一个小小的漏洞就很有可能使整个系统瘫痪,还需要及时杀除系统的危险溢出攻击,只有做好自我保护和及时查看危险溢出攻击,才能有效保障系统或整个网络的安全。
不可忽视的安全细节问题
在还未被攻击者入侵之前,必须通过一系列安全设置防范和阻止攻击者的溢出攻击,这也是网络管理员或计算机用户不可忽视的安全细节问题。
端口及服务设置
众所周知,每一项服务都对应相应的端口,如www服务的端口是80端口,SMTP服务的端口是25端口,FTP服务的端口是21端口。由于在默认情况下,Windows系统中的这些服务都是自动开启的,许多服务个人用户根本用不上。反而,开启这些服务会引起黑客的注意,作为用户还要时时提防未来由该服务所引起的其他新漏洞。
那么,最根本的解决办法就是把其中一些无用的端口服务关闭掉。具体的操作步骤如下。
在“控制面板”窗口中双击“网络连接”图标项,打开“网络连接”窗口。右击“本地连接”图标项选择“属性”菜单项,打开“本地连接属性”对话框,在“此连接使用下列项目”列表框勾选" Intemet协议(TCP/IP)”复选项,14-1。
单击“属性”按钮,弹出“Internet协议(TCP/IP)”对话框,14-2。
单击“高级”按钮,在显示的高级TCP/IP设置对话框中,单击“选项”选项卡下的“属性”按钮,打开“TCP/IP筛选”对话框,在其中勾选“启用TCP/IP筛选(所有适配器)”复选框,如果想开放112端口,就在TCP端口上选择“只允许”选项,14-3。
单击“添加”按钮,弹出“添加筛选器”对话框,在其中输入要添加的112端口,14-4。UDP端口的设置步骤同上黑客要想入侵,就必须从所允许开放的端口侵入,从其他被关闭的端口是无法入侵的。
如果系统中的IIS安装了Index Service(索引服务),则需要防范至少三个以上有关这个服务而产生的漏洞。如果不使用这个服务就最好关闭它。关闭Index Service(索引服务)的具体操作步骤如下。
在“控制面板”窗口中双击“管理工具”图标项,打开“管理工具”窗口,在其中双击“计算机管理”图标,打开“计算机管理”窗口,在其中找到索引服务并从右键单击,在弹出的快捷菜单中选择“停止”菜单项,14-5。也可以在“添加/删除程序”窗口中删除索引服务。在“控制面板”中双击“添加,删除程序”图标按钮,打开“添加/删除程序”窗口,在其中选择“添加/删除Windows组件”选项,在打开的“Windows组件向导”对话框中选择“索引服务”,14-6。
单击“下一步”按钮,打开“正在配置组件”对话框,在其中显示了配置组件的进度,14-7。稍等片刻,即可弹出“完成“Windows组件向导””对话框,提示用户已经成功完成了Win,dows组件向导,即把该索引服务删除,14-8。
IPSec与端口认证
下面介绍一些自动关闭危险端口的方法,帮助用户扫描并关闭危险的端口。
1、批量关闭危险端口
用户可使用一个叫做“危险端口关闭小助手”工具自动化关闭端口,具体操作步骤如下。
下载并解压缩“危险端口关闭小助手”工具,在其中双击“自动关闭危险端口.bat”批量处理文件,则可自动打开“命令”窗口,并在其中闪过关闭状态信息,14-9。
关闭结束后,系统中的危险端口就全部被关闭掉了,当程序停止后不要关闭“命令”窗口,这时拨下任意键或继续运行“Win服务器过滤策略”,再进行流行木马服务端口的关闭,全部完成后,系统才做到真正的安全,14-10。
使用“危险端口关闭小助手”工具还可以手工修改、自动关闭端口,利用该功能可把最新端口添加到关闭的列表中。用记事本打开“自动关闭有害端口.bat”文件,可在其中看到关闭端口的重要语句“ipseccmd -w REG-p”HFUT_SECU”-r“Block TCP/1068”一f*+0:1068:TCP—n BLOCK—xnul”,其中TCP参数用于指定关闭端口使用的协议、135参数是要关闭的端口,如阁14-11。
参照上述语句,可以手工添加语句,将一些新的木马病毒使用的端口加入到关闭列表中,如关闭新术马使用的8080端口,则可添加语句“ipseccmd -w REG—p”HFUT_SECU'I.rBlock TCP/8080“一f*+0:1068:TCP.n BLOCK—nul”,14-12。
在添加完毕后,将该文件保存为.bat文件,重新运行即可关闭新添加的端口。
