终端安全解决办法.doc

+\ 终端安全解决方案 第一部分、终端问题的处理方法 一、首先需要查到攻击源： 1、物理查看方法，查看网卡显示灯。 没有运行应用的机器，网卡的收发两个灯或发送灯在不停的闪烁，可判定这台终端有问题； 2、终端查看连接状态的方法，查看终端开放的端口，协议等。 在DOS命令状态下输入netstat -an 查看连接状态，查看是否有异常端口开放，是否有异常的连接等，通过arp -a查看arp表，主要看网关和已经终端的MAC地址学习是否正确，用arp -d 删除错误IP对应的MAC地址，net share 查看一下共享信息，无用文件共享关闭。netstat -rn查看终端的路由信息是否正常，而ipconfig /all 看一下网卡启用状态，一般需要将无用的和虚拟的网卡禁用。 查看网络连接，即“本地连接”或其他名称的网络连接，无用连接需要禁用。有用连接中的相关无用服务关闭掉，尤其是“QOS数据包计划”经常导致系统出现问题。在测试时可仅保留“mircosofe 客户端”和“internet 协议（TCP/IP）这两个协议，其他的测试时可保留终端防火墙和终端抓包的两类协议，但一定要确认是本地软件安装的协议，必要时可卸载然后重新用干净软件安装一下； 3、采用sniffer或ethtool这样的抓包工具查看攻击，一般发包比较多的为攻击源。sniffer你直接看流量的图，哪个终端与服务器的直连线最高说明发起的攻击最多。而ethtool一般直接查看arp协议，点协议排序就可以，一般有问题的机器不停的问我是谁这样相关的信息； 4、查看终端补丁安装情况，一般需要确认相关操作系统安全补丁均已经正常安装，并查一下相关主要的应用软件是否也需要进行补丁安装或程序的版本升级，一般升到最新的稳定安装版本，不要升级测试版本； 5、采用任务管理器和安全卫士360等工具查看服务器和终端当前应用程序的运行情况，无用的相关应用程序进行关闭，同时查看IE的相关设置是否有问题，建议删除无用的第三方IE插件； 二、确定问题后进行查杀： 1、物理上方法一般采用2层交换机端口进行绑定的方式进行终端的IP和MAC确定； 2、将二层交换机向三层交换机进行汇聚连接，并在三层交换机上进行终端IP和MAC绑定。在初始的情况下，如果哪个终端的MAC地址迅速网关或替换其他IP的MAC，则此终端存在问题，一般将其MAC绑定为全零，然后进行arp表的清除； 3、一般可采用安全卫士360等终端查杀和系统恢复软件进行临时文件删除，服务的关闭和IE的清理等，或采用兵刃或红叶等安全套件进行清理，但兵刃和红叶中多是黑客的攻击软件需要保持其自身的安全性，防止前面驱虎，后面引狼； 4、终端软件重新安装也是比较快捷的方式，但是要注意简版的操作系统和低版本的应用软件均在先天就存在致命的漏洞。建议选择正版或全版和新整合的操作系统，在补丁安装完成前不要接入到网络中，并且注意安装软件自身的安全，应用软件可以逐步进行安装，但安装一个要确保其补丁升级完成。这个工作在前期准备需要相当长的时间，但是这个是保证终端可用性的前提，一定要重视。 三、系统运行保护： 1、终端一般安装安全卫士360或专用arp防护软件的arp防护工具并启用，其原理一般是核查终端的arp表，定期进行刷新并禁止arp表的修订，终端病毒防护软件的安装和定期升级也是必要的前提； 2、操作系统补丁和应用软件定期安装； 3、终端IP和MAC统计和更新，并及时在二层交换机进行端口绑定，三层交换机上IP和MAC的绑定及定期的查看； 4、也可采用终端准入的系统来控制终端必要系统补丁和应用程序的统一升级； 当然如果是恶意的攻击和破坏也是违反信息安全的法律和法规的，在进行一定攻击的情况的记录和资料准备可以申请电信级运营商协助进行问题定位，向通信管理局和公安机关等政府相关信息安全机构进行报案，他们可进行更大范围的监控和安全事件查证。 第二部分 终端病毒防护方法 一、终端中毒前的防护 1、在终端重新做系统接入网络之前一定要把操作系统的补丁打好 木马病毒多数是通过系统漏洞入侵终端的，所以重新装完操作系统的终端，打补丁是重要的环节。要做到每一台终端的补丁都打全之后再接入网络，如果等到终端中毒之后再打补丁就来不及了。 2、新接入网络的终端一定做到每一台终端都要装趋势防病毒软件。一台都不能漏掉。如果漏掉了一台，就相当于操作系统的一个漏洞一样，因为趋势防病毒软件注重的是防御，将病毒拒之门外。所以每一台终端都要装趋势杀毒软件也是很重要的一个环节。 