單元2 網絡病毒和惡意軟件的清除與防御

單元2

網絡病毒和惡意軟件的

清除與防御

[單元學習目標]知識目標1．了解ARP病毒的工作原理2．掌握ARP病毒的常用防御方法3．了解網絡蠕蟲病毒的工作原理4．掌握蠕蟲病毒的清除和預防的方法5．了解惡意軟件的工作原理6．掌握惡意軟件的清除方法7．掌握網絡版查毒軟件的工作原理

[單元學習目標]能力目標1．具備利用軟件和硬件的配置防御ARP病毒的能力

2．具備根據故障現(xiàn)象診斷ARP病毒攻擊的能力

3．具備利用殺毒軟件清除蠕蟲病毒的能力

4．具備利用軟件清除惡意軟件的能力

5．具備網絡版殺毒軟件的安裝和部署的能力

6．具備在域環(huán)境下部署殺毒軟件的能力情感態(tài)度價值觀1．培養(yǎng)認真細致的工作態(tài)度

2．逐步形成網絡安全的主動防御意識[單元學習內容]隨著計算機網絡技術的普及及發(fā)展，信息對人們來說越來越重要，同時信息面臨的威脅也越來越大，計算機網絡的安全已成為用戶普遍關注的問題，而病毒是計算機系統(tǒng)中最常見的安全威脅。病毒一旦發(fā)作，輕則破壞文件，損害系統(tǒng)，重則造成網絡癱瘓；惡意軟件、黑客程序等破壞性程序也層出不窮，這也給攻擊者攻擊系統(tǒng)網絡、竊取數據提供了便利。操作系統(tǒng)的安全策略設定能很好地保證計算機的安全，但并不能完全防止病毒和惡意軟件的入侵，并且隨著掌上型移動工具的廣泛使用，尤其是WAP的應用日益廣泛，病毒對手機和無線網絡的威脅越來越大，因此用戶一方面要掌握當前計算機病毒的防范和清除工作，另一方面要加強對未來病毒發(fā)展趨勢的研究，保證網絡信息安全。任務1常見病毒的清除與防御

活動1認識ARP病毒【任務描述】通過學習，小齊對于在公司網絡管理中遇到的一些小問題基本都能自己排除，但是最近公司的許多計算機莫名奇妙地掉線，公司的網速變得非常慢，這個事情讓小齊花費了大量的精力，最近他終于搞明白了，原來是ARP病毒在作怪?！救蝿辗治觥客ㄟ^模擬ARP攻擊，了解ARP病毒的原理、病毒發(fā)作時候的典型現(xiàn)象，掌握基本操作命令來判斷是否存在ARP病毒攻擊并找出病毒源。任務1常見病毒的清除與防御

活動1認識ARP病毒【任務實戰(zhàn)】步驟1搭建ARP攻擊的模擬環(huán)境。利用一臺2層交換機（本任務以神州數碼3950交換機為例，也可以運行虛擬機完成）和3臺PC組成。按圖2-1所示拓撲結構圖連接設備，并保證網絡的連通性。步驟2在PC-A上安裝模擬ARP攻擊軟件，并運行攻擊軟件。有很多基于ARP攻擊原理的軟件，如網絡剪刀手、網絡執(zhí)法官，還有許多基于ARP攻擊原理的網管軟件。本節(jié)以長角牛網絡監(jiān)控機為例，長角牛網絡監(jiān)控機可以從網上下載。（1）下載長角牛網絡監(jiān)控機并按照系統(tǒng)提示進行安裝。任務1常見病毒的清除與防御

活動1認識ARP病毒（2）啟動長角牛網絡監(jiān)控機，彈出選擇網卡和監(jiān)控范圍的對話框。單擊“添加/修改”按鈕，在下面就會出現(xiàn)添加的監(jiān)控范圍，監(jiān)控范圍為.～54。（3）添加完監(jiān)控范圍后單擊“確定”按鈕，進入軟件的主頁面。因為本例使用的是試用版，要2min后才可以使用。

此時在軟件主頁面上顯示的是掃描的結果：MAC地址、IP地址、組/主機/用戶。我們特別留意主機的MAC地址為00-0C-29-E1-FC-C2，后面要用到。任務1常見病毒的清除與防御

活動1認識ARP病毒（4）2min后，就可以進行攻擊了，選擇要攻擊的主機，右擊彈出菜單，選擇用戶權限設置，本任務以選擇為例。

在“設置權限”區(qū)域選擇“禁止用戶，發(fā)現(xiàn)該用戶上線即管理”，在“管理方式”區(qū)域選擇“斷開與所有主機TCP/IP連接”，最后單擊“保存”按鈕，就完成了對目標主機的攻擊。步驟3判斷ARP攻擊。（1）測試網絡的連通性，在被攻擊主機

通過ping工具測試到這臺主機的連通性。任務1常見病毒的清除與防御

活動1認識ARP病毒2）利用命令查看ARP緩存來判斷是否存在ARP攻擊或者ARP病毒。通過觀察對比發(fā)現(xiàn)：真實的MAC地址為00-0C-29-E1-FC-C2，而在被攻擊主機的ARP緩存中的MAC地址卻變成了00-0C-29-8C-91-AF。顯然在緩存中的是一個錯誤的IP地址和MAC地址的對應關系，由此就判斷出這是一個典型的ARP攻擊。任務1常見病毒的清除與防御

活動2ARP病毒的防范【任務描述】小齊搞明白公司局域網內有了ARP病毒后，從網上找了很多解決方案，但是方法太多，看得小齊眼花繚亂，不知道選擇哪個辦法好?！救蝿辗治觥靠梢酝ㄟ^在每一臺計算機都安裝軟件的方法，也可以通過對ARP防御功能的交換機進行設置來防御。任務1常見病毒的清除與防御