2、lP安全策略,自动化设置
利用Windows XP中自带的IP安全策略来关闭各种危险的端口,并对系统进行可靠的安全保护。在对系统进行保护之前,还需要对IP安全策略进行设置,具体的操作步骤如下。
选择“开始”→“控制面板”→“管理工具”→“本地安全策略”菜单项,打开“本地安全策略”对话框,在其中选择“IP安全策略,在本地计算机”选项,l4-13。
单击鼠标右键,从弹出的快捷菜单中选择“创建lP安全策略”菜单项,打开“欢迎使用"IP安全策略向导’对话框,14-14。
单击下-步”按钮,打开“lP安全策略名称”对话框,在“名称”文本框中输入新创建的lP安全策略的名称,在“描述”文本框中输入对新策略的描述性信息,14-15。
单击”下一步”按钮,打开“安全通信请求”对话框,在其中勾选“激活默认相应规则”复选框,以指定这个策略如何对安全通信的请求做出反应,14-16。
单击”下一步”按钮,打开“默认响应规则身份验证方式”对话框,在其中为此安全规则设置初始身份验证方法,可以来用默认设置,14-17。单击“下一步”按钮,打开“警告”对话框,在其中提示什么情况下该规则生效,14-18。
单击“是”按钮,打开“正在完成lP安全策略向导”对话框,提示用户已经成功完成指定lP安全策略的制定,14-19。如果还不想编辑该规则的属性,则取消勾选“编辑属性”复选框,单击“完成”按钮,返回“本地安全设置”对话框,在其中看到新创建的IP安全策略,14-20。
如果还想要编辑该规则的属性,则勾选“编辑属性”复选框,单击“完成”按钮,打开“新lP安全策略属性”对话框,在其中可以查看新创建的lP安全策略的属性信息,14-21。
如果想要编辑该新lP安全策略的属性,则在“规则”选项卡中单击“编辑”按钮,打开“编辑规则属性”对话框,在其中对规则属性进行添加、删除、编辑、上移和下移等操作,14-22。
在“编辑规则属性”对话框中如果选择“身份验证方法”选项卡,在打开的对话框中可以对lP安全策略的身份验证方法进行修改和编辑等操作,14-23。修改完毕后,单击“确定”按钮,即可自动根据所添加的新IP安全规则对系统进行保护了。
“IP安全策略自动设置工具”是一个比较好用且功能多样的工具,为用户提供了3种网络类型,可以关闭和开启常见的危险端口,在本机未安防火墙时,可以有效保护系统的安全。
使用"IP安全策略自动设置工具”的操作步骤如下。
下裁并运行“lP安全策略自动设置工具”后,打开该工具的主界面,在其中用户可以看到该工具提供的3种网络类型,14-24。
在lP安全策略自动设置工具主界面中选择第1项,弹出“普通Pc安全过滤策略”对话框,在其中可以查看第1项的说明性信息,14-25。
单击“是”按钮,即可自动打开修改lP安全策略的窗口,程序会自动调用系统中的“ipseccmd”命令来修改IP安全策略设置,14-26。
关闭网上邻居和共享。用WinRAR工具打开lP安全策略自动设置工具主程序“IPsec自动设置工具.exe”,在其中看到有4个自解的文件,14-27。
使用相同方法解压缩“普通Pc安全过滤策略.exe”文件,再解压缩其中的“普通PC安全过滤策略.bat”文件并用记事本打开,搜索其中以“rem ipseccmd...”开头的字符串,去掉前面的“rem”字符,14-28。
在修改完毕后保存该文件,重新将“普通Pc安全过滤策略.bat”文件拖入到“普通PC安全过滤策略.exe”压缩包中,双击执行后,即可禁止网上邻居的其享文件传输,并禁止:“NetBIOS/SMB”服务、文件和打印机共享。
3、 使用第三方防火墙过滤端口
目前,常用的第三方防火墙软件有天网、诺顿、Outpost Firewall Pro和Comodo等,这里以Outpost Firewall Pro防火墙为例讲述如何对危险端口(如139、445等)进行过滤。
具体的操作步骤如下。
下载并安装Outpost Firewall Pro防火墙,安装完成后双击系统桌面右下角的Outpost Firewall Pro防火墙图标,打开该防火墙的主界而,14-29。
单击“设置”按钮,打开“设置”对话框,在其中选择“攻击检测”选项,打开“攻击检测”设置区域,14-30。
在“攻击检测等级”设置区域中单击“自定义”按钮,打开“攻击检测”对话框,在“高级”选项卡中有“攻击列表”和“弱点端口”两个设置区域,14-31。
