介绍剔除系统启动项暗藏威胁的方法

网上有关“介绍剔除系统启动项暗藏威胁的方法”话题很是火热，小编也是针对介绍剔除系统启动项暗藏威胁的方法寻找了一些与之相关的一些信息进行分析，如果能碰巧解决你现在面临的问题，希望能够帮助到您。

对于大部分计算机用户来说，管理计算机基本上是借助某些第三方工具，甚至是自己手工修改注册表来实现。其实Windows

XP组策略已经把这些功能集于一体，通过组策略及相关工具完全可以实现我们所需要的功能。

一、组策略基础

1.什么是组策略

注册表是Windows系统中保存系统软件和应用软件配置的数据库，而随着Windows功能越来越丰富，注册表里的配置项目也越来越多，很多配置都可以自定义设置，但这些配置分布在注册表的各个角落，如果是手工配置，可以想像是多么困难和烦杂。而组策略则将系统重要的配置功能汇集成各种配置模块，供用户直接使用，从而达到方便管理计算机的目的。

其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。

2.组策略的版本

对于Windows 9X/NT用户来说，都知道“系统策略”的概念，其实组策略就是系统策略的高级扩展，它是自Windows

9X/NT的“系统策略”发展而来的，具有更多的管理模板、更灵活的设置对象及更多的功能，目前主要应用于Windows

2000/XP/2003操作系统中。

早期系统策略的运行机制是通过策略管理模板，定义特定的POL(通常是Config.pol)文件。当用户登录时，它会重写注册表中的设置值。当然，系统策略编辑器也支持对当前注册表的修改，另外也支持连接网络计算机并对其注册表进行设置。

而组策略及其工具，则是对当前注册表进行直接修改。显然，Windows

2000/XP/2003系统的网络功能是其最大的特色之处，所以其网络功能自然是不可少的，因此组策略工具还可以打开网络上的计算机进行配置，甚至可以打开某个Active

Directory(活动目录)对象(即站点、域或组织单位)并对其进行设置。这是以前“系统策略编辑器”工具无法做到的。

当然，无论是“系统策略”还是“组策略”，它们的基本原理都是修改注册表中相应的配置项目，从而达到配置计算机的目的，只是它们的一些运行机制发生了变化和扩展而已。

3.在Windows

XP中运行组策略

在Windows

2000/XP/2003系统中，系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”选项，在打开的对话框中输入“gpedit.msc”并确定，即可运行组策略。如图1所示。

使用上面的方法，打开的组策略对象是当前的计算机，而如果需要配置其他的计算机组策略对象，则需要将组策略作为独立的MMC管理单元打开：

(1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。

(2)单击“文件→添加/删除管理单元”菜单命令，在打开的对话框中单击“添加”按钮。

(3)在“可用的独立管理单元”对话框中，单击“组策略”选项，然后单击“添加”按钮。

(4)在“选择组策略对象”对话框中，单击“本地计算机”选项编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

(5)单击“完成”按钮，组策略管理单元即打开要编辑的组策略对象。

(6)在左窗格中定位需要更改的选项的位置，在右窗格中右键单击需要更改的具体选项，单击“属性”命令，即可打开其属性对话框，从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。

4.组策略中的管理模板

在Windows

2000/XP/2003中包含几个ADM文件。这些文件是文本文件，被称为“管理模板”，它们为组策略管理单元的控制树中“管理模板”文件夹下的项目提供策略信息。

在Windows

2000/XP/2003中，默认的Admin.adm管理模板位于系统文件夹的INF文件夹中，包含了默认安装下的4个模板文件，分别为：

(1)System.adm：默认安装在“组策略”中，用于系统设置。

(2)Inetres.adm：默认安装在“组策略”中，用于Internet

Explorer(IE)策略设置。

(3)Wmplayer.adm：用于Windows Media

Player设置。

(4)Conf.adm：用于NetMeeting设置。

在策略管理控制台中，可以多次添加“策略模板”，下面让我们来看看具体操作：

首先运行“组策略”程序，然后选择“计算机配置”或者“用户配置”下的“管理模板”，单击鼠标右键，选择“添加/删除模板”命令，然后在打开的对话框中单击“添加”按钮，在打开的对话框中选择相应的ADM文件。单击“打开”按钮，则在系统策略编辑器中打开选定的脚本文件，并等待用户执行。