活動2ARP病毒的防范【任務實戰(zhàn)】方法1：靜態(tài)綁定IP和MAC地址。最常用的方法就是做IP和MAC靜態(tài)綁定，在網內把主機和網關都做IP和MAC綁定。欺騙是通過ARP的動態(tài)實時更新規(guī)則欺騙內網機器，所以我們把ARP全部設置為靜態(tài)就可以解決對內網PC的欺騙，同時在網關也要進行IP和MAC的靜態(tài)綁定，這樣雙向綁定才比較保險。對每臺主機進行IP和MAC地址靜態(tài)綁定。通過命令，arp-s可以實現(xiàn)“arp—sIPMAC地址”。例如，在CMD窗口模式下輸入如下命令：

arp–sAA-AA-AA-AA-AA-AA任務1常見病毒的清除與防御

活動2ARP病毒的防范如果設置成功會在PC上面通過執(zhí)行arp-a看到相關的提示：

InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAstatic（靜態(tài)）

一般不綁定，在動態(tài)的情況下看到的是：

InternetAddressPhysicalAddressType

AA-AA-AA-AA-AA-AAdynamic（動態(tài)）

對于網絡中有很多主機，500臺，1000臺，……，如果每一臺都去做靜態(tài)綁定，工作量是非常大的，而且這種靜態(tài)綁定，在計算機每次重啟后，都必須重新綁定，雖然也可以做一個批處理文件，但是還是比較麻煩的。任務1常見病毒的清除與防御

活動2ARP病毒的防范方法2：使用ARP防護軟件。目前市場上關于ARP類的防護軟件比較多，大家使用比較常用的ARP工具主要是彩影ARP防火墻、360安全衛(wèi)士防火墻等。它們除了本身可以檢測出ARP攻擊外，還能對其進行防護。防護的工作原理是使用一定頻率向網絡廣播正確的ARP信息，以彩影ARP防火墻為例。彩影ARP防火墻的下載地址為http://www.。它的安裝步驟也非常簡單，在此只特別說明一點，就是彩影ARP防火墻的高級設置。選擇“工具”→“高級參數設置”→“防御”，“主動防御”區(qū)域中“始終啟用”最好不要啟用，一旦需要啟用，防御速度數值設置為2。任務1常見病毒的清除與防御

活動2ARP病毒的防范方法3：使用可防御ARP攻擊的交換機。防御ARP網絡病毒和攻擊，最有效的方法是在接入層交換機進行設置，隨著網絡設備功能的不斷發(fā)展，很多2層交換機都具備了一定的防御ARP攻擊的能力，本文以神州數碼2層交換機3950為例進行設置（如實驗室設備不同，請參看產品手冊及官方文檔）。①AM功能。AM（AccessManagement）又稱為訪問管理，它利用收到數據報文的信息（源IP地址或源IP+源MAC）與配置硬件地址池（AMpool）相比較，如果找到則轉發(fā)，反之丟棄。AMpool是一個地址列表，每一個地址表項對應于一個用戶。每一個地址表項包括了地址信息及其對應的端口。地址信息可以有兩種：IP地址（IPpool），定該端口上用戶的源IP地址信息；MAC-IP地址（MAC-IPpool），定該端口上用戶的源MAC地址和源IP地址信息。當AM激活的時候，AM模塊會拒絕所有的IP報文通過（只允許IP地址池內的源地址成員通過）。任務1常見病毒的清除與防御

活動2ARP病毒的防范可以在交換機端口創(chuàng)建一個MAC+IP地址綁定，放到地址池中。當端口下聯(lián)主機發(fā)送的IP報文（包含ARP報文）中，所含的源IP＋源MAC不符合地址池中的綁定關系，此報文就被丟棄。配置命令示例如下。舉例：激活AM并允許交接口4上源IP為、源MAC是00-01-10-22-33-10的用戶通過。Switch（Config）#amenable

Switch（Config）#interfaceEthernet0/0/4

Switch（Config-Ethernet0/0/4）#amport

Switch（Config-Ethernet0/0/4）#ammac-ip-pool00-01-10-22-33-10功能優(yōu)點：配置簡單，除了可以防御ARP攻擊，還可以防御IP掃描等攻擊。適用于信息點不多、規(guī)模不大的靜態(tài)地址環(huán)境下。

功能缺點：需要占用交換機ACL資源，網絡管理員配置量大，終端移動性差。任務1常見病毒的清除與防御

活動2ARP病毒的防范②ARPGuard功能?；驹砭褪抢媒粨Q機的過濾表項，檢測從端口輸入的所有ARP報文，如果ARP報文的源IP地址是受到保護的IP地址，就直接丟棄報文，不再轉發(fā)。舉例：在端口Ethernet0/0/1啟動配置ARPGuard地址（設為網關地址）。Switch（Config）#interfaceEthernet0/0/1

Switch（Config-Ethernet0/0/1）#arp-guardip端口Ethernet0/0/1發(fā)出的仿冒網關ARP報文都會被丟棄，所以ARPGuard功能常用于保護網關不被攻擊。功能優(yōu)點：配置簡單，適用于ARP仿冒網關攻擊防護快速部署。

功能缺點：ARPGuard需要占用芯片F(xiàn)FP表項資源，交換機每端口配置數量有限。任務1常見病毒的清除與防御

活動2ARP病毒的防范③端口ARP限速。神州數碼系列交換機防ARP掃描的整體思路是若發(fā)現(xiàn)網段內存在具有ARP掃描特征的主機或端口，就切斷攻擊源頭，保障網絡的安全。有兩種方式來防ARP掃描：基于端口和基于IP。基于端口的ARP掃描會計算一段時間內從某個端口接收到的ARP報文的數量，若超過了預先設定的閾值，則會關閉此端口?；贗P的ARP掃描則計算一段時間內從網段內某IP收到的ARP報文的數量，若超過了預先設置的閾值，則禁止來自此IP的任何流量，而不是關閉與此IP相連的端口。此兩種防ARP掃描功能可以同時啟用。端口或IP被禁掉后，可以通過自動恢復功能自動恢復其狀態(tài)。任務1常見病毒的清除與防御

