惡意軟件的深度防護(hù)

惡意軟件的深度防護(hù)第1頁，課件共40頁，創(chuàng)作于2023年2月

本章重點(diǎn)如下：什么是惡意軟件？它們的主要特征及運(yùn)行機(jī)制是什么？端口的檢測與木馬的清除方法蠕蟲的檢測與清除方法惡意代碼和網(wǎng)絡(luò)蠕蟲的防護(hù)

Windows系統(tǒng)TCP/IP堆棧強(qiáng)化措施惡意軟件的深層防護(hù)方法第2頁，課件共40頁，創(chuàng)作于2023年2月2.1認(rèn)識惡意軟件

2.1.1什么是惡意軟件？

“惡意軟件”通俗地講是指代凡是自身可執(zhí)行惡意任務(wù)，會(huì)給目標(biāo)系統(tǒng)帶來破壞性的軟件。從大的方面來劃分的話就包括計(jì)算機(jī)病毒程序和黑客程序兩類，細(xì)分的話可以分為計(jì)算病毒（Virus）、蠕蟲（Worm）、木馬程序（TrojanHorse）、后門程序（Backdoor）、邏輯炸彈（LogicBomb）等）幾類。

1.特洛伊木馬

特洛伊木馬屬于黑客程序的一種，它的作用是潛入目標(biāo)計(jì)算機(jī)系統(tǒng)收集有關(guān)信息，然后再把這些信息通過一定的方式反饋給在遠(yuǎn)程監(jiān)控的黑客。

2.網(wǎng)絡(luò)蠕蟲

網(wǎng)絡(luò)蠕蟲可以通過網(wǎng)絡(luò)連接自動(dòng)將其自身從一臺(tái)計(jì)算復(fù)制機(jī)分發(fā)到另一臺(tái)計(jì)算機(jī)上，這與計(jì)算機(jī)病毒非常類似，所以有人把它劃分為計(jì)算機(jī)病毒類型。第3頁，課件共40頁，創(chuàng)作于2023年2月3.計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是我們最常見的一種惡意軟件，其代碼的明確意圖就是自行通過感染其它文件進(jìn)行復(fù)制，然后破壞其它正常文件。病毒嘗試將其自身附加到宿主程序，以便在計(jì)算機(jī)之間進(jìn)行傳播。宿主程序執(zhí)行時(shí)，病毒代碼也隨之運(yùn)行，并會(huì)感染新的宿主，有時(shí)還會(huì)傳遞額外負(fù)載。它可能會(huì)損害硬件、軟件或數(shù)據(jù)。

區(qū)分是病毒，還是蠕蟲、木馬的方法很簡單。如果惡意代碼將其自身的副本添加到文件、文檔或磁盤驅(qū)動(dòng)器的啟動(dòng)扇區(qū)來進(jìn)行復(fù)制，則認(rèn)為它是計(jì)算機(jī)病毒，否則如果能自身復(fù)制，則是網(wǎng)絡(luò)蠕蟲，不能復(fù)制的則是特洛伊木馬。計(jì)算機(jī)病毒復(fù)制的副本可以是原始病毒的直接副本，也可以是原始病毒的修改版本。

計(jì)算機(jī)病毒通常會(huì)將其包含的負(fù)載（例如特洛伊木馬）放置在一個(gè)本地計(jì)算機(jī)上，然后執(zhí)行一個(gè)或多個(gè)惡意操作（例如刪除用戶數(shù)據(jù)）。但是，僅進(jìn)行復(fù)制且不具有負(fù)載的計(jì)算機(jī)病毒仍是惡意軟件問題，因?yàn)樵摬《咀陨碓谄鋸?fù)制時(shí)可能會(huì)損壞數(shù)據(jù)、消耗系統(tǒng)資源并占用網(wǎng)絡(luò)帶寬。

本節(jié)詳細(xì)內(nèi)容參見書本P42~P43頁。第4頁，課件共40頁，創(chuàng)作于2023年2月2.1.2什么是非惡意軟件

以前我們通常是這樣理解惡意軟件，那就是對我們可能造成威脅的都應(yīng)算是惡意軟件，其實(shí)現(xiàn)在通常不這么認(rèn)為。有許多存在的威脅并不被認(rèn)為是惡意軟件，因?yàn)樗鼈儾皇蔷哂袗阂獾挠?jì)算機(jī)程序。常見類型的非惡意軟件如下：玩笑軟件惡作劇欺詐軟件垃圾郵件間諜軟件彈出廣告軟件

InternetCookie

本節(jié)詳細(xì)內(nèi)容參見書本P44~P45頁。第5頁，課件共40頁，創(chuàng)作于2023年2月2.1.3惡意軟件的主要特征

每類惡意軟件可以表現(xiàn)出來的各種特征通常非常類似。例如，病毒和蠕蟲可能都會(huì)使用網(wǎng)絡(luò)作為傳輸機(jī)制。然而，病毒會(huì)尋找文件以進(jìn)行感染，而蠕蟲僅嘗試復(fù)制其自身。以下分別從攻擊環(huán)境組件、攜帶者對象、傳播方式、入侵或攻擊方式、觸發(fā)機(jī)制和防護(hù)機(jī)制等幾個(gè)方面說明惡意軟件的一些典型特征。

1.攻擊環(huán)境組件

通常情況下，惡意軟件在攻擊宿主系統(tǒng)時(shí)所需的組件包括：宿主系統(tǒng)、運(yùn)行平臺(tái)和攻擊目標(biāo)三個(gè)。

2.攜帶者對象

如果惡意軟件是病毒，它會(huì)試圖將攜帶者對象作為攻擊對象（也稱為宿主）?？墒褂玫哪繕?biāo)攜帶者對象數(shù)量和類型因惡意軟件的不同而不同，最常用的惡意軟件目標(biāo)攜帶者包括：可執(zhí)行文件、腳本和控件、宏、啟動(dòng)扇區(qū)和內(nèi)存等。第6頁，課件共40頁，創(chuàng)作于2023年2月3.傳播方式

