SEP 反破解方案--如何防止用户通用或者卸载SEP客户端
概述
在将SEP 部署到用户的实际生产环境中之后,我们有发现部分‘很聪明’的用户,找
到了一些可以破解SEP 的方法。这种破解主要集中在如下几个方面:
■ 通过360 安全卫士软件杀掉SEP 的进程、停掉SEP 的服务
■ 通过修改本地安全策略来禁用SEP 服务
■ 通过Windows 系统中的ntsd 命令来杀掉SEP 的进程
■ 修改SEP 的目录以及SEP 在注册表中对应的键值,让SEP 不能正常工作
■ 使用CleanWipe 来下载SEP
我们可以在SEP 中添加一些有针对性的策略来反破解用户的这些行为,从而保护SEP 客户端。
软件版本
本文档中,我们使用的软件版本分别为:SEP/SEPM:RU6MP2 (11.0.6200.754) SEP 客户端操作系统平台:Windows XP Professional SP3, Windows 7 Enterprise Edition
SEPM 操作系统平台:Windows Server 2003 R2 Enterprise SP2
360 安全卫士:7.5.0.2001
反破解方法及测试结果
下面介绍具体的反破解方法。
保护SEP 进程
对SEP 客户端的保护,首先要保护SEP 客户端的进程不被第三方工具或程序杀掉。目前已知的用户可能杀掉SEP 进程的方法包括有:使用Windows 任务管理器、使用360安全卫士中的‘进程管理器’、使用Windows 自带的ntsd 命令。
由于工行的生产环境中的SEP 客户端没有安装防病毒模块,导致SEP 客户端不具备自带的防篡改功能,所以我们只能通过应用程序与设备控制策略来实现对SEP 进程的保护。
我们需要保护的SEP的进程包括如下6个:
■ SNAC.exe
■ SmcGui.exe
■ RtvScan.exe
■ ccSvcHst.exe
■ ccApp.exe
具体的操作步骤如下:
1. 新建一个应用程序与设备控制策略。
2. 在应用程序控制规则中,添加条件,并将此规则应用于*.*
3. 选择‘终止进程尝试’,在列表中添加SEP 的进程:
4. 将操作选为‘禁止访问’:
5. 创建规则,禁止启动ntds.exe:
策略在客户端生效后的测试结果如下:
当用户试图用Windows 任务管理器去杀掉SEP 的进程时,操作被阻止:
当用户尝试用360 安全卫士去杀SEP 的进程时,操作被阻止:
当用户尝试使用ntsd.exe 命令去杀掉SEP 的进程时,操作被阻止:
保护SEP 的服务
停掉SEP 的服务,目前可能的方法包括有:使用360 安全卫士中的‘系统服务状态’、使用Windows 操作系统中的SC 命令。
在Windows 系统中,每一项服务都在注册表的
HEKY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下有对应项,要
保护SEP 客户端的服务不被篡改,我们只需要保护对应的注册表项不被修改。
我们需要保护的SEP 的服务包括:
■ SmcService
■ SNAC
■ ccSetMgr
■ ccEvtMgr
SEP 客户端的四个服务,默认的启动方式都是自动,这个是由注册表中的键‘Start’
的值来确定的。值为2,则服务的启动方式为自动;值为3,则服务的启动方式为手
动。
停掉ccEvtMgr 和ccSetMgr 服务,对应的是在注册表中将以下四个键删掉:
HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccEvtCli
HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSettingsService HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccEvtMgr HKLM\SOFTWARE\Symantec\Common Client\ccService\Channels\ccSvcHst_ccSetMgr
我们保护住着四个键不被删掉,就可以保护ccEvtMgr 和ccSetMgr 服务不被停止。但是,ccEvtMgr 和ccSetMgr 两个服务的这个特性,对于SmcService 和SNAC 这两个服务并不适用。
1. 在3.1 的策略的基础上,添加‘注册表访问尝试’条件:
2. 允许读取操作,但是禁止修改操作:
3. 添加‘注册表访问尝试’条件:
4. 允许读取操作,禁止修改操作:
5. 为本规则添加两个例外的进程:smc.exe 和snac.exe:
策略在客户端生效后,通过services.msc修改SEP服务的启动属性将被阻止。
但是,测试中我们发现:即使对SEP 客户端的服务所对应的注册表键值进行了
保护,但是360 安全卫士中的‘系统服务状态’工具,依然可以修改SEP 服务的
属性,它可以将SEP 的服务设置为‘禁止启动’,实际上,它是将SEP 服务的启
动属性设置为了手动。虽然我们可以设置策略保护注册表中SEP 服务的Start
键值,但是不能阻止360 安全卫士的动作。不过,在测试中,并没有发现通过
360 安全卫士的这种动作,会对SEP 客户端造成什么影响。在360 安全卫士中
将SEP 服务设置为‘禁止启动’之后,SEP 客户端依然工作正常。
保护SEP 的文件夹和注册表
用户可以通过修改本地安全策略,将SEP 客户端的安装目录添加为不被允许的路径规则,影响SEP 客户端的正常使用。另外,用户可能通过第三方工具来修改SEP目录的权限,从而导致SEP 客户端不能正常使用。
对于SEP 客户端,有如下目录至关重要:
%PROGRAMFILES%\Symantec
%PROGRAMFILES%\Common Files\Symantec Shared
C:\Documents and Settings\All Users\Application Data\Symantec
SEP 在注册表中对应的目录为:
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec
但是,我们需要对这个规则做一些例外,不能仅仅将此规则应用于所有进程,至少
需要排除SEP 客户端自己的进程。
对于一个加入域中的终端,用户修改本地安全策略,实际上是修改的注册表下的