活動2ARP病毒的防范舉例：在交換機的端口啟動ARP報文限速功能。Switch（Config）#anti-arpscanenable

//激活Anti-arpscan

Switch（Config）#anti-arpscanport-basedthreshold10

//設置每個端口每秒的ARP報文上限

Switch（Config）#anti-arpscanip-basedthreshold10

//設置每個IP每秒的ARP報文上限

Switch（Config）#anti-arpscanrecoveryenable

//開啟防網段掃描自動恢復功能

Switch（Config）#anti-arpscanrecoverytime90

//設置自動恢復的時間為90s功能優(yōu)點：全局激活，無須在端口模式下配置，配置簡單。

功能缺點：不能杜絕虛假ARP報文，只是適用于對ARP掃描或者Flood攻擊防御，建議和交換機其他功能一起使用。任務1常見病毒的清除與防御

活動2ARP病毒的防范【任務拓展】一、理論題1．ARP病毒攻擊的原理是什么？2．ARP病毒攻擊有哪些典型現(xiàn)象？二、實訓1．下載長角牛網絡監(jiān)控機軟件搭建ARP攻擊環(huán)境。2．進行IP和MAC地址綁定來阻止ARP攻擊。3．利用防ARP攻擊軟件進行防御。4．利用現(xiàn)有設備并查看設備手冊進行ARP攻擊的防護。任務1常見病毒的清除與防御

活動3網絡蠕蟲病毒的清除與防御【任務描述】2007年肆虐網絡的“熊貓燒香”病毒使數以百萬計的計算機用戶都被卷進去了。雖然熊貓病毒已經離人們遠去，但是以“熊貓燒香”病毒為特點的蠕蟲病毒卻一直是計算機用戶的大敵?！救蝿辗治觥肯攘私狻靶茇垷恪辈《镜奶攸c及危害，掌握查殺蠕蟲病毒的方法，掌握“熊貓燒香”病毒的防御方法。任務1常見病毒的清除與防御

活動3網絡蠕蟲病毒的清除與防御【任務實戰(zhàn)】步驟1

了解“熊貓燒香”病毒的特點及危害?！靶茇垷恪辈《酒鋵嵤且环N蠕蟲病毒的變種，而且是經過多次變種而來的。由于中毒計算機的可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案，所以稱為“熊貓燒香”病毒?！靶茇垷恪痹《局粫XE圖標進行替換，并不會對系統(tǒng)本身進行破壞。而大多數用戶是受病毒變種的毒害，用戶計算機中毒后可能會出現(xiàn)藍屏、頻繁重啟，以及系統(tǒng)硬盤中數據文件被破壞等現(xiàn)象。同時，該病毒的某些變種可以通過局域網進行傳播，進而感染局域網內所有計算機系統(tǒng)，最終導致企業(yè)局域網癱瘓，無法正常使用。它能感染系統(tǒng)中exe、com、pif、src、html、asp等文件，它還能終止大量的反病毒軟件進程并且會刪除擴展名為gho的文件，該文件是系統(tǒng)備份工具GHOST的備份文件。任務1常見病毒的清除與防御

活動3網絡蠕蟲病毒的清除與防御gho文件被刪除使用戶的系統(tǒng)備份文件丟失，用戶將無法用GHOST恢復被損壞的操作系統(tǒng)。被感染的用戶系統(tǒng)中所有exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣?！靶茇垷恪辈《驹谟脖P各個分區(qū)下生成文件autorun.inf和setup.exe，可以通過U盤和移動硬盤等方式進行傳播，并且利用Windows系統(tǒng)的自動播放功能來運行，搜索硬盤中的.exe可執(zhí)行文件并感染，感染后的文件圖標變成“熊貓燒香”圖案?！靶茇垷恪辈《具€可以通過共享文件夾、系統(tǒng)弱口令等多種方式進行傳播。該病毒會在中毒計算機中所有的網頁文件尾部添加病毒代碼。一些網站編輯人員的計算機如果被該病毒感染，上傳網頁到網站后，就會導致用戶瀏覽這些網站時也被病毒感染。任務1常見病毒的清除與防御

活動3網絡蠕蟲病毒的清除與防御步驟2

掌握“熊貓燒香”蠕蟲病毒的查殺。

對于一些近期出現(xiàn)的肆虐互聯(lián)網的蠕蟲病毒，可以到著名的

殺毒軟件公司下載各種版本的專殺工具。步驟3

及時更新系統(tǒng)補丁，因為蠕蟲病毒一般都是通過操作

系統(tǒng)的漏洞進行傳播的，使用專殺工具只能把病毒消滅，但

是如果不打系統(tǒng)補丁，計算機就還會感染蠕蟲病毒。步驟4

掌握“熊貓燒香”病毒的預防方法。①利用“組策略”編輯器，關閉所有驅動器的自動播放功能。

在運行中輸入gpedit.msc命令，打開“組策略”編輯器，依次選擇“計算機配置”→“管理模板”→“系統(tǒng)”，右擊右側窗口中的“關閉自動播放”，選擇“屬性”命令，打開“關閉自動播放屬性”對話框。選中“已啟用”單選按鈕，再在“關閉自動播放”下拉列表中選擇“所有驅動器”