在“弱点端口”设置区域中单击“指定”按钮,打开“漏洞端口”对话框,在其中指定希望Outpost Firewall Pro加强警戒的端口,用于改善攻击的可检测性,14-32。
在“系统端口”选项卡中单击“添加”按钮,打开“添加端口”对话框,在“协议”下拉列表框中选择需要过滤端口相对应的协议,这里选择“TCP”协议,将端口设置为“139”,“等级”设置为“IO”,在“说明”文本框中输入对该端口的描述性信息,如“魔鬼波病毒攻击检测”,14-33。
单击“确定”按钮,在“系统端口”选项卡中看到新添加一条检测规则。也可以将其他危险端口(如445端口)添加到防范规则之中,单击“确定”按钮,关闭“漏洞端口”对话框,14-34。
在设置好攻击检测后,只要有本地程序使用或远程主机访问139或445危险端口,Outpost FireWall Pro就会弹出攻击提示信息,14-35。
在“Outpost FireWall Pro”主界面中选择“事件查看器”下的“攻击检测”选项,在右侧的窗格中查看攻击日志列表,并找到攻击的来源地,14-36。
利用Outpost FireWall Pro除了可以对危险端口进行过滤外,还可以利用该防火墙来查杀木马病毒,以及相关的间谍软件。具体的操作步骤如下。
在“Outpost FireWan Pro”窗口中单击“扫描间谍软件”按钮,打开“按需间谍软件扫描器”对话框,在其中选择扫描的类型(如选择“全部系统扫描”单选项),14-37。
单击“下一步”按钮,打开“正在扫描间谍软件”对话框,在其中显示了扫描的进度条、已扫描的对象、估计剩余时间等信息,14-38。
在扫描过程中如果检测到间谍程序,会弹出“为已检测的对象指定操作”对话框,如果想要把间谍软件隔离,则可以单击“全部选择”按钮,14-39。
单击“下一步”按钮,打开正在处理已检测的对象”对话框,在下方的空白区域显示出处理的时间和操作,14-40。
单击“下一步”按钮,打开“查看扫描结果”对话框,在其中列出了己检测到间谍软件的个数、已检测可疑对象的个数等相关信息,14-41。
单击“完成”按钮,返回到“Outpost FireWall Pro”主界面,在该界面的左侧窗阁中选择反间谍软件”下的“隔离”选项,在“隔离”区域中查看已经隔离的间谍软件。如果想要删除该间谍软件,则可单击“删除”按钮,14-42。
严格控制关键系统文件
黑客在得到CMD Shell之后,会使用一些系统内置的关键命令来对服务器进行继续攻击,如使用“net.exe”命令添加账号和开放远程终端等,从而达到进一步控制服务器的目的。因
此,要防止黑客在溢出后进一步扩大攻击需要对系统中的关键文件程序进行严格的控制。
1、系统内置危险程序
黑客在得到CMD Shell之后,可以利用系统内置的危险程序命令进行进一步的攻击,常见的危险程序命令有cmd.exe、net.exe、ipconfig.exe、user.exe、query,exe、re gedit.exe、regsvr32,exe、regedt32,exe. reg.exe、nestat.exe、tasklist.exe、taskkill.exe、form at.exe、telnet.exe、ftp.exe、tfip.exe等。对于这些危险的程序命令,可以对其进行删除、移动或重命名等操件。但在删除、移动和重命名之前,需将“%windir(Xo\system32\dllcache”目录之下对应的文件进行删除、移动或重命名等。
2、设置程序权限控制
使用Windows系统中NITFS分区的访问控制表Access Control Lists (ACLs)对程序文件的访问权限进行控制。下面以“net,exe”命令为例对其进行权限控制,具体的操作步骤如下。
在“%windir%\system32”目录下找到要控制的命令程序文件“net.exe”,再右击该文件,存弹出的快捷菜单中选抒“共享和安全”或“属性”命令,打开“net.exe属性”对话框,14-43。
在“安全”选项卡中选择“Users”选项,单击“删除”按钮。将“Users”从用户列表中删除。将所有用户组删除。单击“确定”按钮关闭该对话框,14-44。
此时,“net.exe”程序已经被完全禁用,如果有任何用户再试图调用此程序时,就会弹出错误提示对话框,提示程序文件无法访问,I4-45。
