网关可以与两个网络通信,它是安装传递数据软件的理想位置。这种软件就称为“代理”, 通常是为其所提供的服务定制的。 代理级防火墙和屏蔽路由器一样具有一些共同的特点,例如: � 可以识别并实施高层的协议,如 HTTP和 FTP等 � 包含通过防火墙服务器的通信信息,可以提供源于部分传输层、全部应用层和部分 会话层的信息 � 可以用于禁止访问特定的网络服务,而允许其他服务的使用,能够处理数据包 � 可以屏蔽掉内部网的 IP 地址,这是因为代理服务不允许外部和内部主机间直接通 信,因此内部主机名对外部是不可知的 � 屏蔽主机网关 屏蔽主机网关易于实现也最为安全。一个堡垒主机安装在内部网络上,通常在路由器上 设立过滤规则,并使这个堡垒主机成为从外部网络惟一可直接到达的主机,这确保了内部网 络不受未被授权的外部用户的攻击。如果受保护网是一个虚拟扩展的本地网,即没有子网和 路由器.那么内部网的变化不影响堡垒主机和屏蔽路由器的配置。危险带限制在堡垒主机和 屏蔽路由器,网关的基本校制策略由安装在上面的软件决定。如果攻击者设法登录到它上面, 内网中的其余主机就会受到很大威胁。这与应用网关受攻击时的情形差不多。 � 被屏蔽子网 被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,并且通过两台分组 过滤路由器将这一子网分别与内部网络和外部网络分开。在很多案例的实现中,两台分组过 滤路由器均放在子网的两端。 224 全能培训——局域网组建与维护教程 2、边界式防火墙的原理分类 防火墙根据其工作原理分为 3种:包过滤防火墙、代理服务器和状态监视器。 � 包过滤防火墙(IP Filting Firewall) 包过滤(Packet Filter)是在网络层中对数据包实施有选择地放行,依据系统事先设定好 的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址以及包所使用 端口确定是否允许该类数据包通过。 配置繁琐是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉何人进入 系统,或者何人从内部进入网际网路。包过滤另一个关键的弱点就是不能在用户级别上进行 过滤,即不能鉴别不同的用户和防止 IP地址被盗用。 包过滤型防火墙是某种意义上的绝对安全的系统。 � 代理服务器〔Proxy Server〕 代理服务器通常也称为应用级防火墙。包过滤防火墙可以按照 IP 地址来禁止未授权者 的访问。但是它不适合单位用来控制内部人员访问外界的网络、对于这样的企业来说,应用 级防火墙是更好的选择。所谓代理服务.即防火墙内外的计算机系统应用层的连接是在两个 终止于代理服务的连接来实现的,这样便成功地实现了防火墙内外计算机系统的隔离。 代理服务器像真的墙一样挡在内部用户和外界之间,特别是从外面来的访问者只能看到 代理服务器而看不到任何内部资源,诸如用户的 IP 地址等。而内部客户根本感觉不到它的 存在,可以自由访问外部站点。但代理服务器同时也存在一些不足,特别是它会使网络的访 问速度变慢,因为它不允许用户直接访问网络,而代理又要处理入和出的通信量,因此每增 加一种新的媒体应用.则必须对代理进行设置。 � 状态监视器(Stateful Inspection) 状态监视器作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略 的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽取相关数 据的方法对网络通信的各层实施监测,抽取部分数据,即状态信息,并动态地保存起来作为 以后制定安全决策的参考。 3、边界防火墙的缺点 � 结构性受限制 边界防火墙的工作机理依赖于网络的物理拓扑结构。例如家庭移动办公和服务器托管越 来越普遍,所谓内联网已经变成一个逻辑上的概念,实际的内部物理网络已经很模糊;另一 局域网安全维护 225 方面,电子商务的应用要求商务伙伴之间在一定权限下可以进入到彼此的内部网络,所以说, 内联网的边界已经是一个逻辑的边界.物理的边界日趋模糊,边界防火墙的应用受到了愈来 愈多的结构件限制。 � 内部不够安全 边界防火墙设置安全策略的一个基本假设是:网络的一边即外部的所有人是不可信任 的,另一边即内部的所有人是可信任的。