。單擊“確定”按鈕，然后運行gpupdate命令，該策略就生效了。任務1常見病毒的清除與防御

活動3網絡蠕蟲病毒的清除與防御②修改文件夾選項，可以查看不明文件的真實屬性，避免雙擊惡意程序而中毒。打開資源管理器，依次選擇菜單欄中的“工具”→“文件夾選項”→“查看”，取消選中“隱藏受保護的操作系統(tǒng)文件（推薦）”和“隱藏已知文件類型的擴展名”復選框，選中“顯示所有文件和文件夾”單選按鈕。③同時QQ、MSN等通信軟件的漏洞也可能被蠕蟲

病毒利用，因此，平時也要多留意及時打補丁。④啟用Windows防火墻保護本地計算機。同時，局

域網內用戶應盡量避免創(chuàng)建可寫權限的共享目錄，已

經創(chuàng)建共享目錄的應該立即停止共享。任務1常見病毒的清除與防御

活動3網絡蠕蟲病毒的清除與防御【任務拓展】一、理論題1．蠕蟲病毒有哪些危害？2．列舉一些最近一年來互聯(lián)網上比較有影響力的病毒。二、實訓1．下載“熊貓燒香”的病毒樣本，完成“熊貓燒香”病毒的查殺和防御（提示：最好在虛擬機下完成，并關閉殺毒軟件和360安全衛(wèi)士等）。2．嘗試用手工清除的辦法來清除“熊貓燒香”病毒。任務2惡意軟件的清除與防御【任務描述】最近公司員工紛紛向網管小齊反映，在公司和家用的計算機上好像被強行安裝了某些軟件，而且該軟件還不能被卸載；某些窗口會自動彈出來，使人心情很不爽，而且有幾個用戶反映丟失了文件和密碼?！救蝿辗治觥苛私馐裁词菒阂廛浖?、如何清除惡意軟件并預防惡意軟件。任務2惡意軟件的清除與防御【任務實戰(zhàn)】步驟1

了解什么是惡意軟件。（1）惡意軟件定義。網絡用戶在瀏覽一些惡意網站，或者從不安全的站點下載游戲或其他程序時，往往會連惡意程序一并帶入自己的計算機，而用戶本人對此絲毫不知情。直到有惡意廣告不斷彈出或色情網站自動出現(xiàn)時，用戶才有可能發(fā)覺計算機已“中毒”。在惡意軟件未被發(fā)現(xiàn)的這段時間，用戶網上的所有敏感資料都有可能被盜走，如銀行賬戶信息、信用卡密碼等。這些讓受害者的計算機不斷彈出色情網站或惡意廣告的程序就稱為惡意軟件或流氓軟件。任務2惡意軟件的清除與防御（2）惡意軟件特征。

①強制安裝：未明確提示用戶或未經用戶許可，在用戶計算機或其他終端上安裝軟件。

②難以卸載：未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍然有活動程序。

③瀏覽器劫持：未經用戶許可，修改用戶瀏覽器或其他相關設置，迫使用戶訪問特定網站或導致用戶無法正常上網。

④廣告彈出：未明確提示用戶或未經用戶許可，利用安裝在用戶計算機或其他終端上的軟件彈出廣告。

⑤惡意收集用戶信息：未明確提示用戶或未經用戶許可，惡意收集用戶信息。

⑥惡意卸載：未明確提示用戶、未經用戶許可，或誤導、欺騙用戶卸載其他軟件。

⑦惡意捆綁：在軟件中捆綁已被認定為惡意軟件。

⑧其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為。任務2惡意軟件的清除與防御（3）惡意軟件的分類及其危害。根據不同的特征和危害，困擾廣大計算機用戶的流氓軟件主要有如下幾類。①廣告軟件（Adware）：未經用戶允許，下載并安裝在用戶計算機上；或與其他軟件捆綁，通過彈出廣告等形式牟取商業(yè)利益的程序。此類軟件往往會強制安裝并無法卸載；在后臺收集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗系統(tǒng)資源，使其運行變慢等。②間諜軟件（Spyware）：在用戶不知情的情況下，在其計算機上安裝后門、收集用戶信息的軟件。用戶的隱私數據和重要信息會被“后門程序”捕獲，并被發(fā)送給黑客、商業(yè)公司等。這些“后門程序”甚至能使用戶的計算機被遠程操縱，組成龐大的“僵尸網絡”，這是目前網絡安全的重要隱患之一。任務2惡意軟件的清除與防御③瀏覽器劫持（BrowserHijack）：一種惡意程序，通過瀏覽器插件、BHO（瀏覽器輔助對象）、WinsockLSP等形式對用戶的瀏覽器進行篡改，使用戶的瀏覽器配置不正常，被強行引導到商業(yè)網站。用戶在瀏覽網站時會被強行安裝此類插件，普通用戶根本無法將其卸載。被劫持后，用戶只要上網就會被強行引導到其定的網站，嚴重影響正常上網瀏覽。④行為記錄軟件（TrackWare）：未經用戶許可，竊取并分析用戶隱私數據，記錄用戶計算機使用習慣、網絡瀏覽習慣等個人行為的軟件。危及用戶隱私，可能被黑客利用來進行網絡詐騙。⑤惡意共享軟件（MaliciousShareware）：某些共享軟件為了獲取利益，采用誘騙手段、試用陷阱等方式強迫用戶注冊，或在軟件體內捆綁各類惡意插件，未經允許即將其安裝到用戶機器里。任務2惡意軟件的清除與防御步驟2