在“net属性”对话框中如果要删除用户权限,则会弹出警告信息提示框,14-46。而且在查看该组用户对象的权限时,其复选框是灰色的,表明此权限是从父对象继承来的。14-47。
在“net.exe属性”对话框中单击“高级”按钮,打开“netrexe的高级安全设置”对话框,选择“权限”选项卡并取消勾选“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框,弹出“安全”对话框,14-48。
在“安全”对话框中单击“删除”按钮,则“权限”选项卡中所有通过继承获
得的权限都被删除,14-49。
在删除继承权限后,即可删除用户组的权限。单击“确定”按钮返回“安全”选项卡,所有用户组都被删除,14-50。
除可以完成禁止程序的调用外,也可以对可用程序的用户组进行自定义。在“net.exe属性”对话框中单击“添加”按钮,打开“选择用户或组”对话框,在“输入对象名称来选择”文本框中输入要添加的用户名称,14-51。
或在“选择用,,或组”对话框中单击“高级”按钮,展开“选择用户或组”高级设置区域,单击“立即查找”按钮,会在空白区域中显示出所有用户组,14-52。
在其中选择需要添加的用户组,单击“确定”按钮,返同到“安全”选项卡,在其中看到新添加的用户,在权限列表中设置“完全控制”项为“拒绝”状态,即可禁止System用户组访问此程序文件,14-53。
3、 对CMD进行加密
在溢出成功后,黑客必须调用系统中的“cmd.exe”程序获得CMD Shell,要想阻止黑客的这一行为,必须对CMD进行权限控制。用户可对CMD进行完全禁用,不允许任何用户试图调用该程序。对于经常使用CMD的用户这种方法并不合理,可对CMD进行一些特殊处理,常用方法足对其进行加密处理。
下载并解压缩“加密CMD防溢出工具”压缩包,在其中双击可执行文件,打开“加密CMD防溢出工具”主窗口,14-54。
单击“加密CMD”按钮,弹出成功加密提示框,且默认密码是:“admin”,14-55。在加密成功后,再运行CMD程序时会要求用户输入密码才能登录,14-56。
如果想要修改默认的密码,则可以单击“加密CMD防溢出工具”主窗口中的“修改信息”按钮,打开“修改CMD窗口信息”代码窗口,将“admin”参数修改为自己设置的密码,14-57。
在修改完毕后,从右键单击,在弹出的快捷菜单中选择“保存”菜单项保存为需要的密码,即可弹出“信息”对话框,提示用户保存成功,14-58。如果不想再为CMD加密,则单击“解密CMD”按钮弹出“信息”对话框,提示用户解密成功,14-59。
在对CMD进行加密后,即使黑客获得了CMD Shell,但是在利用系统命令添加账号时,会通过tfip、ftp和vbs等方式上传文件或进一步控制服务器时,由于各种命令被进行了权限
设置,也无法获取溢出主机的控制权,这就起到了保护主机的目的。
秒杀危害溢出攻击
溢出攻击之所以被广泛地应用,主要原因是其攻击手段防不胜防,要想确保服务器的安全就必须多管齐下,从程序和系统的安全性等各方面入手,才能有效遏制远程溢出攻击。
扫描漏洞隐患
在为系统打补丁之前,需要事先检测系统中存在的漏洞,可以使用前面介绍的各种检测。扫描工具也可以使用专业的漏洞扫描工具,常用的专业漏洞扫描工具是GFI LANguard 9.5。
1、 GFI LANguard的安装
GFI LANguard 9.5的安装与以前的版本不尽相同,在安装的过程中需要设置登录的用户
名和密码,还需要配置GFI LANguard 9,5运行的组件信息。具体的操作过程如下。
GFILANguard官方下载地址是ftp//frp.langu ard.com/lannetsc an.exe,单击“转到”按钮,打开“文件下载”对话框,14-60。
单击“保存”按钮,在“另存为”对话框中设置文件的保存位置下载完毕后,双击lanneiscan,exe安装程序,打开“GFI LANguard 9.5”对话框,在其中显示了其提取
LANguard .exe文件的过程,14-61。
提取完成后,弹出“Select the larnguage(选择语言)”对话框,单击其中的下三角按钮,从语言列表中选择“English(英语)”选项(目前还没有汉化版),14-62。.
