计算机与网络安全

下p九'卬

zxw@

清华大学信息网络工程研究中心

2006年12月27日

提纲

一.个人计算机的安全配置与使用规范

二.校园网近期安全问题

三.个人计算机常见安全问题与解决办法

四.讨论

•、个人计算机的安全配置与使用规范

1.Windows系统的安全保护机制

2.校内安全资源的使用

3,初装计算机的正确步骤

•、个人计算机的安全配置与使用规范

Windows系统的安全保护机制

□系统与应用程序补丁

□防火墙

□帐号与口令

□防病毒软件

□正确的使用习惯

windows的安全保护机制

□系统与应用程序补丁

补丁的安装方法：

1.Windows在线的update网站更新（需要是正版）

2.微软提供的自动更新服务（速度慢）.

3.学校提供的WSUS服务器（推荐使用）

4.手动下载补丁程序安装（不推荐）

需要提醒的时除了系统补丁外，很多应用软件也需要

安装补丁程序，如（office、IE、OUTLOOK等）

windows的安全保护机制

□防火墙的选用

1.Winxp或者win2003自带的防火墙（推荐使

用）

2.Windows自身的组策略安全规则（配置复

杂）

3.第三方的防火墙（如天网个人防火墙、

norton提供的防火墙、瑞星杀毒软件提供

的防火墙、趋势防火墙）

防火墙是必须的

windows的安全保护机制

□口令设置要求

1.口令应该不少于8个字符；

2,不包含字典里的单词、不包括姓氏的汉语

拼音；

3,同时包含多种类型的字符，比如

大写字母(A,B,C,..Z)

小写字母(a,b,c..z)

数字(0,1,2,…9)

标点符号

windows的安全保护机制

□防病毒系统

1.一定要及时升级病毒库文件(推荐使用企

业版)

2.实时监控功能一定要开着

3.推荐使用的杀毒软件

趋势科技的officescan防毒软件

赛门铁克的norton防毒软件

瑞星杀毒软件(rising)

卡巴斯基。。。。

windows的安全保护机制

□正确的使用习惯

1.不随便下载程序运行

2.不访问一些来历不明的网页链接

3.不使用的情况下尽量关闭机器

4.经常备份重要数据

•、个人计算机的安全配置与使用规范

1.Windows系统的安全保护机制

2.校内安全资源的使用

3,初装计算机的正确步骤

校内安全资源的使用

补丁更新服务器

□清华的WSUS服务器

地址：05

□WSUS服务配置方法

1,修改注册表

2,修改组策略（推荐）

补丁更新服务器（组策略）

一、选择“开始”，“运行”，输入

gpedit.msc,打开组策略窗口。

二、选择“管理模板”，然后从菜单中选择

“操作”，“添加/删除模板”。

（注意：winxpspl以上版本的操作系统中这

个wuau.adm已经添加了,您可以直接跳到

第六步）

三、在“添加/删除模板”窗口中选择“添

加力O

补丁更新服务器（组策略）

四、在“策略模板"中选择"wuau.adm”,并

选择“打开”。

五、选择“关闭”，关闭“添加/删除模板”

窗口。

六、选择“计算机配置”->“管理模板

>""Windows组件"->“WindowsUpdate",

并选择“配置自动更新”。

七、在“配置自动更新”的属性窗口中，选

择“启用”，并选择“确定”。

补丁更新服务器（组策略）

八、在“指定IntranetMicrosoft更新服务器位

置”的属性窗口中，选择“启用”，并在

“设置检测更新的Intranet更新服务：”框

中输入“http:〃/"）在

“设置Intranet统计服务器：”框中输入

“http:〃/"）并选择确

定。

九、关闭组策略窗口。

十、在开始运行处输入wuauclt.exe/detectnow

命令）立即启动wsus服务！

补丁更新服务器（注册表）

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M

icrosoft\Windows\WindowsUpdate]

“WUServef,=€"http://wsus.tsinghua.edu.cnn

"WUStatusServer1-nn

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\M

icrosoft\Windows\WindowsUpdate\AU]