清除惡意軟件。專家稱，傳統(tǒng)的病毒庫保護方式難以應對惡意軟件的攻擊。而且惡意軟件一直在變化，即使是被偵查到，它們也會自動調整，因此依靠單獨的技術難以防范惡意軟件。目前惡意軟件的清除工具非常多，比較流行的有超級兔子清理王、惡意軟件清理助手、360安全衛(wèi)士、微軟的SoftwareRemovalTool、Windows清理助手等。本文以360安全衛(wèi)士為例介紹惡意軟件的清理方法。（1）從360安全衛(wèi)士中心下載該軟件，雙擊安裝文件開始安裝。然后根據安裝向導完成“接受最終用戶協(xié)議”→“選擇安裝目錄”→“等待安裝進度完成”→“根據需要選擇是否安裝瀏覽器和其他部分”。在選擇的過程中一定要注意每個部分是什么，直到安裝結束。（2）安裝完成后，雙擊運行360軟件，主界面如圖所示。任務2惡意軟件的清除與防御（3）選擇“清理插件”選項卡，選擇掃描項，顯示如圖所示的對話框。它不但能掃描出所有的惡意軟件，還為每種惡意程序提供了詳細的注解，即使網絡新手也能準確地判斷某款殺毒軟件是否為惡意程序。選中某個要清除的插件或惡意軟件，單擊“立即清理”按鈕，就會馬上清除相應插件。當程序掃描出有惡意軟件的時候，系統(tǒng)會用紅色字體顯示并已經被系統(tǒng)選中，再單擊“立即清理”按鈕就可以將這些危害系統(tǒng)安全的插件清理干凈了。（4）特征庫升級。反惡意軟件與殺毒軟件一樣，是根據“惡意軟件”的特征來進行清除和預防的，因此需要不斷地更新才能清除相應的惡意軟件。任務2惡意軟件的清除與防御步驟3

預防惡意軟件。惡意軟件威脅經過幾年的發(fā)展已經成為一種強大的勢力，更確切地說它已經成為一種受經濟利益驅使的商業(yè)活動，因此應采取措施防止惡意軟件在網絡內傳播，主要的預防措施如下。（1）正確使用電子郵件和Web。對郵件的來源和附件的屬性不清楚，不要打開郵件中的附件。不要從互聯(lián)網下載和安裝未獲得授權的程序。學習公司的安全策略和建議，并堅決執(zhí)行。（2）禁止或監(jiān)督非Web源的協(xié)議在企業(yè)網絡內使用。如禁止或限制即時通信及端到端的協(xié)議進入企業(yè)網絡，這些正是僵尸等惡意軟件得以通信和傳播的工具。任務2惡意軟件的清除與防御【任務拓展】一、理論題1．什么是惡意軟件？2．惡意軟件和蠕蟲病毒有哪些區(qū)別？二、實訓1．下載360安全衛(wèi)士并進行安裝。2．運行360安全衛(wèi)士并對計算機的安全狀況進行體檢。3．使用360安全衛(wèi)士清理系統(tǒng)的惡意軟件。任務3網絡版殺毒軟件的安裝與使用

活動1認識網絡版殺毒軟件【任務描述】目前，齊威公司網絡中的大部分服務器和客戶端都安裝了單機版殺毒軟件，但是品牌繁多，如360安全衛(wèi)士殺毒軟件、瑞星殺毒軟件等。這些殺毒軟件雖然可以阻止大部分常規(guī)網絡病毒的入侵，但是為了確保服務器殺毒軟件病毒特征庫的時效性，管理員小齊需要經常檢查殺毒軟件的升級情況，非常麻煩。由于殺毒軟件類別和型號不同，很難實現(xiàn)統(tǒng)一管理，操作起來非常麻煩。大部分公司員工都安裝了殺毒軟件，但能夠按時升級病毒特征庫和執(zhí)行病毒掃描的卻很少。由于殺毒軟件的版本過于陳舊，未能阻止和查殺入侵系統(tǒng)的新型病毒，最終導致系統(tǒng)感染崩潰和感染整個網絡的情況時有發(fā)生，把網管小齊弄得焦頭爛額?！救蝿辗治觥啃↓R決定先查看一下網上的資料，看看現(xiàn)在企業(yè)防病毒系統(tǒng)的發(fā)展情況，以便給公司安裝一套高效的網絡版防病毒系統(tǒng)。任務3網絡版殺毒軟件的安裝與使用

活動1認識網絡版殺毒軟件【任務實戰(zhàn)】1．了解網絡版殺毒軟件網絡版殺毒軟件不同于我們普通家庭用戶使用的單機版殺毒軟件，網絡版殺毒軟件是客戶端/服務器模式的網絡軟件，在網絡中需要配置一臺服務器，其他用戶安裝客戶端軟件。服務管理員可以從互聯(lián)網下載最新的病毒庫，并把更新后的病毒庫推送到客戶端，保證了客戶端殺毒軟件的實時更新。管理員通過服務器端可以實時地對遠程客戶端的殺毒情況進行管理，而且可以對全網的病毒情況進行監(jiān)控。2．了解網絡版殺毒軟件的優(yōu)點網絡互聯(lián)互通，一臺機器染毒，馬上會傳遍網絡。殺毒軟件單機版和網絡版的最大區(qū)別在于網絡版是基于全網的病毒防殺，強調管理的靈活性和安裝部署的簡捷性。

（1）安裝簡捷、使用方便。網絡版可通過腳本安裝、遠程安裝實現(xiàn)對整個局域網所有計算機的快速、自動安裝。

任務3網絡版殺毒軟件的安裝與使用

活動1認識網絡版殺毒軟件（2）統(tǒng)一配置、專業(yè)定制。網絡版可對全網所有殺毒軟件進行統(tǒng)一或個性化設置，保持整個網絡安全策略的一致性，所有工作均在后臺完成。

（3）安全信息清晰直接。網絡版管理區(qū)域較廣，還可提供詳細的圖形化病毒報告。一旦在局域網中任何一臺計算機上發(fā)現(xiàn)病毒，都能自動將病毒信息傳遞給網絡管理員。（4）全網同步升級。網絡版進行統(tǒng)一升級，各客戶端可永遠保持最新版本，這對清除最新流行病毒非常重要。

