|
|
|
网络安全中谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
$ Q9 R8 m9 X3 L8 i! j$ D# f (1) 被他人盗取密码; + e) _9 X4 ]' t) L8 a! f0 k8 T
(2) 系统被木马攻击;
+ B1 u5 X: m4 ]) \ (3) 浏览网页时被恶意的java scrpit程序攻击; - m9 n% R) f* }7 F7 w
(4) QQ被攻击或泄漏信息;
+ ]: N% C R) f (5) 病毒感染;
6 {6 [6 `5 v1 A4 w% S3 \ (6) 系统存在漏洞使他人攻击自己。
5 Y- \$ D/ R. M) G; r+ w+ @5 Z1 u7 k (7) 黑客的恶意攻击。 - {4 z5 F) B7 v4 a4 e7 S
下面我们就来看看通过什么样的手段来更有效的防范攻击。 6 T% @7 g" ^0 K& L0 n2 i4 N9 `; e& m
1.察看本地共享资源 ) h0 n1 x9 k1 I
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
' y# w3 P% o2 {8 f; b. a' w 2.删除共享(每次输入一个)
% M# A+ A( |7 i8 c net share admin$ /delete
% w% C. ]5 o6 E" c net share c$ /delete
" R' ]" |% w( L net share d$ /delete(如果有e,f,……可以继续删除)
6 g4 c* J* b* `3 G. x( m 3.删除ipc$空连接 * j0 ~5 A: Q. B' A
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 2 T- t& [& f3 V$ D* I
4.关闭自己的139端口,Ipc和RPC漏洞存在于此
! S9 P. Q& w: N* S/ z 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
& A+ u. \9 i; `; c9 H" m" T 5.防止Rpc漏洞 , h3 @) g6 G7 \8 e
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
$ U4 z( u! g; K; M0 V+ K Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。 3 e3 a! D( ]( ^) ~' U; d1 m
6.445端口的关闭
. r$ [ e5 S/ U- @% x2 W 修改注册表,添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
) T; b0 @) k, s$ }6 Q/ A; O! p4 a 7.3389的关闭
3 j% L/ t. ` V: ? WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
0 j' p) Q9 w; { Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
7 I/ _( X4 a8 ?* z, }% D# H 使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 0 ]7 ]! v# J2 N( a" A
8.4899的防范 6 m5 @. P4 A- P* [; T" E) J! W
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
1 \& o9 S# ?% p 4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 ! f* v4 x9 F$ b; [
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
$ a1 Z2 q1 U/ Y3 }! K- k6 Y2007-10-12 10:50:41 回复此发言
5 r4 {' [$ a& J: o& w( Y 2 回复:17高招打造一道超级电脑防火墙 $ y8 E/ ^ |( k! K0 i! F) [: A8 U0 {
QQJT501 9、禁用服务
' B: G2 u8 B* \) y2 ` 打开控制面板,进入管理工具——服务,关闭以下服务:
* Z2 k! _( r7 f; w# B 1.Alerter[通知选定的用户和计算机管理警报] ' F x$ v7 L- R, V( z
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
0 j) q F0 w1 L7 s7 n* b 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无 ) M3 i6 Q, d" z Y; J' H7 G
法访问共享 ) B5 M% P% ?: `
4.Distributed Link Tracking Server[适用局域网分布式链接]
9 B# F& | d! ^+ Q" K 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 1 k. Y4 @3 f* y* P7 x9 z2 v2 y2 Z
6.IMAPI CD-Burning COM Service[管理 CD 录制]
# d' t) ~" [6 T2 q1 [1 g3 c 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 9 x" T' x r% q
8.Kerberos Key Distribution Center[授权协议登录网络] ; x' v! h& \# p
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
6 }6 H7 [$ z6 M$ p9 u& J% I 10.Messenger[警报]
( I2 ^8 O7 _ B7 u: z 11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] 6 K4 b/ x2 X# y, C; Y
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] & s1 U" y7 @% z$ H. a
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] 8 z3 Z9 T, x& {& u w( {
14.Print Spooler[打印机服务,没有打印机就禁止吧]
9 d, w: R8 p' J6 r! ` 15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