返回到“组策略”编辑器主界面后，依次打开目录“本地计算机策略→用户配置→管理模板”选项，再单击相应的目录树，就会看到我们新添加的管理模板所产生的配置项目了。

注意：下面的操作均在Windows

XP中进行。

二、个性化我的电脑

1.删除“开始”菜单中的“文档”菜单项

在多人使用的计算机中，有的用户不希望其他用户看到自己曾经编辑过的文档或其他信息。因此，为了删除用于记录历史文档的“文档”菜单项，我们可以通过修改组策略来实现。

位置：\用户配置\管理模板\任务栏和“开始”菜单\

启用此设置，则系统保存“文档”快捷方式，但不在“文档”菜单中显示它们。如果以后禁用此设置或把它设置为未配置，则启用设置之前及其生效之时保存的“文档”快捷方式会出现在“文档”菜单项中。如图2所示。

注意：此设置不会阻止Windows程序在最近打开的文档中显示快捷方式。

另外，你也可以设置在退出系统时自动清除最近打开的文档的历史记录。

位置：\用户配置\管理模板\任务栏和“开始”菜单\

如果禁用该策略设置，系统就会在用户退出时删除快捷方式。因此，用户登录时，“开始”菜单上的文档菜单总是空的。如果禁用或不配置此设置，系统将保留文档快捷方式，并且用户登录时的文档菜单看起来与用户退出系统时完全相同。

注意：系统在\Documents

and

Settings\\Recent文件夹中的用户配置文件中保存文档快捷方式。

2.删除“开始”菜单中的“运行”菜单项

在“开始”菜单中有“运行”菜单项，可以输入程序名称来启动程序。我们可以将“运行”菜单项从“开始”菜单中删除。

位置：\用户配置\管理模板\任务栏和“开始”菜单\

如果启用该设置，发生如下更改：

(1)“运行”命令从“开始”菜单中删除。

(2)新建任务(运行)命令从任务管理器删除。

(3)阻止用户在IE地址栏中输入下列项：

UNC路径：\\＜server＞\＜share＞。

访问本地驱动器：例如，C:。

访问本地文件夹：例如，\temp＞。

同时，使用WIN+R组合键将无法显示“运行”对话框。如果禁用或不配置此设置，用户可以访问“开始”菜单和任务管理器的“运行”命令，以及使用IE地址栏。

注意：这个策略只影响指定的界面。不会防止用户使用其他方法运行程序。

3.给“开始”菜单减肥

如果觉得Windows的“开始”菜单太臃肿，你完全可以通过组策略设置将不需要的菜单项从“开始”菜单中删除。

位置：\用户配置\管理模板\任务栏和“开始”菜单\

在组策略右侧窗格中，提供“从‘开始’菜单删除用户文件夹”、“删除到‘Windows

Update’的访问和链接”、从‘开始’菜单删除公用程序组、从‘开始’菜单中删除“我的文档”图标等配置项目。你只要将不需要的菜单项所对应的策略启用即可。

4.隐藏和禁用桌面上的所有项目

该策略可以从桌面上删除图标、快捷方式和其他默认的和用户定义的项目。

位置：\用户配置\管理模板\桌面\

该策略删除图标和快捷方式不防止用户用另一种方法启动程序或打开图标和快捷方式所代表的项目。

5.退出时不保存用户设置

该策略用于防止用户保存对桌面的某些更改。

位置：\用户配置\管理模板\桌面\

如果你启用这个设置，用户可以对桌面做某些更改，但有些更改，比如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。

6.启用/禁用“活动桌面”(Active

Desktop)

活动桌面是Windows 98(及以后版本)或安装了IE

4.0的系统中自带的高级功能，它最大的特点是可以设置各种格式的墙纸，甚至可以将网页作为墙纸显示。但出于对安全和性能的考虑，有时候我们需要禁用这一功能(并且防止用户启用它)。

位置：\用户配置\管理模板\桌面\Active

Desktop

提示：如果同时启用“启用Active Desktop”设置和“禁用Active Desktop”设置，“禁用Active

Desktop”设置会被忽略。如果“禁用Active Desktop和Web视图”设置(在“用户配置\管理模板\Windows组件\Windows资源管理器”)被启用，Active

Desktop就会被禁用，并且这两个策略都会被忽略。

7.从“我的电脑”中删除共享文档

当Windows用户在一个工作组中，一个“共享文档”图标会以Windows资源管理器的Web视图出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置，你可选择不显示这些项目。

