在上網(wǎng)訪問網(wǎng)頁過程中,Cookies常常會記憶用戶的訪問記錄、輸入在表單中的隱私信息等等,日后再次瀏覽同一個頁面時,網(wǎng)站就能通過Cookies功能快速調(diào)用以前的內(nèi)容。但在一些安全要求較高的場合下,Cookies記憶功能容易出賣用戶的上網(wǎng)隱私數(shù)據(jù)。
為了保護上網(wǎng)訪問安全,建議大家屏蔽Cookies記憶功能。首先在完成上網(wǎng)訪問操作后,必須及時刪除Cookies功能記錄下來的數(shù)據(jù)信息。打開IE瀏覽頁面,依次點選“工具”→“Internet選項”命令,展開Internet選項對話框。切換到“常規(guī)”標簽頁面,單擊“瀏覽歷史記錄”位置處的“刪除”按鈕,勾選“退出時刪除瀏覽歷史記錄”選項,單擊“確定”按鈕后保存設(shè)置操作即可。
其次阻止所有Cookies信息。在IE瀏覽器窗口中,依次點 擊“工 具”→“Internet選項”命令,展開Internet選項設(shè)置對話框。點擊“隱私”選項卡,在對應(yīng)選項頁面的“選擇Internet區(qū)域設(shè)置”位置處,將移動滑塊調(diào)整到最高隱私級別,該級別會阻止所有Cookies信息,單擊“確定”按鈕后Windows系統(tǒng)會屏蔽所有站點的Cookies記憶功能,并且所有站點也不能調(diào)用本地系統(tǒng)已經(jīng)存在的Cookies信息,那么Cookies功能就不會被惡意利用了。
在使用動態(tài)IP地址上網(wǎng)時,必須事先向局域網(wǎng)中的DHCP服務(wù)器申請合法IP地址,才能確保上網(wǎng)成功。為了保護上網(wǎng)訪問安全,如何屏蔽非法用戶,偷偷從不可信任DHCP服務(wù)器那里申請獲得地址呢?
首先強制進行域認證。在將可信任DHCP服務(wù)器加入到指定域時,先登錄域控制器,展開DHCP服務(wù)器控制臺。右擊域控制主機名稱,執(zhí)行“添加服務(wù)器”命令,進入添加服務(wù)器對話框,點擊“瀏覽”按鈕,導(dǎo)入可信任DHCP服務(wù)器主機名稱。這樣,特定域中的上網(wǎng)終端系統(tǒng)日后上網(wǎng)訪問時會優(yōu)先向可信任DHCP服務(wù)器申請IP地址。
接著集中綁定地址。要在可信任DHCP服務(wù)器中,對合法終端主機的IP地址和MAC地址進行集中捆綁時,先用“ipconfig /all”命令,查詢得到每臺終端系統(tǒng)的IP地址和MAC地址。之后進入DHCP服務(wù)器主機,通過雙擊“管理工具”、“DHCP”等圖標,打開DHCP控制臺窗口,將鼠標定位到特定作用域節(jié)點下面的“保留”選項上,打開它的右鍵菜單,執(zhí)行“新建保留”命令,在界面的“保留名稱”位置處,輸入好特定IP地址的保留名稱,在“IP地址”位置處輸入好特定終端主機使用的IP地址,在“MAC地址”位置處輸入與之對應(yīng)的MAC地址,并將“支持類型”選擇為“兩者”選項,單擊“確定”按鈕后完成地址綁定操作。按照相同的操作方法,完成其他終端主機的IP和MAC地址綁定任務(wù)。
下面啟用DHCP監(jiān)聽。在網(wǎng)絡(luò)交換機具有DHCP監(jiān)聽功能情況下,啟用該功能屏蔽非信任端口的地址申請。
以H3C系列交換機為例,在啟用DHCP監(jiān)聽功能時,先以系統(tǒng)管理員身份登錄交換機后臺系統(tǒng),通過“system-view”命令進入全局視圖模式,執(zhí)行“dhcpsnooping”命令,啟用交換機的全局DHCP監(jiān)聽功能。此時,交換機會自動偵聽局域網(wǎng)中存在的所有DHCP數(shù)據(jù)報文,同時限制非信任端口只能對外發(fā)送DHCP數(shù)據(jù)包,而無法接受DHCP數(shù)據(jù)包,日后即使有非法DHCP服務(wù)器嘗試接入單位網(wǎng)絡(luò)時,該功能將會對其自動屏蔽,保證網(wǎng)絡(luò)中的終端計算機能安全穩(wěn)定地從可信任DHCP服務(wù)器那里申請IP地址上網(wǎng)。如果希望特定交換端口能正常接收DHCP數(shù)據(jù)報文,并能轉(zhuǎn)發(fā)它們時,需要將該口配置成可信任端口。比如說,要將G0/2/18端口配置成為可信任交換端口時,只要在全局視圖模式下,執(zhí)行“interface G0/2/18”命令,再輸入“dhcp-snooping trust”命令即可。
