安全性事件的应对及恢复简明指南

April 26, 2008 6:40 PM

所有的网络最终都会成为某个计算机安全事件的受害者。系统管理员需要为各类安全性事件做好准备并及时应对,将受到的伤害降低到最小。

为可能遭受的安全性事件做好准备

为计算机安全事件做好准备是快速解决可能发生的入侵事件的关键。

1、参加安全培训

 

计算机系统的安全管理需要比其它网络管理工作更多的知识和技巧。请确信您和您的团队接受过相应的培训。Microsoft提供了几个专门面向计算机安全问题的站点,包括安全产品和网络中心,以及安全和隐私保护。此外,Microsoft还提供了一些安全性课程和考试,其中包括“课程2810:网络安全基础”。

2、为需要保护的系统制作清单

为网络制作清单,以便知道需要对哪些系统施加保护。可以考虑使用Microsoft的System Management Server自动制作清单和发现网络设备。评估安全事件的风险并相互交流,找出管理风险的办法。

3、保护系统

在您对系统进行标识之后,确保系统能够得到安全的配置至关重要。Microsoft提供了几个安全性资源以及工具和检查列表,旨在帮助用户加强Windows系统的安全性。Microsoft Baseline Security Analyzer工具能够分析大多数常见的Windows系统的安全漏洞,并提出相关建议。用户也可以考虑使用一个补丁管理系统保持系统处于最新状态。

4、建立入侵检测机制

为了能够对安全事件做出应对,您首先必须能够检测到该事件。您可以考虑使用防病毒软件、防火墙或者入侵检测系统作为计算机安全防卫计划的一部分。除了第三方产品之外,Microsoft也提供了两个防火墙产品,Windows XP的Internet连接防火墙(ICF)和企业级产品Microsoft Internet Security and Acceleration(ISA)Server。此外,您也应该学习如何检测和审核安全事件。

5、备份重要的配置文件和数据

对于任何安全事件,可能都需要从预先准备的备份中恢复系统设置和数据。通常,备份是您恢复受损系统的唯一方法。Microsoft知识库文章287061全面讲解了备份策略以及相关问题。请务必时常更新您的紧急恢复磁盘,并且定期测试备份数据的有效性。

6、建立一个计算机安全事件应对小组

计算机安全事件应对小组(Computer Security Incident Response Team,CSIRT)是一个预先定义的计算机专家组,小组成员由精通企业计算机基础结构和受过计算机安全培训的专业人员组成。

7、制定安全事件应对预案

CSIRT需要开发并实施一个安全事件应对预案。请参阅“Windows 2000 Server安全指南”的第10章了解一个应对预案都应该包括哪些内容。

对安全事件做出应对

对安全事件做出应对的基本步骤包括:

  • 召集CSIRT
  • 限制进一步的损害
  • 收集详细的法律证据
  • 修复受损系统并采取预防措施
  • 事件分析

使用针对Windows 2000 Server的“服务器安全操作指南”提供的“安全事件应对快速指导卡片”作为一个快速的检查清单。

1、召集计算机安全事件应对小组

在发现了一个入侵安全事件之后,应该立即召集事件应对小组的成员。CSIRT应该在一个预先定义的会议地点召开会议,并且介绍已经发现的事件情况。

2、限制事件的影响范围

在注意到发生安全事件之后,立即采取步骤将受到损害的范围减小到最低限度。本步骤包括禁用Internet访问、文件服务器、电子邮件服务器、网关设备以及工作站。请务必记录禁用了哪些计算机和服务,以便能够在系统恢复正常后重新启用这些服务。如果允许,请向受影响部门的用户告知有关安全入侵事件的相关情况。

如果在Exchange环境下爆发了电子邮件蠕虫病毒,应该停止Internet邮件服务、邮件传输代理(Message Transfer Agent)以及其它电子邮件连接器服务。

3、收集详细的法律证据

现在,该收集详细的事实证据了。判断系统的破坏程度。事件的波及范围?有多少台服务器和客户机受到影响?涉及多少个部门?尤其是,在您观察入侵方式和入侵趋势的时候,指出安全事件的范围并确定具体的恢复步骤。

法律副本

根据系统的重要程度,考虑为可能受到修改的系统制作用作法庭证据的副本。为了查找入侵证据而对系统进行研究的过程可能会影响对安全事件的分析,或者使其愈加复杂。您可以考虑对受影响系统的硬盘驱动器进行逐扇区的复制,以便原始驱动器能够保留原样以供后续分析。如果可能会因为安全事件提起犯罪诉讼,请考虑制作一个一次性写入副本(例如,WORM光盘)。请点击此处查看有关Windows NT/2000法律证据的文章。

未经授权的文件修改

通常,服务器入侵事件涉及文件修改,以便能够成功进行后续活动。如果您怀疑有文件被修改,请考虑以下问题:

  • 事件涉及使用恶意程序删除其它文件,重命名文件,覆盖文件,修改注册表或者将文件放入启动区域吗?
  • 被删除的文件每次都是同一个名称吗?
  • 在查找是否有文件被修改时,查找最近被创建或被修改的文件,并且查看能够自动启动程序、服务和后台程序的地方。

