危險(xiǎn)分子安全審查不放松

在單位內(nèi)網(wǎng)環(huán)境中，各式各樣的危險(xiǎn)分子隨時(shí)都有可能給單位內(nèi)網(wǎng)或重要系統(tǒng)的安全運(yùn)行帶來影響，甚至?xí)頍o法挽回的損失。為了保護(hù)單位內(nèi)網(wǎng)或重要系統(tǒng)安全，管理員需要學(xué)會(huì)安全審查本領(lǐng)，在第一時(shí)間發(fā)現(xiàn)躲藏在自己周圍的各種不安全分子。

審查服務(wù)安全

Windows系統(tǒng)長時(shí)間工作后，各式各樣的服務(wù)會(huì)潛藏在系統(tǒng)后臺(tái)，Windows系統(tǒng)安全性將不能得到保障。一些默認(rèn)啟動(dòng)的系統(tǒng)服務(wù)，平時(shí)很少用到，還可能帶來安全麻煩。為減少安全審查麻煩，建議用不到的時(shí)候立即停用。例如，Remote Registry服務(wù)基本上沒有什么作用，但非法用戶經(jīng)常會(huì)借助它偷偷遠(yuǎn)程修改網(wǎng)絡(luò)中其他計(jì)算機(jī)的系統(tǒng)注冊表鍵值，以達(dá)到惡意破壞目的。

在反復(fù)安裝、卸載程序的過程中，不少陌生服務(wù)會(huì)在系統(tǒng)中偷偷生成，這些服務(wù)往往都是不安全分子的來源。這時(shí)可以借用“Comodo Cleaning Essentials”工具自帶的Killswitch功能，對系統(tǒng)中的異常服務(wù)進(jìn)行自動(dòng)識(shí)別。在該程序主操作窗口中，點(diǎn)擊“打開Killswitch”按鈕，彈出任務(wù)管理器界面，點(diǎn)選“服務(wù)”選項(xiàng)卡，在對應(yīng)選項(xiàng)設(shè)置頁面中可以看到所有安全的服務(wù)會(huì)被識(shí)別為“safe”，而可能存在安全威脅的服務(wù)都沒有識(shí)別為“safe”，將這些不正常的服務(wù)名稱及時(shí)停用并刪除，以確保系統(tǒng)工作安全。

還可以對系統(tǒng)服務(wù)進(jìn)行動(dòng)態(tài)監(jiān)控，確保在第一時(shí)間發(fā)現(xiàn)系統(tǒng)服務(wù)的變化狀態(tài)。首先在系統(tǒng)運(yùn)行正常情況下，執(zhí)行“cmd”命令進(jìn)入DOS命令行窗口，輸入“net start > E:aaa.txt”命令，將Windows系統(tǒng)運(yùn)行正常時(shí)的服務(wù)狀態(tài)存儲(chǔ)到“E:aaa.txt” 文 件。當(dāng)日后感覺Windows系統(tǒng)運(yùn)行不正常時(shí)，在DOS命令行工作窗口中，繼續(xù)輸入“net start >E:bb.txt”命令，將存在問題時(shí)的系統(tǒng)服務(wù)狀態(tài)存儲(chǔ)到“E:bb.txt”文件中。再執(zhí)行字符串命令“fc E:aaa.txt E:bb.txt”，比較不同系統(tǒng)狀態(tài)下服務(wù)的變化之處，就能初步審查出系統(tǒng)服務(wù)的安全狀況了。

審查賬戶安全

有時(shí)關(guān)閉計(jì)算機(jī)系統(tǒng)會(huì)出現(xiàn)“有其他用戶登錄到這臺(tái)計(jì)算機(jī)”的提示，是否真有可疑用戶賬號(hào)在偷偷連接本地系統(tǒng)？

正常情況下，上面的提示意味著確實(shí)在關(guān)閉系統(tǒng)時(shí)，網(wǎng)絡(luò)中有其他人正遠(yuǎn)程連接到自己的系統(tǒng)中，當(dāng)然也可能是用戶自己在操作計(jì)算機(jī)系統(tǒng)時(shí)沒有及時(shí)注銷以前的用戶賬號(hào)。審查第一種情況比較簡單，只要認(rèn)真查看自己系統(tǒng)中有沒有陌生賬號(hào)名稱，就能審查出賬號(hào)是否安全了。在進(jìn)行該審查操作時(shí)，右擊“計(jì)算機(jī)”圖標(biāo)，點(diǎn)選右鍵菜單中的“管理”命令，依次跳轉(zhuǎn)到計(jì)算機(jī)管理窗口中的“系統(tǒng)工具”、“本地用戶和組”、“用戶”節(jié)點(diǎn)上，在指定節(jié)點(diǎn)下就能查看到自己系統(tǒng)中是否有不安全賬戶了。