项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group
Policy
Objects\*Machine\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths 操作系统默认不会在本地安全策略的软件限制策略下添加任何限制路径,所以,我
们需要禁止用户修改这个注册表项。
1. 在以上策略的基础上,新建规则:
2. 添加‘文件和文件夹访问尝试’条件:
3. 允许读取,但禁止修改:
4. 添加‘注册表访问尝试’条件:
5. 添加规则,并将条件添加为‘注册表访问尝试’:
策略在客户端生效后,当用户想在本地安全策略中将SEP路径添加为受限路径时,将被阻止:
360天擎终端安全管理系统v6.0-测试方案(详细用例)
360天擎终端安全管理系统v6.0-测试方案 (详细用例) -CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN
测试方 案 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录 | Contents 1. 产品简介 .............................................................................................................. 错误!未定义书签。 2. 部署拓扑 .............................................................................................................. 错误!未定义书签。 . 硬件配置要求................................................................................................ 错误!未定义书签。 3. 天擎管理中心功能测试 ...................................................................................... 错误!未定义书签。 . 天擎分级部署................................................................................................ 错误!未定义书签。 天擎多级部署 ........................................................................................ 错误!未定义书签。 . 客户端分组管理............................................................................................ 错误!未定义书签。 客户端分组 ............................................................................................ 错误!未定义书签。 自动分组 ................................................................................................ 错误!未定义书签。 客户端分组切换 .................................................................................... 错误!未定义书签。 . 客户端任务管理............................................................................................ 错误!未定义书签。 客户端天擎版本升级............................................................................. 错误!未定义书签。 病毒库升级 ............................................................................................ 错误!未定义书签。 客户端任务分配管理............................................................................. 错误!未定义书签。 手动杀毒任务 ........................................................................................ 错误!未定义书签。 终端查杀引擎设置 ................................................................................ 错误!未定义书签。 定时杀毒任务 ........................................................................................ 错误!未定义书签。 消息推送 ................................................................................................ 错误!未定义书签。 . 客户端策略管理............................................................................................ 错误!未定义书签。 客户端软件常规安装部署方式............................................................. 错误!未定义书签。 