位置：\用户配置\管理模板\Windows组件\Windows资源管理器\

如果启用此设置，“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现。如果禁用或不配置此设置，当用户是“工作组”的一部分时，“共享文档”文件夹将会以Web视图方式显示或在“我的电脑”中出现。

8.不要将已删除的文件移到“回收站”

当Windows资源管理器中的一个文件或文件夹被删除时，该文件或文件夹的副本会被放在“回收站”里。使用此策略，你能改变此行为。

位置：\用户配置\管理模板\Windows组件\Windows资源管理器\

如果启用此设置，使用Windows资源管理器删除的文件或文件夹不会被放在“回收站”里，因此被永久删除。如果禁用或不配置此设置，使用Windows资源管理器删除的文件或文件夹会被放在“回收站”里。

三、利用组策略进行系统设置

1.登录时不显示欢迎屏幕

为了加快计算机启动的速度，我们完全可以通过组策略设置在每次用户登录时将Windows

XP欢迎屏幕隐藏。

位置：\用户配置\管理模板\系统\

要显示欢迎屏幕，请依次单击“开始→程序→附件→系统工具”选项，然后单击“开始”选项。要在不指定设置的情况下不显示欢迎屏幕，请在欢迎屏幕上的复选框中清除“在开始显示这个屏幕”选项。

注意：这项设置出现在“计算机配置”和“用户配置”文件夹中。如果配置这项设置，“计算机配置”中的设置比“用户配置”中的设置优先。

2.配置驱动程序查找位置

默认情况下，Windows将从本地安装、软盘驱动器、光盘驱动器、Windows

Update等位置搜索驱动程序。此设置配置查找到新硬件时Windows将要搜索驱动程序的位置。

位置：\用户配置\管理模板\系统\

如果启用此设置，你可以通过检查位置名称的相关复选框，删除这三个位置中的任何位置。如果禁用或不配置此设置，Windows将从本地安装、软盘驱动器、光盘驱动器和Windows

Update等位置中搜索驱动程序。

3.关闭自动播放

一旦你将媒体插入驱动器，自动运行就开始从驱动器中读取。这会造成程序的设置文件和在音频媒体上的音乐立即开始。该策略将关闭自动运行功能。

位置：\用户配置\管理模板\系统\

如果你启动这项设置，你还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行。

注意：这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。

另外，此设置不阻止自动播放音乐

CD。

4.只运行许可的Windows应用程序

该策略可以限制用户可以运行的Windows程序。

位置：\用户配置\管理模板\系统\

如果你启用这个设置，用户只能运行你加入“允许运行的应用程序列表”中的程序。

这个设置只能防止用户从Windows资源管理器启动程序。无法防止用户用其他方式启动程序，例如任务管理器。如果用户可以访问命令提示符窗口，这个设置无法防止用户从命令窗口启动不允许在Windows资源管理器中运行的程序。

注意：要创建允许的文件列表，请单击“显示”按钮，在打开的对话框中单击“添加”按钮，然后输入应用程序的执行文件名称(例如，Winword.exe、Poledit.exe、Powerpnt.exe)。如图3所示。

5.删除任务管理器

当我们同时按下Ctrl+Alt+Del组合键将显示“Windows任务管理器”对话框。任务管理器可以让用户启动或终止程序、监视计算机性能、查看及监视计算机上所有运行中的程序(包含系统服务)、搜索程序的执行文件名、更改程序运行的优先顺序。在这里，我们可以通过组策略删除任务管理器。

位置：\用户配置\管理模板\系统\Ctrl+Alt+Del选项\

如果该设置被启用，并且用户试图启动任务管理器，系统会显示消息，解释是一个策略禁止了这个操作。

6.删除改变“密码”选项

该策略可以防止用户通过任务管理器更改系统密码。

位置：\用户配置\管理模板\系统\Ctrl+Alt+Del选项\

这个设置停用Windows安全设置对话框上的“更改密码”按钮。但是，用户在得到系统提示时依旧可以更改密码。管理员要求新密码和密码作废时，系统会提示用户输入新密码。