"UseWUServef-dword:00000001

补丁更新服务器（注册表）

当系统右下角的托盘中出现了黄色的小盾牌

（windows2000为绿色的小地球图标）后，说明系

统有需要安装的补丁程序，双击该图标后按照系

统提示安装相应的补丁程序！

11；14

趋势科技杀毒软件

□病毒服务器地址：

□病毒软件的安装方法：

1.在线安装（需要把控件功能打开）

2.下载安装包安装

企业版的趋势杀毒软件采用的是服务器自动

分发病毒库文件，无需用户手动更新。

趋势科技杀毒软件

□图标的定义

图标描述实时扫推

正常的客户机W，日

Q，而叫文付已过时由用

£*•rxi

立呻”1描.不例八批.收HttfWI修正痣运行w，.―

■■

实明>1>>W«k—'.1*■<r田VJ▼<

J»^3♦.♦|4>•A

19fiwdXf?rTJII5,西文ft已过时

才3抽11务*在运行til色;图。）97Fl|

wTl门报川为不在运行H.3忝科文#己过啊K,目

GW妇*Q

图标推逑实电木塘

问椒务8s断开G用

金㈣职务部断开H病而四文转己±1时启用

■从限务2s版开连接H女时打捅已挈用够阴

趋势科技杀毒软件

口卸载客户端需要密码（tsinghua或者pass）

口关于客户端漫游功能（校外临时使用）

□立即更新功能（一般情况下不需要手动点

击立即更新）

口图标显示断开（可能是临时性的网络故障,

客户端一般不用做什么操作）

□查看病毒码更新日期（主窗口-＞帮助-＞关

于，病毒码发布日期）

趋势科技杀毒软件

□趋势科技的杀毒客户端自带了一个简单防

火墙）功能类似于xp系统自带的防火墙）

当xp系统自带的防k墙启动后）这个防火

墙的功能会自动关闭。

•、个人计算机的安全配置与使用规范

1.Windows系统的安全保护机制

2.校内安全资源的使用

3,初装计算机的正确步骤

初装c三确步骤

□系统的选择原则

1.选择最新版的操作系统（推荐winxp或

2003）

2,尽量选择已经带有servicepack的版本

3.遵从“最小安装原则”

4.如果有专职管理员）请专职管理员协助安

装操作系统

操作系统初始安装的过程

□系统安装与加固

1.预先将东西准备好（如防火墙软件等）

2.安装过程请拔掉网线

3.系统安装结束后请安装并启用防火墙后再插上

网线

4,配置补丁自动更新，并升级补丁程序

5,安装防病毒软件并升级到最新的病毒库

□具体过程请参照

□ftp://166.llL8.243/doc/初装计算机补丁安装doc

提纲

个人计算机的安全配置与使用规范

二.校园网近期安全问题

三.个人计算机常见安全问题与解决办法

四.讨论

二近期校园网常见安全问题

□ARP攻击

□系统入侵

ARP攻击

□什么是ARP攻击？

利用ARP协议本身的缺陷进行的一种非法攻

击，目的是为了在全交换环境下实现数据

监听。通常这种攻击方式可能被病毒、木

马或者有特殊目的攻击者使用。

□ARP攻击有什么危害？

致使同网段的其他用户无法正常上网（频繁

断网或者网速慢），泄露用户的敏感信息。

ARP原理

□ARP（AddressResolutionProtocol）地址解析协

议用于将计算机的网络地址（IP地址32位）转化

为物理地址（MAC地址48位）[RFC826]