（5）全網統(tǒng)一查殺病毒。網絡版能對局域網中軟盤、服務器、共享文件、郵件系統(tǒng)等容易感染病毒的每一節(jié)點同步查殺，可快速、干凈地查殺局域網中的新病毒。

（6）全面體現(xiàn)了高效率。從安裝殺毒軟件、日常管理、升級病毒庫、查殺病毒、專業(yè)定制等方面全面提高了工作效率，同時其多層架構的模式，保證了數據操作的高效性、可靠性和穩(wěn)定性。任務3網絡版殺毒軟件的安裝與使用

活動1認識網絡版殺毒軟件3．網絡版殺毒軟件的網絡部署結構網絡版殺毒軟件和單機版最大的區(qū)別就是前者有一個“管理中心”（有的殺毒軟件稱為“控制中心”），它可以對每臺客戶端進行各種管理，管理員可以完全不用出現(xiàn)在用戶面前，通過管理中心就可完成客戶端的參數設置、殺毒、狀態(tài)收集等操作。任務3網絡版殺毒軟件的安裝與使用

活動2管理中心的部署【任務描述】小齊通過資料的學習已經發(fā)現(xiàn)，在一定規(guī)模的企業(yè)中，為了保證企業(yè)防病毒的高效和可靠，必須在公司中部署網絡版殺毒軟件。公司購買了卡巴斯基網絡版殺毒軟件，小齊準備跟隨著產品手冊和技術人員的幫助開始部署了?！救蝿辗治觥吭诓渴鹁W絡版殺毒軟件前一定要根據實際的拓撲結構，決定如何部署。然后單獨使用一臺高配置并安裝服務器版操作系統(tǒng)的計算機，安裝卡巴斯基的管理工具（卡巴斯基的控制中心稱為管理工具）。任務3網絡版殺毒軟件的安裝與使用

活動2管理中心的部署【任務實戰(zhàn)】步驟1規(guī)劃網絡拓撲決定管理中心的部署位置。網絡版卡巴斯基殺毒軟件的部署對于網絡環(huán)境沒有特殊的要求，但是安裝控制管理中心，必須是服務器操作系統(tǒng)，如WindowsServer2000、WindowsSever2003、WindowsServer2008。步驟2安裝管理工具。（1）在本地計算機以自定義方式安裝卡巴斯基管理工具，請運行setup.exe文件，并使用安裝向導對設置進行配置。請遵照向導的提示進行操作。（2）定義安裝產品組件的文件夾。默認情況下，它是<驅動器>:\ProgramFiles\KasperskyLab\KasperskyAdministrationKit。如果該文件夾不存在，將會自動創(chuàng)建。用戶可以使用“瀏覽”按鈕來更改目標文件夾。任務3網絡版殺毒軟件的安裝與使用

活動2管理中心的部署（3）選擇要安裝的組件。在向導的下一個窗口，選擇需要安裝的卡巴斯基管理工具組件。管理服務器：如果選擇該項，還可以同時定義是否需要安裝其他的附加組件。①卡巴斯基實驗室思科NAC狀態(tài)確認服務器：這是一個標準的卡巴斯基實驗室組件，用于對思科NAC常規(guī)操作的憑證進行授權。與思科NAC的聯(lián)動設置能夠在管理服務器的屬性或策略中進行配置。②移動設備支持：該組件提供卡巴斯基手機安全軟件企業(yè)版的常見操作。任務3網絡版殺毒軟件的安裝與使用

活動2管理中心的部署（4）選擇網絡規(guī)模。定義安裝的卡巴斯基管理服務器所處網絡的規(guī)模。該信息將幫助對程序界面和設置進行最優(yōu)化配置，也可以在以后更改這些設置。

（5）賬號選擇。在指定計算機上定義用于啟動管理服務器服務的賬號。本地系統(tǒng)賬號：管理服務器將使用本地系統(tǒng)賬號及其憑證進行啟動。若要卡巴斯基管理工具正確工作，需要用于啟動管理服務器的賬號具有管理服務器數據庫所在計算機上的管理員權限。任務3網絡版殺毒軟件的安裝與使用

活動2管理中心的部署（6）數據庫選擇。在下一步中，可以選擇數據庫資源：MicrosoftSQL

Server（SQLExpress）或MySQL，它們將用于存儲。（7）SQL數據庫配置。如果在上一步選擇了SQLExpress或MicrosoftSQLServer，并且計劃在企業(yè)網絡中已有的一臺SQL服務器上使用卡巴斯基管理工具，則在“SQLServer名”文本框中輸入它的名字，然后在“數據庫名”文本框中，指定為存儲管理服務器信息所創(chuàng)建的數據庫名稱。默認情況下，將會以KAV為名創(chuàng)建數據庫。本實例由于之前并沒有安裝SQL數據庫，因此選擇默認選項。任務3網絡版殺毒軟件的安裝與使用

活動2管理中心的部署（8）選擇驗證模式。需要確定在管理服務器連接到SQL服務器時使用的驗證

模式。對于SQLExpress或MicrosoftSQLServer，可以

在以下兩個選項中選擇。

①MicrosoftWindows驗證模式：在這種情況下，將會使用管理服務器的啟動賬號來核實憑證。

②SQLServer驗證模式：在這種情況下，將會使用定義的賬號來核實憑證。請?zhí)顚懹脩裘?、密碼和確認密碼項。（9）選擇一個共享文件夾。

需要為一個將要使用的共享文件夾定義名稱和位置，該文件夾將用于存儲遠程部署程序所需的文件（在創(chuàng)建安裝包的過程中，這些文件將被復制到管理服務器上）；存儲從管理服務器的更新源下載下來的更新數據。任務3網絡版殺毒軟件的安裝與使用

