信息系统安全

信息系统安全第1页，课件共249页，创作于2023年2月信息系统安全一、 提高信息系统安全意识二、 提高系统维护效率三、 网络攻击与防范技术四、 Windows系统安全加固技术第2页，课件共249页，创作于2023年2月一、 提高信息系统安全意识（一）信息系统安全的重要性（二）破坏信息系统安全的因素（三）互联网安全威胁现状第3页，课件共249页，创作于2023年2月（一）信息系统安全的重要性信息系统安全是指信息系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。“黑客”的特征，在近两年已经发生了明显的改变，网络攻击已经从表现特征明显、以炫耀技术为目的转变为有组织的、更加隐秘的、以赚取经济利益为目的。网络犯罪也从全球范围的普遍爆发，转向瞄准具体组织进行敲诈勒索的小范围、更秘密的攻击，更像是“游击战”了。第4页，课件共249页，创作于2023年2月（二）破坏网络安全的因素1.物理上的2.技术上的3.管理上的4.用户意识第5页，课件共249页，创作于2023年2月用户意识请先试着回答下面几个假设的问题：1)．你的计算机用户名和你的E-mail账户名、QQ昵称、网络游戏ID、论坛昵称等是否有几个是一致的？2)．以上用户名对应的密码是否有几个是完全一样的？3)．你常用的密码是否和你的名字拼音、生日或者手机、电话号码有关？4)．你在网上常用的数字密码是否和你持有的各类银行卡密码亦有关联，甚至一样？第6页，课件共249页，创作于2023年2月（三）互联网安全威胁现状病毒木马肉鸡－虚拟交易的灰色链条肉鸡就是被黑客控制的计算机，黑客可以控制该肉鸡对其它服务器进行攻击（肉鸡作为帮凶）。在中国，有上百万的网民毫无察觉地为网络黑色产业链无偿地“贡献着力量”。第7页，课件共249页，创作于2023年2月（三）互联网安全威胁现状僵尸网络：(英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。目前，中国的互联网世界中，有5个僵尸网络操控的“肉鸡”规模超过10万台，个别僵尸网络能达到30万台的规模。这些僵尸网络可以被租借、买卖，黑客们每年可以有上百万元的收入。第8页，课件共249页，创作于2023年2月（三）互联网安全威胁现状黑客产业主要有两种典型模式。模式一:黑客侵入个人、企业电脑——窃取机密资料——在互联网上出售——获取金钱。模式二:黑客侵入大型网站，在网站上植入病毒——用户浏览后中毒，网游账号和装备被窃取——黑客把账号装备拿到网上出售——获取金钱。第9页，课件共249页，创作于2023年2月（三）互联网安全威胁现状互联网病毒地下交易市场初步形成，获取利益的渠道更为广泛。黑客产业分工明确中国每天有数百甚至上千种病毒被制造出来，其中大部分是木马和后门病毒，占到全球该类病毒的三分之一左右。这个产业链每年的整体利润预计高达数亿元。第10页，课件共249页，创作于2023年2月二、 提高系统维护效率（一）系统维护（二）系统备份及还原（三）硬盘保护卡（还原卡）及还原软件第11页，课件共249页，创作于2023年2月（一）系统维护１．尽量使用正版 品牌机使用OEM版的操作系统２．熟练使用Ghost之类的磁盘备份还原软件３．维护工具（自启动光盘）深山红叶PE工具箱V30