在惡意軟件傳播中主要存在：可移動(dòng)媒體、網(wǎng)絡(luò)共享、網(wǎng)絡(luò)掃描、對等（P2P）網(wǎng)絡(luò)、電子郵件和安全漏洞幾種途經(jīng)。

4.入侵或攻擊方式

一旦惡意軟件通過傳輸?shù)竭_(dá)了宿主計(jì)算機(jī)，它通常會(huì)執(zhí)行相應(yīng)的入侵或攻擊，在專業(yè)上稱之為“負(fù)載”操作。入侵和攻擊方式可以有許多類型，常見的包括：后門非法訪問、破壞或刪除數(shù)據(jù)、信息竊取、拒絕服務(wù)（DoS）和分布式拒絕服務(wù)（DDoS）等。

5.觸發(fā)機(jī)制

觸發(fā)機(jī)制是惡意軟件的一個(gè)特征，惡意軟件使用此機(jī)制啟動(dòng)復(fù)制或負(fù)載傳遞。典型的觸發(fā)機(jī)制包括：手動(dòng)執(zhí)行、社會(huì)工程、半自動(dòng)執(zhí)、自動(dòng)執(zhí)行、定時(shí)炸彈和條件執(zhí)行等幾種。

6.防護(hù)機(jī)制

惡意軟件要實(shí)現(xiàn)他們的目的，當(dāng)然首要要做的就是先保護(hù)好自己不被用戶發(fā)現(xiàn)，所采取了許多防護(hù)措施包括：裝甲、竊取、加密、寡態(tài)和多態(tài)這幾種方式。

本節(jié)詳細(xì)內(nèi)容參見書本P46~P50頁。第7頁，課件共40頁，創(chuàng)作于2023年2月2.2木馬的檢測、清除與防范

木馬程序不同于病毒程序那樣感染文件，而是作為一種駐留程序隱藏在系統(tǒng)內(nèi)部。木馬一般是以尋找后門、竊取密碼和重要文件為主，還可以對電腦進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作，具有很強(qiáng)的隱蔽性、突發(fā)性和攻擊性。由于木馬具有很強(qiáng)的隱蔽性，用戶往往是在自己的密碼被盜、機(jī)密文件丟失的情況下才知道自己中了木馬。本節(jié)要向大家介紹如何檢測自己的計(jì)算機(jī)是否中了木馬，以及中了木馬如何清除，平常應(yīng)做的防范措施又有哪些等方面的內(nèi)容。第8頁，課件共40頁，創(chuàng)作于2023年2月2.2.1木馬的手工檢測、清除與防范方法

手工檢測木馬的方法有多種，但常用的可以采用以下幾種主要方式：查看開放端口

通常使用一些專門的工具軟件進(jìn)行，如Windows系統(tǒng)自帶的netstat命令，它的語法格式為：netstat[-a][-e][-n][-o][-pProtocol][-r][-s][Interval]。通過運(yùn)行這個(gè)命令即可查看當(dāng)前系統(tǒng)中哪些端口正在使用，再與當(dāng)前系統(tǒng)中打開的軟件系統(tǒng)相比較就可以比較容易地分析出哪些端口是正在被木馬軟件利用。還有一款Fport軟件，與netstat工具類似，但功能更加強(qiáng)大，是一款非常流行的端口檢測軟件。圖形化界面工具ActivePorts則一款可以在圖形界面中操作的端口檢測軟件。它們都可以查看當(dāng)前打開了哪些端口，然后與當(dāng)前系統(tǒng)中正常軟件系統(tǒng)使用的端口和本書后面提供的木馬軟件使用的端口表對照即可發(fā)現(xiàn)自己的系統(tǒng)是否中了木馬。第9頁，課件共40頁，創(chuàng)作于2023年2月

查看win.ini和system.ini系統(tǒng)配置文件

因?yàn)槟抉R程序會(huì)經(jīng)常修改win.ini和system.ini這兩個(gè)文件，以達(dá)到隱藏，并且隨系統(tǒng)啟動(dòng)而自動(dòng)啟動(dòng)的目的，所以在一定程度上我們通過查看這兩個(gè)文件是否有被修改可以判別是否中了木馬。當(dāng)然并不是所有木馬程序都會(huì)修改這兩個(gè)文件，而且要想從這兩個(gè)文件中發(fā)現(xiàn)是否被修改也是有相當(dāng)難度的，至少要知道相應(yīng)木馬修改這兩個(gè)文件的一般特征，才有針對性地去查看。

有的木馬是通過修改win.ini文件中windows節(jié)中的“l(fā)oad=”和“run=”項(xiàng)語句實(shí)現(xiàn)自動(dòng)加載的。在system.ini文件中通常是修改boot節(jié)中的語句。所以我們著重要查看這兩個(gè)文件中的這兩節(jié)中的語句，看它們所加載的程序是否屬于正常程序。一些常見木馬的清除方法也將在本書附錄列舉。查看啟動(dòng)程序

要查看系統(tǒng)啟動(dòng)文件，可以通過系統(tǒng)配置程序進(jìn)行，在“運(yùn)行”窗口輸入msconfig命令，在打開的對話框中選擇“啟動(dòng)”選項(xiàng)卡，如圖2-1所示。第10頁，課件共40頁，創(chuàng)作于2023年2月