终端自保护能力测试............................................................................. 错误!未定义书签。 客户端防退出、卸载............................................................................. 错误!未定义书签。 离线客户端管理 .................................................................................... 错误!未定义书签。 文件溯源 ................................................................................................ 错误!未定义书签。 黑白名单管理 ........................................................................................ 错误!未定义书签。 终端安全防护功能管理......................................................................... 错误!未定义书签。 终端弹窗管理 ........................................................................................ 错误!未定义书签。 . 日志报表功能测试........................................................................................ 错误!未定义书签。 查杀病毒和木马日志报表..................................................................... 错误!未定义书签。 客户端病毒情况报表............................................................................. 错误!未定义书签。 客户端感染病毒排名榜或趋势图......................................................... 错误!未定义书签。 汇总多级管理架构的数据..................................................................... 错误!未定义书签。 管理控制操作审计日志报表................................................................. 错误!未定义书签。 . 系统管理测试................................................................................................ 错误!未定义书签。 帐号管理及权限分配管理..................................................................... 错误!未定义书签。 客户端与管理中心通讯间隔设置......................................................... 错误!未定义书签。 控制中心升级测试 ................................................................................ 错误!未定义书签。 安全报告订阅 ........................................................................................ 错误!未定义书签。 管理服务器备份与恢复......................................................................... 错误!未定义书签。 4. 天擎客户端功能验证 .......................................................................................... 错误!未定义书签。 . 病毒、木马查杀............................................................................................ 错误!未定义书签。 . 手动杀毒........................................................................................................ 错误!未定义书签。 . 实时防护........................................................................................................ 错误!未定义书签。 . 信任路径........................................................................................................ 错误!未定义书签。
内外网隔离网络安全解决方案
内外网隔离网络安全解决方案 ●网络现状与安全隐患 目前,大多数企业都安装有隔离卡等设备将企业分为两个网络:内网与外网,内网用作内部得办公自动化,外网用来对外发布信息、获得因特网上得即时消息,以及用电子邮件进行信息交流。为了数据得安全性,内网与外网都通过隔离卡或网闸等方式实现内外网得物理隔离,从一定程度上杜绝了内外网得混合使用造成得信息外泄.如下图所示: 然而,对于内网中移动存储介质得随意使用以及外部终端非法接入内网来泄露内部信息得安全隐患,仍然得不到解决。存在得安全隐患主要有: 1、移动存储介质泄密 ◆外来移动存储介质拷去内网信息; ◆内网移动存储介质相互混用,造成泄密; ◆涉密介质丢失造成泄密 2、终端造成泄密 ◆计算机终端各种端口得随意使用,造成泄密; ◆外部终端非法接入内网泄密; ◆内网终端非法外联外部网络泄密 ●捍卫者解决方案 <1>终端外设端口管理