/soft/7584.htmlWinPE(老毛桃最终修改版)V09.11

/soft/8624.html第12页，课件共249页，创作于2023年2月（二）系统备份及还原系统备份１．品牌机的“一键还原”２．兼容机可以安装“一键还原精灵”一键还原精灵官方网站建立隐藏分区开机时按F11键备份、还原系统第13页，课件共249页，创作于2023年2月（二）系统备份及还原系统备份“一键还原精灵”第14页，课件共249页，创作于2023年2月（一）系统维护数据备份/soft/35295.htmlC盘资料转移器/downinfo/1837.htmlC盘个人资料设置和转移器第15页，课件共249页，创作于2023年2月（一）系统维护数据备份/soft/35295.htmlC盘资料转移器/downinfo/1837.htmlC盘个人资料设置和转移器第16页，课件共249页，创作于2023年2月三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧第17页，课件共249页，创作于2023年2月局域网环境简介计算机网络的分类—按作用范围的大小分广域网（WAN）也叫远程网。作用范围通常为几十到几千公里，是一种可跨越国家及地区的遍布全球的计算机网络城域网（MAN）也叫市域网。它的范围约为几千米到几十千米局域网（LAN）也叫局部网。一般将微机通过高速通信线路相连，范围一般在几百米到几千米第18页，课件共249页，创作于2023年2月局域网环境简介局域网最主要的特点覆盖的地理范围较小，几米到几公里以微机为主要联网对象通常为某个单位或部门所有具有较高的数据传输速率、较低的时延和较小的误码率易于安装、配置和维护简单，造价低实用性强，已经成为计算机网络中使用最广的形式局域网一般分为令牌网和以太网两种令牌网主要用于广域网及大型局域网的主干部分，其操作系统大多是UNIX。组建和管理非常繁琐，需专业人员胜任以太网是当今世界应用范围最广的一种网络技术，组建较为容易，各设备之间的兼容性较好，Windows和Netware都支持它第19页，课件共249页，创作于2023年2月局域网的组成局域网由网络硬件和网络软件两部分组成网络硬件用于实现局域网的物理连接为连接在局域网上的计算机之间的通信提供一条物理信道和实现局域网间的资源共享网络软件则主要用于控制并具体实现信息的传送和网络资源的分配与共享这两部分互相依赖,共同完成局域网的通信功能第20页，课件共249页，创作于2023年2月局域网的拓朴结构最常见的局域网拓朴结构有星型、环型、总线型和树型集线器(a)星型网*(b)环型网(c)总线网(d)树型网注：图(a)在物理上是一个星型网，但在逻辑上仍是一个总线网干线耦合器匹配电阻第21页，课件共249页，创作于2023年2月按网络使用的传输介质分类局域网使用的传输介质有双绞线,光纤,同轴电缆,无线电波,微波等对应的局域网有双绞线网,光纤网,同轴电缆网,无线局域网,微波网目前小型局域网大都是双绞线网,而较大型局域网则采用光纤和双绞线传输介质的混合型网络近年来,无线网络技术发展迅速,它将成为未来局域网的一个重要发展方向第22页，课件共249页，创作于2023年2月局域网环境简介无线局域网WirelessLAN可提供所有无线局域网的功能，而不需要物理线路连接数据先被调制到射频载波中，然后以大气为载体进行传输典型速率为11Mbps和54Mbps，但实际应用中得到的速率通常为此速率的一部分无线局域网的实现可以非常简单，只要在计算机上安装无线网卡即可如果想和有线网络连接在一起需要添加一个无线接入点AP。AP一般位于无线客户端的中心接入位置第23页，课件共249页，创作于2023年2月WirelessLAN的优缺点优点：移动性安装安装的灵活性减少用户投入易于扩展缺点：WirelessLAN和有线局域网相比速率较低无线网络的硬件投入会高于有线网络第24页，课件共249页，创作于2023年2月三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧第25页，课件共249页，创作于2023年2月局域网安全威胁局域网技术将网络资源共享的特性体现得淋漓尽致不仅能提供软件资源、硬件资源共享还提供Internet连接共享等各种网络共享服务越来越多的局域网被应用在学校、写字楼，办公区第26页，课件共249页，创作于2023年2月局域网的安全威胁目前绝大多数的局域网使用的协议都是和Internet一样的TCP/IP协议各种黑客工具一样适用于局域网局域网中的计算机更多体现的是共享和服务因此局域网的安全隐患较之于Internet更是有过之而无不及第27页，课件共249页，创作于2023年2月局域网的安全威胁目前的局域网基本上都采用以广播为技术基础的以太网任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取黑客只要接入以太网上的任一节点进行侦听就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患第28页，课件共249页，创作于2023年2月安全无内、外之分长期以来，对于信息安全问题，通常认为安全问题主要源于外面因素，都希望在互联网接入处，把病毒和攻击挡在门外，就可安全无忧有许多重大的网络安全问题正是由于内部员工引起一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中在员工浏览色情网站、利用即时通讯和访问购物网站时这些恶意软件还会在企业内部网络中进行传播，不仅会产生安全隐患，而且还会影响到网络的使用率特别值得注意的是，企业的机密资料、客户数据等信息可能会由于恶意软件的存在，不知不觉被盗取第29页，课件共249页，创作于2023年2月局域网内的安全误区局域网中无需单机防火墙没有人会针对我安装杀毒软件和病毒防火墙就不怕病毒安装了SP2的WindowsXP就安全了第30页，课件共249页，创作于2023年2月三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧第31页，课件共249页，创作于2023年2月以太网协议工作方式将要发送的数据包发往连接在一起的所有主机包中包含着应该接收数据包主机的正确地址只有与数据包中目标地址一致的那台主机才能接收当主机网卡设置为混杂模式时(监听模式)经过自己网络接口的那些数据包无论数据包中的目标地址是什么，主机都将接收（监听）第32页，课件共249页，创作于2023年2月以太网协议工作方式现在网络中使用的大部分协议都是很早设计的许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上许多信息以明文发送第33页，课件共249页，创作于2023年2月局域网监听与防范局域网中采用广播方式在某个广播域中可以监听到所有的信息包黑客通过对信息包进行分析，就能获取局域网上传输的一些重要信息很多黑客入侵时都把局域网扫描和侦听作为其最基本的步骤和手段，原因是想用这种方法获取其想要的密码等信息对黑客入侵活动和其它网络犯罪进行侦查、取证时，也可以使用网络监听技术来获取必要的信息因此，了解以太网监听技术的原理、实现方法和防范措施就显得尤为重要第34页，课件共249页，创作于2023年2月网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等第35页，课件共249页，创作于2023年2月网络监听的应用场景如果用户的账户名和口令等信息也以明文的方式在网上传输只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分黑客或网络攻击者会利用此方法进行网络监听正确使用网络监听技术也可以发现入侵并对入侵者进行追踪定位在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段第36页，课件共249页，创作于2023年2月使用snifferpro进行监听获取邮箱密码通过对用监听工具捕获的数据帧进行分析，可以很容易的发现敏感信息和重要信息对一些明码传输的邮箱用户名和口令可以直接显示出来第37页，课件共249页，创作于2023年2月网络监听的相关软件密码监听器(01)/html/010722005083001.html用于监听网页的密码，包括网页上的邮箱、论坛、聊天室等只需在一台电脑上运行，就可以监听整个局域网内任意一台电脑登录的账号和密码，并将密码显示、保存，或发送到用户指定的邮箱第38页，课件共249页，创作于2023年2月如何检测并防范网络监听网络监听是很难被发现的，特点隐蔽性强运行网络监听的主机只是被动地接收在局域局上传输的信息不主动的与其他主机交换信息，也没有修改在网上传输的数据包手段灵活网络监听可以在网上的任何位置实施可以是网上的一台主机、路由器，也可以是调制解调器网络监听效果最好的地方是在网络中某些具有战略意义的位置如网关、路由器、防火墙之类的设备或重要网段；而使用最方便的地方是在网中的一台主机上第39页，课件共249页，创作于2023年2月对可能存在的网络监听的检测1)对于怀疑运行监听程序的主机，可用正确的IP地址和错误的物理地址去探测(如Ping)，运行监听程序的主机会有响应这是因为正常的机器不接收错误的物理地址处理监听状态的机器能接收如果他的IPstack不再次反向检查的话，就会响应第40页，课件共249页，创作于2023年2月对可能存在的网络监听的检测2)可向网上发送大量目的地址根本不存在的数据包由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降通过比较前后该机器性能加以判断这种方法难度比较大3)使用反监听工具如antisniffer等进行检测第41页，课件共249页，创作于2023年2月对网络监听的检测当前，有两个比较可行的办法搜索网上所有主机运行的进程网络管理员使用UNIX或WindowsNT的主机，可以很容易地得到当前进程的清单确定是否有一个进程被从管理员主机上启动搜查监听程序现在监听程序只有有限的几种，管理员可以检查目录，找出监听程序第42页，课件共249页，创作于2023年2月对网络监听的检测还有两个方法比较有效，缺点也是难度较大检查被怀疑主机中是否有一个随时间不断增长的文件存在因为网络监听输出的文件通常很大，且随时间不断增长通过运行ipconfig命令，检查网卡是否被设置成了监听模式或使用Ifstatus工具，定期检测网络接口是否处于监听状态当网络接口处于监听状态时，可能是入侵者侵入了系统，并正在运行一个监听程序，就要有所注意第43页，课件共249页，创作于2023年2月对网络监听的防范措施从逻辑或物理上对网络分段以交换式集线器代替共享式集线器控制单播包而无法控制广播包和多播包使用加密技术划分VLAN运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵第44页，课件共249页，创作于2023年2月三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧第45页，课件共249页，创作于2023年2月ARP协议AddressResolutionProtocol(地址解析协议)在局域网中，网络中实际传输的是“帧”帧里面是有目标主机的MAC地址的在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址但这个目标MAC地址是如何获得的呢通过地址解析协议获得第46页，课件共249页，创作于2023年2月ARP协议原理所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的ARP协议对网络安全具有重要的意义通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞第47页，课件共249页，创作于2023年2月局域网内部的ARP攻击ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包数据包内包含有与当前设备重复的Mac地址使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信第48页，课件共249页，创作于2023年2月受ARP攻击可能出现的现象1)不断弹出“本机的XXX段硬件地址与网络中的XXX段地址冲突”的对话框2)计算机不能正常上网，出现网络中断的症状因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截普通的防火墙很难抵挡这种攻击第49页，课件共249页，创作于2023年2月ARP病毒攻击症状现在局域网中感染ARP病毒的情况比较多清理和防范都比较困难，给不少的网络管理员造成了很多的困扰症状有时候无法正常上网，有时候有好了，包括访问网上邻居也是如此，拷贝文件无法完成，出现错误局域网内的ARP包爆增使用Arp查询的时候会发现不正常的Mac地址，或错误的Mac地址对应，还有就是一个Mac地址对应多个IP的情况也会有出现第50页，课件共249页，创作于2023年2月ARP攻击的原理ARP欺骗攻击的包一般有以下两个特点，满足之一可视为攻击包报警以太网数据包头的源地址、目标地址和ARP数据包的协议地址不匹配ARP数据包的发送和目标地址不在自己网络网卡MAC数据库内，或者与自己网络MAC数据库MAC/IP不匹配第51页，课件共249页，创作于2023年2月ARP攻击的原理这些统统第一时间报警查这些数据包(以太网数据包)的源地址(也有可能伪造)，就大致知道哪台机器在发起攻击了现在有网络管理工具比如网络执法官、P2P终结者也会使用同样的方式来伪装成网关，欺骗客户端对网关的访问也就是会获取发到网关的流量，从而实现网络流量管理和网络监控等功能同时也会对网络管理带来潜在的危害，就是可以很容易的获取用户的密码等相关敏感信息第52页，课件共249页，创作于2023年2月ARP攻击软件WinArpAttacker

