1、網絡安全現狀新華網 月日電（記者徐揚）年，中國內地共有近萬家網站被黑客篡改，其中被篡改的政府網站達個。這是國家互聯網應急中心日在大連舉行的“中國計算機網絡安全年會”上發布的。 監測顯示，年被篡改的政府網站數量比年上升。中央和省部級政府網站安全狀況明顯優于地市以下級別的政府網站，但仍有約的部委級網站存在不同程度的安全隱患。 在國家互聯網應急中心監測的政府網站中，年被篡改的政府網站比例達到，即全國有約十分之一的政府網站遭遇了黑客篡改。黑客常用攻擊方法1、獲取口令 2、放置特洛伊木馬程序 3、網絡監聽 4、尋找系統漏洞 5、利用帳號進行攻擊 6、偷取特權 1、獲取口令1：通過網絡監聽獲得用戶口令，監

2、聽者往往能夠獲得其所在網段的所有用戶賬號和口令，對局域網安全威脅巨大。2：是在獲取用戶的賬號后（如電子郵件前面的部分）利用一些專門軟件強行破解用戶口令。2、放置特洛伊木馬程序 特洛伊木馬程序常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載，一旦用戶打開了這些郵件的附件或者執行了這些程序之后，它們就留在用戶的電腦中，并在自己的計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當您連接到因特網上時，這個程序就會通知黑客，來報告用戶IP地址以及預先設定的端口。黑客在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改您的計算機的參數設定、復制文

3、件、窺視你整個硬盤中的內容等，從而達到控制你的計算機的目的 。3、網絡監聽網絡監聽是主機的一種工作模式，在這種模式下，主機可以接受到本網段在同一條物理通道上傳輸的所有信息，而不管這些信息的發送方和接受方是誰。此時，如果兩臺主機進行通信的信息沒有加密，只要使用某些網絡監聽工具，NetXray ，sniffit for linux 、solaries等就可以輕而易舉地截取包括口令和帳號在內的信息資料。雖然網絡監聽獲得的用戶帳號和口令具有一定的局限性，但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。 4、尋找系統漏洞許多系統都有這樣那樣的安全漏洞（Bugs），這些漏洞在補丁未被開發出來之前一般很

4、難防御黑客的破壞，除非你將網線拔掉；還有一些漏洞是由于系統管理員配置錯誤引起的，如在網絡文件系統中，將目錄和文件以可寫的方式調出，這都會給黑客帶來可乘之機，應及時加以修正。 5、利用帳號進行攻擊 有的黑客會利用操作系統提供的缺省賬戶和密碼進行攻擊，Guest缺省賬戶。這類攻擊只要系統管理員提高警惕，將系統提供的缺省賬戶關掉或提醒無口令用戶增加口令一般都能克服。6、偷取特權利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導致緩沖區溢出的程序進行攻擊，前者可使黑客非法獲得對用戶機器的完全控制權，后者可使黑客獲得超級用戶的權限，從而擁有對整個網絡的絕對控制權。不安全系統可能的后果系統若被感染病毒、木

5、馬入侵、黑客攻擊，輕則可能 運行速度變慢，帳號密碼及重要信息等被竊取，系統莫名其妙地出錯或死機，文件被篡改和替換；重則可能格式化硬盤；導致數據全部丟失，還可能被攻擊者利用成為他們對其他系統發動攻擊的跳板，或其他犯罪的工具。Windows 2008服務器安全加固方面1. 把好大門用戶號及權限管理2. 關好窗戶關閉不用的進程和端口3 做好監控查看日志功能4. 清點財物及時數據備份、恢復1 修改超級帳戶2 強制按 Ctrl+Alt+Del 登錄3 審核審核4 用戶權限分配5 安全選項6 密碼策略與帳戶鎖定策略7 網絡身份驗證保護遠程桌面登錄8 本地組策略編輯設置9 關閉系統默認共享，禁止連接修改超級

6、帳戶重命名超級管理員（administrator）帳戶。設置陷井，新建administrator 隸屬于guest帳戶 并設置一強壯的密碼。強制按 Ctrl+Alt+Del 登錄作用：防止模仿登錄程序檢索密碼信息方法 開始運行control userpasswords2 或netplwize 用戶帳戶高級勾選“要示用戶按Ctrl+Alt+Del 登錄”1.3 本地安全策略設置-審核審核的作用審核的作用: 審核提供了一種在審核提供了一種在Windows Server 2008中跟蹤所中跟蹤所有事件從而監視系統訪問和保證系統安全的方法。有事件從而監視系統訪問和保證系統安全的方法。它是一個保證系統安