查看系統(tǒng)進(jìn)程

通?？梢酝ㄟ^查看系統(tǒng)進(jìn)程來推斷木馬是否存在，只是由于我們不是對所有正常進(jìn)程的名稱和用途完全了解，所以難以區(qū)分哪個(gè)進(jìn)程是木馬程序進(jìn)程而已。系統(tǒng)進(jìn)程的查看可以在WindowsNT/XP系統(tǒng)中，按下〖CTRL〗+〖ALT〗+〖DEL〗組合鍵來打開進(jìn)程對話框進(jìn)行。

本節(jié)詳細(xì)內(nèi)容參見書本P51~P55頁。圖2-1：“系統(tǒng)配置實(shí)用程序”窗口“啟動(dòng)”選項(xiàng)卡第11頁，課件共40頁，創(chuàng)作于2023年2月2.2.2木馬的軟件自動(dòng)清除和端口關(guān)閉方法

對于已發(fā)現(xiàn)的木馬程序我們可以用上節(jié)介紹的方法加以清除。對于未發(fā)現(xiàn)的木馬，則需要通過專門的木馬清除工具軟件來進(jìn)行了，如主要的殺毒軟件、木馬專殺工具等。目前主要的殺毒軟件品牌有金山、瑞星、江民、諾頓、趨勢等的最新版本都提供了木馬查殺功能。專門的木馬查殺工具主要有TheCleaner、木馬克星、木馬殺客、木馬終結(jié)者、反間諜專家等。相對來說，集成于病毒防護(hù)軟件中的木馬查殺功能相對較弱，而專門的木馬查殺工具，雖然基本上都是小型的共享軟件，但針對木馬的查殺能力卻要遠(yuǎn)比集成于病毒防護(hù)軟件中的木馬查殺工具強(qiáng)許多。

另外，為了使那些已知使用特定端口的木馬，我們可以采取關(guān)閉所使用的端口，這樣可以達(dá)到預(yù)防木馬入侵的目的。關(guān)閉端口的常用方法包括：利用“本地安全策略”關(guān)閉端口和2.利用“本地連接”屬性關(guān)閉端口兩種。

以上具體配置方法參見書本P55~P62頁。第12頁，課件共40頁，創(chuàng)作于2023年2月2.3拒絕惡意代碼

本節(jié)主要介紹了以下兩方面的配置方法：

1.IE瀏覽器Internet安全選項(xiàng)設(shè)置

一般惡意網(wǎng)頁都是因?yàn)榧尤肓擞镁帉懙膼阂獯a才有破壞力的。這些惡意代碼通常是一些VBScript、JavaScript腳本和ActiveX控件之類的小程序，只要打開含有這類代碼的網(wǎng)頁就會(huì)被運(yùn)行。為了避免攻擊，我們別無選擇，只能想辦法來禁止包含這些惡意代碼的網(wǎng)頁打開了，這個(gè)辦法就是在瀏覽器中進(jìn)行相應(yīng)的安全設(shè)置。

2.IE瀏覽器本地Intranet安全選項(xiàng)設(shè)置

除了設(shè)定本地Intranet、受信任的站點(diǎn)、受限制的站點(diǎn)的安全級別外，每臺(tái)主機(jī)本身的安全性也是非常重要的，可微軟的IE中并沒有提供“我的電腦”安全性設(shè)定。其實(shí)是有的，只不過微軟通常情況下是把它隱藏了，可以通過修改注冊表把該選項(xiàng)打開。

以上具體配置方法參見書本P62~P64頁。第13頁，課件共40頁，創(chuàng)作于2023年2月2.4網(wǎng)絡(luò)蠕蟲的濃度防護(hù)

近年來，蠕蟲所引發(fā)的安全事件此起彼伏，且有愈演愈烈之勢。從2001年后爆發(fā)的CodeRed蠕蟲、Nimda蠕蟲，SQL殺手病毒（SQLSLAMMER蠕蟲），到2003年肆掠的“沖擊波”、2004年“震蕩波”、“沖擊波”等無不都是“蠕蟲”在作怪，而且開始與病毒相結(jié)合了。蠕蟲通常會(huì)感染目前主流的Windows2000/XP/Server2003系統(tǒng)，如果不及時(shí)預(yù)防，它們就可能會(huì)在幾天內(nèi)快速傳播、大規(guī)模感染網(wǎng)絡(luò)。

2.4.1網(wǎng)絡(luò)蠕蟲的定義和危害性

蠕蟲這個(gè)生物學(xué)名詞在1982年由XeroxPARC的JohnF.Shoch等人最早引入計(jì)算機(jī)領(lǐng)域，并給出了蠕蟲的兩個(gè)最基本特征，那就是可以從一臺(tái)計(jì)算機(jī)移動(dòng)到另一臺(tái)計(jì)算機(jī)，并且可以自我復(fù)制。1988年Morris蠕蟲爆發(fā)后，EugeneH.Spafford為了區(qū)分蠕蟲和病毒，從技術(shù)角度給蠕蟲的定義為：“計(jì)算機(jī)蠕蟲可以獨(dú)立運(yùn)行，并能把自身的一個(gè)包含所有功能的版本傳播到另外的計(jì)算機(jī)上。”。第14頁，課件共40頁，創(chuàng)作于2023年2月