ARP攻击器01/down?cid=FFD08C9FD517C57D9C9F162AC1C35DA8D72CDE1F&t=2&fmt=-ARP机器列表扫描基于ARP的各种攻击方法定时IP冲突/IP冲突洪水/禁止上网/禁止与其他机器通讯/监听与网关和其他机器的通讯数据/ARP代理ARP攻击检测/主机状态检测/本地ARP表变化检测检测到其他机器的ARP监听攻击后可进行防护，自动恢复正确的ARP表把ARP数据包保存到文件可发送手工定制ARP包第53页，课件共249页，创作于2023年2月ARP攻击的处理方法先保证网络正常运行找到感染ARP病毒的机器采取一定的预防措施第54页，课件共249页，创作于2023年2月先保证网络正常运行在能上网时，进入MS-DOS窗口，输入命令arp–a查看网关IP对应的正确MAC地址，将其记录下来如果已经不能上网，则先运行一次命令arp–d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp–a第55页，课件共249页，创作于2023年2月先保证网络正常运行如果已经有网关的正确MAC地址在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响手工绑定可在MS-DOS窗口下运行以下命令：arp–s网关IP网关MAC例如：假设计算机所处网段的网关为54，本机地址为在计算机上运行arp–a后输出如下：C:\DocumentsandSettings>arp–aInterface:0x2InternetAddress PhysicalAddress Type54 00-01-02-03-04-05 dynamic第56页，课件共249页，创作于2023年2月先保证网络正常运行被攻击后，再用该命令查看会发现该MAC已经被替换成攻击机器的MAC如果希望能找出攻击机器，彻底根除攻击可以在此时将该MAC记录下来,为以后查找做准备手工绑定的命令为：arp–s5400-01-02-03-04-05绑定完，可再用arp–a查看arp缓存C:\DocumentsandSettings>arp–aInterface:0x2InternetAddress PhysicalAddress

Type54 00-01-02-03-04-05

static第57页，课件共249页，创作于2023年2月先保证网络正常运行需要说明的是，手工绑定在计算机关机重开机后就会失效，需要再绑定所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，令其杀毒，方可解决找出病毒计算机的方法：如果已有病毒计算机的MAC地址，可使用软件NBTSCAN找出网段内与该MAC地址对应的IP即病毒计算机的IP地址，然后可报告校网络中心对其进行查封第58页，课件共249页，创作于2023年2月先保证网络正常运行1)编辑个***.bat文件@echooffarp–darp-s5400-22-aa-00-22-aa将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可将这个批处理软件拖到“Windows--开始--程序--启动”中第59页，课件共249页，创作于2023年2月先保证网络正常运行2)编辑一个注册表文件，键值如下：

WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run]“mac”=“arp-s网关IP地址网关Mac地址"然后保存成Reg文件以后在每个客户端上点击导入注册表第60页，课件共249页，创作于2023年2月找到感染ARP病毒的机器在电脑上ping一下网关的IP地址使用ARP－a的命令看得到的网关对应的MAC地址是否与实际情况相符如不符，可去查找与该MAC地址对应的电脑使用抓包工具，分析所得到的ARP数据报有些ARP病毒是会把通往网关的路径指向自己有些是发出虚假ARP回应包来混淆网络通信使用mac地址扫描工具，nbtscan扫描全网段IP地址和MAC地址对应表有助判断感染ARP病毒对应MAC地址和IP地址第61页，课件共249页，创作于2023年2月ARP攻击防护软件ARP防火墙