但在实际环境中,80%的攻击和越权访问来自于内 部,也就是说.边界防火墙在对付网络安全的主要威胁时束手允策。 基于上述缺陷诞生了一种新兴的防火墙技术“分布式防火墙”(Distributed Firewalls), 它能够有效地防止来自内部网络的攻击。 11.3.2 分布式防火墙 从狭义来讲,分布式防火墙产品是指那些驻留在网络中主机(如服务器或桌面机)并对 主机系统自身提供安全防护的软件产品;从广义来讲,“分市式防火墙”是一种新的防火墙 体系结构。 1、分布式防火墙结构组成 分布式防火墙由网络防火墙、主机防火墙和中心管理三个部分组成。边界防火墙只是网 络中的单一设备,管理是局部的。对分布式防火墙来说,每个防火墙作为安全监测机制,可 以根据安全性的不同要求布置在网络中的任何需要的位置上,但总体安全策略又是统一策划 和管理的,安全策略的分发及日志的汇总都是中心管理应具备的功能。中心管理是分布式防 火墙系统的核心和重要特征之一。 2、分布式防火墙的优点 分布式防火墙,在局域网尤其是大型局域网中的典型应用优点如下: � 系统购安全性 � 增加了针对主机的入侵监测和防护功能 � 加强了对来自内部攻击的防范 � 可以实施全方位的安全策略 � 提供了多层次立体的防范体系 � 系统性能的保证 � 消除了结构性瓶颈问题,提高/系统性能 226 全能培训——局域网组建与维护教程 � 系统的扩展性 � 随系统扩充提供了安全防护无限扩充的能力 � 代表性的主机防火墙 11.4 系统更新与补丁 我们所使用的微软操作系统,同样也是一种软件——针对硬件应用的软件。既然是软件, 那么它就有 BUG,即平常我们所说的系统漏洞。接下来,我们就从网络安全的角度讲解微 软Windows操作系统的漏洞。 11.4.1 Windows 9X安全漏洞 � Microsoft 9X登录漏洞 Windows 9X/Me系统在用户登录计算机时可以通过不输入密码,单按“取消”按钮就能 登录到系统。在网络登录时输入正确的用户名并按确定,这时将会出现Windows登录窗口, 按“取消”按钮将会以该用户的身份成功登录进入系统。 � Microsoft Windows 9X客户端驱动器类漏洞 TCP/IP 协议中 Net BIOS密码验证 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 中存在安全漏洞,攻击者可以修改它的文件共亨 服务,并执行 DOS命令,攻击访问共享服务的Windows 9X客户端。 处理方法:禁用基于 TCP/IP的 Net BIOS,如图 11-4所示。 图 11-4网络协议中的 Net BIOS 从上面这些漏洞中可以看出, NetBIOS 服务给 Windows 9X 带来了巨大的危险,本章 局域网安全维护 227 在前面的内容中也已经提到其危害性,并详细叙述了解除 NetBIOS 服务绑定的方法,用户 可以参考。 11.4.2 Windows 2000非法登录漏洞 � 输入法漏洞 漏洞描述:通过该漏洞用户可浏览计算机上的所有文件,且可执行 net.exe 命令添加 Administrator级别的管理员用户,从而完全控制计算机。 解释:在Windows 2000的登陆窗口中,按【Ctrl+Shift】键,切换至全拼输入法。在输 入法状态条上按鼠标右键,选择“帮助”的“输入指南”,然后选择“选项”,按右键选择“跳 转到 URL”命令,随后即可输入各类命令。如使用系统的“net”命令,即可添加系统管理 员用户,随后即可通过该帐户登录。 图 11-5 卸载输入法 对策:(1)卸载不用的输入法,并删除输入法的帮助文件;(2)安装Windows 2000的 Service Pack 1以上的版本。 � Unicode 漏洞 漏洞描述:攻击者可通过 IE 浏览器远程运行被攻击计算机的 cmd.exe 文件,从而使该 计算机的文件暴露,且可随意执行和更改文件。 解释:Unicode标准被很多软件开发者所采用,无论何种平台、程序或开发语言,Unicode 均为每个字符提供独一无二的序号,如向 IIS 服务器发出包括非法 Unicode UTF-8 序列的 228 全能培训——局域网组建与维护教程 URL,攻击者可使服务器逐字“进入或退出”目录并执行任意程序,该攻击即称为目录转换 攻击。 