由于網(wǎng)絡(luò)蠕蟲和計(jì)算機(jī)病毒都具有傳染性和復(fù)制功能，導(dǎo)致二者之間是非常難區(qū)分的。尤其是近年來，越來越多的病毒采取了部分蠕蟲的技術(shù)。另一方面具有破壞性的蠕蟲也采取了部分病毒的技術(shù)，更加劇了這種情況。目前現(xiàn)在對蠕蟲給出了新的定義，那就是：蠕蟲是無須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的獨(dú)立程序，它通過不停的獲得網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)上的部分或全部控制權(quán)來進(jìn)行傳播?！?。從此新定義上來分析的話，一些以前我認(rèn)為是蠕蟲的則只是病毒，盡管它們的名稱上都有“蠕蟲”二字。如Happy99蠕蟲病毒、Mellisa網(wǎng)絡(luò)蠕蟲宏病毒、LoverLetter網(wǎng)絡(luò)蠕蟲病毒、SirCam蠕蟲病毒、NAVIDAD網(wǎng)絡(luò)蠕蟲、Blebla.B網(wǎng)絡(luò)蠕蟲、VBS_KAKWORM.A蠕蟲等。

網(wǎng)絡(luò)蠕蟲是目前危害最大的惡意軟件，幾乎每次蠕蟲發(fā)作都會(huì)因其造成的巨大經(jīng)濟(jì)損失，自1998年至今，幾年每年都有給全球計(jì)算機(jī)用戶帶來巨大損失的典型蠕蟲出現(xiàn)。它是目前計(jì)算機(jī)病毒領(lǐng)域中，危害性最大、難以根治，出現(xiàn)越來越頻繁的種類之一。第15頁，課件共40頁，創(chuàng)作于2023年2月2.4.2預(yù)防蠕蟲的基本措施

我們在平常的計(jì)算機(jī)應(yīng)用中注意以下所列的一些安全事項(xiàng)，可以在相當(dāng)大程度上預(yù)防蠕蟲的感染：選擇可靠的防毒軟件把郵件存放在其他分區(qū)：不要存放于系統(tǒng)分區(qū)。認(rèn)真分析郵件：打開郵件前認(rèn)真分析郵件特征，如發(fā)信人地址，拒收陌生人的郵件，特別是國外的。慎用郵件預(yù)覽功能：現(xiàn)在一些危害性極高的蠕蟲，往往都是在進(jìn)行郵件預(yù)覽時(shí)就會(huì)感染系統(tǒng)，而根本不用我們以前慣性認(rèn)為的需要打開郵件。當(dāng)心可執(zhí)行文件：包括.com、.exe、.bat和帶宏的.doc文件定期升級病毒庫及時(shí)升級系統(tǒng)或應(yīng)用程序安全補(bǔ)丁

本節(jié)詳細(xì)內(nèi)容參見書本P65~P67頁。第16頁，課件共40頁，創(chuàng)作于2023年2月2.5如何強(qiáng)化TCP/IP堆棧安全

本節(jié)主要向大家介紹如何強(qiáng)化Windows2000Server/Server2003服務(wù)器家族系統(tǒng)的TCP/IP堆棧的方法。其實(shí)非常簡單，通過對Windows注冊表的TCP/IP參數(shù)配置，就可以實(shí)現(xiàn)保護(hù)服務(wù)器免遭網(wǎng)絡(luò)級別的拒絕服務(wù)攻擊，包括SYS洪水攻擊、ICMP攻擊和SNMP攻擊。

通過本節(jié)的學(xué)習(xí)，我們可以了解或掌握到以下幾方面的知識和技能：強(qiáng)化服務(wù)器的TCP/IP堆棧安全保護(hù)服務(wù)器免遭“拒絕服務(wù)”和其他基于網(wǎng)絡(luò)的攻擊在檢測到攻擊時(shí)啟用SYN洪水攻擊保護(hù)設(shè)置用于確認(rèn)是什么構(gòu)成攻擊的閾值第17頁，課件共40頁，創(chuàng)作于2023年2月2.5.1抵御SYN攻擊SYN攻擊利用了TCP/IP連接建立機(jī)制中的安全漏洞。要實(shí)施SYN洪水攻擊，攻擊者會(huì)使用程序發(fā)送大量TCPSYN請求來填滿服務(wù)器上的掛起連接隊(duì)列。這會(huì)禁止其他用戶建立網(wǎng)絡(luò)連接。要保護(hù)網(wǎng)絡(luò)抵御SYN攻擊，只需按以下這些通用方法配置即可。

1.啟用SYN攻擊保護(hù)

設(shè)置SynAttackProtect雙字節(jié)鍵值項(xiàng)，該鍵值項(xiàng)位于注冊表編輯器的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services主鍵項(xiàng)中（如果沒有則新建，下同，不再另行說明），并將其設(shè)為2（有效值為0~2）。

以上設(shè)置的功能就可使TCP調(diào)整SYN-ACK的重傳。配置此值后，在遇到SYN攻擊時(shí)，對連接超時(shí)的響應(yīng)將更快速。在超過TcpMaxHalfOpen或TcpMaxHalfOpenRetried的值后，將觸發(fā)SYN攻擊保護(hù)。第18頁，課件共40頁，創(chuàng)作于2023年2月2.設(shè)置SYN保護(hù)閾值

（1）設(shè)置TcpMaxPortsExhausted雙字節(jié)鍵值項(xiàng)。在注冊表編輯器中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services主鍵項(xiàng)，并查看名為TcpMaxPortsExhausted的雙字節(jié)鍵值項(xiàng)，將其值設(shè)為5（有效值為0~65535）。這項(xiàng)設(shè)置是指定觸發(fā)SYN洪水攻擊保護(hù)所必須超過的TCP連接請求數(shù)的閾值。

（2）然后同樣在上述Services主鍵項(xiàng)中設(shè)置TcpMaxHalfOpenRetried鍵值項(xiàng)的值勤為400（有效值為80~65535）。該項(xiàng)設(shè)置可以使在啟用SynAttackProtect鍵值項(xiàng)后，指定處于至少已發(fā)送一次重傳的SYN_RCVD狀態(tài)中的TCP連接數(shù)的閾值。超過SynAttackProtect值后，將觸發(fā)SYN洪水攻擊保護(hù)。