金山arp防火墙

/download/index.shtml#fhq

360ARP防火墙/down/soft_down11.html第62页，课件共249页，创作于2023年2月预防措施及时升级客户端的操作系统和应用程式补丁安装和更新杀毒软件如果网络规模较少，尽量使用手动指定IP设置，而不是使用DHCP来分配IP地址如果交换机支持，在交换机上绑定MAC地址与IP地址第63页，课件共249页，创作于2023年2月三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧第64页，课件共249页，创作于2023年2月局域网病毒入侵计算机病毒在网络中泛滥已久，而其在局域网中也能快速繁殖，导致局域网计算机的相互感染计算机病毒一般首先通过各种途径进入到有盘工作站，也就进入网络，然后开始在网上的传播第65页，课件共249页，创作于2023年2月局域网病毒的传播方式(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播(2)病毒先传染工作站，在工作站内存驻留，等运行网络盘内程序时再传染给服务器(3)病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中(4)如果远程工作站被病毒侵入，病毒也可以通过数据交换进入网络服务器中第66页，课件共249页，创作于2023年2月局域网病毒的传播一旦病毒进入文件服务器，就可通过它迅速传染到整个网络的每一个计算机上对于无盘工作站来说由于其并非真的"无盘"（它的盘是网络盘）当其运行网络盘上的一个带毒程序时，便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上因此无盘工作站也是病毒孽生的温床第67页，课件共249页，创作于2023年2月局域网病毒的新特点局域网环境下，病毒除了具有可传播性、可执行性、破坏性等计算机病毒的共性外，还具有一些新的特点(1)感染速度快(2)扩散面广(3)传播的形式复杂多样(4)难于彻底清除(5)破坏性大(6)可激发性(7)潜在性第68页，课件共249页，创作于2023年2月局域网病毒的新特点U盘病毒Autorun.inf第69页，课件共249页，创作于2023年2月局域网病毒防范以"尼姆达"病毒为例个人用户感染该病毒后，使用单机版杀毒软件即可清除然而企业的网络中，一台机器一旦感染"尼姆达"，病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户第70页，课件共249页，创作于2023年2月局域网病毒防范计算机病毒形式及传播途径日趋多样化大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单需要建立多层次的、立体的病毒防护体系而且要具备完善的管理系统来设置和维护对病毒的防护策略第71页，课件共249页，创作于2023年2月局域网病毒防范一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统分别设置有针对性的防病毒策略(1)增加安全意识(2)小心邮件(3)挑选网络版杀毒软件第72页，课件共249页，创作于2023年2月局域网病毒防范方法从网络的源头开始防范将路由器带的防火墙打开过滤一些IP地址，屏蔽一些有危险的端口使用网络版杀毒软件最好把整个网络分成几个小网每个小网接一个主机.那几个主机接一个配置比较高的机器做主机这样既能很好的分层管理网络.又可以在有病毒入侵的时候.对已经感染病毒的机子很好的隔离定时全网杀毒，及时打补丁第73页，课件共249页，创作于2023年2月三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧第74页，课件共249页，创作于2023年2月Windows入侵端口默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有TCP135、139、445、593、1025端口

UDP135、137、138、445端口一些流行病毒的后门端口(如TCP2745、3127、6129端口)远程服务访问端口3389第75页，课件共249页，创作于2023年2月快速关闭端口防止入侵打开系统运行对话框，在其中输入字符串命令“cmd”然后输入secpol.msc第76页，课件共249页，创作于2023年2月快速关闭端口防止入侵第77页，课件共249页，创作于2023年2月快速关闭端口防止入侵第78页，课件共249页，创作于2023年2月快速关闭端口防止入侵第79页，课件共249页，创作于2023年2月快速关闭端口防止入侵第80页，课件共249页，创作于2023年2月服务器开放端口的设置如果有路由器或防火墙设备，需要在路由器或防火墙上开放如果你的服务器直接连接在外网上，并且使用外网IP第81页，课件共249页，创作于2023年2月服务器开放端口的设置第82页，课件共249页，创作于2023年2月三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧第83页，课件共249页，创作于2023年2月局域网共享资源第84页，课件共249页，创作于2023年2月局域网共享资源第85页，课件共249页，创作于2023年2月局域网共享资源第86页，课件共249页，创作于2023年2月局域网共享资源第87页，课件共249页，创作于2023年2月局域网共享资源第88页，课件共249页，创作于2023年2月共享资源安全防范在Windows服务器系统中，每当服务器启动成功时，系统的C盘、D盘等都会被自动设置成隐藏共享通过这些默认共享可以让服务器管理维护起来更方便一些但在享受方便的同时，这些默认共享常常会被一些非法攻击者利用，从而容易给服务器造成安全威胁如果你不想让服务器轻易遭受到非法攻击的话，就必须及时切断服务器的默认共享“通道”第89页，课件共249页，创作于2023年2月共享资源安全防范功能配置法cmdmsconfig找到其中的“Server”项目，并检查该项目前面是否有勾号存在重新启动服务器系统时，服务器的C盘、D盘等就不会被自动设置成默认共享了第90页，课件共249页，创作于2023年2月功能配置法第91页，课件共249页，创作于2023年2月功能配置法Windows2000服务器系统没有系统配置实用程序功能可以将Windows2003系统中的msconfig.exe文件和msconfig.chm文件直接复制到Windows2000系统目录中以后就可以在该系统的运行对话框中，直接启动系统配置实用程序功能了如果在启动该功能的过程中，遇到有错误提示窗口弹出时，可以不必理会，不停单击“取消”按钮就可以看到系统配置实用程序设置窗口了第92页，课件共249页，创作于2023年2月共享资源安全防范“强行”停止法是借助Windows服务器的计算机管理功能对已经存在的默认共享文件夹，“强制”停止共享命令，以便让其共享状态取消同时确保这些文件夹下次不能被自动设置成共享cmdcompmgmt.msc第93页，课件共249页，创作于2023年2月“强行”停止法第94页，课件共249页，创作于2023年2月“强行”停止法第95页，课件共249页，创作于2023年2月共享资源安全防范逐一删除法借助Windows服务器内置的“netshare”命令将已经处于共享状态的默认共享文件夹，一个一个地删除掉（当然这里的删除，仅仅表示删除默认共享文件夹的共享状态，而不是删除默认文件夹中的内容）该方法有一个致命的缺陷，就是无法实现“一劳永逸”的删除效果只要服务器系统重新启动一下，默认共享文件夹又会自动生成了第96页，课件共249页，创作于2023年2月逐一删除法cmd在DOS命令行中，输入字符串命令“netsharec$/del”，单击回车键后，服务器中C盘分区的共享状态就被自动删除了如果服务器中还存在D盘分区、E盘分区的话，你可以按照相同的办法，分别执行字符串命令“netshared$/del”、“netsharee$/del”来删除它们的共享状态第97页，课件共249页，创作于2023年2月逐一删除法对应IPC$、Admin$之类的默认共享文件夹也可以执行字符串命令“netshareipc$/del”“netshareadmin$/del”将它们的隐藏共享状态取消这样，非法攻击者就无法通过这些隐藏共享“通道”，来随意攻击Windows服务器了第98页，课件共249页，创作于2023年2月共享资源安全防范“自动”删除法如果服务器中包含的隐藏共享文件夹比较多依次通过“netshare”命令来逐一删除它们，将显得非常麻烦可以自行创建一个批处理文件，来让服务器一次性删除所有默认共享文件夹的共享状态第99页，课件共249页，创作于2023年2月“自动”删除法批处理文件的内容