Unicode 用“%2f”和“%5c”分别代表“/”和“\”字符,但也可用“超长”序列来代 替这些字符。“超长”序列是非法的 Unicode表示符,如用“%c0%af”代表“/”字符。由于 IIS不对超长序列进行检查,因此在 URL中添加超长的 Unicode序列后,可绕过微软的安全 检查,如在一个标记为可执行的文件夹发出该请求,攻击者即可在服务器上运行可执行文件。 图 11-6 微软更新主页 对策: (1)为避免该类攻击,建议下载最新补丁,网址如下所述: http://www.microsoft.com/technet/security/bulletin/MS00-078.asp (2)安装 IIS Lockdown和 URL Scan来加固系统,从而避免该类攻击。 IIS Lockdown的下载地址如下所述: http://www.microsoft.com/technet/security/tools/locktool.asp URLScan的下载地址如下所述: http://www.microsoft.com/technet/security/URLScan.asp (3)安装Windows 2000的 Service Pack 2或 Service Pack 2以上的版本。如下图所示 图 11-7 Windows 2000 SP2的系统 � MS SQL Server的 SA空密码漏洞 漏洞描述:攻击者可在安装MS SQL Server的Windows 2000服务器上新建Administrators 局域网安全维护 229 组用户。 解释:在 Windows 2000 中,企业级用户一般均使用微软的数据库管理软件 MS SQL Server,在安装MS SQL Server后,会将产生默认的 SA用户,且初始密码在管理员未设置 的情况下为空,但 SA为 SQL Server中非常重要的安全模块成员,因此入侵者即可通过 SQL Server 客户端进行数据库远程连接,然后通过 SQL 的远程数据库管理命令进行命令操作, 从而在MS SQL Server服务器上新建管理员级别的 Administrators组用户。 对策:(1)安装 SQL Server后应立即修改 SA的空密码;(2)安装Windows 2000的 Service Pack 3以上版本补丁。 图 11-8安装了Windows 2000 SP4的系统 � 系统管理权限漏洞 漏洞描述:操作系统权限有可能被登录至Windows 2000的普通用户所窃取。 解释:该漏洞发现于网络连接管理器(Network Connection Manager,即 NCM)中,网 络连接管理器是管理并设置系统网络连接的组件。在建立网络连接时,连接管理器将调用某 个处理程序,由于连接管理器中的安全漏洞,因此经过某些复杂的操作步骤,被调用的处理 程序将在局部系统权限下运行,且有可能调用其他处理程序。 如作为处理程序而指定任意程序后,该程序将在局部系统权限下运行,而该权限即 Windows系统自身的执行权限,且基本未受任何限制,因此在该权限下任何程序均可运行, 普通用户即可控制整个系统。 对策:安装Windows 2000的 Service Pack 3以上版本补丁。 微软操作系统的漏洞并非仅仅只有以上介绍的这些,但是由于用户的反馈以及微软系统 测试员的不断努力,其操作系统的漏洞不断的在减少。自从微软的 Windows 系列操作系统 开发以来,微软就推出了操作系统的更新,这也是解决系统漏洞的一个很好途径。 11.5 如何更新与升级操作系统 本节将以Windows 2000为例,将介绍一下如何将 Windows 2000 SP1 升级到Windows 2000 SP4版本的详细过程。首先我们了解一下Windows 2000 SP4与原版本有些什么改进。 230 全能培训——局域网组建与维护教程 SP4 是 Windows 2000 更新的集合。SP4 包含对 Windows 2000 功能中下列方面的更 新:安全、操作系统可靠性、应用程序兼容性、Windows 2000 安装程序。SP4 还包括:Windows 2000的 Service Pack 1、Service Pack 2 和 Service Pack 3中包含的更新;Microsoft Internet Explorer 6.0 Service Pack 1 ;带有 Service Pack 2 的 Microsoft Outlook Express 5.5 。