1)对于非常用端口: 使用捍卫者USB安全管理系统,根据具体情况将该终端得不常使用得外设 (如红外、蓝牙、串口、并口等)设置为禁用或就是只读(刻录机,USB端口有该功能),一旦设定则无法从“设备管理器“启用,只能通过捍卫者启用,如下图所示部分终端外设禁用状态,这样可以有效得解决终端外设泄密。 2)USB端口: 内网终端得USB端口建议设置为只读,这样外网使用得存储介质可以向内网拷贝数据,但就是不能从内网终端拷贝出数据。从防病毒考虑,也可以设置为完全禁用,这样只有授权存储介质才能根据授权使用,外部移动存储介质无法使用。 〈2〉移动存储介质授权管理 对内部得移动存储介质进行统一得授权管理,然后在根据需求设定当前USB端口得状态(即USB端口加密),这样外来得移动存储介质在内部终端不可以使用或就是只读,即解决了移动储存介质得随意插拔使用又防止了木马、病毒得传播泛滥。 在授权过程中,首先选择给移动存储介质得使用范围,可以分域授权使用,一对一或一对多得与终端绑定使用(这样移动存储介质在一定得范围内可以任意使用);然后输入移
SEP11客户端安装排错手册
SEP11客户端安装排错问题解答 1.问题描述:点击安装后没有响应,或者windows事件日志中有报 windows installer 错误。 在安装Symantec客户端的时候,出现如下提示 问题原因: 系统 windows installer 服务被停用 系统 windows installer 服务损坏 解决方法: 1.确认当前不处于安全模式,且“Windows Installer”服 务没有被禁用 2.如果“Windows Installer”服务无法正常启动,尝试点 击桌面左下角开始,再点击运行,在命令行下执行 msiexec.exe /unregister & msiexec /regserver 修复 “Windows Installer”,然后重启服务 3.如果仍然无法启动,请联系本单位计算机维护人员,下载 最新版本的Windows Installer组件,通过重新安装修复。 Symantec官方知识库中有重新安装windows installer向导 https://www.360docs.net/doc/287307119.html,/SUPPORT/tsgeninfo.nsf/docid/200111211132443 9
2.问题描述: 在安装Symantec客户端的时候,出现回调操作或安装进度停止响 应。 问题原因: 原有防病毒客户端或其他防病毒软件没有卸载干净; 系统存在病毒,阻碍安装; 解决方法: 将计算机原先安装的防病毒软件重新安装,重起计算机后再次进行卸载 操作,正常卸载完成后重新启动计算机,安装SEP11防病毒客户端; 可用360安全卫士检查计算机是否存在木马及恶意软件,如存在,清除 后再安装SEP11防病毒客户端。 3.问题描述:SEP安装意外中断,再次安装时无法继续安装。 解决方法: 使用SEP专用卸载工具CleanWipe.exe, 在此电脑上运行此工具,如 图点击Start按键,再连续弹出的提示窗口点击Yes或OK即可。 卸载工具下载地址:Http://10.79.2.179:8080/
终端安全解决方案
基于“金财工程应用支撑平台”构建财政一体化信息系统 终端安全建设项目实施方案 长沙艾灵信息技术有限公司 2011年11月
目录 _________________________________________________________________________________________________________________________________________________________ 1 终端安全管理概述 (1) 1.1 终端安全概述 (1) 2 风险与需求分析 (2) 2.1 网络资源的非授权使用或者授权滥用 (2) 2.2 因安全管理不善,引发的IT资源不可用或者资源损失 (2) 2.3 非法接入带来的网络安全威胁 (3) 2.4 移动介质和外设端口的管理 (3) 2.5 终端行为控制与上网行为监控 (3) 2.6 客户机自身存在安全缺陷,导致网络内部安全隐患 (4) 3 终端安全管理需求 (4) 4 终端安全管理发展趋势 (6) 5 终端安全产品选型 (7) 5.1 选型原则 (7) 5.2 系统功能介绍 (9) 5.2.1 桌面安全管理 (9) 5.2.2 存储、外设管理 (11) 5.2.3 安全准入管理 (12) 5.2.4 非法外联监控 (13) 5.2.5 补丁分发管理 (13) 5.3 系统组成 (15) 6 系统部署 (15) 6.1 部署位置 (15) 6.2 部署方式 (15) 7 系统功效 (16) 7.1 接入控制 (16) 7.2 存储、外设管理 (17) 7.3 非法外联 (17) 7.4 终端使用行为 (18) 7.5 补丁分发 (18) 8 成功案例 (18) 8.1 典型应用 (18)
Symantec企业版SEP客户端使用说明
Symantec企业版SEP客户端使用说明 SEP版本:12.1 1.概述 本文档用于介绍赛门铁克(Symantec)企业防病毒软件SEP的客户端如何使用。 1.1.SEP说明 SEP是Symantec.Endpoint.Protection的缩写(以下简称SEP),也是它的简称,专门为企业用户定制的一款网络级别的防病毒系统。通过在企业内部部署管理端和客户端,将整个企业的PC终端和网络都纳入整体防病毒保护之下,提供完整的企业级病毒防护方案。 2.安装 下面介绍SEP的安装说明。 SEP有两种安装方式,一种是通过web页面下载安装包,一种是直接将安装包复制到电脑中进行安装。 打开安装包所在目录,双击setup.exe,运行安装程序:
显示界面如下: 点击“下一步”,显示授权许可协议窗口,勾选第一个我接受的选项: 点击“下一步”,进入客户端类型选择窗口:
