设备入网安全检查办法，入网检查清单

为减少新入网用户的计算机可能带来的风险，全面保办公室计算机网络的安全，特对办公室新入网用户的计算机做安全检查。

第二章范围

第二条新入网用户包括

第三章管理细则

第三条对新入网用户的计算机检查的主要项目包括：

第四条检查系统关键补丁

关键补丁检查主要检测系统是否开启了“自动更新补丁” 选项，如果目标系统未及时安装补丁，可能随时导致系统漏洞被恶意程序利用，最终导致恶意程序在局域网内传播，干扰正常用户。

第五条检查恶意插件与木马

使用 XXXX 对系统进行完整的恶意插件与流行木马检查。在检查前首先对 XXXX 的特征库进行升级，确保启用了最新的特征库。对检测出的恶意插件与木马进行完整清除，某些无法直接清除的恶意插件与木马在强制清除后重新启动计算机，再进行完整扫描，再次验证检测到的恶意程序均已清除。

第六条检查异常进程

1、无厂商标识的进程

一般常规性的进程都会有厂商标识，如 Microsoft、Tencent、Thunder 等，对于进程列表里没有标出厂商名称的需要留意检查，结合进程名称、进程的运行路径进行关联比对，确定进程的合法性。

2、非常规命名的进程

通常合法程序的进程命名都具有一定的代表性和规律性，而当前有很多的恶意程序进程名称是动态产生的，特别是纯数字式的进程名称。通常这类进程是由下载者木马从服务器上下载各种盗号木马后，动态生成的数字名称，或者恶意程序将自己复制多份后加载在内存中运行，产生了多个结尾以数字排列的进程名称。

3、占用系统资源比较大的进程

普通在后台运行的进程占用 CPU 的资源不会过大，正常情况下总的 CPU 资源占用率在个位数，若某个进程持续占用了 30以上甚至 100 的 CPU 资源，那么这个进程的可疑性就相当大。通常蠕虫类病毒在自我复制，向外探测并传播时，会出现此类症状，因此需要检查这类进程的合法性。

4、伪装系统进程的进程

现在恶意程序越来越多的会隐藏自己的进程，其中一种手段就是制造类似名称伪装系统进程，如 svch0st.exe、iexpl0rer，通常是恶意程序伪装的进程，需要将该进程结束运行，并找出对应的运行路径删除文件，然后在注册表中查找相应的键值并删除。

5、检查启动项

所有恶意程序、病毒、木马的运行必定会以启动项作为载体来自我运行，因此启动项的检查是至关重要的一项，需要检查的项目：

6、关键目录检查

通常系统目录是病毒、木马常驻的地方，因此需要检查此目录内最近时间内建立的文件是否有可疑的文件，特别是最近创建的隐藏文件。

7、检查方式

打开所有隐藏文件/文件夹显示，包括系统级隐藏；可借助 Winrar 对磁盘的关键目录进行浏览，可避免恶意程序对隐藏设置功能的屏蔽。

8、检查目录

9、首先要检查入网计算机是否安装杀毒软件，然后检查杀毒软件功能的可用性，病毒库的更新状态，如果发现以下情况之一的一律更新杀毒软件，统一安装办公室规定的防护软件：