7.不允许运行Windows

Messenger

Windows XP自带有聊天工具Windows Messenger，但是，我们也有可能在系统中安装MSN

Messenger。该策略允许你禁用Windows Messenger。

位置：\用户配置\管理模板\Windows组件\Windows Messenger

如果启用该策略，Windows

Messenger将不会运行。如果禁止或不配置该策略，Windows

Messenger可以被使用。

注意：如果启用这个策略，远程协助无法使用Windows

Messenger。另外，这个策略也会出现在“计算机配置”中。如果两个设置都配置，“计算机配置”中的设置比“用户配置”中的设置优先。

8.关闭系统还原功能

系统还原是Windows

XP/2003中集成的强大功能，它在系统运行的同时，备份被更改的文件和数据，如果出现问题，系统还原使用户能够在不丢失个人数据文件的情况下，将计算机还原到以前的状态。默认情况下，系统还原处于打开状态。

但这一功能付出的代价也是相当大的，系统性能会明显下降，磁盘空间也会被占用很多。对于配置不高的计算机来说，强烈建议关闭此功能。

位置：\计算机配置\管理模板\系统\系统还原\关闭系统还原

启用此设置后即可关闭系统还原功能，并且不能访问“系统还原向导”和“配置界面”。

四、利用组策略调整上网设置

1.禁用导入和导出收藏夹

禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该策略，“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果禁用该功能或不对其进行配置，则用户可以通过单击“文件”菜单上的“导入和导出”菜单项，然后运行“导入/导出向导”，导入/导出IE中的收藏夹。

注意：如果启用该策略，用户仍然可以查看“导入/导出向导”，但当用户单击“完成”按钮时，将出现说明该功能已被禁用的提示信息。

2.禁用更改“高级”选项卡的设置

禁止用户更改“Internet

选项”对话框中“高级”选项卡上的设置。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该策略，则用户无法更改高级Internet设置，如安全、多媒体和打印。用户无法选中“高级”选项卡上的复选框，也不能清除这些复选框的复选标记。如果禁用该策略或不对其进行配置，则用户可以选择或清除“高级”选项卡上的设置。

如果设置了位于\用户配置\管理模板\Windows组件\Internet

Explorer\Internet控制面板中的“禁用高级页”策略，则无需设置该策略，因为“禁用高级页”策略将删除界面上的“高级”选项卡。

3.对拨号连接使用“自动检测”属性

自动检测在浏览器第一次启动时使用

DHCP(动态主机配置协议)或DNS服务器来自定义浏览器。该策略指定自动检测用于用户的拨号设置的配置。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该设置，自动检测将配置用户的拨号设置。如果禁用该配置或不配置，自动检测不会配置用户的拨号设置，除非用户指定。

4.禁用Internet连接向导

禁止用户运行Internet连接向导。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该策略，“Internet选项”对话框中“连接”选项卡上的“建立连接”按钮将变灰。用户也无法通过单击桌面上的“连接到 Internet”图标或单击“开始→程序→附件→通讯”，然后单击“Internet连接向导”运行Internet连接向导。如果禁用该策略或不对其进行配置，则用户可以通过运行Internet连接向导，更改连接设置。

注意：该策略与位于＼用户配置＼管理模板＼Windows

组件＼Internet

Explorer＼Internet控制面板中的“禁用连接页”策略有相似之处，后者将删除界面上的“连接”选项卡。从界面上删除“连接”选项卡并不会妨碍用户从桌面或“开始”菜单中运行Internet连接向导。

5.禁用表单的自动完成功能

禁止IE自动完成表单，如填写用户以前在网页中输入过的姓名或密码。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果启用该策略，“表单”复选框将变灰。单击“Internet选项”对话框中“内容”选项卡上的“自动完成”按钮，即可出现“表单”复选框。如果禁用该策略或不对其进行配置，则用户可以启用表单的自动完成功能。

位于\用户配置\管理模板\Windows组件\Internet

Explorer\Internet控制面板中的“禁用内容页”策略的优先级高于该策略。如果启用了“禁用内容页”策略，该策略将被忽略，因为“禁用内容页”策略将删除“控制面板”中“Internet

Explorer属性”对话框中的“内容”选项卡。

注意：如果用户已开始使用启用了表单自动完成功能的浏览器后，再启用该策略，则不会清除用户已经使用表单自动完成功能在表单中所填写的内容。

6.配置媒体浏览栏属性

媒体浏览器栏播放来自Internet的音乐和视频内容，该策略允许管理员启用和禁用媒体浏览器栏和设置默认自动播放。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer

如果禁用媒体浏览器栏，用户无法显示媒体浏览器栏。自动播放功能也被禁用。当用户在IE中单击一个链接，系统中的默认媒体客户端将播放内容。如果启用媒体浏览器栏或不配置，用户可以显示和隐藏媒体浏览器栏。

管理员也可以打开和关闭自动播放功能。该设置只在媒体浏览器栏启用时应用。如果选择，媒体浏览器栏将在用户单击媒体链接时自动显示和播放媒体内容。如果不选择，系统上的默认媒体客户端将播放内容。

7.禁用右键快捷菜单

禁止在用户使用IE过程中单击鼠标右键时出现快捷菜单。

位置：\用户配置\管理模板\Windows组件\Internet

Explorer\浏览器菜单

如果启用该策略，在用户指向网页，然后单击鼠标右键时将不出现快捷菜单。如果禁用该策略或不对其进行配置，则用户可以使用快捷菜单。

8.自定义IE标题栏

我们可以利用组策略自定义出现在IE和OE标题栏中的文本。无论软件包中是否有OE或者用户计算机上已经安装了OE，都将更新OE标题栏。

位置：\用户配置\管理模板\Windows设置\Internet

Explorer维护\浏览器用户界面\浏览器标题

请在打开的对话框中选中“自定义标题栏”选项，然后在“标题栏文本”框中键入希望的文本。

注意：在选择某个位图时，要确保颜色与文本的对比度。这为用户确保了更高程度的可读性。

9.自定义IE工具按钮

我们可以利用该策略个性化出现在IE中的工具栏，给你一定的灵活性和设计机会。可以使用的元素包括用于标准工具栏按钮(例如“搜索”和“历史”)的工具栏背景和图标外观。

位置：＼用户配置＼管理模板＼Windows设置＼Internet

Explorer维护＼浏览器用户界面＼浏览器工具栏自定义

在打开的对话框中单击“添加”按钮，然后在打开的对话框中在“工具栏标题(必需)”框中，键入用户鼠标悬停在工具栏按钮上时出现的文本。必须指定该按钮的标题或标签。建议的最大长度是10个字符。

在“工具栏操作(作为脚本文件或可执行文件，必需)”框中，键入脚本文件或可执行文件的名称，或者单击“浏览”按钮查找文件。必须指定用户单击工具栏按钮时运行的脚本文件或可执行文件。

在“工具栏颜色图标(必需)”框中，键入表示按钮为活动状态的文件的名称，或者单击“浏览”按钮查找该文件。必须指定出现在工具栏上的按钮的彩色图标。图标由活动和非活动状态的20×20像素的图像组成。

在“工具栏灰度图标(必需)”框中，键入出现在黑白监视器上的工具栏的灰度图标文件名和位置，或者单击“浏览”按钮查找文件。必须指定显示在工具栏上按钮的灰度图标。

选中“默认情况下，该按钮应显示在工具栏上”复选框来显示默认情况下用户浏览器中的工具栏按钮。

五、利用组策略设置优化网络环境

1.禁止访问网络连接组件的属性

“本地连接属性”对话框包括连接时使用的网络组件列表。要查看或更改组件属性，请单击组件名称，然后单击组件列表下面的“属性”按钮，如图4所示。该策略确定用户是否可以更改由网络连接使用的组件属性，它确定是否启用用于网络连接组件的“属性”按钮。

位置：\用户配置\管理模板\网络\网络连接\

如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就会为管理员禁用“属性”按钮。无论“为管理员启用网络连接设置”设置启用与否，用户都不可以访问连接组件。如果禁用或不配置“为管理员启用网络连接设置”。

如果禁用或不配置此设置，将为用户启用“属性”按钮。

2.禁用TCP/IP高级配置

确定用户是否可以配置TCP/IP

设置。

位置：\用户配置\管理模板\网络\网络连接\

如果启用此设置(并启用“为管理员启用网络连接设置”设置)，就对所有用户(包括管理员)禁用“Internet协议(TCP/IP)

属性”对话框上的“高级”按钮。因此，用户不能打开“高级TCP/IP设置”对话框并修改IP设置(例如，DNS和WINS服务器信息)。如果禁用此设置，则启用“高级”按钮，并且所有用户均可打开“高级TCP/IP设置”对话框。

注意：此设置会由禁止访问连接属性或连接组件属性的设置取代。如果将这些策略设置为拒绝访问连接属性对话框或用于连接组件的“属性”按钮，用户就无法访问用于TCP/IP配置的“高级”按钮。不管此设置如何，非管理员用户均不具有访问用于网络连接的TCP/IP高级配置的权限。在用户退出系统之前，将此设置从“启用”更改为“未配置”不会启用“高级”按钮。