對于后一種情況來說，如果自己的計(jì)算機(jī)系統(tǒng)已經(jīng)連接到單位網(wǎng)絡(luò)環(huán)境中時(shí)，發(fā)生的幾率還是很高的。在單位局域網(wǎng)中，要將這些不安全用戶賬號(hào)審查出來，其實(shí)很簡單！先進(jìn)入計(jì)算機(jī)管理窗口，依次選擇“系統(tǒng)工具”、“共享文件夾”、“會(huì)話”節(jié)點(diǎn)選項(xiàng)，在指定節(jié)點(diǎn)下大家能一眼看見所有連接到本地系統(tǒng)的賬號(hào)名稱，對于自己不熟悉的賬號(hào)連接，可以打開對應(yīng)連接的右鍵菜單，單擊“關(guān)閉會(huì)話”命令，強(qiáng)行切斷不安全用戶賬號(hào)的訪問連接。當(dāng)然，若是不安全用戶賬號(hào)正悄悄訪問系統(tǒng)中的隱私數(shù)據(jù)時(shí)，也能關(guān)閉特定數(shù)據(jù)文件，只要依次選擇“系統(tǒng)工具”、“共享文件夾”、“打開文件”節(jié)點(diǎn)選項(xiàng)，找到并打開特定數(shù)據(jù)文件的右鍵菜單，選擇“將打開的文件關(guān)閉”命令即可。

一些隱藏用戶賬號(hào)，不但可以躲避殺毒軟件等專業(yè)工具的審查，而且通過上面的方法也審查不出。考慮到隱藏賬號(hào)大多都有管理員權(quán)限，大家不妨在DOS命令行窗口的命令提示符下，使 用“net localgroup administrators”命 令，顯示出所有具有系統(tǒng)管理員權(quán)限的隱藏賬號(hào)，其中陌生的賬號(hào)名稱多半是不安全用戶賬號(hào)。例如有一些隱藏用戶賬號(hào)會(huì)悄悄躲藏到系統(tǒng)注冊表中，可以先進(jìn)入系統(tǒng)注冊表編輯界面，將鼠標(biāo)定位到注冊表節(jié)點(diǎn)“HKEY_LOCAL_MACHINESAMSAM DomainsAccountUsersNames” 上，在目標(biāo)節(jié)點(diǎn)下或許會(huì)發(fā)現(xiàn)其他一些隱藏賬號(hào)，打開對應(yīng)隱藏賬號(hào)的右鍵菜單，單擊“刪除”命令即可。

圖1 審核賬戶管理設(shè)置

如果希望在第一時(shí)間審查出用戶賬號(hào)安全狀態(tài)變化時(shí)，可以先打開系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“secpol.msc”命令，切換到系統(tǒng)安全策略編輯窗口。依次選擇“本地策略”、“審核策略”、“審核賬戶管理”選項(xiàng)，雙擊進(jìn)入設(shè)置對話框，勾選“成功”、“失敗”選項(xiàng)，確認(rèn)后保存設(shè)置操作，如圖1所示。之后進(jìn)入計(jì)算機(jī)管理窗口，將鼠標(biāo)定位到“系統(tǒng)工具”、“本地用戶和組”、“用戶”節(jié)點(diǎn)上，打開對應(yīng)節(jié)點(diǎn)選項(xiàng)的右鍵菜單，單擊“新建用戶”命令，彈出用戶創(chuàng)建對話框，在這里任意生成一個(gè)用戶帳號(hào)。接著打開系統(tǒng)控制面板窗口，依次點(diǎn)選“管理工具”、“事件查看器”，進(jìn)入系統(tǒng)事件查看器窗口，將鼠標(biāo)定位到“Windows日志”、“安全”節(jié)點(diǎn)上，在指定節(jié)點(diǎn)下找到剛才任意創(chuàng)建的用戶帳號(hào)，打開該用戶賬號(hào)的右鍵菜單，執(zhí)行“將任務(wù)附加到此事件”命令，切換到附加任務(wù)向?qū)гO(shè)置框，根據(jù)提示依次設(shè)置好報(bào)警方式、報(bào)警內(nèi)容，確認(rèn)后保存設(shè)置。這樣，自己系統(tǒng)中日后一旦有非法用戶賬號(hào)被創(chuàng)建，系統(tǒng)屏幕會(huì)在第一時(shí)間彈出警報(bào)信息。

審查進(jìn)程安全

為逃避殺毒軟件的查殺，很多非法程序常通過悄悄注入系統(tǒng)進(jìn)程來達(dá)到啟動(dòng)運(yùn)行目的，如果我們不能在第一時(shí)間審查出系統(tǒng)進(jìn)程中的不安全分子，那么Windows系統(tǒng)受到的安全威脅會(huì)大大增加。正常情況下，只要查看進(jìn)程的屬性信息就能識(shí)別出其是否為不安全分子。