这里需要解释下,选择“非受管客户端”就不会被管理端所控制和管理,但在企业中使用,一般选择是“受管客户端”,必须接受管理端管理。 点击“下一步”,进入“安装类型”窗口:
此界面默认选择“典型”选项,一般用户不用选择“自定义”选项。 但有些情况下我们需要进行一些变动,如计算机性能一般的情况下,我们需要选择“自定义”选项,选择合适的功能。 我们这里选择“自定义”选项: 此界面中,不做任何修改的情况即为上一个窗口中选择“典型”的情况。 如果是配置较低的计算机,此时将“主动型威胁防护”和“网络威胁防护”去除。在选项上点击鼠标左键,显示如下界面:
选择上图中的“整个功能将不可用”即可。 安装界面中的图标说明: 选择好后,点击“下一步”,进入防护选项窗口:
计算机终端安全管理办法
计算机终端安全管理办法
计算机终端安全管理办法 第一章总则 一、为了保护计算机系统、本地DCN网络的安全,促进本公司各类信息系统、计 算机终端、网络的应用和发展,保证DCN网络上的各个系统的稳定运行,特制定本办法。 二、本办法所称的系统、网络、终端,是指运行在泰安本地DCN网络上的服务 器、网络设备及个人使用的计算机终端。 三、系统管理员、网络管理员、所有系统使用人员及所有计算机终端使用人员都 有义务遵照本办法执行与维护系统、网络安全运行。 第二章硬件安全 四、各种网络设备、接入网络的计算机终端设备所使用电源都必须符合设备安装 使用规范。网络设备所用电源必须有良好的接地,必须有可靠的稳压保护措施,重要的核心网络设备、小型计算机与客服相关计算机终端必须配有UPS。 五、各种系统、网络设备、计算机终端在安装过程中应严格按照安装手册中指定 步骤和要求进行施工;确保各种设备通风散热良好。 六、本地DCN网络系统的安全运行和系统设备管理维护工作由信息
七、 九、 十、化支撑中心负责,未经信息化支撑中心同意,任何单位和个人,不 得擅自安装、拆卸网络设备,不得私自增减和改动网络节点。 除信息化支撑中心网络管理员外,任何人不得修改网络设备的软 硬件配置,不得更换交换机或路由器端口。 如确因工作需要调整网络配置或端口配置,应先征得信息化支撑 中心的同意,调整完毕后将调整情况通报信息化支撑中心网络管理员,以方便网络资料的归档与更新。 任何单位和个人从事施工、建设时,不得危害计算机系统、本地DCN网络与计算机终端的安全。 第三章软件安全 接入DCN网络的计算机终端,应确保安装正版操作系统,并安装相应的系统补丁(windowsXP 操作系统至少安装SP2补丁)。安装公司统一要求的防病毒软件诺顿后方可接入DCN网络。 、个人终端设置开机密码和屏保密码,入域机器自动符合符合 集团的相关要求(密码长度至少为8位,且包含大写、小写、数字、 特殊字符中任意两种字符),屏保时间设置为10分钟以内;未入域 机器通过定期或不定期抽查的方式控制密码设置情况。 十二、严禁在DCN网络运行的服务器、计算机终端上使用未经授
内网终端安全管理系统解决方案
内网终端安全管理系统解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言................................ 错误!未定义书签。 1.1.概述 错误!未定义书签。 1.2.应对策略 错误!未定义书签。 2.终端安全防护理念.................... 错误!未定义书签。 2.1.安全理念 错误!未定义书签。 2.2.安全体系 错误!未定义书签。 3.终端安全管理解决方案................ 错误!未定义书签。 3.1.终端安全管理建设目标 错误!未定义书签。 3.2.终端安全管理方案设计原则 错误!未定义书签。 3.3.终端安全管理方案设计思路 错误!未定义书签。 3.4.终端安全管理解决方案实现 错误!未定义书签。 3.4.1.网络接入管理设计实现 错误!未定义书签。 3.4.1.1.网络接入管理概述
3.4.1.2.网络接入管理方案及思路 错误!未定义书签。 3.4.2.补丁及软件自动分发管理设计实现 错误!未定义书签。 3.4.2.1.补丁及软件自动分发管理概述 错误!未定义书签。 3.4.2.2.补丁及软件自动分发管理方案及思路 错误!未定义书签。 3.4.3.移动存储介质管理设计实现 错误!未定义书签。 3.4.3.1.移动存储介质管理概述 错误!未定义书签。 3.4.3.2.移动存储介质管理方案及思路 错误!未定义书签。 3.4.4.桌面终端管理设计实现 错误!未定义书签。 3.4.4.1.桌面终端管理概述 错误!未定义书签。 3.4.4.2.桌面终端管理方案及思路 错误!未定义书签。 3.4.5.终端安全审计设计实现 错误!未定义书签。 3.4.5.1.终端安全审计概述
(Symantec Endpoint Protection)SEP禁止USB设备和特定应用程序
SEP(Symantec Endpoint Protection)禁止USB设备和特定应用程序 2007-12-15 19:56 Symantec Endpoint Protection(SEP,以下称SEP)通过服务器端的管理器,可以集中管理每个SEP客户端,在SEP服务器管理器上设置“应用程序与设备控制”策略,可以禁用客户端PC的USB存储设备及客户端上的某一个应用程序,这一功能对于单位来说,是非常有用,单位内某些部门有一些敏感性的数据文件,是不能拷贝的,所以某些计算机是不允许随随便便插入移动存储器,当前USB接口的移动存储器非常多,,如果从BIOS里硬件禁止,USB接口的鼠标、打印机又不能用。使用SEP就会很好地解决这个问题。 单位中的员工可能会从网上下些程序,这个程序,很可以有病毒或有木马,网络管理人员不能逐个检查每个员工的电脑。SEP服务器可以很方便地扫描SEP客户机,获取安装的(像被称为绿色软件,无须安装即可使用)可执行程序,并且禁止这些程序运行。 一、建立禁止USB设备策略: 登录到SEP管理器,点击“策略”选择项卡,点选“应用程序与设备控制”选项: 在右栏内,右键单击,弹出快捷式菜单:
单击"添加..."菜单,弹出添加“应用程序与设备控制策略”,在“概述”里输入策略名称:
单击“设备控制”: 单击“添加...”按钮,弹出添加硬件设备对话框:
单击,选择"USB",点击“确定”按钮,在“设备名”下,可以看到USB:
二、建立禁止某个应用程序的策略,比如禁止QQ和QQ下载工具(超级旋风): 接着上面,单击“应用程序控制”,并选中“禁止应用程序运行”,右键单击,然后单击快捷菜单的的“编辑...”,或者直接单击,下方的“编辑..”按钮:
银行桌面安全管理制度
桌面安全管理制度 总则 为加强XX农村商业银行个人桌面终端的安全使用,保证个人桌面终端操作系统、周边硬件、应用系统的安全使用,切实防范和降低因桌面终端使用不当,对信息系统带来的安全风险,制定本办法。 本办法适用于办公网所有桌面终端管理。公司范围内个人桌面终端设备上线直至报废前的使用过程,应按本办法相关规定进行管理。 个人桌面终端定义:接入XX农村商业银行网络的用于办公的各类计算机及所属设备。 网络准入 ?准入条件 接入OA办公网计算机必须安装桌面安全管理系统客户端软件; 当设备无法安装桌面系统软件,如打印机及CE终端等,各部门设备负责人员需要事先申报,见附件一(总行申报给科技部,各网点申报给本区域支行桌面系统管理人员)对设备进行mac认证处理;XPE终端及pc设备使用OA账户用户名和密码认证,成功后进入正常网络; ?准入管理 个人桌面终端设备接入公司办公网络前,由使用人根据工作需要提出增加终端的申请,并经相关部门人员审批后通过桌面系统需求变更单报送相关部门批准后方可接入。
禁止未安装桌面管理系统客户端及未审批的设备接入办公网络; 桌面系统管理人员,定期对日志进行审查,查看是否有未安装桌面管理系统客户端,并对非法接入设备定位及规范处理; 禁止使用他人帐号登陆网络准入系统,禁止将帐号提供给他人使用。 Mac认证设备需要更换端口时,各部门设备负责人员需要事先申报,见附表二(总行申报给科技部,各网点申报给本区域支行桌面系统管理人员)对设备变更进行记录; 各区域准入服务器管理人员,需要定期对准入系统数据库进行备份,防止服务器宕机造成用户数据丢失,引发网络准入失效。 桌面安全 ?基本安全 使用人离开座位,应锁闭计算机屏幕,下班后,应关闭计算机;新购入的终端设备必须经过相关部门登记、编号、贴标签卡后,才能交使用者领用,相关部门设备负责人员需配合用户注册桌面管理系统软件并完善信息。 个人桌面终端设备因使用时间较长或严重损坏而无法修复及超过固定资产使用年限需要报废的,由使用部门提出申请并按相关报废流程办理,对已批准报废的个人桌面终端设备,应在桌面关系统资产统计中及时删除。 个人桌面终端设备上安装、运行的软件都必须为正版软件,未经授权的软件不得在个人桌面终端设备上安装、运行。桌面系统管
终端安全解决方案
终端安全解决方案 第一部分、终端问题的处理方法 一、首先需要查到攻击源: 1物理查看方法,查看网卡显示灯。 没有运行应用的机器,网卡的收发两个灯或发送灯在不停的闪烁,可判定这台终端有问题; 2、终端查看连接状态的方法,查看终端开放的端口,协议等。 在DOS命令状态下输入netstat -an 查看连接状态,查看是否有异常 端口开放,是否有异常的连接等,通过 arp -a查看arp表,主要看网关和已经终端的MAC地址学习是否正确,用arp -d删除错误IP对应的MA(地址,net share 查看一下共享信息,无用文件共享关闭。netstat -rn查看终端的路由信息是否 正常,而ipconfig /all 看一下网卡启用状态,一般需要将无用的和虚拟的网 卡禁用。 查看网络连接,即“本地连接”或其他名称的网络连接,无用连接需要禁用。有用连接中的相关无用服务关闭掉,尤其是“ QO数据包计划”经常导致系统出现问题。在测试时可仅保留“ mircosofe客户端”和“ in ternet 协议 (TCP/IP)这两个协议,其他的测试时可保留终端防火墙和终端抓包的两类协议,但一定要确认是本地软件安装的协议,必要时可卸载然后重新用干净软件安装一下; 3、采用sniffer或ethtool这样的抓包工具查看攻击,一般发包比较多的为攻击源。sniffer你直接看流量的图,哪个终端与服务器的直连线最高说明发起的攻击最
多。而 ethtool 一般直接查看arp协议,点协议排序就可以,一般有问题的机器不停的问我是谁这样相关的信息; 4、查看终端补丁安装情况,一般需要确认相关操作系统安全补丁均已经正常安装,并查一下相关主要的应用软件是否也需要进行补丁安装或程序的版本升级,一般升到最新的稳定安装版本,不要升级测试版本; 5、采用任务管理器和安全卫士 360等工具查看服务器和终端当前应用 程序的运行情况,无用的相关应用程序进行关闭,同时查看IE的相关设置是否 有问题,建议删除无用的第三方IE插件; 二、确定问题后进行查杀: 1、物理上方法一般采用2层交换机端口进行绑定的方式进行终端的IP 和MAC#定; 2、将二层交换机向三层交换机进行汇聚连接,并在三层交换机上进行终端IP 和MAC绑定。在初始的情况下,如果哪个终端的MAC地址迅速网关或替 换其他IP的MAC则此终端存在问题,一般将其MAC S定为全零,然后进行arp 表的清除; 3、一般可采用安全卫士 360等终端查杀和系统恢复软件进行临时文件删除,服务的关闭和IE的清理等,或采用兵刃或红叶等安全套件进行清理,但兵刃和红叶中多是黑客的攻击软件需要保持其自身的安全性,防止前面驱虎,后面引狼; 4、终端软件重新安装也是比较快捷的方式,但是要注意简版的操作系统和低版本的应用软件均在先天就存在致命的漏洞。建议选择正版或全版和新整合的操作系统,在补丁安装完成前不要接入到网络中,并且注意安装软件自身的安全,应用软件可以逐步进行安装,但安装一个要确保其补丁升级完成。这个工作在前期准备需要相当长的时间,但是这个是保证终端可用性的前提,一定要重视。
SEP 反破解方案--如何防止用户通用或者卸载SEP客户端