单击“OK”按钮,即可打开“Prerequisites Check(条件检查)”对话框,在其中显示了运行OFJ LANguard 9.5的先决条件,即需要在系统中安装Microsofi .NET Framework2.0组件,14-63。
单击“Next”按钮,下载保证GFI LANguard 9,5正常运行的组件信息并显示下载进度,14-64。等待下载完成后,自动安装Microsofi .NET Framework 2PO组件,14-65。
在Microsoft .NET Framework 2.0组件安装完成后,弹出“Installshield Wizard(安装向导)”提示框,在其中显示正在提取GFI LANguard 9.5.msi文件,14-66。
在“Setup Status(安装状态)”对话框中显示了提取安装文件的进度,14-67。提取安装文件完成后,打开“Welcome to the GFI LANguard 9.5 Installation Wizard(欢迎使用GFI LANguard 9,5安装向导)”对话框,在其中可查看GFII。ANguard 9.5的相关说明性信息,14-68。
单击“Next”按钮,打开“License Agreement(许可证协议)”对话框,在其中显示了使用GFI LANguard 9.5相关协议并选择“I Accept the terms of License Agreement(我接
受这些条件的许可协议)”单选项,14-69。
单击“Next”按钮,打开“Customer Information(客户信息)”对话框,在其中输入相关的客户信息,14-70。单击“Next”按钮,打开“Attendant service credentials(服务员的服务证书)”对话框,在“用户名”和“密码”文本框中输入用户名和密码,14.-71。
单击“Next”按钮,打开“Choose Destinat{on Location(选择目标位置)”对话框。单击“Browse(浏览)”按钮,即可设置程序安装的位置,也可以采用系统默认的安装位置,14-72。
单击“Next”按钮,开始安装GFI LANguard 9.5程序,并显示安装进度,14-73。等待安装完成后,打开“Add-ons(添加附件)”对话框,询问用户是否下载安装GFI LANguard 9,0的报告包组件,如果需要安装,则勾选“Download and install OFILANguard ReportPack”复选框,14-74。
单击“Next”按钮,开始下载GFI LANguard 9.o的报告包组件,等下载完成后,系统会自动安装GFI LANguard 9.O的报告包组件,14-75。
等GFI LANguard 9.o的报告包组件安装完成后,弹出“Setup Status Complete(安装状态完成)”对话框,14-76。单击“Complete”按钮,打开“GFI LANguafd 9+5”主窗口,14-77。
3、使用定制配置文件进行扫描
利用GFI LANguard 9.5扫描工具和事先定制好的配置文件可以进行扫描,还可通过具体
设置扫描系统中的漏洞信息。具体的操作步骤如下。
在/GFI LANguard主界面中选择“Conrigurationc配置)选项卡,在“Conflguration”窗格中选择“Scanning Profiles(扫描配置文件)”选项,在默认扫描配置文件之中,包括 “Complete/Combination Scans(综合扫描)”、“Vu-Inefability Assessment(漏洞评估)”、“Nerwork&Sofiware Audit(网络,程序审计)”三个选项,14-78。
用户在左例的配置文件选项中可选择任意选项,这里选择“Complete/Combination·Scans(综合扫描)”选项,在右侧窗格中看到该选项下包含的子选项,14-79
在“综合扫描”选项下包含了多个选项,用户可以根据自己的需要选择相应的扫描方式,这里选择“Full Scans Active”,单击后而的“Edit this profle”超级链接,打开“OFILANguard Scanning profiles Editor”窗口,在其中可以更改扫描的端口选项以及扫描漏洞信息,如设置扫描的FTP、RPC端口、选择漏洞类型和补丁’设置等,14-80。