局域網(wǎng)環(huán)境中,基于地址解析方式的病毒攻擊愈演愈烈,這種非法攻擊會悄悄修改數(shù)據(jù)報文中的源IP地址或源MAC地址,欺騙地址解析響應(yīng),造成合法用戶數(shù)據(jù)流被竊。
為了保護網(wǎng)絡(luò)安全,大家可以巧妙配置接入交換機,來有效屏蔽地址解析攻擊。經(jīng)常采取的屏蔽措施,就是在交換機端口生成IP地址和MAC地址的綁定表,將其保存于地址池中。當交換端口下面的上網(wǎng)終端系統(tǒng)向網(wǎng)絡(luò)發(fā)送地址解析報文時,其所包含的源IP地址和源MAC地址,與交換機地址池中的綁定關(guān)系不一致時,那么地址解析攻擊就會被交換機自動屏蔽。
以思科交換機為例,只要啟用AM使能功能,進入基于端口的視圖配置模式,生成合法用戶的IP地址和MAC地址綁定表,日后只有來自地址池中的IP報文能通過交換端口,其他報文會被交換機的AM模塊自動屏蔽掉。
比如說,要啟用交換機的使能AM,允許ethernet 0/6端口上MAC地址為61-a4-45-7d-56-93、IP 地址為10.172.22.68的用戶通過時,只要先輸入“am enable”字符串命令,啟用交換機的使能AM,再逐一輸入“interface ethernet 0/6”、“am port”、“am mac-ippool 61-a4-45-7d-56-93 10.172.22.68”等命令即可。
要屏蔽以假網(wǎng)關(guān)形式發(fā)起的地址解析攻擊時,只要在特定交換端口,啟用ARP Guard功能,來保護局域網(wǎng)中的特定網(wǎng)關(guān)地址不被惡意利用。
比如說,要在ethernet 0/2端口上開啟ARP Guard功能,來保護10.172.22.1這個網(wǎng)關(guān)地址時,只要先在交換機后臺系統(tǒng)執(zhí)行“interface ethernet 0/2”命令,進入特定交換端口視圖模式,繼續(xù)輸入“arpguard ip 10.172.22.1”命令,交換機日后就能自動掃描分析來自ethernet 0/2端口上的所有地址解析數(shù)據(jù)報文,如果數(shù)據(jù)報文中的源IP地址是10.172.22.1時,交換機就會認為它是攻擊報文,并將其自動屏蔽掉。
在服務(wù)器之類的重要主機系統(tǒng)中,如果允許普通權(quán)限用戶隨意執(zhí)行一些有安全威脅的DOS命令,那么主機系統(tǒng)的安全穩(wěn)定運行將無法得到保證。為了讓用戶無法輕易執(zhí)行一些安全威脅大的DOS命令,建議按照如下步驟,屏蔽掉重要主機系統(tǒng)中的MS-DOS工作方式:
首先依次點擊“開始”、“運行”命令,彈出系統(tǒng)運行對話框,輸入“regedit”命令并回車,進入系統(tǒng)注冊表編輯界面。將鼠標定位到“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies”注冊表節(jié)點上,在指定節(jié)點下手工創(chuàng)建一個“WinOldApp”子項。
接著用鼠標右鍵單擊該子項,從彈出的快捷菜單中,逐一選中“新建”、“Dword值”命令,將新創(chuàng)建的雙字節(jié)鍵值取名為“Disabled”,用鼠標雙擊該鍵值選項,彈出編輯鍵值對話框,再將其數(shù)值設(shè)置為“1”,刷新系統(tǒng)注冊表讓設(shè)置正式生效即可。
在局域網(wǎng)環(huán)境中,經(jīng)常有人會隨意修改IP地址,造成網(wǎng)絡(luò)地址發(fā)生沖突。為保持網(wǎng)絡(luò)運行穩(wěn)定,如何屏蔽網(wǎng)絡(luò)地址修改功能,以禁止他人隨意調(diào)整上網(wǎng)地址呢?