3.設(shè)置其他保護(hù)

這一部分中的所有注冊表項(xiàng)和值都位于注冊表項(xiàng)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services主鍵項(xiàng)下面。

（1）將名為TcpMaxConnectResponseRetransmissions的雙字節(jié)鍵項(xiàng)值設(shè)為2（有效值為0~255）。第19頁，課件共40頁，創(chuàng)作于2023年2月

該項(xiàng)設(shè)置用于控制在響應(yīng)一次SYN請求之后，在取消重傳嘗試之前SYN-ACK響應(yīng)的重傳次數(shù)。

（2）將名為TcpMaxDataRetransmissions的雙字節(jié)值項(xiàng)的值設(shè)為2（有效值為0~65535）。該項(xiàng)設(shè)置指定在終止連接之前TCP重傳一個(gè)數(shù)據(jù)段（不是連接請求段）的次數(shù)。

（3）將名為EnablePMTUDiscovery的鍵值項(xiàng)的值設(shè)為0（有效值為0、1）。將該項(xiàng)值設(shè)置為1（默認(rèn)值）可強(qiáng)制TCP查找在通向遠(yuǎn)程主機(jī)的路徑上的最大傳輸單元或最大數(shù)據(jù)包大小。攻擊者可能將數(shù)據(jù)包強(qiáng)制分段，這會(huì)使堆棧不堪重負(fù)，所以設(shè)為0。對于不是來自本地子網(wǎng)的主機(jī)的連接，將該值指定為0可將最大傳輸單元強(qiáng)制設(shè)為576字節(jié)。

（4）將名為KeepAliveTime的鍵值項(xiàng)值設(shè)為300000（5分鐘，有效值為80~4294967295）。該項(xiàng)設(shè)置可以指定TCP嘗試通過發(fā)送持續(xù)存活的數(shù)據(jù)包來驗(yàn)證空閑連接是否仍然未被觸動(dòng)的頻率。

（5）將名為NoNameReleaseOnDemand的鍵值項(xiàng)值設(shè)為1（有效為0、1）。該項(xiàng)設(shè)置可以指定計(jì)算機(jī)在收到名稱發(fā)布請求時(shí)是否發(fā)布其NetBIOS名稱，設(shè)為1表示發(fā)布。

本節(jié)具體內(nèi)容參見書本P68~P69頁。第20頁，課件共40頁，創(chuàng)作于2023年2月2.5.2抵御ICMP攻擊

這一部分的命名值都位于注冊表HKLM\System\CurrentControlSet\Services\AFD\Parameters的主鍵項(xiàng)下面。只需將名為EnableICMPRedirect的雙字節(jié)鍵項(xiàng)值設(shè)為0即可（有效值為0（禁用）、1（啟用））。通過將此注冊表鍵值項(xiàng)修改為0，能夠在收到ICMP重定向數(shù)據(jù)包時(shí)禁止創(chuàng)建高成本的主機(jī)路由。

2.5.3抵御SNMP攻擊

這一部分的命名值位于注冊表HKLM\System\CurrentControlSet\Services\Tcpip\Parameters主鍵項(xiàng)的下面。只需將名為EnableDeadGWDetect的鍵值項(xiàng)值設(shè)為0即可（有效值為0（禁用）、1（啟用））。通過此項(xiàng)設(shè)置，可禁止攻擊者強(qiáng)制切換到備用網(wǎng)關(guān)。第21頁，課件共40頁，創(chuàng)作于2023年2月2.5.4AFD.SYS保護(hù)

本節(jié)配置的的注冊表項(xiàng)是用來指定內(nèi)核模式驅(qū)動(dòng)程序Afd.sys參數(shù)的。Afd.sys用于支持WindowsSockets應(yīng)用程序。這一部分的所有注冊表項(xiàng)和值都位于注冊表HKLM\System\CurrentControlSet\Services\AFD\Parameters主鍵項(xiàng)的下面，具體如下：

EnableDynamicBacklog

將名為EnableDynamicBacklog的鍵值項(xiàng)值設(shè)為1（有效值為0（禁用）、1（啟用））。該項(xiàng)設(shè)置用來指定是否啟用AFD.SYS功能，以有效處理大量的SYN_RCVD連接。

MinimumDynamicBacklog

將名為MinimumDynamicBacklog的鍵值項(xiàng)值設(shè)為20（有效值為0~4294967295）。該項(xiàng)設(shè)置用于指定在偵聽的終結(jié)點(diǎn)上所允許的最小空閑連接數(shù)。如果空閑連接的數(shù)目低于該值，線程將被排隊(duì)，以創(chuàng)建更多的空閑連接。第22頁，課件共40頁，創(chuàng)作于2023年2月MaximumDynamicBacklog

將名為MaximumDynamicBacklog的鍵值項(xiàng)值設(shè)為20000（有效值為0~4294967295）。該項(xiàng)值的設(shè)置用于指定空閑連接以及處于SYN_RCVD狀態(tài)的連接的最大總數(shù)。

DynamicBacklogGrowthDelta

將名為DynamicBacklogGrowthDelta的鍵值項(xiàng)值設(shè)為10（有效值為0~4294967295）。該項(xiàng)值的設(shè)置用于指定在需要增加連接時(shí)將要?jiǎng)?chuàng)建的空閑連接數(shù)。

本節(jié)具體內(nèi)容參見書本P70頁。第23頁，課件共40頁，創(chuàng)作于2023年2月2.5.5其他保護(hù)

以下所有注冊表項(xiàng)和值都位于注冊表HKLM\System\CurrentControlSet\Services\Tcpip\Parameters主鍵項(xiàng)的下面。保護(hù)屏蔽的網(wǎng)絡(luò)細(xì)節(jié)