概述 在将SEP 部署到用户的实际生产环境中之后,我们有发现部分‘很聪明’的用户,找 到了一些可以破解SEP 的方法。这种破解主要集中在如下几个方面: ■ 通过360 安全卫士软件杀掉SEP 的进程、停掉SEP 的服务 ■ 通过修改本地安全策略来禁用SEP 服务 ■ 通过Windows 系统中的ntsd 命令来杀掉SEP 的进程 ■ 修改SEP 的目录以及SEP 在注册表中对应的键值,让SEP 不能正常工作 ■ 使用CleanWipe 来下载SEP 我们可以在SEP 中添加一些有针对性的策略来反破解用户的这些行为,从而保护SEP 客户端。 软件版本 本文档中,我们使用的软件版本分别为:SEP/SEPM:RU6MP2 (11.0.6200.754) SEP 客户端操作系统平台:Windows XP Professional SP3, Windows 7 Enterprise Edition SEPM 操作系统平台:Windows Server 2003 R2 Enterprise SP2 360 安全卫士:7.5.0.2001 反破解方法及测试结果 下面介绍具体的反破解方法。 保护SEP 进程 对SEP 客户端的保护,首先要保护SEP 客户端的进程不被第三方工具或程序杀掉。目前已知的用户可能杀掉SEP 进程的方法包括有:使用Windows 任务管理器、使用360安全卫士中的‘进程管理器’、使用Windows 自带的ntsd 命令。 由于工行的生产环境中的SEP 客户端没有安装防病毒模块,导致SEP 客户端不具备自带的防篡改功能,所以我们只能通过应用程序与设备控制策略来实现对SEP 进程的保护。 我们需要保护的SEP的进程包括如下6个: ■ SNAC.exe ■ SmcGui.exe ■ RtvScan.exe ■ ccSvcHst.exe ■ ccApp.exe 具体的操作步骤如下: 1. 新建一个应用程序与设备控制策略。 2. 在应用程序控制规则中,添加条件,并将此规则应用于*.* 3. 选择‘终止进程尝试’,在列表中添加SEP 的进程:
内网终端安全管理系统项目解决方案
北信源内网终端安全管理系统 解决方案 北京北信源软件股份有限公司
目录 1.前言 (4) 1.1. 概述 (4) 1.2. 应对策略 (5) 2.终端安全防护理念 (6) 2.1. 安全理念 (6) 2.2. 安全体系 (7) 3.终端安全管理解决方案 (9) 3.1. 终端安全管理建设目标 (9) 3.2. 终端安全管理方案设计原则 (9) 3.3. 终端安全管理方案设计思路 (10) 3.4. 终端安全管理解决方案实现 (12) 3.4.1. 网络接入管理设计实现 ........................................ 错误!未定义书签。 3.4.1.1. 网络接入管理概述 ........................................ 错误!未定义书签。 3.4.1.2. 网络接入管理方案及思路............................... 错误!未定义书签。 3.4.2. 补丁及软件自动分发管理设计实现 (12) 3.4.2.1. 补丁及软件自动分发管理概述 (12) 3.4.2.2. 补丁及软件自动分发管理方案及思路 (12) 3.4.3. 移动存储介质管理设计实现 (17) 3.4.3.1. 移动存储介质管理概述 (17) 3.4.3.2. 移动存储介质管理方案及思路 (18) 3.4.4. 桌面终端管理设计实现 (21) 3.4.4.1. 桌面终端管理概述 (21) 3.4.4.2. 桌面终端管理方案及思路 (22) 3.4.5. 终端安全审计设计实现 ........................................ 错误!未定义书签。 3.4.5.1. 终端安全审计概述 ........................................ 错误!未定义书签。 3.4.5.2. 终端安全审计方案及思路............................... 错误!未定义书签。 4.方案总结 (41) 5.附录:系统硬件要求 (41) 6.预算 (43)
计算机终端安全管理办法
计算机终端安全管理办法 第一章总则 一、为了保护计算机系统、本地DCN网络的安全,促进本公司各类 信息系统、计算机终端、网络的应用和发展,保证DCN网络上的各个系统的稳定运行,特制定本办法。 二、本办法所称的系统、网络、终端,是指运行在泰安本地DCN网 络上的服务器、网络设备及个人使用的计算机终端。 三、系统管理员、网络管理员、所有系统使用人员及所有计算机终端 使用人员都有义务遵照本办法执行与维护系统、网络安全运行。 第二章硬件安全 四、各种网络设备、接入网络的计算机终端设备所使用电源都必须符 合设备安装使用规范。网络设备所用电源必须有良好的接地,必须有可靠的稳压保护措施,重要的核心网络设备、小型计算机与客服相关计算机终端必须配有UPS。 五、各种系统、网络设备、计算机终端在安装过程中应严格按照安装 手册中指定步骤和要求进行施工;确保各种设备通风散热良好。 六、本地DCN网络系统的安全运行和系统设备管理维护工作由信息
化支撑中心负责,未经信息化支撑中心同意,任何单位和个人,不得擅自安装、拆卸网络设备,不得私自增减和改动网络节点。 七、除信息化支撑中心网络管理员外,任何人不得修改网络设备的软 硬件配置,不得更换交换机或路由器端口。 八、如确因工作需要调整网络配置或端口配置,应先征得信息化支撑 中心的同意,调整完毕后将调整情况通报信息化支撑中心网络管理员,以方便网络资料的归档与更新。 九、任何单位和个人从事施工、建设时,不得危害计算机系统、本地 DCN网络与计算机终端的安全。 第三章软件安全 十、接入DCN网络的计算机终端,应确保安装正版操作系统,并安 装相应的系统补丁(windowsXP操作系统至少安装SP2补丁)。安装公司统一要求的防病毒软件诺顿后方可接入DCN网络。 十一、个人终端设置开机密码和屏保密码,入域机器自动符合符合集团的相关要求(密码长度至少为8位,且包含大写、小写、数字、特殊字符中任意两种字符),屏保时间设置为10分钟以内;未入域机器通过定期或不定期抽查的方式控制密码设置情况。 十二、严禁在DCN网络运行的服务器、计算机终端上使用未经授
sep客户端转换(受管或非受管)说明汇总
1.1.1 将非受管客户端转换为受管客户端 如果用户是从安装光盘安装客户端,客户端即为非受管客户端,而且不会与管理服务器进行通信。 您可以使用下列步骤将非受管客户端转换为受管客户端: 1. 针对要使客户端出现在其中的组,导出包括全部通信设置的文件。默认的文件名称为 <组名称>_sylink.xml。 2. 您可将文件部署至客户端计算机。您能够将文件保存在网络位置,也可以将其发送至客户端计算机上的单个用户。 3. 在客户端计算机上,用户可导入文件。 您或用户都不需要重新启动客户端计算机。 客户端会立即连接至管理服务器。管理服务器会将客户端放置于通信文件中所指定的组中。客户端会使用组的策略和设置进行更新。客户端与管理服务器进行通信后,通知区域图标会出现在客户端计算机的桌面上。 以下步骤从SEPM导出通信设置文件: 1. 在控制台中,单击“客户端”。 2. 在“查看客户端”下,选择要使客户端在其中出现的组。 3. 在组上单击鼠标右键,然后单击“导出通信设置”。 4. 在“导出 <组名称> 的通信设置”对话框中,单击“浏览”。