SP4 包 含具备通用串行总线 2.0 增强主控制器接口(EHCI)外围组件互连(PCI)控制器的计算机 的驱动程序,同时 SP4还支持 IEEE 802.1x 身份验证协议。 更新与升级操作系统主要有两种方法,一种是先下载安装包文件,再在本地硬盘上安装; 另外一种是直接登陆微软的官方网址,网络下载和安装。 11.5.1 本地安装 先看看系统现在的版本吧。在桌面上右击“我的电脑”属性,就可以查看你的电脑操作 系统的版本。 图 11-9 Windows 2000 SP2 我们可以看到,现在的系统版本是Windows 2000 SP2,我们要将它升级到Windows 2000 SP4。操作步骤如下: 步骤1 我们先要到微软的官方网站或是其它网站下载,下载一个Windows 2000 SP4安 装包,内含Windows 2000 SP4的可执行文件(图 11-10)。 图 11-10 Windows 2000 SP4安装文件 步骤2 双击执行它,出现正在提取文件的对话框,状态是正在验证文件(图 11-11)。 步骤3 验证完之后,开始提取文件,其实就是解压缩到一个文件夹(图 11-12)。 局域网安全维护 231 图 11-11正在提取文件的对话框 图 11-12提取文件 步骤4 提取文件完毕后,就会弹出Windows 2000 SP4的安装向导了(图 11-13)。 步骤5 在这里,安装向导给了我们一些建议,比如关闭其它打开的程序等等,因为它 们有可能会导致升级的失败,然后单击下一步,就会弹出 许可 商标使用许可商标使用许可商标使用许可商标使用许可商标使用许可 协议(图 11-14)。 图 11-13 Windows 2000 SP4的安装向导 图 11-14 许可协议 步骤6 选择“我同意”,然后,单击“下一步”按钮。接着出现了选择选项的对话框 (图 11-15)。 步骤7 其中有两个选项,一个是文件存档,一个是文件不存档,这里,建议选择“文 件存档”,这样,如果装完 SP4后出现了问题,可以卸载Windows 2000 SP4。单击“下一 步”按钮,就开始更新了Windows(图 11-16)。 图 11-15选择选项 图 11-16更新版本 步骤8 这里大约将进行 5分钟左右,就更新完毕了,然后重新启动。让我们再看看, 系统属性里的版本吧(图 11-17)。 232 全能培训——局域网组建与维护教程 图 11-17 更新后的属性 上面已经显示为“Service Pack 4”了,表明我们已经把Windows 2000 SP2成功升级为 Windows 2000 SP4了。 11.5.2 网络安装 对于互联网用户,还可以使用 Windows 自动更新方法登陆微软网站,直接升级操作系 统,这种方法也可以用于安装系统补丁(关于安装系统补丁,我们将在下节做介绍)。以下 是通过网络更新的方法来升级操作系统: 步骤1 首先,打开 Internet Explorer,在 IE的菜单栏的【工具】子菜单选择“Windows Update”选项,如图 11-18所示。 步骤2 单击“Windows Updater”后,IE连接到微软的网站,并出现一个安全设置警告, 如图 11-19所示。 图 11-18打开 IE 图 11-19 安全设置警告 步骤3 我们选择“是”,IE就继续连接到微软的Windows 升级网页,如图 11-20。 步骤4 在图 11-20 中,我们可以看到一个选项“查看以寻找更新”,单击它,系统会 自动帮你查看你的系统需要更新的地方,如图 11-21所示。 局域网安全维护 233 图 11-20微软的Windows升级网页 图 11-21寻找的更新地方 步骤5 单击“复查并安装更新”后,出现了如图 11-22所示的界面。 图 11-22 显示安装的升级程序及补丁 步骤6 在上图下半部分,显示的是所要安装的升级程序及补丁,可以选择不需要更新, 笔者建议全部更新。单击“立即安装”。 图 11-23安装过程 步骤7 接下来,系统自动下载更新程序并且自动安装更新,重新启动后即可。 234 全能培训——局域网组建与维护教程 11.6 IE高级设置 现在的浏览器市场上说不上百家争鸣,但也有数十种了,可以说是各有特色。