3.禁止添加或删除用于网络连接

……

基础知识

1、计算机系统的安全需求是什么？

答：为了保证系统资源的安全性、完整性、可靠性、保密性、可用性、有效性和合法性，为了维护正当的信息活动，以及与应用发展相适应的社会公共道德和权利，而建立和采取的组织技术措施和方法的总和。

安全性：标志防止非法使用和访问的程度。

完整性：标志程序和数据能满足预定要求的完整程度。

可靠性：计算机在规定条件下和规定时间内完成规定功能的概率。

保密性：利用密码技术对信息进行加密处理，以防止信息泄漏。

可用性：对符合权限的实体提供服务的程度。

有效性和合法性：接受方应能证实它所受到的信息内容和顺序都是真实的，应能检验受到的信息是否是过时或重播的消息。

2、计算机安全措施包括哪三个方面？

答：1、安全立法：包括社会规范和技术规范。

2、安全管理：包括社会规范人员培训与教育和健全机构、岗位设置和规章制度。

3、安全技术。

3、系统安全对策的一般原则是什么？

答：1、综合平衡代价原则、

2、整体综合分析和分级授权原则；

3、方便用户原则；

4、灵活适应性原则；

风险评估

1、什么是风险？风险的特性是什么？如何解决系统中遇到的风险

答：风险是伤害和损失的可能性；特性（核心因素）是不确定性，而且任何生意都有风险；

实施方法：1、清除风险：采取某种措施彻底消除一个威胁；

2、减轻风险：通过某些安防措施减轻威胁的危害；

3、转移风险：把风险后果从自己的企业转移到第三方去。

2、计算机安全需要保护的资产包括哪些？

答：硬件：各种服务器，路由器、邮件服务器、web服务器。

软件：网络服务和协议，传递的信息，访问权限。

3、风险评估分为哪几个步骤？那几部最关键？

答：第一布：资产清单、定义和要求；第二步：脆弱性和威胁评估；第三步：安防控制措施评估；第四步：分析决策和文档；第五步：沟通与交流；第六步：监督实施；

关键步骤：第一步、第二步、第五步

4、风险评估需要解决什么问题？

答：1、什么东西会出现问题？2、如果它发生，最坏的情况是什么？3、出现的频率4、前三个问题的答案有多肯定？5、可以采取什么措施消除、减轻和转移风险？6、它需要划分多少钱？7、它多有效？

身份验证

1、身份验证主要解决什么问题？

答：1、你是谁？2、你是属于这里的么？3、你有什么样的权限？4、怎么才能知道你就是你声称的那个人？

2、身份认证的方法有哪些？最常用的方法有哪些？

答：1、用户ID和口令字；2、数字证书；3、SecurID；4、生物测定学；5、Kerberos协议（网络身份验证协议）；6、智能卡；7、iButton(电子纽扣)；

最常用的有：1、2

3、怎样的口令是强口令？

答：（1）它至少要有七个字符长 （2）大小写字母混用

（3）至少包含一个数字 （4）至少包含一个特殊字符

（5）不是字典单词、不是人或物品的名称、也不是用户的“珍贵”资料

4、什么是单站式签到技术？采用单站式签到技术会存在哪些问题？

答：用户表明一次自己的身份并得到验证，再进入自己有权访问的其他系统或软件时不用再次表明自己身份。问题有：1、单站式签到技术是否安全；2、黑客的单站式攻击点；3、遇到系统故障或拒绝服务怎么办；4、如何跨平台支持；

网络体系结构和物理安防措施

1、VLAN按地址类型划分可以分四种方式

包括：1、根据（端口）地址划分；

2、根据（MAC）地址划分；

3、根据（IP）地址划分；

4、通过（IP）广播地址划分；

2、举出计算机安全3个物理安防的措施？

答：1、安装声像监控；2、门锁；3、安一扇坚固的门；4、灾难预防；5、雇用优秀的接待人员；6、选择房间位置；7、工作站的安防措施；8、注意天花板；9、使用不间断电源（UPS）；

