Microsoft 安全工具包：
安全受到威胁的系统

安全工具包中提供的软件、工具和信息可以用来安装并配置最新的 Windows 系统。配置系统的目的是为了使系统减少来自已知方法攻击的影响或那些未知的利用相似的弱点进行攻击的影响。但是，一些用户仍然存有疑问或顾虑。因为，他们的系统曾经受到或刚刚受到“红色代码 (Code Red)”、“尼姆达 (Nimda)”以及其他的可能带有恶意的敌意软件的攻击。

本页向您提供了下面四个问题的基本答案：

• 怎样知道是否病毒软件已经成功攻击了系统？
  
• 如果系统已经遭受敌意软件的攻击，我该怎么办？
  
• 怎样才能知道是否网络已经受到威胁？
  
• 怎样安全的重新安装软件？
  

我已经受到攻击了吗？

检测系统是否受到了攻击的最基本的方法是使用最新的病毒扫描软件进行扫描。扫描程序将检测系统是否存在敌意软件的活动迹象，例如是否有新的或被更改的文件、警告性数据库项以及（某些情况下）被更改的权限。尽管没有哪个扫描程序能对敌意软件进行完美的检测，但防病毒软件产品提供商用他们的名誉担保能在检测敌意软件的影响方面进行有效的工作。

当然，如果您注意到系统中发生了您不能确定的变化，例如产生了新的可执行文件、权限被更改或共享突然打开，则最好进行进一步的深入检测工作（即使防病毒软件最终并没有检测到病毒感染文件）。其他的病毒感染症状可能为：没有打开程序，处理器使用率却很高；网络状态不变；用户界面异常。

已经通过由 ICSA Labs 管理的认证程序的防病毒扫描程序清单可以从他们的网站获得。所有的防病毒产品都依赖签名文件来检测最新发现的敌意软件。拥有并运行防病毒软件是非常重要的，但经常更新防病毒签名（通常是在提供商的网站上进行）也同样重要。

除了运行防病毒软件，您还要查看由 CERT 协调中心发布的关于敌意软件和其他 Internet 混乱事件的信息。“CERT 协调中心”由美国政府投资，目的在于对 Internet 安全事件作出反应并向 Internet 用户提供及时的建议。

最后，一些敌意软件可以更改系统使防病毒软件无法进行检测或正式警告无法覆盖。因此，警惕系统中出现的新文件、文件或共享权限的更改以及新产生的用户帐户也是非常重要的。通常，对系统的所有意外更改都进行调查是一个很好的方法。CERT 协调中心关于恢复遭到攻击系统的指南发表在 CERT 协调中心网站，并提供了如何检测所受攻击产生的影响等其他信息。

如果已受攻击，我该如何处理？

如果您知道系统确实已遭受敌意软件的攻击，您可以将受攻击软件删除或者从已知的良好副本（提供商提供的媒介和备份）中重新安装。某些防病毒产品提供了选项来通过检测和删除敌意软件对系统的更改来“清除”它们的影响。另外，某些工具已经能够彻底清除或删除一些广泛传播的敌意软件的影响。

尽管防病毒产品能够有效的清除敌意软件的影响，但仍然需要注意一些问题：

• 一些敌意软件非常复杂，防病毒工具可能无法恢复和清除该软件攻击后的所有更改和影响。
• 一些敌意软件（例如“红色代码”和“尼姆达”蠕虫）能暴露受影响的系统以完成攻击。这样，任何人都可以利用网络访问该系统并取得对该系统的完全控制，并可以对其进行任意更改。所以，即使防病毒产品已经确实清除了敌意软件的直接影响，但它仍然不能检测或修复这些额外更改。
• 尽管防病毒软件提供商已经发行了用于检测并清除病毒的最新签名，但在能够下载新的签名之前仍需要几个小时的时间。因为敌意软件的复杂性和多重影响，在防病毒软件提供商对敌意程序进行详尽调查并发行能够彻底清除该病毒影响的签名之前需要一段时间。

要解决所有这些问题，重新格式化系统驱动器并重新安装已知的良好副本无疑是个很好的办法。CERT 协调中心关于恢复遭受攻击系统的指南，发表在 CERT 协调中心，并建议如下选择。

如果所受攻击对系统影响严重但系统数据损失并不大，或者如果系统位于受限环境中并且不太可能已遭受其他入侵，则清理系统可是正确的选择。但是，删除系统并重新安装软件和数据是较为保守的一种方法。

怎样才能知道是否网络已经受到威胁？

如果在网络上运行入侵检测软件包，那么该检测软件包应该可以检测到由敌意软件（例如“红色代码”和“尼姆达”蠕虫）产生的通讯信息。如果没有入侵检测软件包，您应该根据网络上单个机器的状态进行处理。如果其中任意一台检测到已经受到敌意软件侵袭，那么该计算机有可能将继续袭击网络上的其他机器。只有移除或重新安装所有受侵袭的机器并加强系统安全以对付将来可能出现的敌意侵袭，您才能够确认网络已经安全。

怎样安全的重新安装软件？

CERT 协调中心文档简要地讨论了从受信媒体和利用安全方式重新安装软件和数据的必要性。进行指定的重新安装依赖于您所特定的环境、软件和网络配置，下面是一些常规指导。

1. 考虑系统在重新安装过程中可能再次被感染。如果安装过程允许未修补的或不安全系统在网络上操作，或者如果网络上的敌意软件在重新安装过程中可以入侵，则上面的情况就会发生。

2. 一种安全的方法是在系统从网络断开时安装软件（包括操作系统和应用服务包及安全补丁）。可以通过使用原始操作系统 CD （和 Windows NT 4.0 Option Pack，如果必要）加上 Microsoft 安全工具包 CD 执行安装。该工具包包括在计算机重新加入网络之前将系统置于安全（锁定）配置的工具。

3. 您可能发现只能从网络位置获得所需的安全更新。在这种情况下，在下载并安装了更新之前应尽量避免暴露于网络之中。在没有连到网络时，应总是执行操作系统的基本安装。但是，如果必须加入网络以获得其他更新，则连接到网络之前应采取的预防措施如下：

• 禁用系统上的所有文件共享
• 不要使用此系统阅读电子邮件
• 仅使用浏览器下载补丁程序，避免不必要的浏览操作
• 禁用 Internet Information Services 和所有其他不必要的服务
• 如果此计算机不需要任何 Internet Information Services，请考虑完全删除 IIS
• 当适当的服务包和其他升级已经得到应用以后再重新启用 IIS 和其他服务。

©2001 Microsoft Corporation. 保留所有权利。