3、前两点都做到的情况下，每一个终端的操作者要有良好的使用习惯。不浏览不良网站，不要去点击一些广告等欺骗性的页面。下载的时候要去正规的网站下载，使用的软件尽量用正版的。安装软件的时候尽量不要安装在C盘。很多软件也会有漏洞，木马病毒会通过软件漏洞入侵操作系统从而导致终端中毒。在安装软件的过程中，软件本身会捆绑一些其它工具，如果安装的软件不是在正规网站下载的，那么很有可能捆绑的东西里会带有一些病毒木马等危害终端。或者恶意篡改IE浏览器主页。所以安装软件的时候要注意一下软件捆绑的东西，不要一直下一步点到底。 4、移动介质在使用的过程当中要做好检查防止病毒蔓延 移动介质，例如:优盘、软盘、光盘、移动硬盘等移动设备，在使用的过程中要做好备份、检查工作，防止病毒扩散。 5、要把不需要的系统共享关闭，还有Windows自动播放关闭。 二、终端中毒后的处理 1、当前终端中病毒的途径有以下几种： （1）、网页挂马：网页病毒主要是利用软件或系统操作平台等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序，JavaScript脚本语言程序，ActiveX软件部件网络交互技术支持可自动执行的代码程序，以强行修改用户操作系统的注册表设置及系统实用配置程序，或非法控制系统用户文件，或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。这种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。一旦浏览含有该病毒的网页，在用户不知不觉的情况下，给用户的系统带来一般性的、轻度性的、恶性等不同程度的破坏。网页病毒的激发条件是浏览网页，网页的浏览量直接影响病毒传播的速度， 网页的浏览量宏观上是随着时间的增加而增加的。 （2）、移动介质：u盘媒介 一般是u盘插入一台已感染的电脑上，而感染的电脑上的u盘病毒趁机植入u盘，而用户再插入其他的电脑，其他的电脑就中毒了；.硬盘媒介 通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散；光盘媒介：因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了很大的便利。 （3）、共享：局域网是由相互连接的一组计算机组成的，这是数据共享和相互协作的需要。组成网络的每一台计算机都能连接到其他计算机，数据也能从一台计算机发送到其他计算机上。如果发送的数据感染了计算机病毒，接收方的计算机将自动被感染，因此，有可能在很短的时间内感染整个网络中的计算机。局域网络技术的应用为企业的发展做出巨大贡献，同时也为计算机病毒的迅速传播铺平了道路。同时，由于系统漏洞所产生的安全隐患也会使病毒在局域网中传播 （4）、邮件:病毒制作者将病毒放在电子邮件的附件中寄给受害者，引诱受害者打开电子邮件附件而传染病毒,或将病毒直接放在电子邮件内寄给受害者，诱使受害者阅读电子邮件而传染病毒。 （5）、漏洞型病毒: 因此即使你没有运行非法软件没有打开邮件浏览只要你连接到网络中,漏洞型病毒就会利用操作系统的漏洞进入你的计算机 如冲击波和震荡波。 （6）、间谍软件：是一种恶意程序，能够附着（捆绑）在软件安装包、共享文件、可执行图像以及各种可执行文件当中并能趁机潜入用户的系统,它能跟踪用户的上网习惯，更换用户主页，窃取用户的密码及其他个人隐私信息。 （7）、中毒的一些表现 我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件升不了级、word文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。 2、中毒诊断 （1）、按Ctrl+Shift+Ese键(同时按此三键)，调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称(这需要经验)，如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。 （2）、查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言，正常的windows服务，基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外)，此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C:winntsystem32explored.exe，计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。 （3）、运行注册表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。 （4）、取消隐藏属性，查看系统文件夹winnt(windows)system32,如果打开后文件夹为空，表明电脑已经中毒;打开system32后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。 （5）、由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动升级失败。 3、中毒之后如何处理 （1）、在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当成系统服务启动的病毒程序，会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身，找到之后一并消灭。 （2）、停止有问题的服务，改自动为禁止。 （3）、如果文件system32driversetchosts被篡改，恢复它，即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。 （4）、重启电脑，摁F8进“带网络的安全模式”。目的是不让病毒程序启动，又可以对Windows升级打补丁和对杀毒软件升级。 （5）、搜索病毒的执行文件，手动消灭之。 （6）、对Windows升级打补丁和对杀毒软件升级。 　　 （7）、关闭不必要的系统服务，如remoteregistryservice。 　　 （8）、第6步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。 （9）、上步完成后，重启计算机，完成所有操作。 4、下面介绍两种常见的紧急情况处理方法 （1）、ARP病毒攻击与防护 ①、1ARP概念 ARP，全称Address Resolution Protocol，中文名为地址解析协议，它工作在数据链路层，在本层和硬件接口联系，同时对上层提供服务。 IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。 ②、ARP工作原理 首先，每台主机都会在自己的ARP缓冲区中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有﹐就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址；源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。 例如： A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB 根据上面的所讲的原理，我们简单说明这个过程：A要和B通讯，A就需要知道B的以太网地址，于是A发送一个ARP请求广播（谁是192.168.10.2 ，请告诉192.168.10.1），当B收到该广播，就检查自己，结果发现和自己的一致，然后就向A发送一个ARP单播应答（192.168.10.2 在BB-BB-BB-BB-BB-BB）。 ③、欺骗原理 假设一个网络环境中，网内有三台主机，分别为主机A、B、C。主机详细信息如下描述： A的地址为：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA B的地址为：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB C的地址为：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC 正常情况下A和C之间进行通讯，但是此时B向A发送一个自己伪造的ARP应答，而这个应答中的数据为发送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本来应该是CC-CC-CC-CC-CC-CC，这里被伪造了）。当A接收到B伪造的ARP应答，就会更新本地的ARP缓存（A被欺骗了），这时B就伪装成C了。