为减少新入网用户的计算机可能带来的风险, 全面保办公室计算机网络的安全,特对办公室新入网用户的计算机做安全检查。
第二章 范围
第二条 新入网用户包括
- 来宾、访客;
- 外来参会人员;
- 临时项目人员;
- 实习人员;
- 新入职员工;
- 出差归来员工。
第三章 管理细则
第三条 对新入网用户的计算机检查的主要项目包括:
- 检查系统关键补丁
- 检查恶意插件与木马检查异常进程
- 检查启动项
- 检查关键目录点
- 检查防病毒软件与病毒库状态
第四条 检查系统关键补丁
关键补丁检查主要检测系统是否开启了“自动更新补丁” 选项,如果目标系统未及时安装补丁,可能随时导致系统漏洞被恶意程序利用,最终导致恶意程序在局域网内传播,干扰正常用户。
第五条 检查恶意插件与木马
使用 XXXX 对系统进行完整的恶意插件与流行木马检查。在检查前首先对 XXXX 的特征库进行升级, 确保启用了最新的特征库。对检测出的恶意插件与木马进行完整清除,某些无法直接清除的恶意插件与木马在强制清除后重新启动计算机,再进行完整扫描,再次验证检测到的恶意程序均已清除。
第六条 检查异常进程
1、无厂商标识的进程
一般常规性的进程都会有厂商标识,如 Microsoft、Tencent、Thunder 等,对于进程列表里没有标出厂商名称的需要留意检查,结合进程名称、进程的运行路径进行关联比对,确定进程的合法性。
2、非常规命名的进程
通常合法程序的进程命名都具有一定的代表性和规律 性,而当前有很多的恶意程序进程名称是动态产生的,特别是纯数字式的进程名称。通常这类进程是由下载者木马从服务器上下载各种盗号木马后,动态生成的数字名称,或者恶意程序将自己复制多份后加载在内存中运行,产生了多个结尾以数字排列的进程名称。
3、占用系统资源比较大的进程
普通在后台运行的进程占用 CPU 的资源不会过大,正常情况下总的 CPU 资源占用率在个位数,若某个进程持续占用了 30以上甚至 100 的 CPU 资源,那么这个进程的可疑性就相当大。通常蠕虫类病毒在自我复制,向外探测并传播时, 会出现此类症状,因此需要检查这类进程的合法性。
4、伪装系统进程的进程
现在恶意程序越来越多的会隐藏自己的进程,其中一种手段就是制造类似名称伪装系统进程,如 svch0st.exe、iexpl0rer,通常是恶意程序伪装的进程,需要将该进程结束运行,并找出对应的运行路径删除文件,然后在注册表中查找相应的键值并删除。
5、检查启动项
所有恶意程序、病毒、木马的运行必定会以启动项作为载体来自我运行,因此启动项的检查是至关重要的一项,需要检查的项目:
- 是否为系统必须的启动项
- 是否为第三方应用软件所需的启动项
- 检查是否存在伪装或非常规的启动项
- 检查可疑的自动启动服务
6、关键目录检查
通常系统目录是病毒、木马常驻的地方,因此需要检查此目录内最近时间内建立的文件是否有可疑的文件,特别是最近创建的隐藏文件。
7、检查方式
打开所有隐藏文件/文件夹显示,包括系统级隐藏; 可借助 Winrar 对磁盘的关键目录进行浏览,可避免恶意程序对隐藏设置功能的屏蔽。
8、检查目录
- Windows 目录可疑文件
- System32 目录可疑文件
- 磁盘根目录 Autorun 及可疑文件
- 防病毒软件检查
9、首先要检查入网计算机是否安装杀毒软件,然后检查杀毒软件功能的可用性,病毒库的更新状态,如果发现以下情况之一的一律更新杀毒软件,统一安装办公室规定的防护软件:
- 使用盗版的杀毒软件
- 杀毒软件基本防御功能不完整或有缺损
- 无法更新病毒库
- 注册版即将到期的杀毒软件