3、安防网络体系结构的配置有哪三种常见的配置方案？

答：1、中央型公司；2、使用了托管服务的中央型公司；3、分公司；

防火墙和网络边防

1、什么是防火墙？防火墙应具备什么功能？

答：防火墙是监视和控制可信任网络和不可信任网络之间的访问通道。

功能：1、过滤进出网络的数据包；2、管理进出网络的行为；3、封堵某些禁止的访问行为；4、记录通过防火墙的信息内容和活动；5、对网络攻击进行检测和告警；

2、防火墙实现技术有（数据包过滤器）、（代理）和（状态分析）三种方式。

3、防火墙基本设置方针是什么？一般设计防火墙用那种方针？

答：1、拒绝一切未赋予特许的东西（安全性高）；2、允许一切未被特别拒绝的东西（灵活性好）；第一种方针好，一般采用第一种方针设计防火墙。

4、过滤控制点主要设置在哪三层？

答：（1）源IP和目的IP，以及IP Options

（2）在TCP头中的源端口和目的端口号以及TCP标志上

（3）基于特定协议分别设定

5、什么是NAT？

答：NAT就是网络地址翻译。

6、防护墙体系结构如何选择？

答：1、根据自己公司的情况选择技术合适的防火墙；

2、是使用硬件防火墙还是使用软件防护墙；

3、防火墙的管理和配置是由企业自己来完成还是把这些任务交给一家受控服务提供商。

入侵检测

1、入侵检测系统分为哪几中类别？最常见的有哪些？

答：（1）应用软件入侵监测 （2）主机入侵监测 （3）网络入侵监测 （4）集成化入侵监测

2、入侵检测系统应该具备哪些特点？

答：1、自动运行；2、可以容错；3、无序占用大量的系统资源；4、能发现异常行为；5、能够]适应系统行为的长期变化；6、判断准确；7、可以灵活定制；8、保持领先。

3、入侵行为的误判分为（正误判）、（负误判）和（失控误判）三种类型。

正误判：把一个合法操作判断为异常行为；

负误判：把一个攻击行为判断为非攻击行为并允许它通过检测；

失控误判：是攻击者修改了IDS系统的操作，使他总是出现负误判；

4、入侵检测系统的分析技术最常用的方法是哪三类？

答：1、签名分析法；2、统计分析法；3、数据完整性分析法；

“签名分析法”主要用来监测有无对系统的已知弱点进行的攻击行为。

“统计分析法”以系统正常使用情况下观测到的动作模式为基础，如果某个操作偏离了正常的轨道，这个操作就值得怀疑。

“数据完整性分析法”可以查证文件或者对象是否被别人修改过。

远程访问

1、使用远程访问的人员有哪些？

答：1使用电信线路上网

2旅行中的员工

3网络管理员

4商务伙伴和供应商

2、远程解决方案的基本要求包括哪些？

答：1安全防护

2成本

3可扩展性

4服务质量

5实施、管理和使用方面的易用性

6用户的身份验证

主机的安全保护

1、什么是操作系统的硬化？包括那几步？

答：在细致分析的基础上尽可能的减少它与外界的交流渠道，尽可能的减少在它上面运行的不必要的服务项目。

步骤1：把供应商推荐的安防补丁都打好。

步骤2：取消不必要的服务

步骤3：紧固子目录/文件的访问权限。

步骤4：明晰用户权限，严禁控制用户的访问权限。

2 、实施主机安防步骤包括那些：

答：1 分析计算机将要执行的功能

2 把供应商推荐的安防补丁都打好

3 安装安防监控程序

4 对系统的配置情况进行审查

5 制定的备份和恢复流程

3、 windows 2000 pro 操作系统的硬化主要包括(20选10)

1)禁用登陆信息缓冲功能

2)禁用”guest”账户激活

3)禁用不必要的服务

4)禁用空白口令字

5)保护注册表，不允许匿名访问

6)保证Administrator口令的安全性

7)”syskey”保护功能

8)把内存页面设置为关机时清楚状态

9)修改权限成员

10)隐藏最后一个登录上机的用户名字

11)让用户选用难以破解的口令字

12)FAT转换成NTFS

13)取消用不着的协议

14)删除OS/2和POSIX子系统

15)限制使用“Lanmanager Authentication”的功能

16)限制访问公共的“Local Security Authority”

17)部署一个域结构

18)保护文件和子目录

19)制定出适当的注册表访问控制列表

20)制定账户封锁及撤销制度，严肃处理违反安防制度的行为

服务器的安全保护

1 .windows 2000 服务器 操作系统的硬化主要包括

1)断开网络

2)安装windows server

3)使用NTFS格式

4)在安装的GUI部分，选用”stand alone”