同时，B同样向C发送一个ARP应答，应答包中发送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本来应该是AA-AA-AA-AA-AA-AA），当C收到B伪造的ARP应答，也会更新本地ARP缓存（C也被欺骗了），这时B就伪装成了A。这样主机A和C都被主机B欺骗，A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么：）。这就是典型的ARP欺骗过程。 注意：一般情况下，ARP欺骗的某一方应该是网关。 ④、常用的防护方法 搜索网上，目前对于ARP攻击防护问题出现最多是绑定IP和MAC和使用ARP防护软件，也出现了具有ARP防护功能的路由器。呵呵，我们来了解下这三种方法。 首先：静态绑定 最常用的方法就是做IP和MAC静态绑定，在网内把主机和网关都做IP和MAC绑定。 欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才比较保险。 方法： 对每台主机进行IP和MAC地址静态绑定。 通过命令，arp -s可以实现 “arp –s IP MAC地址 ”。 例如：“arp –s192.168.10.1 AA-AA-AA-AA-AA-AA”。 如果设置成功会在PC上面通过执行arp -a 可以看到相关的提示： Internet Address Physical Address Type 192.168.10.1AA-AA-AA-AA-AA-AA static(静态) 一般不绑定,在动态的情况下： Internet AddressPhysical AddressType 192.168.10.1 AA-AA-AA-AA-AA-AA dynamic(动态) 说明：对于网络中有很多主机，500台，1000台...，如果我们这样每一台都去做静态绑定，工作量是非常大的，这种静态绑定，在电脑每次重起后，都必须重新在绑定，虽然也可以做一个批处理文件，但是还是比较麻烦的！ 其次：使用ARP防护软件 目前关于ARP类的防护软件出的比较多了，大家使用比较常用的ARP工具主要是欣向ARP工具，Antiarp等。它们除了本身来检测出ARP攻击外，防护的工作原理是一定频率向网络广播正确的ARP信息。我们还是来简单说下这两个小工具。 （1）、欣向ARP工具 俺使用了该工具，它有5个功能： A. IP/MAC清单 选择网卡。如果是单网卡不需要设置。如果是多网卡需要设置连接内网的那块网卡。 IP/MAC扫描。这里会扫描目前网络中所有的机器的IP与MAC地址。请在内网运行正常时扫描，因为这个表格将作为对之后ARP的参照。 之后的功能都需要这个表格的支持，如果出现提示无法获取IP或MAC时，就说明这里的表格里面没有相应的数据。 B.ARP欺骗检测 这个功能会一直检测内网是否有PC冒充表格内的IP。你可以把主要的IP设到检测表格里面，例如，路由器，电影服务器，等需要内网机器访问的机器IP。 (补充)“ARP欺骗记录”表如何理解： “Time”：发现问题时的时间； “sender”：发送欺骗信息的IP或MAC； “Repeat”：欺诈信息发送的次数； “ARP info”：是指发送欺骗信息的具体内容.如下面例子： timesenderRepeatARP info 22:22:22192.168.1.22 1433192.168.1.1 is at 00:0e:03:22:02:e8 这条信息的意思是：在22:22:22的时间,检测到由192.168.1.22发出的欺骗信息，已经发送了1433次，他发送的欺骗信息的内容是：192.168.1.1的MAC地址是00:0e:03:22:02:e8。 打开检测功能，如果出现针对表内IP的欺骗，会出现提示。可以按照提示查到内网的ARP欺骗的根源。提示一句，任何机器都可以冒充其他机器发送IP与MAC，所以即使提示出某个IP或MAC在发送欺骗信息，也未必是100％的准确。所有请不要以暴力解决某些问题。 C.主动维护 这个功能可以直接解决ARP欺骗的掉线问题，但是并不是理想方法。他的原理就在网络内不停的广播制定的IP的正确的MAC地址。 “制定维护对象”的表格里面就是设置需要保护的IP。发包频率就是每秒发送多少个正确的包给网络内所有机器。强烈建议尽量少的广播IP，尽量少的广播频率。一般设置1次就可以，如果没有绑定IP的情况下，出现ARP欺骗，可以设置到50－100次，如果还有掉线可以设置更高，即可以实现快速解决ARP欺骗的问题。