微软的新 一代浏览器 IE 6.0因为采用开放的标准并加强了对 Cookie的管理而受到普遍欢迎。它是在 IE 5.5基础上发展而来的,能够完全兼容Windows 98/Me/2000操作系统,而且微软采用了隐 私 P3P标准。从理论上看,能更安全地访问网页。如果你访问的网页不符合指定的最低安全 要求,IE 6.0将在任务栏上发出警告。 当然上网的安全性保障措施有很多种,这里主要介绍一些必要的 IE 安全使用设置和技 巧。下面我们就来看一下 IE 6.0的安全使用及优化设置技巧。 1、清除上网记录 单击 IE6.0地址栏右侧的下拉标志 ,已访问过的站点无一遗漏、尽在其中。如果不想 让别人知道刚才访问了哪些站点,怎么办? � 清除部分上网记录 若只想清除部分上网记录,单击浏览器工具栏上的“历史”按钮,在右栏的地址历史记 录中,用鼠标右键选中某一希望清除的地址或其下一网页,选取“删除”。 也可用编辑注册表的方法达到目的,在注册表编辑器中,找到 “HKEYCURRENT_USER /Software/Microsoft/Internet Explorer/Typed URLS”,在右栏中 删去不想再让其出现的主键即可,记住要让 urlx(x代表序号)以自然顺序排列。 � 清楚全部上网记录 为了加快浏 览速度, IE 会自动把你浏 览过的网页保存在缓存文件夹 C:\Windows\Temporary Internet Files下。当你确信已浏览过的网页不再需要时,在该文件夹 下选中所有网页,删除即可。 若想清楚全部的上网记录,还可以打开【工具】→【Internet属性】命令,单击“常规” 标签“历史记录”选项中的“清除历史记录”按钮。这时系统会弹出警告“是否确实要让 Windows删除已访问过网站的历史记录?”,选择“是”就行了,如图 11-24所示。 图 11-24 Internet选项提示 局域网安全维护 235 这种方法清楚全部上网的记录不太彻底,会留下少许 Cookies在文件夹内。在“常规” 标签“Internet 临时文件”选项中,有一个“删除 Cookies”按钮,通过它可以很方便地删除 遗留的 Cookies,如图 11-25所示。 其实,比较快捷的设置做法是,将 IE6.0 的上网历史记录的天数设置为“0”天,这样 电脑只会保存当天的上网记录,昨天的记录则没有,如图 11-25所示。 如果想浏览网页却又不想网址出现在 IE6.0的下拉框中,这里可以介绍一种更加简单的 方法:当每次上网时不要在 IE6.0的地址栏中输入网址,从【文件】→【打开】命令中输入 网址,在单击“确定”按钮,如图 11-26所示,通过这种方式浏览的网址就不会出现在 IE6.0 地址栏中了,读者可以试一试。 图 11-25 历史纪录设置 图 11-26目录打开网页方式 2、更改临时文件夹 每当上网去浏览网页时,都会将网上的部分文件(包括图片和 HTML 文件等)储存于 系统内的“Temporary Internet files(临时文件夹)”之中,以方便同一个网站的浏览。但 IE6.0 中设置的临时文件夹所占空间比较大,对硬盘比较小的读者来说可能不希望这样。 打开【工具】→【Internet 选项】命令,在“常规”标签“Internet 临时文件”选项“设 置”按钮中,预设临时文件夹的使用情况,单击“设置”按钮,在弹出的“设置”对话框中 将“使用的磁盘空间”缩小为“20”MB比较适合,也可以将“Internet 临时文件夹”的保存 位置设到 D盘,如图 11-27所示。 3、禁用或限制使用 Java、Java Applet、ActiveX控件 由于互联网上(如在浏览 web 页和在聊天室里)经常使用 Java、Java Applet、 ActiveX 编写的脚本,它们可能会获取你的用户标识、IP地址,乃至口令,甚至会在你的机器上安装 某些程序或进行其他操作。因此对 Java、Java Applet 、ActiveX控件的使用进行限制是非常 必要的。 在 IE【工具】菜单的【Internet 选项】窗口的“安全”标签中打开“自定义级别”,就可 以对 Java、ActiveX控件的使用情况进行设置,如图 11-28所示。 236 全能培训——局域网组建与维护教程 图 11-27“设置”对话框 图 11-28 IE安全设置选项 在这里可以设置“ActiveX控件和插件”、“Java”、“脚本”、“下载”、“用户验证”以及 其 他安全选项。