7、全的重要工具。審核允許跟蹤它是一個保證系統安全的重要工具。審核允許跟蹤特定的事件，具體地說，審核允許跟蹤特定事件的特定的事件，具體地說，審核允許跟蹤特定事件的成敗。例如，可以通過審核登錄來跟蹤誰登錄成功成敗。例如，可以通過審核登錄來跟蹤誰登錄成功以及誰（以及何時）登錄失敗，還可以審核對給定以及誰（以及何時）登錄失敗，還可以審核對給定文件夾或文件對象的訪問，跟蹤是誰在使用這些文文件夾或文件對象的訪問，跟蹤是誰在使用這些文件夾和文件以及對它們進行了什么操作。這些事件件夾和文件以及對它們進行了什么操作。這些事件都可以記錄在安全日志中。都可以記錄在安全日志中。審核開始菜單管理工具本地安全策略審核策略設

8、置A、本地策略審核策略 1、審核策略更改成功失敗 2、審核登錄事件成功失敗 3、審核對象訪問失敗 4、審核過程跟蹤無審核 5、審核目錄服務訪問無審核 6、審核特權使用失敗 7、審核系統事件成功失敗 8、審核賬戶登錄事件成功失敗 9、審核賬戶管理成功失敗 審核對給定文件夾或文件對象審核對給定文件夾或文件對象如果要審核對給定文件夾或文件對象的訪問，可通如果要審核對給定文件夾或文件對象的訪問，可通過如下方法設置：過如下方法設置：（1 1）右鍵文件夾選擇）右鍵文件夾選擇“屬性屬性” ” “安全安全”“高高級級”“高級安全設置高級安全設置”對話框對話框 “審核審核” ” “編輯編輯” ” “添加添加”

9、” 選擇所要審核的用戶、選擇所要審核的用戶、計算機或組計算機或組“確定確定”（2 2）系統彈出審核項目的對話框，列出了被選中）系統彈出審核項目的對話框，列出了被選中對象的可審核的事件，包括對象的可審核的事件，包括“完全控制完全控制”或或“遍歷遍歷文件夾文件夾/ /運行文件運行文件”、“讀取屬性讀取屬性”、“寫入屬寫入屬性性”、“刪除刪除”等權限。等權限。（3 3）定義完對象的審核策略后，關閉對象的屬性）定義完對象的審核策略后，關閉對象的屬性窗口，審核將立即開始生效。窗口，審核將立即開始生效。本地安全策略設置B、本地策略用戶權限分配關閉系統：只有Administrators組、其它全部刪除。拒絕

10、通過遠程桌面服務登陸：加入Guests、User組允許通過遠程桌面服務登陸：只加入Administrators 組，其他全部刪除本地安全策略設置 C、本地策略安全選項交互式登陸：不顯示上次的用戶名啟用網絡訪問：不允許SAM帳戶和共享的匿名枚舉啟用 網絡訪問：不允許為網絡身份驗證儲存憑證啟用網絡訪問：可匿名訪問的共享全部刪除 網絡訪問：可匿名訪問的命名管道全部刪除 網絡訪問：可遠程訪問的注冊表路徑全部刪除 網絡訪問：可遠程訪問的注冊表路徑和子路徑全部刪除 本地安全策略設置D 帳戶策略密碼策略E 帳戶策略帳戶鎖定策略保護遠程桌面登錄網絡級別身份驗證 (NLA) ，可以防止遠程計算機受到黑客或惡意軟

11、件的攻擊。降低拒絕服務攻擊的風險,提供更高的安全保障。打開方法：服務管理器配置遠程桌面-“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接” 。Xp sp3 不支持網絡級別身份驗證處理方法 打開注冊表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa下打開security packages添加tspkg到最后 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders下找到securityproviders編輯字符串添加數值：, credssp.dll（逗號后有個空格）