5. 在“选择导出文件”对话框中,找出要将 .xml 文件导出至的文件夹,然后单击“确定”。 6. 在“导出 <组名称> 的组注册设置”对话框中,选择下列其中一个选项: 若要从计算机为其中成员的组中应用策略,请单击“计算机模式”,推荐选择。 若要从用户为其中成员的组中应用策略,请单击“用户模式”。 7. 单击“导出”。 如果文件名称已经存在,请单击“确定”以覆盖文件,或单击“取消”以新的文件名称保存文件。 <组名称>_sylink.xml文件导出后,可以通过任何方式发送到客户端。 以下步骤从SEP客户端中导入通信设置:
SEP11常见问题
SEP11.0 MR4 MP2客户端常见问题解 决 SEP11.0产品整合了赛门铁克防病毒与高级威胁防护技术,为用户提供前所未有的防护,抵御各种恶意软件,从而保护便携式电脑、台式机和服务器等端点的安全。下面是SEP11.0产品在安装中的常见问题! 1、SEP客户端安装程序循环安装且无法停止 1)现象描述: SEP客户端在安装过程过半时,异常停止安装,并且360弹出“是否允许”对话框时,点击“否”, 此时重启计算机后,依然会继续安装SEP客户端,进入循环安装,无法安装成功。 2)解决办法: 利用卸载工具,卸载SEP客户端,重启计算机,此时不会出现客户端循环安装的现象,再将SEP客户端安装包解压缩,运行解压缩后的文件“Symantec AntiVirus.MSI”,之后点击“删除”,重新启动计算机,可成功安装SEP客户端。 2、SEP11.0安装时提示“系统挂起,需重新启动”建议msconfig中,将“服务”和“启动”中“全部禁用”,重启后再重新安装SEP11.0即可。 注意“服务”里要勾选“隐藏所有Microsoft服务”。 3、对于笔记本无法打开无线配置时,需在“服务”内启动“Wireless Zero Configuration”服务,并勾选“无线网络配置”。 4、SEP和天网防火墙有冲突,可能导致系统蓝屏,建议在安全模式下先卸载天网防火墙软件后,如无法卸载天网防火墙软件,建议删除c:\windows\system32\drivers\sknfw.sys文件,再手工删除c:\program files\skynet目录后,再重新安装SEP 客户端。 5、安装SEP时提示磁盘空间不足,建议检查C盘是否还有足够剩余空间,如C盘剩余空间正常,有可能是系统环境变量的TEMP目录指定到其他盘符上导致空间不足,建议在系统属性高级内“环境变量”中,修改TEMP属性后,再重新安装SEP客户端。 6、安装SEP时提示无效的驱动器,系统日志是MSIInstaller:1327,可能是安装某些软件后导致修改了系统注册表内默认的用户目录配置,建议修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders 的默认路径后,再重新安装SEP客户端。 7、SEP客户端安装日志可以帮助分析和解决一些疑难问题,“开始”——“运行”——“%TEMP%”,打开 SEP_INST.log 。此文件的具体路径:c:\Documents and Settings\XX用户\Local Setting\Temp目录。 8、卸载瑞星防火墙后,如果出现网络不通现象,建议在CMD——ipconfig查看是否能正常显示IP地址,如果不能正常显示,建议在本地连接属性内将“Rising Rfwbase Drivers”卸载即可。 9、如果计算机已经360安全卫士,在安装SEP客户端时会在注册表内修改启动项,在360安全卫士弹出提示后,一定要勾选上“总是执行相同的动作”即可。 内容导航 10、安装SEP客户端时提示“Windows Installer无法打开此安装包”,可能是系统的Windows Installer服务异常造成,建议CMD—msiexec /unregserver后,在运行msiexec /regserver即可。如果仍然有问题,建议安装微软最新的Windows
电力配网终端安全解决方案-加密模块
电力配网终端安全解决方案 随着电网智能化建设的深入进行,配网安全也逐渐的被各大电网及电力公司所重视。相关部门也于2009年陆续出台了一系列的有关安全的指导性方案与规定。万协通依据电监会《电力二次系统安全防护总体方案》、《配电网二次系统安全防护总体方案》,国家电网《中低压配电网自动化系统安全防护补充规定》及国家电网与南方电网的实际需求,成功推出了《配电网终端安全方案》。 1) 终端/子站安全通信模块方案 电网配电终端安全要求: 认证加密: 1) 主站对子站/终端下发的控制指令不论采用何种通信模式(以太网、无线、还是其他方式)都需要使用基于非对称密钥的加密技术进行单向身 份认证。
2)配电网自动化系统采用基于调度证书的非对称密钥算法实现控制命令及参数设置指令的单向身份认证与报文完整性保护。 3)用电信息采集及负荷管理系统采用信息证书的方式实现单向身份认证与报文完整性保护。 无线通信: 1)采用VPN技术实现无线虚拟专有通道。 2)通过认证服务器对接入终端进行身份认证及地址派发 扩展功能: 单向认证+对称加密 主站采用私钥签名并使用对称密钥对数据进行加密,子站使用与主站 相同的密钥对数据内容进行解密。主要用于对复合报文中明文部分(控 制命令、时间戳等)的保护。 技术实现: 认证加密:采用SM2/RSA 非对称算法,满足目前单向认证需求,中央控制子 模块中的存储空间可以存放多个认证证书。 对称算法支持SM1算法,完全支持单向认证+对称算法的扩展功能通信: 接口:提供丰富的通信接口,支持以太网通信,GPRS通信,及多种符合 电网规约的串口通信 传输安全:支持APN+VPN、VDPN,GRE等电力上广泛应用的通信技术。 其他功能: 利用TF32A09中强大的32位CPU,及扩展存储(flash)模块,用 户可以在本方案的基础上,自行增加专有相关控制功能 2)安全模块方案 为了减少对配电终端设备的改造,万协通提出外置安全模块的方案,解决电力配网终端安全的问题。管理模块把需要认证/加解密的数据通过串口发给安全模块,安全模块按照