需修改的鍵值項(xiàng)為DisableIPSourceRouting。將名為DisableIPSourceRoutin的鍵值項(xiàng)值設(shè)為1（有效值為0（轉(zhuǎn)發(fā)所有數(shù)據(jù)包）、1（不轉(zhuǎn)發(fā)源路由數(shù)據(jù)包），2（丟棄所有傳入的源路由數(shù)據(jù)包））。該項(xiàng)設(shè)置可以用來禁用IP源路由。避免接受數(shù)據(jù)包片段

需修改的鍵值項(xiàng)為EnableFragmentChecking。將名為EnableFragmentChecking的鍵值項(xiàng)值設(shè)為1（有效值為0（禁用）、1（啟用））。該項(xiàng)設(shè)置可以用來禁止IP堆棧接受數(shù)據(jù)包片段。第24頁，課件共40頁，創(chuàng)作于2023年2月切勿轉(zhuǎn)發(fā)去往多臺(tái)主機(jī)的數(shù)據(jù)包

需修改的鍵值項(xiàng)為EnableMulticastForwarding。

將名為EnableMulticastForwarding的鍵值項(xiàng)值設(shè)為0（有效值為0（false）、1（true））。該項(xiàng)設(shè)置可以用來指定路由服務(wù)使用此參數(shù)來控制是否轉(zhuǎn)發(fā)IP多播。此參數(shù)由路由和遠(yuǎn)程訪問服務(wù)創(chuàng)建。只有防火墻可以在網(wǎng)絡(luò)間轉(zhuǎn)發(fā)數(shù)據(jù)包

需將名為IPEnableRouter的鍵值項(xiàng)值設(shè)為0（有效值為0（false）、1（true））。將此參數(shù)設(shè)置為1（true）會(huì)使系統(tǒng)在它所連接的網(wǎng)絡(luò)之間路由IP數(shù)據(jù)包，選擇0則不路由。屏蔽網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)細(xì)節(jié)

需修改的鍵值項(xiàng)為EnableAddrMaskReply。

將名為EnableAddrMaskReply的鍵值項(xiàng)值設(shè)為0（有效值為0（false）、1（true））。此參數(shù)控制計(jì)算機(jī)是否響應(yīng)ICMP地址屏蔽請求，選擇0則表示不響應(yīng)ICMP地址屏蔽請求。

本節(jié)具體內(nèi)容參見書本P70~P71頁。第25頁，課件共40頁，創(chuàng)作于2023年2月2.6惡意軟件的深度防護(hù)方法

在針對惡意軟件嘗試企業(yè)有效的防護(hù)之前，需要了解企業(yè)基礎(chǔ)結(jié)構(gòu)中存在風(fēng)險(xiǎn)的各個(gè)部分，以及每個(gè)部分的風(fēng)險(xiǎn)程度。強(qiáng)烈建議您在開始設(shè)計(jì)惡意軟件防護(hù)方案之前，進(jìn)行完整的安全風(fēng)險(xiǎn)評估，但優(yōu)化解決方案設(shè)計(jì)所需的信息只能通過完成完整的安全風(fēng)險(xiǎn)評估獲得。

病毒防護(hù)不再僅僅是安裝病毒防護(hù)程序。深層病毒防護(hù)方法應(yīng)該有助于確保您的IT基礎(chǔ)結(jié)構(gòu)能夠應(yīng)對所有可能的惡意軟件攻擊方法。使用此分層方法，可以更輕松地識別整個(gè)系統(tǒng)中的任何薄弱點(diǎn)。如果未能處理深層病毒防護(hù)方法中所述的任一層，都有可能使您的系統(tǒng)受到攻擊。我們應(yīng)該經(jīng)常復(fù)查防病毒解決方案，以便每當(dāng)需要時(shí)都可以更新它。病毒防護(hù)的所有方面都是重要的，從簡單的病毒簽名自動(dòng)下載到操作策略的完全更改。盡管徹底根除惡意代碼也許是不可能的，但是持續(xù)關(guān)注深層病毒防護(hù)方法，將有助于將惡意軟件攻擊對企業(yè)產(chǎn)生的影響減到最小。第26頁，課件共40頁，創(chuàng)作于2023年2月2.6.1深層防護(hù)安全模型

在發(fā)現(xiàn)并記錄了企業(yè)所面臨的風(fēng)險(xiǎn)后，下一步就是檢查和企業(yè)您將用來提供防病毒解決方案的防護(hù)措施。深層防護(hù)安全模型是此過程的極好起點(diǎn)。此模型識別出七級安全防護(hù)，它們旨在確保損害企業(yè)安全的嘗試將遇到一組強(qiáng)大的防護(hù)措施。每組防護(hù)措施都能夠阻擋多種不同級別的攻擊。下頁圖2-2說明了為深層防護(hù)安全模型定義的各個(gè)層次。圖中的各層提供了在為網(wǎng)絡(luò)設(shè)計(jì)安全防護(hù)時(shí)，環(huán)境中應(yīng)該考慮的每個(gè)區(qū)域的視圖。您可以根據(jù)企業(yè)的安全優(yōu)先級和要求，修改每層的詳細(xì)定義。

在部署深層安全防護(hù)策略時(shí)，我們又需對整個(gè)網(wǎng)絡(luò)中的不同關(guān)鍵部分作出相應(yīng)的防護(hù)重點(diǎn)，這就是細(xì)化后的安全模型，如下頁的圖2-3所示。

本節(jié)具體內(nèi)容參見書本P72~P73頁。第27頁，課件共40頁，創(chuàng)作于2023年2月。圖2-2：深層防護(hù)安全模型圖2-3：部署深層安全防護(hù)策略后的安全模型

