信息安全常见问题与解决方案

信息安全常见问题与解决方案1. 弱口令问题检查与改进要求所有服务必须使用账号登录，所有账号必须使用复杂密码，必须包含大小写、数字、特殊字符，并且长度不低于12位,不要含有数字、字母、键盘多个连输及常用单词，建议采取无意义的字符串作为密码。1.1 检查操作系统 是否存在冗余账号？禁用或删除冗余账号。 保留的账号不允许空密码和弱密码，检查并设置复杂密码。 服务器避免使用相同密码 Windows系统如果有共享访问（开启了SMB服务），必须设置访问账号，账号设置复杂密码，如不是必须，建议卸载服务。 及时更新操作系统补丁1.2 检查数据库 包含但不限于这些数据库：MS SqlServer、Oracle、mysql、mariadb、postgresql、redis、memcached、DM 是否存在冗余账号？禁用或删除冗余账号。 保留的账号不允许空密码和弱密码，检查并设置复杂密码。1.3 检查ftp服务 ftp服务如必须，请取消匿名访问，并设置复杂密码，否则请将服务停用并设置为禁用。1.4 检查ssh服务 ssh服务如必须，设置复杂密码，否则请将服务停用并设置为禁用。2. 系统账户检查及关闭122.1 在计算机或此电脑上右键单击，选择管理2.2 计算机管理-系统工具-本地用户和组-用户，删除或禁用不用账号3. 病毒检查与防护33.1 永恒之蓝下载器木马检查12344.14.1.1 查看系统进程打开任务管理器查看以下进程，注意CPU占用过高进程，如taskmgr.exe进程，在进程上点右键属性数字签名，如果是下列签名人信息则为中毒“ShenzhenSmartspaceSoftwaretechnologyCo.,Limited”4.1.2 检查系统任务计划打开控制面板系统和安全管理工具任务计划程序，查看是否存在以下定时任务，如果有则为中毒（注意检查每层节点）3.2 手工解决办法1.1.1.1.2.1.2.3.4.4.1.4.2.4.2.1. 在任务管理器中结束病毒进程结束名为taskmgr.exe、wmiex.exe等CPU占用异常的进程以及描述为“svchost”的svchost进程；（注：通常正常的svchost进程描述为“Windows服务主进程”）；4.2.2. 打开任务管理器，关闭服务4.2.3. 打开任务计划程序，删除以下任务删除名为Ddrivers和WebServers的计划任务；删除名为DnsScan的计划任务；删除名为MicrosoftWindowsBluetooths的计划任务；删除可能存在的计划任务Certificate；删除可能存在的计划任务Credentials； 4.2.4. 打开路径C:WindowsSysWOW64：删除最新修改的两个文件4.2.5. 打开路径C:WindowsTemp下已修改时间排序，删除部分文件4.2.6. 删除下载和释放的病毒文件，路径如下：c:UsersUsernameAppDataRoamingMicrosoftWindowsStart MenuProgramsStartuprun.bat(注:Username 替换为当前登录的用户名)；c:UsersUsernameAppDataRoamingMicrosoftcred.ps1(注:Username替换为当前登录的用户名)；c:programdatamicrosoftcred.ps1；c:windowssystem32svhost.exe；c:windowssystem32driverssvchost.exe；c:windowssystem32driverstaskmgr.exe；c:windowssystem32wmiex.exe；4.2.7. 删除病毒创建的注册表项HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunDdriver；HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunWebServers；4.2.8. 删除病毒设置的防火墙栏目删除入站规则名为UDP，开放65532端口的规则；删除入站规则名为UDP2，开放65531端口的规则；删除入站规则名为DNS，开放65532端口的规则；删除入站规则名为DNS2，开放65531端口的规则；4.2.9. 删除入站规则名为ShareService，开放65533端口的规则；4.2.10. 