系統(tǒng)安全分析在安全管理中的作用
評(píng)論: 更新日期:2020年03月25日
系統(tǒng)安全始終是一個(gè)大家關(guān)注的熱門話題����。在這病毒肆虐���、黑客橫行的時(shí)代�����,僅僅安裝防火墻和殺毒軟件�,并不意味著從此高枕無憂���。在很多時(shí)候����,我們還得借助其他工具來保障系統(tǒng)的安全�����。Windows系統(tǒng)自帶的管理工具����,也能成為我們保障安全的好幫手。
使用事件查看器查找黑客入侵蹤跡
個(gè)人計(jì)算機(jī)遭到黑客的入侵�����,導(dǎo)致數(shù)據(jù)丟失��、隱私泄密已經(jīng)不是新鮮事了����。黑客常用的一個(gè)招數(shù)便是,侵入系統(tǒng)后建立一個(gè)后門用戶�����,并將其提升為系統(tǒng)管理員。
那么����,我們?cè)趺床拍苤溃约弘娔X有沒有被建立過非法用戶����?有沒有并被惡意登錄過?答案就在管理工具里�。在管理工具的事件查看器中,我們能夠查看到自己電腦賬戶變動(dòng)信息���。
Step 1 在Windows XP中啟動(dòng)組策略編輯器��,依次展開“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“本地策略”→“ 審核策略”��,然后雙擊右側(cè)窗格的“審核賬戶管理”,勾選“成功”和“失敗”審核(如圖1)����。
Step 2 如果現(xiàn)在懷疑自己的系統(tǒng)被黑客入侵并建立過非法賬戶,打開控制面板的管理工具中的“事件查看器”���,選擇“安全性”�。在右側(cè)窗格檢查“審核成功”事件,很快就可以發(fā)現(xiàn)賬戶的變化�。比如����,筆者就在這些審核事件中發(fā)現(xiàn)創(chuàng)建賬戶hacker事件(如圖2)。通過查看其他事件進(jìn)一步發(fā)現(xiàn)該賬戶在創(chuàng)建2秒后被提升為administrators�,并在稍后刪除。由于筆者自己從來沒有創(chuàng)建過該用戶�,因此可以判定電腦被黑客入侵了,稍后果然發(fā)現(xiàn)系統(tǒng)中有盜號(hào)木馬�。
使用設(shè)備管理器查找隱藏病毒
為了逃脫查殺,很多病毒把自己偽裝為系統(tǒng)驅(qū)動(dòng)服務(wù)�。由于驅(qū)動(dòng)服務(wù)加載的優(yōu)先級(jí)最高,而且硬件服務(wù)在安全模式也可以加載���,因此��,一些驅(qū)動(dòng)型病毒很難查殺?���,F(xiàn)在借助管理工具中的“設(shè)備管理器”���,就可以輕松剿殺它們了�。
Step 1 在Windows XP中打開管理工具,依次展開“計(jì)算機(jī)管理”→“系統(tǒng)工具”→“設(shè)備管理器”�,打開設(shè)備管理器后單擊“查看”→“顯示隱藏的設(shè)備”。
Step 2 展開“非即插即用驅(qū)動(dòng)程序”�,這里我們就可以看到所有驅(qū)動(dòng)型軟件的服務(wù)程序。比如����,筆者殺毒軟件檢測(cè)發(fā)現(xiàn)本機(jī)存在名為“SupeCD”的病毒,但是始終無法刪除��。展開上述設(shè)備后���,在這里發(fā)現(xiàn)病毒偽裝的驅(qū)動(dòng)服務(wù)“SupeCD”����,打開該服務(wù)切換到“驅(qū)動(dòng)程序”����,現(xiàn)在將其啟動(dòng)類型設(shè)置為“已停用”(如圖3)。單擊“驅(qū)動(dòng)程序詳細(xì)信息”�����,我們就可以看到病毒真身是“c:\windows\system32\SupeCD.sys”���。
Step 3 重啟電腦�����,由于病毒服務(wù)被設(shè)置為“已停用”���,重啟后病毒就不會(huì)加載。現(xiàn)在按驅(qū)動(dòng)文件路徑提示刪除病毒即可���。
Vista絕招����,用防火墻阻止賬戶連接
在Vista中����,系統(tǒng)管理工具里增加了“高級(jí)安全Windows防火墻”組件,我們可以用它來更好地保護(hù)系統(tǒng)�。比如,為了方便遠(yuǎn)程控制����,很多員工使用Vista的遠(yuǎn)程桌面來登錄公司電腦。默認(rèn)情況下�,任何人只要知道賬戶名和密碼�����,都可以通過IP地址訪問登錄��。為了防止公司電腦被非法登錄��,最好在不影響方便性的基礎(chǔ)上����,用防火墻把遠(yuǎn)程桌面保護(hù)起來���。
Step 1 在控制面板打開“系統(tǒng)和維護(hù)”→“管理工具”��,然后單擊“高級(jí)安全Windows防火墻”��,打開防火墻的高級(jí)設(shè)置并切換到“入站規(guī)則”(如圖4)���。
Step 2 在右側(cè)窗口“入站規(guī)則”找到“遠(yuǎn)程桌面”雙擊打開,在打開的窗口單擊“常規(guī)”標(biāo)簽�,將連接設(shè)置為“只允許安全連接”。切換到“用戶和計(jì)算機(jī)”�,我們可以設(shè)置指定的用戶才能連接該電腦。比如�,銷售部統(tǒng)計(jì)專用電腦���,我們要設(shè)置只有統(tǒng)計(jì)員才有權(quán)遠(yuǎn)程連接。假設(shè)統(tǒng)計(jì)員賬戶是TJY�。在授權(quán)用戶下單擊“添加”,把TJY用戶添加到允許列表���,這樣只有TJY才能遠(yuǎn)程連接到這臺(tái)電腦����,其他員工即使有該臺(tái)電腦賬戶和密碼也無法連接(如圖5)���。
公司局域網(wǎng)用戶可以切換到“作用域”,設(shè)置允許連接的具體IP地址或者指定IP起始范圍���。通過高級(jí)安全Windows防火墻�,可以精確設(shè)置允許連接的類型����。