单击“关闭”按钮关闭该窗口,在“GFI LANguard 9,5”主窗口“Network Audit(网络审计)”选项卡中选择扫描的方式,14-81。
单击“Quick Scan(快速扫描)”按钮图标,打开“Stepl of2:Detlne target computers”对话框,在其中扫描的目标主机,可以选择对本台计算机进行扫描,也可对指定IP地址的主机进行扫描,这里选择对本台计算机进行扫描,14-82。
单击“Next”按钮,打开“Step 2 0f2:Remote logon credentials”对话框,在其中可采用系统默认设置,14-83。单击“Scan”按钮,按照定制的配置文件对本台计算机进行快速扫描,扫描结束后则给出相应扫描结果,14-84。
如果想要具体分析扫描结果,则单击“Anatyze scan Results”按钮,在“Analyze”选项卡选择“Scan Results”列表项,在右侧窗格中对扫描结果进行查看,14-85。
4、扫描安全漏洞隐患
使用gFI LANguard 9.5 工具可以扫描局域网上主机所存在的安全漏洞隐患,其扫描的具体操作步骤如下。
启动GFl LANguard 9.5扫描工具,选择“Confg'uration”选项卡,在“Configuration”窗格中选择“Vulnerability Assessment”选项,14-86。在各个子选项中单击“HighSecurity Vulnerabilities”后面的“Set as Active”超级链接,将“高危险漏洞”设置为当前活动状态,14-87。
选择“Network Audit"选项卡,在其中选择扫描的方式,如“Full Scan”选项,单击“Full Scan”图标按钮,打开“Stepl of 2:Define target computers”对话框,在其中勾选“Scan another computer”单选项,在文本框中输入指定计算机的lP地址,对指定计算机进行扫描,14-88。
单击“Next”按钮,打开“Step 2 0f 2:Remote logon credentials”对话框,在下方设置界面中可采用系统默认设置。单击“Scan”按钮,对指定计算机的高危险漏洞进行扫描,14-89。
扫描完成后,打开“Scan Completed!”对话框,在其中给出了扫描的属性信息以及扫描结果报告,14-90。单击“Analyze scan Results”按钮,在“Analyze”选项卡选择“Scan Resuks”列袤项,在右侧窗格中给出了详细的扫描结粜,并对扫描出来的漏洞信息进行了分类,14-91。
在“Analyze”窗格中选择“Results Filtering”选项,在下侧窗格中列出详细的过滤列表,选择“Full Report,”可显示出所有扫描报告,I4-92。
如果用户想要有针对性地查看各种扫描报告信息,则可以选择扫描报告相应的过滤项目,如选择“Vulnerabilities(High Seculnity)”,则可以过滤掉其他的结果只显示高危漏洞,14-93。
5、 为系统安全漏洞打上补丁
检测局域网中所有主机是否都安装上相应补丁比较繁琐,但使用GFI LANguard扫描工
具可快速检查出缺失的补丁,并为其安装上相应补丁程序。具体的操作步骤如下。
在GFI LANguafd扫描工具中选择“Configuration”选项卡,在“Confkuration”窗格中选择“Vulnerability AssesSment(漏洞评估)”选项,单击“Missing Patches(遗漏补丁)”后面的“Set as Active”超级链接,将“遗漏补丁’”设置为当前活动状态,14-94。
参照上述扫描系统漏洞的方式设置扫描的主机类型、主机地址等相关信息。扫描结束后,在“Network Audit(网络审计)”选项卡下的“Analyze(分析)”窗格中选择“Scanresults”选项,再在右侧的“Scan Results Overview”窗格中选择“Missing Service Patches”或“Missing Patches”选项,即可在右侧的窗格中查看局域网中有哪些主机存在未打补丁的漏洞洞,以及补丁的详细信息等,14-95。