5)不要安装communication 、accessories、Multimedia减少不必要的服务

6)删除IPX协议

7)在缺省的administrator account 使用7个字符的安全口令

8)重新启动机器

9)安装hot fixes 和 service packs

2 、安装 windows 2000 服务器后再完成以下步骤

1)从网络配置里去掉 netbios interface, rpc configuration, server, workstation, computer browser

2)在连接因特网的网卡上禁用wins功能

3)在services 菜单里禁用 tcp\ip netbios helps

4)修改注册表

a)系统不显示最后一个登录上机的用户 hkey-local-machine\sofeware\microsoft\windowNT\CurrenVersion\winlogon=1

b)在hkey-local-machine\system\currentcontrolset\control\lsa\ 下创建 restrictanonymouse 新主键，键值=1

5)激活syskey功能

3、数据库的安全主要进行那些方面的工作

1)删除缺省账户和样本数据库

2)控制数据库名称和存放位置的传播范围

3)合理使用审计功能

4)隔离并保护业务数据库

客户端的安全防护

1、什么是计算机病毒，特征？

计算机病毒是一个程序，一段可执行码，

1)是通过磁盘、磁带和网络等作为媒介传播扩散，能传播其他程序的程序。

2)能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序。

3)一种人为制造的程序，使计算机的资源受到不同程序的破坏。

特征：传染性，破坏性、隐蔽性、触发性、寄生性。

2、计算机病毒常用的分类方法，按照病毒本身的特征分类？

1)按照病毒传染文件的类型分类：文件型病毒、引导型病毒和综合型病毒。

2)按照病毒本身的特征：木马类病毒、蠕虫类病毒、黑客类病毒、宏病毒和脚本病毒。

3)按照病毒依赖的操作系统分：DOS ,window 3.x ,windows 9.x ,windows NT病毒和其他操作系统病毒。

3、从微观角度来看计算机病毒有什么危害？

1)影响计算机正常使用

2)造成数据丢失

3)影响声誉，带来不良影响

4)个人信息泄漏

5)造成严重的泄密事件

4、常见病毒的传播方式：

1)宏病毒：依靠OFFICE的模板文档传染

2)蠕虫病毒：大部分依靠E-mail传播

3)脚本病毒：依靠网页传播

4)木马程序：依靠服务器端程序进行破坏

5、从客户端的安全考虑，应该采取哪些措施

1)预防电脑的失窃和盗用

a)物理安防措施

b)访问控制软件和身份验证软件

c)失窃追踪系统

2)计算机病毒的防护

3)恶意代码的防护

4)软件防护（微软公司软件）

a)安防补丁

b)动态内容的安全防护

c)个人防火墙

5)即时消息（的安防）

应用软件的开发

1、应用软件面临哪些威胁？解决办法是什么？

答：伪造身份；解决方案：双重身份验证

破坏数据；解决方案：数据完整性检查性

否认事实；解决方案：对操作行为进行日志纪录

泄漏信息；解决方案：身份验证和加密

拒绝服务；解决方案：网络流量分析；防火墙

私自提升优先级；解决方案：紧跟最新的安防补丁、优化OS

2、WEB应用软件的脆弱点有哪几大类？

答：1、不可见数据域：指暗藏着的HTML表单数据域。

2、后门和调试选项：给软件开发人员提供非正式的且不受限制的访问权限。

3、跨站点脚本：是把代码插到从其他源地址发来的页面中去这样一个过程。

4、篡改参数：指对URL字符串进行精心策划，使之能检验出原本不应该让这名用户看到的信息资料

5、COOKIE中毒：指对保存在COOKIE里的数据进行篡改的行为。

6、操纵输入信息：在HTML表单里，攻击者利用在CGI脚本程序名的后面输入一些精心安排的“非法”数据来运行系统命令。

3、什么是COOKIE中毒？

答：COOKIE中毒是指对保存在COOKIE里的数据进行篡改的行为。

在随后的3个月当中我们将逐步推出：信息安防、密码学基础、网络体系架构、入侵检测、主机与服务器的安防、等专题文章供大家学习讨论，敬请大家关注。

关于“介绍剔除系统启动项暗藏威胁的方法”这个话题的介绍，今天小编就给大家分享完了，如果对你有所帮助请保持对本站的关注！