第28頁，課件共40頁，創(chuàng)作于2023年2月2.6.2客戶端防護(hù)

當(dāng)惡意軟件到達(dá)主機(jī)時(shí)，防護(hù)系統(tǒng)必須集中于保護(hù)主機(jī)系統(tǒng)及其數(shù)據(jù)，并停止感染的傳播。這些防護(hù)與環(huán)境中的物理防護(hù)和網(wǎng)絡(luò)防護(hù)一樣重要。一個(gè)典型的客戶端病毒防護(hù)步驟如下：

（1）減小攻擊面

應(yīng)用程序?qū)由系牡谝坏婪雷o(hù)是減小計(jì)算機(jī)的攻擊面。應(yīng)該在計(jì)算機(jī)上刪除或禁用所有不需要的應(yīng)用程序或服務(wù)，以最大限度地減少攻擊者可以利用系統(tǒng)的方法數(shù)。

（2）應(yīng)用安全更新

微軟和其他軟件公司已經(jīng)開發(fā)了許多可用來幫助解決此問題的工具。像WindowsUpdate、SoftwareUpdateService和SystemsManagementServer2003等修補(bǔ)程序管理和安全更新工具當(dāng)前可以從微軟官方網(wǎng)站上獲得。第29頁，課件共40頁，創(chuàng)作于2023年2月

（3）啟用基于主機(jī)的防火墻

基于主機(jī)的防火墻或個(gè)人防火墻代表您應(yīng)該啟用的重要客戶端防護(hù)層，尤其是在用戶可能使用到企業(yè)通常的物理和網(wǎng)絡(luò)防護(hù)之外的便攜式計(jì)算機(jī)上。這些防火墻會(huì)篩選試圖進(jìn)入或離開特定主機(jī)的所有數(shù)據(jù)。WindowsXP系統(tǒng)包括名為“Internet連接防火墻”（ICF）的簡單個(gè)人防火墻。WindowsXPServicePack2引入了對ICF（現(xiàn)在稱為“Windows防火墻”）的許多重要增強(qiáng)以及其他面向安全性的改進(jìn)。（4）安裝防病毒軟件

許多公司推出防病毒應(yīng)用程序，其中每個(gè)應(yīng)用程序都試圖保護(hù)主機(jī)，同時(shí)對最終用戶產(chǎn)生最少的不便和交互。其中的大多數(shù)應(yīng)用程序在提供此保護(hù)方面都是很有效的，但是它們都要求經(jīng)常更新以應(yīng)對新的惡意軟件。（5）測試漏洞掃描程序

許多應(yīng)用程序可用作掃描程序來查找惡意軟件和黑客可能試圖利用的漏洞。微軟公司的基準(zhǔn)安全分析器（MBSA）是能夠檢查常見安全配置問題的漏洞掃描程序的一個(gè)示例。此掃描程序還可自動(dòng)進(jìn)行檢查，以確保您的主機(jī)配置了最新的安全更新。第30頁，課件共40頁，創(chuàng)作于2023年2月

（6）使用最少特權(quán)策略

在客戶端防護(hù)中不應(yīng)忽視的另一區(qū)域是在正常操作下分配給用戶的特權(quán)。建議采用這樣的策略：管理員要為每位用戶根據(jù)其工作實(shí)際需要配置提供可能的最少特權(quán)，以使用戶自身或者惡意軟件開發(fā)者在獲取該用戶權(quán)限時(shí)而對系統(tǒng)的安全威脅最小。

根據(jù)以上原則，請考慮對日常刪除操作這樣的特權(quán)，并在必要時(shí)改用RunAs命令啟動(dòng)所需的管理工具。命令格式為：runas/user:mydomain\admin“setup.exe”

（7）限制未授權(quán)的應(yīng)用程序

將未授權(quán)應(yīng)用程序安裝在您的任一客戶端計(jì)算機(jī)上的嘗試，可能會(huì)使所有這些計(jì)算機(jī)及其包含的數(shù)據(jù)面臨受到惡意軟件攻擊的更大風(fēng)險(xiǎn)。如果您的企業(yè)希望限制未授權(quán)的應(yīng)用程序，則您可以使用Windows組策略限制用戶運(yùn)行未授權(quán)軟件的能力。組策略的打開方式為在“運(yùn)行”窗口中輸入“gpedit.msc”命令，處理此功能的組策略的特定方面稱為“軟件限制策略”，可以通過標(biāo)準(zhǔn)組策略MMC管理單元訪問它。

本節(jié)具體內(nèi)容參見書本P73~P77頁。第31頁，課件共40頁，創(chuàng)作于2023年2月2.6.3客戶端應(yīng)用程序的防病毒設(shè)置

客戶端應(yīng)用程序的病毒防護(hù)通常主要考慮以下幾個(gè)方面：

1.電子郵件客戶端

通常，如果用戶能夠直接從電子郵件打開電子郵件附件，則為惡意軟件在客戶端上傳播提供了主要方式之一。如有可能，請考慮在企業(yè)的電子郵件系統(tǒng)中限制此能力。如果這是不可能的，一些電子郵件客戶端允許您配置另外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。例如，在Outlook和OutlookExpress中，您能夠執(zhí)行以下配置：使用IE瀏覽器安全區(qū)域禁用HTML電子郵件中的活動(dòng)內(nèi)容啟用一項(xiàng)設(shè)置以便用戶只能以純文本格式查看電子郵件阻止程序在未經(jīng)特定用戶確認(rèn)的情況下發(fā)送電子郵件阻止不安全的電子郵件附件

2.桌面應(yīng)用程序

桌面辦公應(yīng)用程序也成為惡意軟件的攻擊目標(biāo)。第32頁，課件共40頁，創(chuàng)作于2023年2月

您應(yīng)該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應(yīng)用程序上啟用最合適的安全設(shè)置。最好禁止宏的運(yùn)行。