很簡單!依次點擊“開始”、“運行”命令,彈出系統(tǒng)運行對話框,輸入“gpedit.msc”命令并回車,進入系統(tǒng)組策略編輯界面。在該編輯界面左側(cè)顯示區(qū)域,依次展開“本地計算機策略”→“用戶配置”→“管理模板”→“網(wǎng)絡(luò)”→“網(wǎng)絡(luò)連接”分支,在對應(yīng)分支的右側(cè)列表區(qū)域中,找到“禁止訪問LAN連接組件的屬性”組策略選項,打開如圖1所示的組策略屬性對話框,選中“已啟用”選項,再單擊“確定”按鈕保存設(shè)置操作,并重新啟動計算機讓設(shè)置正式生效。日后,當嘗試打開“本地連接”圖標的右鍵菜單時,會看到其中的“屬性”命令呈不可用狀態(tài),那樣別人就無法隨意改動本地系統(tǒng)的IP地址了。
圖1 組策略屬性對話框
從安全角度來看,應(yīng)用程序進程可以分成不安全、一般安全、非常安全、未知安全這些等級。系統(tǒng)進程屬于非常安全級別,通過安全認證的程序?qū)儆谝话惆踩燃?,病毒木馬屬于不安全等級,沒有通過微軟數(shù)字簽名認證或有BUG的程序?qū)儆谖粗踩燃墶?/p>
除此而外,在遇到不熟悉的程序進程時,我們該怎樣檢測它們的安全等級,并將惡意進程攻擊屏蔽掉呢?
借助Security Process Explorer這款工具幫忙,通過標識進程的顏色色塊,就能準確檢測出陌生進程究竟安全與否了。
默認狀態(tài)下,Security Process Explorer使用空白色塊表示未知安全,用綠中帶紅色塊表示一般安全,用純綠色色塊表示安全類型,用純紅色色塊表示不安全。啟動Security Process Explorer工具后,所有程序進程都能被自動顯示出來。不同安全等級的程序進程,Security Process Explorer會使用不同顏色色塊進行標識,我們只要識別顏色色塊,就能快速地檢測出陌生進程是否安全了。
比如說,如果是發(fā)現(xiàn)計算機中某個陌生進程被目標工具標識為紅色色塊時,那就代表該進程或許是病毒木馬。
如果想更進一步了解不安全進程信息時,可以用鼠標右擊紅色色塊進程,執(zhí)行“詳細信息”命令,打開不安全進程詳細信息查看窗口。在這里,可以查看到陌生進程的許多狀態(tài)信息,包括進程詳細名稱、進程運行優(yōu)先級、進程標識ID以及進程設(shè)計公司等。選擇“用到的模塊”標簽,在該標簽設(shè)置頁面中,可以了解到陌生進程究竟訪問了計算機的哪些動態(tài)鏈接庫文件,根據(jù)這些內(nèi)容,就能準確檢測出陌生進程的安全威脅有多大了。
當某個陌生進程被檢測為不安全級別時,可以用鼠標選中它,單擊“屏蔽進程”按鈕,將對應(yīng)陌生進程運行狀態(tài)立即屏蔽掉,同時將其添加到進程運行屏蔽列表中,確保它們?nèi)蘸蟛荒茏詣娱_啟運行。