但是想真正解决ARP问题，还是请参照上面绑定方法。 D. 欣向路由器日志 收集欣向路由器的系统日志，等功能。 E.抓包 类似于网络分析软件的抓包，保存格式是.cap。 （2）、Antiarp 这个软件界面比较简单，以下为我收集该软件的使用方法。 A.填入网关IP地址，点击［获取网关地址］将会显示出网关的MAC地址。点击[自动防护]即可保护当前网卡与该网关的通信不会被第三方监听。注意：如出现ARP欺骗提示，这说明攻击者发送了ARP欺骗数据包来获取网卡的数据包，如果您想追踪攻击来源请记住攻击者的MAC地址，利用MAC地址扫描器可以找出IP 对应的MAC地址. B.IP地址冲突 如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包，才会出现IP冲突的警告，利用Anti ARP Sniffer可以防止此类攻击。 C.您需要知道冲突的MAC地址，Windows会记录这些错误。查看具体方法如下： 右击[我的电脑]--[管理]--点击[事件查看器]--点击[系统]--查看来源为[TcpIP]---双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果更改失败请与我联系。如果成功将不再会显示地址冲突。 注意:如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡。 再次：具有ARP防护功能的路由器 这类路由器以前听说的很少，对于这类路由器中提到的ARP防护功能，其实它的原理就是定期的发送自己正确的ARP信息。但是路由器的这种功能对于真正意义上的攻击，是不能解决的。 ARP的最常见的特征就是掉线，一般情况下不需要处理一定时间内可以回复正常上网，因为ARP欺骗是有老化时间的，过了老化时间就会自动的回复正常。现在大多数路由器都会在很短时间内不停广播自己的正确ARP信息，使受骗的主机回复正常。但是如果出现攻击性ARP欺骗(其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的)，它是不断的发起ARP欺骗包来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。 可能你会有疑问：我们也可以发送比欺骗者更多更快正确的ARP信息啊？如果攻击者每秒发送1000个ARP欺骗包，那我们就每秒发送1500个正确的ARP信息！ 面对上面的疑问，我们仔细想想，如果网络拓扑很大，网络中接了很多网络设备和主机，大量的设备都去处理这些广播信息，那网络使用起来好不爽，再说了会影响到我们工作和学习。ARP广播会造成网络资源的浪费和占用。如果该网络出了问题，我们抓包分析，数据包中也会出现很多这类ARP广播包，对分析也会造成一定的影响。 （2）、WORM_DOWNAD处理方法 WORM_DOWNAD病毒是一种透过多种管道攻击其它计算机的病毒。当企业内部一旦感染这种复合型攻击的病毒时，若没有事先做好应对的措施，很容易因为资安环境有弱点而在短时间内造成严重的伤害 WORM_DOWNAD具有以下几种特性： ①透过MS08-067的系统弱点攻击计算机 利用密码字典攻击法登入Admin$system32数据夹执行病毒档案，并在工作排程中新增工作项目产生病毒档案 在可携式磁盘驱动器与网络磁盘驱动器中产生病毒档案与Autorun.inf，可透过USB可携式装置感染其它系统 ②主动联机特定URL下载其它病毒档案 WORM_DOWNAD一开始出现的时候，是透过MS08-067的弱点攻击操作系统，由于该病毒出现时修正程序刚发布不久，许多企业还来不及更新操作系统。部份企业因生产线无法停摆，安装修正程序需要排程规划。一旦遇上攻击系统弱点的病毒，很容易就在短时间内就快速散播，唯有安装修正程序才能避免遭受病毒再次攻击。 ③管理者账户密码没有定期更新，没有规定密码复杂度 趋势科技工程师在处理几家企业的病毒问题时，常发现明明这家公司都有更新了系统的修正程序，却仍然还有WORM_DOWNAD病毒在内部流窜，检查后才发现一般资安人员在为公司计算机安装系统时，大多使用Ghost等备份软件以便节省安装系统的时间，而使用者可用网域账户登入系统执行作业。该做法虽然省时省力，却忽略了本机的管理者账户密码未修改的风险。而后期的WORM_DOWNAD病毒，利用字典密码攻击法的方式，使用常见的密码清单尝试登入Admin$植入病毒档案并执行。