3.即時(shí)消息應(yīng)用程序

即時(shí)消息技術(shù)在改進(jìn)全世界用戶通信方便性的同時(shí)，也帶來一定的安全隱患，因?yàn)樗峁┝擞锌赡茉试S惡意軟件進(jìn)入系統(tǒng)的途經(jīng)，那就是它的文件傳輸功能。通過該功能，就為惡意軟件提供了進(jìn)入企業(yè)網(wǎng)絡(luò)的直接路由，用戶有可能受到惡意軟件的攻擊。

4.Web瀏覽器

大多數(shù)主要的Web瀏覽器應(yīng)用程序支持限制可用于從Web服務(wù)器執(zhí)行的代碼的自動(dòng)訪問級別的功能。IE使用安全區(qū)域幫助阻止Web內(nèi)容在客戶端上執(zhí)行有可能產(chǎn)生破壞的操作。

5.對等應(yīng)用程序

Internet范圍的對等（P2P）應(yīng)用程序的出現(xiàn)引發(fā)了許多惡意軟件攻擊，所以如果可能，建議限制企業(yè)中使用這些應(yīng)用程序的客戶端數(shù)量?？墒褂媒M策略中的軟件限制策略，幫助阻止用戶運(yùn)行對等應(yīng)用程序。

本節(jié)具體內(nèi)容參見書本P77~P80頁。第33頁，課件共40頁，創(chuàng)作于2023年2月2.6.4服務(wù)器端病毒防護(hù)

服務(wù)器的病毒防護(hù)與客戶端防護(hù)有許多共同之處，二者都試圖保護(hù)同一基本個(gè)人計(jì)算機(jī)環(huán)境。兩者的主要差異在于，服務(wù)器防護(hù)在可靠性和性能方面的預(yù)期級別通常高得多。此外，許多服務(wù)器在組織基礎(chǔ)結(jié)構(gòu)中起到的專門作用通常需要制定專門的防護(hù)解決方案。

1.服務(wù)器的病毒防護(hù)步驟

服務(wù)器的四個(gè)基本防病毒步驟與客戶端的相同：

（1）減小攻擊面：從服務(wù)器中刪除不需要的服務(wù)和應(yīng)用程序，將其攻擊面減到最小。

（2）應(yīng)用安全更新：如有可能，請確保所有服務(wù)器計(jì)算機(jī)運(yùn)行的都是最新的安全更新。根據(jù)需要執(zhí)行其他測試，以確保新的更新不會(huì)對關(guān)鍵任務(wù)服務(wù)器產(chǎn)生負(fù)面影響。

（3）啟用基于主機(jī)的防火墻：WindowsServer2003包括一個(gè)基于主機(jī)的防火墻，您可以使用它減小服務(wù)器的攻擊面以及刪除不需要的服務(wù)和應(yīng)用程序。第34頁，課件共40頁，創(chuàng)作于2023年2月

（4）使用漏洞掃描程序進(jìn)行測試：使用WindowsServer2003上的MBSA工具幫助識別服務(wù)器配置中可能存在的漏洞。

除了這些常用的防病毒步驟之外，請考慮將以下服務(wù)器特定的軟件用作總體服務(wù)器病毒防護(hù)的一部分：一般的服務(wù)器防病毒軟件角色特定的防病毒配置和軟件

2.Web服務(wù)器

在一段時(shí)間內(nèi)，所有類型的組織中的Web服務(wù)器都曾經(jīng)是安全攻擊的目標(biāo)。您可從微軟官方網(wǎng)站上下載IISLockdownTool工具軟件，在IIS上自動(dòng)執(zhí)行安全配置，網(wǎng)址為：Http:///technet/security/tools/locktool.mspx。

3.消息服務(wù)器

“SMTP網(wǎng)關(guān)掃描程序”和“集成的服務(wù)器掃描程序”這兩種基本類型的電子郵件防病毒解決方案是經(jīng)常用到的。

4.數(shù)據(jù)庫服務(wù)器

在考慮數(shù)據(jù)庫服務(wù)器的病毒防護(hù)時(shí)，需要保護(hù)以下四個(gè)主要元素：第35頁，課件共40頁，創(chuàng)作于2023年2月主機(jī)：運(yùn)行數(shù)據(jù)庫的一個(gè)或多個(gè)服務(wù)器。數(shù)據(jù)庫服務(wù)：在主機(jī)上運(yùn)行的為網(wǎng)絡(luò)提供數(shù)據(jù)庫服務(wù)的各種應(yīng)用程序。數(shù)據(jù)存儲(chǔ)區(qū)：儲(chǔ)在數(shù)據(jù)庫中的數(shù)據(jù)。數(shù)據(jù)通信：網(wǎng)絡(luò)上數(shù)據(jù)庫主機(jī)和其他主機(jī)之間使用的連接和協(xié)議。5.協(xié)作服務(wù)器協(xié)作服務(wù)器本身的特點(diǎn)使它們易受惡意軟件的攻擊。當(dāng)用戶將文件復(fù)制到服務(wù)器和從服務(wù)器復(fù)制文件時(shí)，他們可能使網(wǎng)絡(luò)上的服務(wù)器和其他用戶受到惡意軟件的攻擊。建議使用可以掃描復(fù)制到協(xié)作存儲(chǔ)區(qū)和從協(xié)作存儲(chǔ)區(qū)復(fù)制的所有文件的防病毒應(yīng)用程序，保護(hù)環(huán)境中的協(xié)作服務(wù)器（如運(yùn)行SharePointServices和SharePointPortalServer2003的服務(wù)器）。