由于惡意程序不能輕易獲得系統(tǒng)權(quán)限，單純通過進(jìn)程用戶名信息來審查進(jìn)程安全性是不準(zhǔn)確的，要想有效提升審查準(zhǔn)確性，可以先查看特定進(jìn)程的源路徑，根據(jù)詳細(xì)路徑，可初步識(shí)別出特定進(jìn)程的安全性。倘若對調(diào)用進(jìn)程的程序名不熟悉時(shí)，可以嘗試將進(jìn)程全名復(fù)制并粘貼到搜索引擎頁面中，借助搜索引擎判斷目標(biāo)進(jìn)程的安全性。

對于進(jìn)程中的不安全分子，必須立即將其殺掉。手工殺掉不安全進(jìn)程的操作很簡單，只要在任務(wù)管理器進(jìn)程選項(xiàng)設(shè)置頁面中，選中不安全進(jìn)程名稱，按下“結(jié)束任務(wù)”按鈕即可。當(dāng)然，僅僅殺掉不安全進(jìn)程，還不能保證系統(tǒng)安全，還需要依照進(jìn)程路徑信息，找到調(diào)用不安全進(jìn)程的詳細(xì)程序和相關(guān)文件，同時(shí)將它們也都刪除掉，才能避免不安全進(jìn)程的再次啟動(dòng)運(yùn)行。

也有一些不安全進(jìn)程，在任務(wù)管理器中不能通過手工方法殺掉，這時(shí)可以通過Windows系統(tǒng)自帶的用戶動(dòng)態(tài)調(diào)試命令“Ntsd”來將其強(qiáng)行殺掉。例如，某個(gè)頑固的不安全進(jìn)程，它的進(jìn)程PID為“3152”，要將其終止運(yùn)行時(shí)，可以先打開系統(tǒng)運(yùn)行對話框，輸入“cmd”命令并回車，展開MS-DOS命令行窗口，在其中執(zhí)行字符串命令“ntsd -c q -p 3152”即可。

審查文件安全

現(xiàn)在有些狡猾的惡意程序常通過劫持合法的原始程序，達(dá)到隱藏自身并自動(dòng)運(yùn)行的目的。那如何將存儲(chǔ)在合法文件夾中的不安全文件審查出來，同時(shí)將它們及時(shí)從系統(tǒng)中刪除掉呢？使用“文件異常監(jiān)測器”就能輕松做到這一點(diǎn)，它能批量審查出某個(gè)文件夾中的所有文件，是否被替換、被修改或被刪除。

啟動(dòng)運(yùn)行“文件異常監(jiān)測器”后，先進(jìn)行注冊以得到合法賬號(hào)，后登錄進(jìn)入主操作窗口，單擊“添加項(xiàng)目”按鈕，展開文件夾選擇對話框，選中并導(dǎo)入需要審查的特定文件夾，再按下“保存數(shù)據(jù)”按鈕，這樣所有文件的狀態(tài)信息會(huì)被自動(dòng)存儲(chǔ)記憶下來。日后，當(dāng)需要審查對應(yīng)文件夾中的文件是否發(fā)生安全變化時(shí)，只要點(diǎn)擊“載入數(shù)據(jù)”按鈕，再單擊“開始驗(yàn)證”按鈕，經(jīng)過一段時(shí)間后，所有被新增加或被修改的文件，都會(huì)被列出。

對于一些不安全分子，當(dāng)嘗試刪除它們時(shí)，系統(tǒng)可能提示其處于鎖定狀態(tài)而無法刪除。如果想知道誰鎖定了它們，并想對其執(zhí)行解除鎖定操作時(shí)，不妨請“LockHunter”工具幫忙。

安 裝 了“LockHunter”后，系統(tǒng)右鍵菜單會(huì)集成有“What is locking this file”命令選項(xiàng)，執(zhí)行該命令時(shí)，就能審查出不安全文件究竟是被誰鎖定的了。知道了鎖定文件的“幕后”程序后，倘若想立即對當(dāng)前鎖定文件執(zhí)行解鎖操作時(shí)，只要點(diǎn)擊“Unlock it”按鈕即可；要想對目標(biāo)鎖定文件既要執(zhí)行解鎖，又要執(zhí)行刪除操作時(shí)，可以點(diǎn)擊“Delete it”按鈕。如果在復(fù)制文件時(shí)看到文件被鎖無法進(jìn)行拷貝時(shí)，不妨執(zhí)行“Unlock &Copy”命令，立即解除文件鎖定狀態(tài)，同時(shí)自動(dòng)進(jìn)行文件復(fù)制操作。