@echooff

netshareC$/del

netshareD$/del

netshareipc$/del

netshareadmin$/del

……第100页，课件共249页，创作于2023年2月“自动”删除法完成上面的代码输入操作后，文件保存为“delshare.bat”设置好具体的保存路径，完成自动删除默认共享文件夹的批处理文件创建工作以后需要删除这些默认共享文件夹的共享状态时只要双击“delshare.bat”批处理文件，服务器系统中的所有默认共享“通道”就能被自动切断第101页，课件共249页，创作于2023年2月“自动”删除法服务器重新启动后，所有默认的共享文件夹又会“卷土重来”通过下面的方法，让服务器启动成功后自动运行“delshare.bat”批处理文件，从而实现自动删除默认共享文件夹的目的第102页，课件共249页，创作于2023年2月“自动”删除法cmdgpedit.msc打开服务器系统的组策略编辑窗口设置组策略第103页，课件共249页，创作于2023年2月“自动”删除法最后重新启动一下服务器系统服务器系统中的默认共享就能被自动取消了第104页，课件共249页，创作于2023年2月共享资源安全防范权限分配法是借助服务器的组策略来进行用户权利指派让非法用户无法通过网络访问到服务器中的任何内容默认共享文件夹就不会成为非法用户入侵服务器的“通道”了cmdgpedit.msc第105页，课件共249页，创作于2023年2月权限分配法第106页，课件共249页，创作于2023年2月权限分配法第107页，课件共249页，创作于2023年2月共享资源安全防范系统策略法对于Window2000Server系统的服务器可借助该系统内置的系统策略编辑功能，来切断默认共享“通道”cmdPoledit打开服务器系统的策略编辑窗口第108页，课件共249页，创作于2023年2月系统策略法单击“文件”菜单项，再从下拉菜单中选中“打开注册表”项目双击“本地计算机”图标在出现的计算机策略列表框中，用鼠标逐一展开WindowsNT网络、共享分支在共享分支下面，检查一下“创建隐藏的驱动器共享（服务器）”选项前面是否有勾号存在如存在，则表示服务器将会自动把系统的C盘、D盘等设置成隐藏共享第109页，课件共249页，创作于2023年2月系统策略法此时可以取消“创建隐藏的驱动器共享（服务器）”的选中状态，并单击“确定”按钮返回到服务器系统的策略编辑窗口，并依次执行菜单栏中的“文件”/“保存”命令，以便将前面的设置操作保存到系统注册表中以后服务器系统重新启动时，就不会自动生成默认共享了第110页，课件共249页，创作于2023年2月系统策略法第111页，课件共249页，创作于2023年2月共享资源安全防范共享管理法借助Windows服务器系统中的rundll32.exe命令快速打开系统的共享文件夹管理器窗口在该窗口中可逐一地对每个默认隐藏共享文件夹，进行停止共享或者修改属性等管理操作cmdRundll32.exentlanui.dll,ShareManage打开共享目录管理器窗口第112页，课件共249页，创作于2023年2月共享管理法第113页，课件共249页，创作于2023年2月三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧第114页，课件共249页，创作于2023年2月无线局域网的安全威胁无线局域网（WLAN）因其安装便捷、组网灵活的优点在许多领域获得了越来越广泛的应用但由于它传送的数据利用无线电波在空中传播，发射的数据可能到达预期之外的接收设备，因而WLAN存在着网络信息容易被窃取的问题第115页，课件共249页，创作于2023年2月无线局域网嗅探在网络上窃取数据就叫嗅探是利用计算机的网络接口截获网络中数据报文的一种技术嗅探一般工作在网络的底层在不易被察觉的情况下将网络传输的全部数据记录下来捕获账号和口令、专用的或机密的信息甚至可以用来危害网络邻居的安全或者用来获取更高级别的访问权限、分析网络结构进行网络渗透等第116页，课件共249页，创作于2023年2月嗅探的隐蔽性WLAN中无线信道的开放性给网络嗅探带来了极大的方便在WLAN中网络嗅探对信息安全的威胁来自其被动性和非干扰性运行监听程序的主机在窃听的过程中只是被动的接收网络中传输的信息它不会跟其它的主机交换信息，也不修改在网络中传输的信息包使得网络嗅探具有很强的隐蔽性，往往让网络信息泄密变得不容易被发现第117页，课件共249页，创作于2023年2月嗅探的隐蔽性尽管它没有对网络进行主动攻击和破坏的危害明显但由它造成的损失也是不可估量的通过分析网络嗅探的原理与本质才能更有效地防患于未然增强无线局域网的安全防护能力第118页，课件共249页，创作于2023年2月网络嗅探的原理网络嗅探就是从通信中捕获和解析信息假设主机B想知道登陆服务器C的FTP口令是什么捕获主机A播发的数据帧对数据帧进行解析，依次剥离出以太帧头、IP包头、TCP包头等然后对报头部分和数据部分进行相应的分析处理，从而得到包含在数据帧中的有用信息第119页，课件共249页，创作于2023年2月嗅探的实现先设置用于嗅探的计算机，即在嗅探机上装好无线网卡，并把网卡设置为混杂模式在混杂模式下，网卡能够接收一切通过它的数据包，进而对数据包解析，实现数据窃听再实现循环抓取数据包，并将抓到的数据包送入下一步的数据解析模块处理最后进行数据解析，依次提取出以太帧头、IP包头、TCP包头等，然后对各个报头部分和数据部分进行相应的分析处理第120页，课件共249页，创作于2023年2月嗅探防范策略加强网络访问控制网络设置为封闭系统采用可靠的协议进行加密一次性口令技术第121页，课件共249页，创作于2023年2月三、网络攻击与防范技术局域网环境简介局域网的安全威胁局域网监听与防范局域网ARP攻击与防范局域网病毒入侵与防范快速关闭端口防止入侵局域网共享资源安全防范无线局域网嗅探与防范局域网上网的安全防范与技巧第122页，课件共249页，创作于2023年2月局域网安全问题西方有句俗语堡垒常常从内部被攻破古人教育我们外敌易躲，家贼难防人是这样，信息安全亦然现况：内网安全不容乐观第123页，课件共249页，创作于2023年2月内网安全的重点相对于来自互联网的威胁，重点是数据和信息的安全这些数据和信息，才是企业真正有价值的资源数据安全的风险来自于两个方面数据本身是否安全，也就是说数据是否加密是否得到授权的人访问了这些数据和信息从风险的这两个方面来看，数据加密和身份认证是目前适用于内网安全防范的主要技术手段第124页，课件共249页，创作于2023年2月安全威胁三个方面黑客攻击计算机病毒拒绝服务攻击几种网络攻击类型●DataDiddling未经授权删除档案，更改其资料（15.5%)