活動2管理中心的部署（10）配置到管理服務器的連接。需要定義管理工具到

管理服務器的連接設置：

用于連接管理服務器的端口，默認端口號為14000。如

果該端口已經被占用，可以更改為其他端口；用于安全

連接管理服務器的SSL端口，默認端口號為13000。

（11）定義管理服器地址。使用以下方式指定管理服務器地址。①DNS名稱：當網絡中包含DNS服務器時，該方式非常有效，客戶端計算機能夠通過它來獲取管理服務器地址。

②NetBIOS名稱：當客戶端計算機能夠通過NetBIOS協(xié)議獲取管理服務器地址，或是網絡中有WINS服務器時，也可以使用該方式。

③IP地址：當管理服務器擁有固定IP時，可以使用該選項。任務3網絡版殺毒軟件的安裝與使用

活動2管理中心的部署（12）完成安裝。在對卡巴斯基管理工具各組件的安裝設置進行定義后，就可以正式開始安裝了。在計算機上安裝了管理控制臺后，它的圖標會出現(xiàn)在“開始”→“程序”→“卡巴斯基管理工具”菜單中，可以使用該圖標來啟動控制臺。管理服務器和網絡代理將會被作為服務安裝在計算機上，其屬性見表。表還包含卡巴斯基實驗室思科NAC狀態(tài)確認服務器的屬性，該組件也可能會與管理服務器一起安裝在計算機上。任務3網絡版殺毒軟件的安裝與使用

活動2管理中心的部署步驟3運行卡巴斯基管理工具。選擇“開始”→“卡巴斯基管理工具”→“卡巴斯基管理工具”，啟動卡巴斯基管理工具。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署【任務描述】管理員小齊已經完成了對卡巴斯基網絡版殺毒軟件管理工具的部署，現(xiàn)在面對公司的幾百臺計算機和公司的網站服務器，如何快速地部署客戶端，發(fā)揮網絡版殺毒軟件的優(yōu)勢呢？【任務分析】齊威公司現(xiàn)階段采用非常簡單的工作組管理模式，通過

查看卡巴斯基的官方手冊，小齊了解到卡巴斯基殺毒軟

件的客戶端安裝方式主要有3種：遠程推送、文件夾共

享、通過網站讓用戶下載。其任務實施簡化拓撲圖。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署【任務實戰(zhàn)】方法1：遠程推送。提示：遠程推送安裝需要知道對方擁有管理員

權限的用戶名和密碼，而且默認共享不能關閉，

我們以對文件服務器進行安裝為例。步驟1創(chuàng)建任務。選擇左側菜單中的“指定

計算機的任務”，然后選擇右側界面中的

“部署卡巴斯基反病毒Windows服務器”。步驟2使用配置任務向導，單擊“下一步”按鈕。步驟3填寫新建部署對象的名字，也可以采用系統(tǒng)默認的名字，單擊“下一步”按鈕。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署步驟4選擇部署方式，在“部署類型”中，選擇“推送安裝”，單擊“下一步”按鈕。步驟5選擇載入安裝包的方式，在該窗口指定安裝文件的傳輸方式。在“強制上傳安裝包”區(qū)域，選擇以下選項。

使用網絡代理：將使用安裝在每臺客戶端計算機上的網絡代理來傳輸文件。

使用共享文件夾中的MicrosoftWindows資源：通過共享文件夾，使用MicrosoftWindows工具將用于卸載程序的文件傳輸到客戶端計算機。

同時還需要確定，當客戶端計算機上已經安裝有程序時，是否需要重新安裝。如果不希望在這類計算機上重新安裝程序，選中“如果程序已經安裝則不再重新安裝”復選框（默認情況下，該復選框為選中狀態(tài)）。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署步驟6選擇網絡代理。網絡代理的作用是讓管理工具可以對客戶端進行管理，保證客戶端和管理工具可以正常通信，所以圖中的兩個選項都要選中。步驟7配置重啟設置。

如果程序安裝完成后需要重啟計算機，應該定義需要執(zhí)行的操作?？梢栽谝韵虏僮髦羞x擇：

①不重啟計算機。

②重啟計算機：如果選擇該項，計算機只在需要

的時候才會重啟。

③提示用戶操作：如果選擇該項，需要對重啟相

關的用戶提示進行配置。單擊“修改”鏈接進行

設置，可以在打開的窗口中編輯文字信息，并更

改重啟提示每次出現(xiàn)的時間間隔。

如果希望確保鎖定的計算機會進行重啟，則選擇

“強制關閉會話中的程序”選項。默認情況下，

該選項為非選中狀態(tài)。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署步驟8定義計算機選擇方式。需要確定選擇計算機的方式，以便為選中的計算機創(chuàng)建任務。

想使用WindowsNetworking選擇計算機：在這種情況下，管理服務器將通過輪詢企業(yè)Windows網絡來選擇需要部署任務的計算機。

想手動指定計算機地址（IP、DNS或NETBIOS）：在這種情況下，需要手動選擇需要部署任務的計算機。

本實例選擇第一種，使用WindowsNetworking選擇計算機。步驟9選擇目標客戶端計算機。如果使用Windows網絡輪詢來選擇計算機，向導窗口中將顯示創(chuàng)建的計算機列表，。既可以選擇組中的計算機（“管理組”項），也可以選擇包含在任何組中的計算機（“未分配計算機”項），我們選擇SERVER2和SERVER3。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署步驟10賬戶選擇。需要指定用于在計算機上運行部署任務的賬號。步驟11任務運行計劃?？梢栽O置任務在不同的時間段執(zhí)行。有手動、每N小時、每天、每周、每月、一次、立即：任務將在向導結束后立即運行。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署步驟12完成任務創(chuàng)建。在向導完成后，創(chuàng)建的任務將會被添加到控制臺樹的“組任務”或是“指定計算機的任務”節(jié)點中，并顯示在右側區(qū)域。步驟13運行任務。在右側窗口單擊“運行任務”鏈接，那么管理工具就開始進行遠程推送安裝。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署方法2：文件共享?？ò退够芾砉ぞ咴诎惭b的時候，已經把一個文件夾設置為共享文件夾，目的就是讓客戶端用戶可以自行下載安裝。步驟1用戶登錄共享文件夾，安裝代理（本實例的管理工具地址為）。進入共享目錄地址\\\Klshare\Packages\