12、本地組策略編輯設置1、禁止惡意程序、禁止惡意程序“不請自來不請自來”2、禁止改變本地安全訪問級別、禁止改變本地安全訪問級別 3、禁止、禁止U盤病毒盤病毒“趁虛而入趁虛而入” 4、禁止運行注冊表編輯器禁止惡意程序禁止惡意程序“不請自來不請自來”禁止惡意程序自動下載文件 “開始”-“運行”-gpedit.msc-本地計算機組策略編輯器;“計算機配置” “管理模板” “Windows組件” “Internet Explorer” “安全功能” “限制文件下載” 雙擊 “Internet Explorer進程” “已啟用” 禁止改變本地安全訪問級別禁止改變本地安全訪問級別安全級別要是設置得太低，會導致

13、潛藏在網絡中的安全級別要是設置得太低，會導致潛藏在網絡中的各種病毒或木馬對本地計算機進行惡意攻擊各種病毒或木馬對本地計算機進行惡意攻擊 A 禁用安全頁“用戶配置” “管理模板” “Windows組件” “Internet Explorer” “Internet控制模板” “禁用安全頁” “已啟用” B 禁用 Internet選項 “用戶配置” “管理模板” “Windows組件” “Internet Explorer” “瀏覽器菜單” “Internet選項” 禁止禁止U盤病毒盤病毒“趁虛而入趁虛而入”禁止本地計算機系統讀取U盤，阻斷U盤病毒的傳播?！坝脩襞渲谩?“管理模板” “系統” “可移

14、動存儲” “可移動磁盤：拒絕讀取權限”禁止運行注冊表編輯器“用戶配置” “管理模板” “系統” “阻止訪問注冊表編輯器” “已啟用”關閉系統默認共享，禁止連接下面給出如何關閉系統的默認共享的操作： 從“開始| 管理工具 | 計算機管理”中打開“計算機管理”界面。 打開“共享文件夾”下面的子項，點中“共享”，在右邊的默認共享窗口中可以看到系統提供的默認共享，如圖14.43所示。若想要刪除C盤的共享，可以在“C$”上右擊鼠標，在彈出的快捷菜單中選中“停止共享”。 對于其他的默認共享，可以使用同樣的操作，將系統提供的默認共享全部刪，但是要注意IPC$ 的共享由于被系統的遠程IPC服務使用是不能被刪除

15、的，刪除完默認共享的系統共享特性。卸載和中止無用程序和系統進程服務器環境以“最精、最簡”為原則卸載不用使用程序。防止程序中有后門或漏洞導致被攻擊者利用。 中止不使用的系統進程。關閉危險和不用端口查看本地計算機正打開的端口 netstat。IPsec IP安全策略屏蔽IP或端口。認識Windows Server 2008安全記錄可以在事件查看器查看到很多事件日志，包括應用程序日志、安全日志、系統日志、目錄服務日志、DNS服務日志和文件復制服務日志等。通過查看這些事件，管理員可以了解系統和網絡的情況，也能跟蹤安全事件。當系統出現故障問題時，可以通過日志記錄進行查錯或恢復系統。安全事件是記錄關于審核

16、的結果，打開計算機的審核功能后，計算機或用戶的行為會觸發系統安全記錄事件。例如，管理員刪除域中的用戶賬戶，會觸發系統寫入目錄服務訪問策略事件記錄；修改一個文件內容，會觸發系統寫入對象訪問策略事件記錄。查看安全記錄只要做了審核策略，被審核的事件都會被記錄到安全記錄中，可以通過事件查看器查到每一條安全記錄。選擇“開始| 管理工具 | 事件查看器”或者在命令行中輸入eventvwr.msc命令，便可打開“事件查看器”控制臺查看安全記錄。安全記錄的內容包括：安全記錄的內容包括：類型：包括審核成功或失敗。類型：包括審核成功或失敗。日期：事件發生的日期。日期：事件發生的日期。時間：事件發生的時間。時間：事件發生的時間。來源：事件種類，安全事件為來源：事件種類，安全事件為SecuritySecurity。分類：審核策略，例如登錄分類：審核策略，例如登錄/ /注銷、目錄服務訪問、賬戶登注銷、目錄服務訪問、賬戶登錄等。錄等。事件：指定事件標識符，標明事件事件：指定事件標識符，標明事件IDID，為整數值。，為整數值。用戶：觸發事件的用戶名稱。用戶：觸發事件的用戶名稱。計算機：指定事件發生的計算機名稱，一般是本地計算機名計算機：指定事件發生的計算機名稱，一般是本地計算機名稱。稱。 事