●Scanner利用工具寻找暗门漏洞(15.8%)

●Sniffer监听加密之封包(11.2%)

●DenialofService使其系统瘫痪（16.2%)

●IPSpoofing冒充系统内网络的IP地址(12.4%)

●Other其他(13.9%)第125页，课件共249页，创作于2023年2月防范黑客的措施选用安全的口令据统计，大约80%的安全隐患是由于口令设置不当引起的用户口令应包含大小写，最好能加上字符串和数字，一起使用以期达到最好的保密效果用户口令不要太规则,不要用用户姓名、生日和电话号码作为口令。不要用常用单词作为口令根据黑客软件的工作原理,参照口令破译的难易程度,以破解需要的时间为排序指标，口令长度设置时应遵循7位或14位的整数倍原则第126页，课件共249页，创作于2023年2月防范黑客的措施选用安全的口令安装某些系统服务功能模块时有内建帐号，应及时修改操作系统内部帐号口令的缺省设置应及时取消调离或停止工作的雇员的帐号以及无用的帐号在通过网络验证口令过程中,不得以明文方式传输，以免被监听截取第127页，课件共249页，创作于2023年2月防范黑客的措施选用安全的口令口令不得以明文方式存放在系统中,确保口令以加密的形式写在硬盘上并包含口令的文件是只读的口令应定期修改，应避免重复使用旧口令，应采用多套口令的命名规则建立帐号锁定机制，一旦同一帐号密码校验错误若干次即断开连接并锁定该帐号，至一段时间才解锁再次开放使用第128页，课件共249页，创作于2023年2月防范黑客的措施实施存取控制主要是针对网络操作系统的文件系统的存取控制存取控制是内部网络安全理论的重要方面,包括人员权限,数据标识,权限控制,控制类型,风险分析等确保数据的安全完整性是在数据处理过程中,在原来数据和现行数据之间保持完全一致的证明手段常用数字签名和数据加密算法来保证等请参照几个加密站点RSA加密专利公司:

等第129页，课件共249页，创作于2023年2月防范黑客的措施使用安全的服务器系统没有一种网络操作系统是绝对安全的UNIX经过几十年来的发展已相对成熟，以其稳定性和安全性成为关键性应用的首选谨慎开放缺乏安全保障的应用和端口很多黑客攻击程序是针对特定服务和特定服务端口的，所以关闭不必要的服务和服务端口，能大大降低遭受黑客攻击的风险第130页，课件共249页，创作于2023年2月防范黑客的措施关闭端口NTSERVER将缺省的NWLinkIPX/SPX传输协议去掉在TCP/IP协议属性里，启用安全机制如果没有特别需求（如ICQ,Real数据流传输等）可将所有UDP端口关闭具体方法：控制面板／协议／TCP/IP协议属性／高级／启用安全机制／配置第131页，课件共249页，创作于2023年2月防范黑客的措施关闭端口UNIX最好关闭UNIX的rServices,如rlogin,rfingerd等用户不提供rServices,最好将/etc/hosts.equiv和rhosts文件删除修改/etc/services和/etc/inetd.conf文件，将不必要的服务去除第132页，课件共249页，创作于2023年2月防范黑客的措施定期分析系统日志日志文件不仅在调查网络入侵时十分重要的，它们也是用少的代价来阻止攻击的办法之一比较有用的日志文件分析工具NestWatch能从所有主web服务器和许多防火墙中导入日志文件运行在WindowsNT机器上，能够以HTML格式输出报告，并将它们分发到选定的服务器上。（URL：/nestwatch.html）第133页，课件共249页，创作于2023年2月防范黑客的措施比较有用的日志文件分析工具LogSurfer一个综合日志分析工具根据它发现的内容，它能执行各种动作，包括告警、执行外部程序，甚至将日志文件数据分块并将它们送给外部命令或进程处理ftp://ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz要求有C编译器第134页，课件共249页，创作于2023年2月防范黑客的措施不断完善服务器系统的安全性能无论是UNIX还是Windows的操作系统都存在安全漏洞，他们的站点会不定期发布系统补丁系统管理员应定期下载补丁，及时堵住系统漏洞。(微软/)排除人为因素再完善的安全体制,没有足够的安全意识和技术人员经常维护,安全性将大打折扣要制定一整套完整的网络安全管理操作规范第135页，课件共249页，创作于2023年2月防范黑客的措施进行动态站点监控利用网络管理软件对整个局域网进行监控，发现问题及时防范扫描、攻击自己的站点网络上有许多扫描软件（例如satan），适用于各种平台，它们是把双刃剑在网络管理员手里可以成为简化安审计工作的利器，在cracker手里却可成为网络攻击工具请第三方评估机构或专家来完成安全评估一般能较系统地检查局域网的各项安全指标,但花费较贵第136页，课件共249页，创作于2023年2月防范黑客的措施谨慎利用共享软件不应随意下载使用共享软件，有些程序员为了调测软件的方便都设有后门，这往往成为最好的攻击后门做好数据的备份工作这是非常关键的一个步骤,有了完整的数据备份,我们在遭到攻击或系统出现故障时才可能迅速恢复我们的系统第137页，课件共249页，创作于2023年2月防范黑客的措施使用防火墙防火墙是防止从网络外部访问本地网络的所有设备，它们防止外部攻击提供了重要的安全保障但防火墙只是所有安全体系结构中的一个部件，故不能完全依耐防火墙防火墙分为网络级防火墙和应用网关防火墙第138页，课件共249页，创作于2023年2月防范黑客的措施网络级防火墙一般是具有很强报文过滤能力的路由器可以改变参数来允许或拒绝外部环境对站点的访问但对欺骗性攻击的防护很脆弱应用代理防火墙（应用网关）优势是它们能阻止IP报文无限制地进入网络缺点是它们的开销比较大且影响内部网络的工作代理必须为一个网络应用进行配置，包括HTTP、FTP、TELNET、电子邮件、新闻组等第139页，课件共249页，创作于2023年2月一个有趣的技巧防范局域网攻击几乎大部分局域网的攻击是基于一个叫WinPcap的网络底层程序这个程序除了监控网络以外几乎没什么作用，所以只要禁止安装winpcap就可以瓦解局域网的攻击winpcap安装后会在系统里面生成许多文件，包括system32里面的packet.dll在system32下建立一个名为packet.dll文件夹，就可以有效的迫使wincpcap无法安装不安装winpcap将会使得许多基于winpcap的网络监控软件无法运行第140页，课件共249页，创作于2023年2月对电脑硬盘进行加密保护可以降低信息被非授权者利用的风险采用业界公认的加密算法（例如AES256位长度密钥），对硬盘进行高强度保护目前的这种保护强度，不会被攻破在没有经过授权的情况下，硬盘会处于加密保护状态，即使将其连接到其他系统中也无法读取或存储硬盘数据，唯一处理的方式就是将硬盘格式化采用加密技术硬盘上的所有数据被保护起来，大大降低了机密数据泄露的风险第141页，课件共249页，创作于2023年2月组策略设置cmdgpedit.msc打开服务器系统的组策略编辑窗口设置组策略关闭自动播放不要运行指定的Windows应用程序……第142页，课件共249页，创作于2023年2月组策略设置第143页，课件共249页，创作于2023年2月组策略设置第144页，课件共249页，创作于2023年2月四、Windows系统安全加固使用Windowsupdate安装最新补丁；使用WSUS(WindowsServerUpdateServices)建立一个内部Update服务器更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；停止不需要开放的服务；限制特定执行文件的权限；设置主机审核策略；调整事件日志的大小、覆盖策略；禁止匿名用户连接；删除主机管理共享；限制Guest用户权限；安装防病毒软件、及时更新病毒代码库；安装个人防火墙。第145页，课件共249页，创作于2023年2月四、Windows系统安全加固使用Windowsupdate安装最新补丁；使用WSUS(WindowsServerUpdateServices)建立一个内部Update服务器