□ARP协议是属于链路层的协议，在以太网中的数据

帧从一个主机到达网内的另一台主机是根据48位

的以太网地址（硬件地址）来确定接口的，而不

是根据32位的IP地址。内核（如驱动）必须知道

目的端的硬件地址才能发送数据。

□点对点的连接是不需要ARP协议的。

ARP原理

主机名IP地址MAC地址

主机A192.168.1.201-01-01-01-01-01

主机B192.168.1.302—02—02—02-02-02

网关C192.168.1.103-03-03-03-03-03

主机D10.LL204-04-04-04-04-04

网关E10.1.1.105-05-05-05-05-05

ARP工作原理

□假如主机A要与主机B通讯，它首先会检查自己的

ARP缓存中是否有192.168.L3这个地址对应的

MAC城址，如果没宥它就会向局域网的广播地址

发送ARP请求包，大致的意思是的

MAC地址是什么请告诉,而广播地址会

把这个请求包广播给局域网内的所有主机，但是

只有这台主机才会响应这个请求包，

它会回应192.168.L2一个arp包，大致的意思是

的MAC地址是02-02-02-02-02-02。这

样的话主机A就得到了主机B的MAC地址，并且

它会把这个对应的关系存在自己的ARP缓存装中。

之后主机A与主机B之间的通讯就依靠两者缓存表

里的MAC地址来通讯了，直到通讯停止后两分钟，

这个好应关系才会被从表中删除。

ARP工作原理

□假如主机A需要和主机D进行通讯，它首先会发现

这个主机D的IP地址并不是自己同一个网段内的，

因此需要通过网关来转发，这样的话它会检查自

己的ARP缓存表里是否有网关对应的

MAC地址，如果没有就通过ARP请求获得，如果

有就直接与网关通讯，然后再由网关C通过路由

将数据包送到网关E,网关E收到这个数据包后发

现是送给主机D()的，它就会检查自己

的ARP缓存(没错，网关一样有自己的ARK

存)，看看里面是否有10.L1.2对应的MAC地址，

如果没有就使用ARP协议获得，如果有就是用该

MAC地址与主机D通讯。

ARP欺骗

□Arp欺骗原理

主机在实现ARP缓存表的机制中存在一个不

完善的地方，当主机收到一个ARP的应答包

后夕它并不会去验证自己是否发送过这个

ARP请求，而是直接将应答包里的MAC地址

与IP对应的关系替换掉原有的ARP缓存表里

的相应信息。这就导致主机B截取主机A与

主机D之间的数据通信成为可能

ARP欺骗

1.主机b向网关C发送ARP应答包说：我是A

我的MAC地址是02-02-02-02-02-02,主

机b同时向主机A发送ARP应答包说：我是

C我的MAC地址是02-02-02-02-02-02

□B获得A发给C的数据，修改后发给C,同时

获得C发给A的数据修改后发给A,实现了

监听过程

ARP攻击

几个概念:

Arp缓存表

nterface：2—0x2

InternetAddressPhysicalAddressType

00-0f-3d-83-74-28d卯ami

300-13T3-f-b2-0cd卯ami

5200-0f-3d-83-74-28d卯aid

：\UINDOUSXSten32>arp-a

ARP攻击

□ARP数据包

13:10:44.802151arpwho-hastell

13:10:44.802607arpreplyis-at

00:00:0c:07:ac:00

ARP攻击

□什么情况下表明局域网内有ARP攻击

1.校园网登陆系统频繁掉线

2.网速突然变慢

3,使用ARP-a命令发现网关的MAC地址不

停的变换

4,使用sniffer软件发现局域网内存在大量的

ARPreply包

ARP攻击

□如何发现正在进行ARP攻击的主机

1、在知道正确的网关MAC的情况下，通过

ARP-a命令看到的另一个网关MAC就是

攻击主机的MAC

2、使用Sniffer软件抓包发现大量的以网关的

IP地址发送的ARPreply包，包中指定的

MAC就是攻击主机的MAC

3、使用我们开发的ARP保护程序发现攻击主

机的MAC

ARP攻击

□如何处理感染主机

1.发现感染主机，第一时间拔掉网线

2.按照安全手册重新安装操作系统

ARP攻击

□目前已知的ARP病毒的传播途径

1,通过外挂程序传播

2,通过网页传播

3.通过其他木马程序传播

4,通过即时通讯软件传播（QQ、MSN）

5,通过共享传播（网络共享、P2P软件共享）

ARP攻击

□如何预防感染ARP病毒？

1.关闭不必要的共享

2.及时安装系统补丁程序

3,安装防病毒软件并及时升级病毒库

4.不随便运行来历不明的程序

5.不访问一些来历不明的链接

1、近期校园网常见安全问题

口ARP攻击

□系统入侵

近期校园网常见安全问题

□系统入侵

多数被攻击的都是服务器，操作系统多为

windows2000server或者linux

针对linux常利用的漏洞为：openssh和apche

等软件的漏洞

针对windows2000server更多的是利用网页编

写本身的漏洞。。

提纲

一.个人计算机的安全配置与使用规范

二.校园网近期安全问题

三.个人计算机常见安全问题与解决办法

四.讨论

入常见安全问题及解决方法

1.系统中的自启动程序

2.浏览器的恢复

3.本地病毒木马程序检查

系统中的自启动程序

□Windows支持多种在系统启动时自动加载

应用程序的方法包括：

1.启动组

2.Boot.ini>win.ini>system.ini文件

3.注册表启动项

4,添加成系统服务

5.计划任务

6,动态库文件加载

系统中的自启动程序

□启动组和win.ini、system.ini

开始_〉程序_〉启动里面

对应的目录：

C:\DocumentsandSettings\administrator\「开

始」菜单'程序'启动\

C:\Boot.ini

C:\Windows\Win.ini

C:\Windows\system.ini

系统中的自启动程序

□注册表启动项

HKEY_CURRENT_USER\Software\Micros

oft\Windows\CurrentVersion\Run

z

HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\Run

系统中的自启动程序

□系统服务

1.使用管理工具中服务选项来管理系统服务

2.系统服务对应的注册表值

HKEY_LOCAL_MACHINE\SOFTWARE\Micr

osoft\Windows\CurrentVersion\RunServices

系统中的自启动程序

口任务计划

在控制面板的任务计划里查看

□动态库文件加载

判断相对困难夕需要有丰富的经验和相应的

工具

系统中的自启动程序

口有用但不为人知的系统启动检测命令msconflg

L常见安全问题及解决方法

1.系统中的自启动程序

2.浏览器的恢复

3.本地病毒木马程序检查

浏览器的恢复

□

IE浏览器容易出现的故障

自动关闭

默认主页被篡改（默认主页被禁止修改）

自动弹出多个页面

浏览器的恢复

□IE浏览器自动关闭的原因很多，例如：

1.系统内存偏小

2,系统内核故障（中木马了）

3.IE软件故障

4.IE与其他应用冲突（如打印进程）

我们可以通过查看事件日志查找IE出错的原

因

浏览器的恢复

□解决IE浏览器自动关闭的方法

1,使用杀毒软件杀毒

2.察看事件记录看看是否记录关闭原因

3,使用修复工具对IE进行修复

4.安装新版本的IE浏览器

5.重新安装操作系统

6.增加系统内存

浏览器的恢复

□IE浏览器手动修复方式（比较复杂）

□修复IE的标题栏：

编辑注册表

HKEY_CURRENT_USER\Software\Microsoft\I

ntemetExplorer\Main

HKEY_LOCAL_MACHINE\Software\Microsof

tMntemetExplorer\Main

找到键值项WindowTitle,修改成你要的或

删除即可

浏览器的恢复

口恢复注册表修改权限

[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\Policies\system]

nDisableRegistryToolsn=dword:00000001

方法1:使用其他注册表编辑器恢复，将

DisableRegistryTools的值改为1

方法2:通过组策略工具修改.

浏览器的恢复

□恢复IE默认主页修改权限的操作：

即“Internet属性”控制面板设置IE主页，

“使用

默认页”、“使用空白页”等按钮变为灰色

不可

用。

口解决方法：

编辑注册表查找

HKEY_CURRENT_USER\Software\Policies\M

icrosoftMntemetExplorer\ControlPanel

删除键值项HomePaee）或将其值改为0

浏览器的恢复

口修改IE默认页

IE默认页为：

/windows/ie_intl/cn/

start/,恶意网站会修改这个地方。

解决方法：_

HKEY_CUR