对于一些不安全或不太安全的控件或插件以及下载操作,应该予以禁止、限制 或至少要进行提示。 4、取消自动完成设置 缺省条件下,用户在第一次使用 Web 地址、表单、表单的用户名和密码后(如果同意 保存密码),在下一次再想进入同样的Web 页及输入密码时,只需输入开头部分,后面的就 会自动完成,给用户带来了便利,但同时也带来了安全问题。 可以通过调整“自动完成”设置,来解决该问题,具体设置方法如下: 步骤1 在 IE6.0中打开【工具】→【Internet 选项】弹出“Internet 选项”对话框。 步骤2 单击“内容”标签下的“自动完成”按钮,弹出“自动完成设置”对话框,如 图 11-29所示。 步骤3 将“Web地址”、“表单”、“表单上的用户名和密码”复选框全部取消,这 样可以防止泄露自己的一些信息。同时最好能够定期清除上网留下的有关表单等的历史记 录,这时只需单击“清除表单”和“清除密码”按钮即可。 5、设置信息限制 网络上的信息无奇不有,这从另一个侧面也促使我们使用 IE 6.0来屏蔽掉有些与年龄和 性别都不大符合的站点。这些站点,除了自身具有的精神垃圾特色外,很多采用了先进的 Html代码和 Java 脚本,让你上过一次就脱不了手,恶意修改 IE 6.0和注册表就是最简单的 证明。 因此,更需要在 IE6.0上做些限制,方法同样是进入“Internet 选项”,然后选择“内容” 标签,将“分级审查”设为启用,随后在“暴力”,“裸体”,“性”,“语言”等四个选项中根 据实际情况拖动鼠标滑竿进行相关设置,如图 11-30所示。 局域网安全维护 237 图 11-29“自动完成设置”对话框 图 11-30 分级审查选项 11.7 局域网信息的保密 局域网在保密防护方面有三点脆弱性。一是数据的可访问性。数据信息可以很容易被终 端用户拷贝下来而不留任何痕迹。二是信息的聚生性。当信息以零散形式存在时,其价值往 往不大,一旦网络将大量关联信息聚集在一起时,其价值就相当可观了。三是设防的困难性。 尽管可以层层设防.但对一个熟悉网络技术的人来说,下些功夫就可能突破这些关卡,给保 密工作带来极大的困难。 一般来说,计算机局域网的保密防范应从以下 4个方面入手。 1、充分利用网络操作系统 充分利用网络操作系统提供的保密措施,某些用户对网络的认识不足,基本不用或很少 使用网络操作系统提供的保密措施,从而留下隐患。其实,一般的网络操作系统都有相应的 保密措施 2、采用现代密码技术 采用现代密码技术,加大保密强度,借助现代密码技术对数据进行加密,将重要秘密信 息由明文变为密文。 3、采用防火墙技术 采用防火墙技术,防止局域网与外部网联通后秘密信息的外泄,防火墙是建立在局域网 与外部网络之间的电子系统,用于实现访问控制,即阻止外部入侵者进入局域网内部,而允 许局域网内部用户访问外部网络。 238 全能培训——局域网组建与维护教程 本章小结 本章主要介绍了网络安全的基本知识,内容包括对各种黑客攻击手段的防范,局域网安 全基本途径,数据加密以及简单介绍了一些系统的漏洞。只有了解了“攻”的原理才能够很 好地“防”,读者通过这一章的内容应该对局域网的安全知识有了一个初步认识。 也许有人会说,黑客是很遥远的事情或者说只要局域网不联入因特网就可以高枕无忧 了,这样的想法完全错了,事实上,在因特网上可以进行的攻击更容易在局域网上进行,因 为局域网有更高的带宽和更加简单的结构,如果大意的话,来自内部网的攻击比外部网的攻 击更加可怕,会造成更加严重的后果。 课后习题 1) 什么叫做“计算机病毒”? 2) 计算机病毒的分类有哪些? 3) 列举常见的几种病毒。 4) 我们应该采取的防毒措施有哪些? 5) 什么叫做黑客? 6) 黑客攻击的常用手段有哪些? 7) 防火墙有哪些主要功能? 8) 简要了解微软各版本操作系统的漏洞。 9) 计算机局域网的保密防范应注意哪几个个方面? 10)数据加密算法一般有哪几类? 11)局域网实体的泄密渠道有哪些?
本文档为【《局域网组建与维护教程》第11章__局域网安全维护】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_712705
暂无简介~
格式:pdf
大小:1MB
软件:PDF阅读器
页数:0
分类:互联网
上传时间:2013-01-07
浏览量:34