让内网中的计算机直接到这台Update服务器上下载补丁，以缩短用户打补丁的时间，及时提高计算机和网络的安全性。没有连接Internet的计算机只要在内网中能顺利访问Update服务器，也可实现随时打补丁，有效地防止漏洞型病毒在内网传播。第146页，课件共249页，创作于2023年2月四、Windows系统安全加固软件全称:WindowsServerUpdateServices

软件版本:3.0正式版软件平台:Windows2000/2003server

下载地址:/download/9/3/3/933eaf5d-f2a2-4a03-8a87-e8f6e6d07e7f/WSUSSetup.exe/soft/46062.htm

WSUS(WindowsServerUpdateServices)是微软公司继SUS(SoftwareUpdateService)之后推出的替代SUS的产品，目前版本为3.0。第147页，课件共249页，创作于2023年2月四、Windows系统安全加固SUS虽然可用它建立自动更新服务器，不过配置很麻烦，更新补丁的产品种类也较少，同时在实际使用中经常会因为网络带宽拥堵而造成客户机升级失败。WSUS新特性

支持对更多微软产品进行更新，除了Windows外，Office、Exchange、SQL等产品的补丁和更新包都可通过WSUS发布，而SUS只支持Windows系统。提供了中文操作界面，以前的SUS操作界面为英文，不便于操作。比SUS更好地利用了网络带宽。对客户机的管理更强大，可针对不同客户机分配不同的用户组，并分配不同的下载规则。在设置和管理上比SUS更简单直观。硬件要求:如果网络中要升级的客户端计算机少于500台，那么架设WSUS服务器的硬件至少得是750MHz主频的处理器以及512MB内存，当然还需要充足的硬盘空间来保存更新程序的安装文件。第148页，课件共249页，创作于2023年2月四、Windows系统安全加固实战:部署WSUS

准备工作:由于软件需要很多必备组件，如果在Windows2000Server上安装WSUS则需要安装这些组件，不过这些组件都是默认安装在Windows2003上的，所以建议使用Windows2003部署WSUS服务器，同时建议不要在该服务器上安装其他Web网站。第149页，课件共249页，创作于2023年2月四、Windows系统安全加固1.安装WSUS

安装WSUS之前，先要保证WSUS必需的硬件条件，还要安装相应的组件，如IIS等。在Windows2003中没有启用IIS服务，所以我们需要安装“应用程序服务器”组件，并把IIS添加到本地计算机。下载WSUS并双击安装程序，程序将会自动解压缩。现在，开始安装WSUS，所有步骤和安装普通软件一样。在出现选择安装路径的界面时，需要注意的是，安装空间必须要有6GB，而且所在驱动器必须是NTFS格式的文件系统。如果大家的Windows2003中没有安装SQLServer，那么该软件还会在计算机上安装SQLServer桌面版。在网站选择窗口，选择“使用现有IIS默认网站”即可，如果本地计算机还开启了其他站点服务。由于架设的是独立的升级服务器而不是其他服务器的镜像站点，所以在“镜像更新设置”中不用进行选择。现在，开始在本地计算机上安装WSUS。第150页，课件共249页，创作于2023年2月四、Windows系统安全加固2.设定补丁类型

由于微软的产品很多，我们不可能对它的所有产品都进行更新，所以需要根据公司的实际情况对补丁的类型进行设置。WSUS安装完毕后，打开浏览器，使用地址http://localhost/wsusadmin访问WSUS的管理界面，也可直接输入计算机名或IP地址进行访问，在这里笔者输入http://softer/wsusadmin进行访问。输入Windows2003系统的管理员账户和密码即可成功登录WSUS服务器。第一次成功登录WSUS的界面后，会在下方“待做事项列表”中看到“同步服务器，现在就开始”的提示信息，点击该选项开始设置WSUS。第151页，课件共249页，创作于2023年2月四、Windows系统安全加固在同步选项设置界面，供我们设置的参数较多，由于篇幅有限这里不详细讲解了。平常用到最多的是“计划”下的“手动同步”或“每天定时同步”，一般情况下设置为“每天定时同步”。另外还有“产品和分类”下方的设置，我们可以在产品处选择可供更新的产品种类，除了Windows外，还有Office、Exchange、SQL等产品的补丁和更新包都可以通过WSUS发布。在“更新分类”处可以详细设置提供下载的补丁类别。第152页，课件共249页，创作于2023年2月四、Windows系统安全加固设置“产品和分类”与“更新分类”后，我们还要选择更新的语言种类，在同步选项设置界面的最下方有一个“高级同步选项”，通过它我们可以设置更新的语言为简体中文。至此，便完成了补丁类型及语言的设定工作，所有的前期工作已告一段落，接下来就需要对服务器和客户机进行具体操作了。第153页，课件共249页，创作于2023年2月四、Windows系统安全加固3.下载并审批补丁