快速安装漏洞补丁。右击扫描结果中的漏洞,从弹出菜单中选择“DeployMicrosofi Updates”菜单项,该菜单项用户为漏洞主机打上系统补丁,再选择“Service Packs on”→“All computer”菜单项,为所有主机打上该漏洞的补丁程序,14-96。
利用GFI LANguard 9.5扫描工具还可以找出局域网中的间谍,在“Quick Launcha New Scan”窗格中单击“Profile”下拉按钮,从弹出列表中选择“Software Audit”选项,14-97。
单击“Scan”按钮,扫描局域网网中的间谍软件,扫描完成后,在下面的窗格中显示出扫描结果,14-98。在列表中还有许多有针对性的扫描目标选项,如端口扫描、共享扫描、USB设备扫描等,14-99即为系统中开放的端口信息。
通过使用gFI LANguard 9.5扫描工具。可以对整个局域网中的安全状态做个全面的了解。还具有许多特色的功能,如发现不用的本地用户、用户组、检测密码规则、共享权限报告等,还可以通过自定义扫描配置文件来创建台适自己的扫描类型。
自动为系统打补丁
用户可以在主机系统中将系统的自动更新服务打开,让主机自动连接到Microsofi Update网站进行补丁的更新。这里以Windows XP操作系统为例讲述如何设置系统的自动升级并为漏洞打上补丁。具体操作步骤:在“控制面板”窗口中双击自动更新”图标,打开“自动更新”对话框,在其中选择“自动(建议)”单选项,在文本框中设置自动更新时间,14-100。单击“确定”按钮,自动按照设置下载系统漏洞补丁并自动进行安装。
强制安装补丁
为局域网中的每台主机都打上安全补丁,以保证整个网络不遭受网络渗透攻击较常用的方法就是为局域网中的各台主机强制安装上补丁程序。
1、安装360漏洞修复网管版
360漏洞修复网管版分为内网服务端软件和内网客户端软件。安装内网服务端软件的操作步骤如下。
双击下载的360漏洞修复网管版(服务端)可执行文件,打开“360漏洞修复网管版(服务端)I.O”对话框,在其中提示用户在开始安装该软件之前,关闭其他所有的应用程序,14-101。
单击"下一步”按钮,打开“许可证协议”对话框,提示用户在安装“360漏洞修复网管版(服务端)l0”之前,阅读其中的相关授权协议信息,14-102。
如果对相关的授权协议无异议,则单击“我接受”按钮,打开“选择安装位置”对话框,在“目标文件夹”文本框中通过单击“浏览”按钮设置程序安装的位置,也可采用系统默认的安装位置,14-103。
单击“下一步”按钮,打开“选择“开始菜单”文件夹”对话框,在下方的列表框中选择“开始菜单”文件夹,以方便创建程序的快捷方式,14-104。
单击“安装”按钮,开始安装360漏洞修复网管版(服务端)程序,安装完成后,程序会自动弹出“正在完成“360漏洞修复网管版(服务端)1.0”安装向导”对话框,提示用户已经把该程序安装到系统之中,14-105。单击“完成”按钮,即可打开“360漏洞修复网管版(服务端)I.O”程序主窗口,14-106。
安装内网客户端软件的操作步骤如下。
360漏洞修复客户端压缩包解开后,共有两个文件;主安装程序Setup_360hfForLAN_Client,exe和安装程序的配置文件config,ini.14-107。
打开Config.ini文件,可以看到两个字段:ServerIP=:ServerPort-,其中,ServerIP字段设置的是内网服务器的lP地址,ServerPoIl字段设置的是内网服务器的端口号。网管需要根据自己的内网设置,指定这两个参数,其他的参数则无需设置,14-108
双击其中的360漏洞修复网管版(客户端)可执行文件,如果弹出l4-109信息提示框,则说明系统中没有安装360安全卫士,需把360安全卫士安装在该系统中。
把360安全卫士安装完毕后,再重新双击下载的360漏洞修复网管版(客户端)可执行文件,即可打开“360漏洞修复网管版(客户端)1.0”对话框,在其中提示用户在开始安装该软件之前,关闭其他所有的应用程序,14-110。
单击“下一步”按钮,打开“许可证协议”对话框,提示用户在安装“360漏洞修复网管版(客户端) I.O”之前,阅读其中的相关授权协议信息,14-111。
如果对相关的授权协议无异议,则单击“我接受”按钮,打开“选择安装位置”对话框,在“目标文件夹”,文本框中通过单击“浏览”按钮设置程序安装的位置,也可采用系统默认的安装位置,14-112。