需要查看的位置:

至少应该查看以下位置和文件:

  • AUTOEXEC.BAT, CONFIG.SYS(或者相同功能的类似文件)
  • WIN.INI(查看LOAD= 语句)
  • SYSTEM.INI(检查SHELL= 和 SCRNSAVE= 语句)
  • WINSTART.BAT,DOSSTART.BAT,WININIT.INI(如果有这些文件)
  • “启动”(Startup)文件夹
  • 注册表的启动部分

    • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
    • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
    • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
    • HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell
    • HKLM\System\CurrentControlSet\Services (registered services and processes)
    • HKEY_CLASSES_ROOT\exefile\shell\open\command
    • HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

注意:注册表的键值根据Windows操作系统的不同而有所变化。

如果找到了被修改的文件或者恶意文件,而且公司里有合适的编程人才,可以考虑对恶意程序的逻辑进行分析。

安全权限分析

一般来说,入侵事件会致使安全权限被修改,以便提升攻击发起人的权限。审核帐户和组,特别注意管理员帐户,看看是否发生了未经授权的权限提升事件。审核权限和共享--查看新加权限或者额外权限。例如,我们已经知道Internet蠕虫会修改共享权限,以便包括匿名用户在内的所有人都能够访问共享。Microsoft Baseline Security Analyzer工具可以用来查找系统存在的漏洞。

访问在线查毒站点以便查找病毒并找出修补方法

如果入侵事件涉及恶意的移动代码(例如,病毒、蠕虫或特洛伊木马),可以通过防病毒站点和搜索引擎获得更多相关信息。

4、修补受损系统并采取预防措施

通常,修补受损系统并防止将来再次发生同样性质的入侵事件是CSIRT的所有工作中最劳神费力的部分。请考虑在根除隐患的过程中召集更多的小组成员。

制定并实施初始清除计划

根据已经掌握的信息,实施一个清除计划。恶意文件应该被删除或者替换。需要清理的注册表键应该被重写。如果需要,修改或重新创建用户帐户、文件、目录和共享权限。应该尽可能使用一个自动化的清除工具,例如Microsoft的System Management Server

如果安全性事件涉及Microsoft Exchange环境中的恶意电子邮件,可以考虑使用Microsoft的EXMERGE工具查找并删除这些有害邮件。

完成系统恢复

能够100%地保证受影响系统的安全不会受到威胁的办法就是进行一次完整的系统恢复操作,将系统恢复到发生安全事件前的状态。如果您需要最大限度的保障,请按照以下步骤操作:

  1. 校验数据备份的可靠性。
  2. 如果需要,使用文档记录合法的系统设置。
  3. 格式化受影响系统的硬盘驱动器,包括删除并重新建立所有逻辑硬盘分区。
  4. 重新安装操作系统。
  5. 应用必需的安全补丁、服务包、热修补以及能够预防未来入侵事件发生的所有其它步骤。
  6. 根据需要,使用原始安全介质安装应用程序,并且应用厂商提供的升级。
  7. 从可信备份中恢复数据。
  8. 测试系统。

验证清除操作是否发挥了作用

指示CSIRT的成员对系统是否得到了正确的清理加以校验,并且监视通信渠道,检查有无问题发生。

恢复被禁用的系统

随着系统被清理和得到保护,将被禁用的系统重新投入运行。

  • 重新允许用户登录到系统(如果被禁用)。
  • 使用先前制作的清单,以便能够启用先前禁用所有系统和服务。
  • 与最终用户交流,看看他们是否仍然能够以原来的方式使用他们的计算机。如果有系统仍然处于离线状态,需要告知用户。

为再次发生此类事件做好准备

为了应对下次发生的入侵事件,告诉您的最终用户相同的事情。

5、事件分析

现在,应该重新召集小组成员,对已经结束的入侵事件进行分析。讨论入侵事件的积极一面,应该如何进行应对,以及在以后的会议中需要对哪些问题保持关注。

进行更彻底的分析

既然整个危机已经宣告结束,该是进行一次更为彻底的分析讨论的时候了。此时,您应该已经完全理解了入侵事件所涉及的方方面面,以及发生入侵事件的根源。使用更为彻底的分析修复被破坏的其它系统。判断先前的防卫计划或工具是否存在任何缺陷,如果有,对其加以完善。

判断事件对公共关系造成的损害及相关法律影响

讨论入侵事件对最终用户、公司、运营、外部客户以及商务伙伴的影响。此外,考虑一下是否需要与执法机构取得联系。阅读CERT的白皮书“FBI如何调查计算机犯罪”可能会对您有所帮助。

Categories:

Tags:

Search

About this Entry

This page contains a single entry by published on April 26, 2008 6:40 PM.

埃及科学家新发现:绿茶可提高抗生素药效 was the previous entry in this blog.

WINDOWS 2000、WINDOWS XP查看有效的安全设置 is the next entry in this blog.

Find recent content on the main index or look in the archives to find all content.