我们如何将相应补丁从微软网站下载到服务器上供公司内部计算机更新呢?这就需要下载并审批补丁。点击“立即同步”将启动服务器的同步功能，服务器将连接微软官方Update服务器下载相应补丁。补丁类型已经在设定补丁操作中进行了选择，服务器将只下载满足设定条件的补丁，下载的补丁供客户端使用。在下载过程中我们不能进行任何操作，只能点击“停止同步”来结束更新操作。大概等待2到3个小时就可完成补丁的更新，下载所用的时间是根据选择的补丁数量决定的。由于公司内网中的大部分计算机使用的都是Windows2000操作系统，所以笔者只选择了更新Windows2000补丁包及驱动程序。仅仅下载完更新包还不能提供补丁更新服务，我们还需要对刚刚下载的“安全和关键更新”进行复查和批准，经过批准的补丁才能让客户端下载(实际上批准过程就是服务器对下载补丁进行检查的过程)。在待做事项列表中点击“复查安全和关键更新”。第154页，课件共249页，创作于2023年2月四、Windows系统安全加固在“更新”界面中可将所有补丁选中，选择完毕点击左侧“更新任务”栏中的“更改批准”，这样就会批准安装刚才下载的所有补丁。如果你不希望客户端下载某个补丁程序，则不选择该补丁。第155页，课件共249页，创作于2023年2月四、Windows系统安全加固点击“更改批准”后会进入“批准更新”窗口，可在批准下拉选项中选择“安装”，然后点击“确定”。现在，所有客户端就可下载并安装刚刚批准下载的补丁程序了，至此服务器上的所有设置完毕。至此，服务器的设置操作就全部完成了，不过现在还要对客户端进行相应的设置，以使本来会使用WindowsUpdate的客户端能够通过WSUS进行更新。第156页，课件共249页，创作于2023年2月四、Windows系统安全加固

4.客户端设置

默认情况下客户机进行补丁更新都要到WindowsUpdate站点，而我们希望将它修改为WSUS服务器的地址，因此还需要进行一些设置。我们需要对每一个客户端进行设置，当然设置一次即可，因为默认情况下，这些计算机都是通过微软官方的Update服务器下载补丁的，我们需要将它们的Update服务器手动修改为刚刚建立的WSUS服务器。首先，在“运行”栏中输入“gpedit.msc”启动组策略。提示:如果公司内部使用的是域建立的网络，那么直接在域控制器上设置组策略即可。第157页，课件共249页，创作于2023年2月四、Windows系统安全加固依次点击“本地计算机策略→计算机配置→管理模板”，右键点击“管理模板”，选择“添加/删除模板”。通过“添加”按钮将wuau模板加入到“当前策略模板”中，添加这个模板后我们才能对Update站点信息进行修改。接着依次进入“本地计算机策略→计算机配置→管理模板→Windows组件→WindowsUpdate”，双击“配置自动更新”，然后选择自动更新补丁的类型，可以是手动更新也可以是自动更新。接着在“WindowsUpdate”中双击“指定IntranetMicrosoft更新服务位置”，将刚刚建立的WSUS服务器地址添加进来。最后，进入命令行模式，输入“wuauclt.exe/detectnow”命令启动更新，客户机会立刻连接WSUS服务器下载并安装补丁。在组策略的“配置自动更新”中设定自动更新让客户端定时到WSUS服务器下载补丁。当客户端启动了更新设置后，我们就可以在服务器上通过管理界面看到这些客户端。当然所有的补丁安装过程都是在后台进行的，我们在客户端上是不容易察觉的，要想了解客户端的补丁安装情况，只有通过服务器上的管理界面来进行查看。第158页，课件共249页，创作于2023年2月四、Windows系统安全加固5.部署成功

经过以上四个步骤，WSUS的设置工作就算完成了，现在内部计算机都可使用配置好的WSUS服务器来更新多个微软产品的补丁，下载速度比连接官方站点快得多。而且，在实际使用过程中，我们还可通过WSUS的分组设定功能将不同用户划分到不同的更新组，从而实现内部计算机补丁下载的权限管理。第159页，课件共249页，创作于2023年2月四、Windows系统安全加固使用Windowsupdate安装最新补丁；更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；卸载不需要的服务；将暂时不需要开放的服务停止；限制特定执行文件的权限；设置主机审核策略；调整事件日志的大小、覆盖策略；禁止匿名用户连接；删除主机管理共享；限制Guest用户权限；安装防病毒软件、及时更新病毒代码库；安装个人防火墙。第160页，课件共249页，创作于2023年2月四、Windows系统安全加固更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；第161页，课件共249页，创作于2023年2月四、Windows系统安全加固停止不需要开放的服务；一、ApplicationLayerGatewayService(应用层网关服务)该服务提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持。但是会招致恶意攻击。病毒感染XP系统的应用层网关服务(ApplicationLayerGatewayService)导致XP系统用户打不开网页。在病毒感染之后，该服务会在每次系统启动时自动启动，并在后台产生一个alg.exe的进程，因此建议禁用该服务。二、WebClient(网络客户端)该服务是用来启用Windows为主的程序来建立、存取，以及修改基于Internet的文件默认启动类型为自动。使用WebDav可将档案或数据夹上传到某个Web服务，这个服务对于未来.NET意义更大。但是很容易招致黑客的恶意攻击，建议设为禁用。三、DistributedTransactionCoordinator(分布式交易协调器)默认启动类型为手动。主要用来处理分布式交易。同一数据库内不同数据表间的交易，则不能称作分布式交易。显然对于需要同时处理多个数据库或文件系统的用户来说，这个服务意义重大，其实这个服务也容易受到黑客的远程拒绝服务攻击。因此建议设为禁用。第162页，课件共249页，创作于2023年2月四、Windows系统安全加固停止不需要开放的服务；四、Messenger 信使服务发送和接收系统管理