删除病毒设置的端口转发的设置以管理员身份运行CMD，执行如下命令：netsh interface portproxy delete v4tov4 listenport=65531netsh interface portproxy delete v4tov4 listenport=65532netshinterfaceportproxyreset 3.3 预防措施及建议4.3.4.3.1. 卸载驱动人生卸载老版本的驱动人生程序或者更新至最新版防止攻击者下发新的恶意代码；4.3.2. 更新系统补丁 内网使用共享的主机打上MS17-010漏洞补丁(补丁编号为KB4012212和KB4012215)，防止利用此漏洞的横向攻击； 内网使用共享的主机还需要打上KB2871997漏洞补丁，防止利用此漏洞的横向攻击；4.3.3. 查看关闭不必要的端口：1433、139、135、445建议先断网，再关闭端口，关闭端口后可以联网下载补丁或修复工具第一步：开始菜单-打开控制面板中的Windows防火墙，并保证防火墙处于启用状态第二步：打开防火墙的高级设置第三步：在“入站规则”中新建一条规则，选择【自定义】第四步：左侧选择【协议和端口】并在本地端口号选择445，其他设置如图所示，【操作】选择阻止连接，完成生成即可下一步4.3.4. 修改服务器密码：参照“弱口令问题检查与改进”注意修改完服务器密码之后，到服务中查看数据库对应的服务是否是使用administrator登录的，如果是，则相应的改一下密码，使用命令services.msc打开服务列表：a) SqlServer如上图以登录为进行排序，查看SqlServer( MSSQLSERVER)这个服务不建议使用administrator登录，如果是，建议修改：b) OracleOracle同上，如果Oracle的服务是使用administrator登录，则同样修改为登录密码即可。修改完以后不要忘记起服务4.3.5. 设置服务器失败登录次数限制例如输入密码5次后，锁定30分钟：控制面板系统和安全管理工具本地安全策略：【帐户策略】【帐户锁定策略】：4. 安装杀毒工具，全盘扫描防护安装杀毒工具，定期执行全盘扫描防护，例如安装XX杀毒软件44.1 全盘查杀安装完成进行全盘查杀。4.2 设置访问黑白名单5.5.1.5.2.5.2.1. 设置1433白名单IP安装后打开火绒防护中心，打开”IP协议控制”选择”添加规则”规则名称随意，方向选择入站，协议选择TCP/UDP，本地端口选择自定义后填写1433，远程IP选择自定义后填写允许连接本机1433端口的IP地址，多个IP地址用英文逗号隔开。填写好后点击保存，立即生效5.2.2. 禁止非白名单IP访问1433端口打开”IP协议控制”选择”添加规则”规则名称随意，操作选择阻止，方向选择入站，协议选择TCP/UDP，本地端口选择自定义后填写1433。点击保存，立即生效。5.2.3. 禁止向其他非正常机器1433端口访问添加如图所示规则：5. Windows防火墙l 打开控制面板，打开windows防火墙或Windows Defender防火墙。l 点击左边的高级设置55.1 出站规则设置点击左边的出站规则，再点击右侧的新建规则选择自定义，然后点击下一步选择 所有程序，点击下一步协议类型TCP，本地端口选择所有端口，远程端口选择特定端口1433“此规则应用于哪些本地IP地址”处填写当前主机ip，“此规则应用于哪些远程IP地址”处填写本机需要访问的远程sqlserver数据库主机IP地址选择 允许连接 ，点击下一步三项全部勾选，然后下一步随便填写一个名称，点击完成至此本机只能访问指定IP的1433端口。5.2 入站规则设置点击左边的入站规则，再点击右侧的新建规则选择自定义，然后点击下一步选择 所有程序，点击下一步协议类型选择TCP，本地端口选择特定端口1433，远程端口选择所有端口，然后点击下一步“此规则应用于哪些本地IP地址”处填写当前主机ip，“此规则应用于哪些远程IP地址”处填写需要访问本机sqlserver数据库的正常主机IP地址本地IP地址和远程IP地址配置完成后点击下一步选择 允许连接 ，点击下一步三项全部勾选，然后下一步随便填写一个名称，点击完成至此本机的1433端口已经仅允许指定IP访问5.3 注意事项请确认入站规则里允许远程桌面连接后，打开防火墙。若本机的远程桌面连接非3389端口则需要单独设置，具体设置方法请参考上述内容。