所以就算系统已经安装了最新的修正程序，仍然会被植入病毒档案。因此，建议信息人员在安装系统后立即修改系统管理者的密码，且必须要有足够的复杂度，或是停用本机管理者账号。若用户使用网域账户登入系统，建议企业内部应制定策略定期更新使用者密码，避免病毒利用字典密码攻击法的方式散播病毒。 ④未建置HTTP网关端防毒，无法拦截特定档案类型 Web Threat已经是近几年来病毒散播的趋势，利用HTTP通讯协议下载恶意程序到计算机中，不易防堵。WORM_DOWNAD同样也会透过HTTP的方式下载其它恶意程序至受感染的计算机。但我们发现仍有少数企业未针对HTTP的通讯协议建置防毒。使得病毒容易透过网页的方式感染客户端，不只WORM_DOWNAD病毒，许多时下常见的特洛伊木马或后门程序也大多由HTTP而来，是最不容易防堵的一个感染来源。因此，我们建议企业应建置HTTP网关端防毒，除了控管使用者能存取的网页类型与过滤恶意网站外，最好能设定阻挡特定的档案类型，例如scr、pif、exe等执行文件，并使用True File Type扫描才能识别档案的真正类型。 ⑤开启防火墙，记录攻击来源 建议一般客户端可开启防火墙来阻挡这类型的网络型病毒，而且透过系统弱点攻击计算机的病毒大多会在防火墙留下记录，信息人员可根据防火墙的记录文件搜寻攻击来源的IP，一方面利用防火墙阻止病毒扩散，另一方面可迅速寻找感染病毒的来源客户端。 ⑥外来使用者或笔记型计算机用户没有适当的管理，资产管理并未完善 我们在碰到某些客户处理WORM_DOWNAD病毒问题时，虽然根据病毒纪录文件可以找到感染来源的IP，但少数企业因资产管理不够完善，可能会无法找到某些IP所对应的客户端是在哪里，所以无法彻底解决病毒问题。还有的信息人员认为已经设有防火墙，病毒到底是从何而来？等到找到感染来源时才发现，原来是笔记型计算机的使用者从外面把病毒带到企业里，或是使用者擅自使用3G网卡上网而下载到病毒档案。有些甚至是合作厂商来检测或维护设备时将自己携带的计算机接上公司网络，病毒就从这些地方扩散至整个网络。正因为这部份的使用者较难掌控计算机的状况，常常变成病毒爆发的感染来源，使信息人员疲于奔命。所以趋势科技建议信息人员可以针对外来使用者与笔记型计算机用户规划独立的网络区域，避免病毒藉由内部网络感染OA区的计算机。平时资产管理务必确实执行，了解公司内部计算机的IP信息，方便查阅，可迅速找出感染来源，以免延误时机造成难以收拾的状况。 ⑦部分客户端没有安装防毒软件 这样的问题其实是常常会发生的，有的也许是因为环境的限制或是操作系统太过老旧，无法安装防毒软件，当企业内部有病毒问题时才会发现原来仍有少数客户端是没有安装防毒软件，或是使用者任意卸载或停用防毒软件，造成资安环境产生弱点，若是使用趋势科技产品的客户，建议可定期使用TMVS扫描企业内部计算机是否均安装防毒软件，并从主控台设定防止用户卸载或移除防毒软件的权限。 ⑧控管USB装置，停用自动播放功能 USB装置的大量普及，成了病毒散播的管道之一，就算限制计算机不能连接Internet，透过USB装置病毒仍旧可以攻击其它计算机。WORM_DOWNAD感染计算机后会搜寻USB装置并植入autorun.inf与病毒档案，倘若使用者在中毒的计算机上使用USB装置，USB装置就会夹带病毒档案，只要将中了毒的USB装置拿到其它计算机使用，病毒就可藉此感染其它计算机。趋势科技建议信息人员应严格控管USB装置的使用，并建议停用USB装置自动播放功能，避免装置一插入系统中就自动执行病毒档案。如何停用USB装置请参考技术通报-USB病毒防治要点 ⑨分享数据夹没有做好权限控管 档案服务器通常是病毒大量扩散的一个关键点，因为档案服务器就是提供使用者分享数据与档案，一旦档案服务器感染病毒，只要使用者去存取档案服务器上的档案，病毒就会藉此感染自己的计算机。WORM_DOWNAD病毒会将病毒档案植入网络磁盘驱动器中，诱使使用者执行以便感染其它计算机。所以趋势科技建议您，若非必要，管理者应将分享数据夹设定为只读，或是针对使用者的性质给予不同的存取权限，可降低病毒利用分享数据夹散播病毒的风险。 WORM_DOWNAD病毒使用多种不同管道散播病毒档案，对企业资安环境造成莫大的冲击，趋势科技提供上述建议供信息人员参考，若您的企业曾经有过上述的情况，请根据内部的感染情况厘清企业潜藏的风险威胁，尽早订定或修改信息安全策略，避免再次因病毒爆发而让企业造成损失。