单击“下一步”按钮,打开“选择“开始菜单”文件夹”对话框,在下方的列表框中选择“开始菜单”文件夹,以方便创建程序的快捷方式,14-113。
单击“安装”按钮,开始安装360漏洞修复网管版(客户端)程序。在安装完成后即可自动弹出“正在完成“360漏洞修复网管版(客户端)1O”安装向导”对话框,提示用户已经把该程序安装到系统中。这样,程序就在后台自动运行了,且每隔一段时间便会自动前往内网服务器查询最新补丁库并根据最新补丁库扫描本机,14-114。
2、使用360漏洞修复网管版
在局域网中的服务器端和客户端分别安装好360漏洞修复网管版服务端和客户端软件后,下面利用该软件工具对局域网中的各个主机的漏洞补丁进行管理。具体的操作步骤如下。
在360漏洞修复网管版(服务端)软件主窗口中单击“补丁管理”图标按钮并选择“补丁库”选项卡,在列表框中选择希望向客户端分发的补丁,14-115。
单击“下载补丁”按钮,打开“保存并下载”对话框,提示用户是否保存当前对补丁库的修改,I4. 116。单击“是”按钮,即可自动从微软官方网站上下载这些补丁的安装包,在下方显示出下载的进度,14-117。
单击“启动分发”按钮,开始补丁分发服务。在补丁分发服务执行期问,用户无法对当前补丁库做编辑,只能在单击“停止”按钮停止补丁分发服务后才可编辑补丁库,14-118。
查看补丁安装日志在360漏洞修复网管版(服务端)软件操作主界面中单击“安装日志”图标按钮,打开“安装日志”窗口.在其中显示了客户端下载和安装补丁的日志信息,且客户端在每次成功执行扫描或补丁安装任务后,都会向服务器发送安装日志,在该界面即可查看所有上传的日志信息,14-119。
单击“软件配置”图标按钮,打开“软件配置”操作界面,在其中可以对软件进行各常用信息的配置管理,14-120。若选择“开机自动运行”单选项,则每次打开计算机,登录到系统后本程序自动执行。
在“软件配置”界面中单击“高级设置”按钮,打开“本机lP监听设置”对话框,用户可在此界面设置服务端监听的lP地址,例如本机只有一个IP地址192.168.0.6,则可以选择监听192.168.0.6,端口为6000,此时服务端只会接受向192.168.0.6:6000发起请求的客户端。若本机存在多个lP,如同时存在192.168.0.6和192.168.0.7,但用户只希望本服务端使用后一个lP接受客户端的请求,则在下拉框中选择192,168.0.6,同时设定端口号,最后单击“增加”按钮,单击“保存”按钮。默认情况下,软件将对本机存在的所有rP的6000端口进行监听,14-121。
单击“状态信息”图标按钮,打开“状态信息”设置界面,在“运行状态”选项卡中显示了补丁分发服务的状态和运行日志。单击“检查更新”按钮,获得360发布最新补丁库。单击“检查软件更新”按钮,可获得最新升级信息,14-122。
点拨1:在设置系统服务和端口的过程中,当打开某exe文件的属性窗口时,为什么没有显示出“安全”选项卡,怎样才能调出“安全”选项卡呢?
解答:“安全”选项卡是计算机NTFS分区上特有的,Windows通过“安争”选项卡中设定的ACL(访问控制列表)来进行详细的文件访问权限控制。对于Windows XP系统,为了适应家庭用户娱乐的需要,Microsofi推出了一种新的文件共享方式,即“简单文件共享”。对于开启了“简单文件共享”的机器,其文件或文件夹的“属性”窗口中是没有“安全”选项卡的,而Windows XP安装好后默认“简单文件麸享”功能是开启的。
要想使文件或文件夹的属性对话框中显示“安全”选项卡,则需要关闭“简单文件共享”功能,关闭的方法是:在“控制面板”窗口中打开“文件夹选项”对话框,在“查看”选项卡中取消勾选“使用简单文件共享(推荐)”复选框,单击“确定”按钮,关闭“简单文件共享”功能,同时开启“安全”选项功能。
点拨2:用户在使用互联网的同时,也给黑客的入侵提供了许多机会,作为计算机用户,在防止网络渗透入侵方面应注意哪些问题才能有效预防渗透入侵呢?
解答:用户在上网过程中应时刻提高警惕,防止黑客渗透入侵攻击,作为用户要时刻做到如下几点。
经常清除“开始”菜单中的“我最近使用的文档”菜单项和应用程序中“最近打开的文件”菜单:
及时清空回收站和Windows系统下的临时文件;
经常清除网络浏览历史记录、网页浏览器地址栏(URL)清单以及Cookie信息;
使用QQ时最好不要在电脑内保存密码,最好给QQ 申请密保;
经常升级自己的漏洞补丁并对自己的计算机进行杀毒。