NetAgent8.0.2090，雙擊setup.exe進行安裝，需要填寫管理工具的地址。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署步驟2安裝卡巴斯基反病毒服務器版。步驟3安裝完畢后設置更新服務器。在任務欄上右擊安裝好的卡巴斯基中的“設置”

→“更新”，單擊“配置”按鈕，選擇“管理服務器”。那么客戶端在下載補丁的時候就不再去互聯(lián)網下載補丁，而是從管理工具那里下載病毒庫了。網絡代理在卡巴斯基網絡版中的作用是保證客戶端和管理工具的正常通信，因此在安裝客戶端之前，必須要安裝網絡代理。卸載的時候，卸載完客戶端，網絡代理需要單獨卸載。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署方法3：通過網站讓用戶下載。雖然現(xiàn)在已經進入了信息時代，但是人們對于計算機的使用仍然良莠不齊。例如，用戶不會使用共享，而用戶出于安全考慮又不愿意把用戶名和密碼告訴管理員，管理員無法進行推送。由于普通的辦公人員都要訪問網站，可以制作一個下載客戶端的網頁，讓用戶訪問自行下載安裝。步驟1制作獨立安裝包。（1）選擇左側“存儲”菜單中的“安裝程

序包”，然后選擇右側的“卡巴斯基反病毒

Windows服務器6.0加強版”。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署（2）選擇左側的“創(chuàng)建獨立安裝包”，彈出“獨立安裝包創(chuàng)建向導”對話框。（3）添加授權文件，把授權文件也制作到安裝包里面，那么用戶在安裝的時候就不用自己注冊激活殺毒軟件了，單擊右側的“添加”按鈕，按照提示完成添加。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署（4）為共同安裝選擇網絡代理安裝包，選中“網絡代理和該程序一起安裝”復選框，單擊“下一步”按鈕，進入安裝過程狀態(tài)。任務3網絡版殺毒軟件的安裝與使用

活動3客戶端在工作組環(huán)境下的部署（5）完成獨立安裝包的制作，給出獨立安裝包所存放的位置。（6）制作用戶下載網站?？梢詫ⅹ毩惭b包setup.exe復制到網站目錄中，并制作殺毒軟件下載網頁，建立鏈接指向setup.exe，網站的制作這里就不詳述了，網站的訪問效果如圖。任務3網絡版殺毒軟件的安裝與使用

活動4客戶端在域環(huán)境下的部署【任務描述】小齊在公司里不斷磨練，水平也越來越高，公司的規(guī)模也越來越大，他發(fā)現(xiàn)在工作組的環(huán)境中對客戶端的管理非常困難，為了方便管理，小齊決定把工作組變?yōu)橛?。那么在域下卡巴斯基網絡版的客戶端如何部署呢？這個難題又擺在了小齊的面前。【任務分析】升級為DC（DomainController，域控制器）建立好域后，還要在域控制器上建立域用戶的賬號，用登錄腳本即可實現(xiàn)客戶端的部署。登錄腳本安裝，可以為登錄到域中的用戶部署程序。部署任務運行時，程序會修改起始腳本，從而指定的用戶能夠運行位于管理服務器共享文件夾中的安裝程序。若要成功運行任務，管理服務器或是運行腳本的賬號必須具有能夠修改域控數據庫中的起始腳本的權限。該類權限屬于域管理員，因此部署任務或是整個管理服務器必須使用域管理員的賬號進行啟動。當域用戶注冊到域時，其注冊的計算機將會嘗試安裝程序。任務3網絡版殺毒軟件的安裝與使用

活動4客戶端在域環(huán)境下的部署【環(huán)境說明】普通客戶端和文件服務器已經加入到了域中，并且在域控制上建立了兩個賬號test1和test2?！救蝿諏崙?zhàn)】步驟1連接到管理服務器。步驟2選擇控制臺樹中的“指定計算機的任務”選項后，選擇“創(chuàng)建一個新任務”

。步驟3定義任務名稱為“登錄腳本安裝”。任務3網絡版殺毒軟件的安裝與使用

活動4客戶端在域環(huán)境下的部署步驟4選擇任務類型為“程序部署”。步驟5選擇安裝包為。步驟6選擇部署類型為。步驟7選擇需要更改啟動腳本的用戶賬戶。

選中test1和test2。步驟8選擇“重新啟動”選項。任務3網絡版殺毒軟件的安裝與使用

活動4客戶端在域環(huán)境下的部署步驟9選擇運行任務的賬號。添加域控制器的administrator賬號及密碼。步驟10選擇計劃執(zhí)行時間為“立即”。步驟11使用test1賬號登錄WindowsXP系統(tǒng)，登錄后不久系統(tǒng)會彈出的窗口。任務3網絡版殺毒軟件的安裝與使用

活動5客戶端管理【任務描述】小齊已經完成了客戶端的安裝，那么如何管理呢？【任務分析】部署網絡防病毒系統(tǒng)的主要目的是便于實現(xiàn)對客戶端的統(tǒng)一管理，如軟件更新、指定掃描計劃、執(zhí)行病毒掃描與查殺等。與單機版最大的區(qū)別就是，網絡防病毒系統(tǒng)所有的管理操作都可以由管理員在管理工具上完成，而客戶端無需做任何操作，不影響客戶端的工作。任務3網絡版殺毒軟件的安裝與使用

活動5客戶端管理【任務實戰(zhàn)】步驟1更新病毒庫。（1）制定管理工具的更新任務