8 g7 ?/ K; Y2 O' D9 V+ L) d 16.Remote Registry[使远程计算机用户修改本地注册表]
: y% L* _& U! t, M/ z# Y- x4 K& G0 u4 ^ 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
) i% a( q. U; D2 J$ N$ S8 x8 f: j 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] # g* N2 J. p m
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] , C4 g# G$ L1 E1 y; u2 t) U6 j
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支 7 }: H- E u# Z* d
持而使用户能够共享文件 、打印和登录到网络] 9 @# P0 Z. P' w8 J$ q1 j
21.Telnet[允许远程用户登录到此计算机并运行程序]
. P1 b7 _9 `3 k9 h) b 22.Terminal Services[允许用户以交互方式连接到远程计算机]
1 o6 M h$ H* Z' D+ G& c. _ 23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] B7 u+ C8 Q) I4 O: z, I/ ]6 Y
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
/ J3 j0 c% k, H1 g 10、账号密码的安全原则
# N, ?. u5 q/ a$ T4 v 首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。
9 G; q, e. O5 o( ^# B5 U 如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。
; `) C c1 P9 r; g 打开管理工具—本地安全设置—密码策略: $ h0 f" M b: `" N6 ^
1.密码必须符合复杂要求性.启用
/ ?, \4 |/ S7 O2 {) ?1 C: m9 ]/ n9 @ 2.密码最小值.我设置的是8 ( A+ h% t8 Q3 f- h0 R- h
3.密码最长使用期限.我是默认设置42天
. L, q* Z% z. A( P5 W 4.密码最短使用期限0天
/ o( L; u9 B9 {$ F, S! } 5.强制密码历史 记住0个密码 # A# ~* B9 t% S/ o. t4 |
6.用可还原的加密来存储密码 禁用
' }3 P: w* B5 u w7 A 11、本地策略 - H/ I' u5 s' x& T- G$ e, x
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
( [% x- t9 _3 s (虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
2 R) H6 c0 E5 E/ x+ f& ?* U. w 打开管理工具,找到本地安全设置—本地策略—审核策略:
6 _3 T6 S/ z# t2 V0 I& D$ i 1.审核策略更改 成功失败
$ x1 ?0 Q6 h: O9 L0 L+ U4 j% S 2.审核登陆事件 成功失败 : y/ [, M7 n6 |) O7 E
3.审核对象访问 失败
: H7 d6 b" t+ ]* m 4.审核跟踪过程 无审核 , w" q, B' T8 J, v6 x
5.审核目录服务访问 失败
9 e: C O% d) z) O0 u 6.审核特权使用 失败 7 N9 C% T) ]+ l+ Y- p5 u9 V/ P
7.审核系统事件 成功失败
! P" [: a+ i/ b$ Y 8.审核帐户登陆时间 成功失败 * |% A3 d. A: q" o ]
9.审核帐户管理 成功失败
2 {! K0 c! W9 g9 ~/ H &nb sp;然后再到管理工具找到事件查看器: 8 F6 \" T$ ]) a) t2 {7 }1 T# r
应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。
/ K/ X+ y8 m3 } E# a' H5 p 安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。 7 U8 B$ [' E, r' k2 o
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。
2 c( w+ l; l9 {1 Y7 s2007-10-12 10:51:14 回复此发言
- G# Q1 Q+ [1 J' q: w% j 3 回复:17高招打造一道超级电脑防火墙 2 W9 d. G6 @; W
QQJT501 12、本地安全策略 & X1 ]% O; J& Q: L
打开管理工具,找到本地安全设置—本地策略—安全选项:
5 ]0 P4 w( x- C' {1 o# R 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登 3 E- C: _8 {5 j
陆的]。 " B. E( ]2 `: J8 Q1 U
2.网络访问.不允许SAM帐户的匿名枚举 启用。
- F' _: {, e, h# G+ D+ _ 3.网络访问.可匿名的共享 将后面的值删除。 7 B4 g$ }$ I6 b3 u; r
4.网络访问.可匿名的命名管道 将后面的值删除。 + y$ ~. R7 l/ b& s
5.网络访问.可远程访问的注册表路径 将后面的值删除。
! Z- Y' p. i1 \/ O6 ~0 W0 e1 W 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 0 n# H) ?5 i" T# f S1 w
7.网络访问.限制匿名访问命名管道和共享。
2 l3 T9 s/ e0 k1 @) z Y5 p; V 8.帐户.(前面已经详细讲过拉 )。
3 C( T7 x- I3 x8 |) d3 O 13、用户权限分配策略
6 x M$ ]1 f( L8 [ 打开管理工具,找到本地安全设置—本地策略—用户权限分配: 4 G5 C0 Z" ~9 u* Z) i7 d
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 % B5 M8 K2 C) F2 Q
于自己的ID。 : b3 T' s+ m/ f7 o" X6 {
2.从远程系统强制关机,Admin帐户也删除,一个都不留 。
' X2 e# k( n3 c: x3 b' L8 @4 V8 ] 3.拒绝从网络访问这台计算机 将ID删除。
& h( a* M/ ~' u2 h% ?4 l" L 4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。 # G! d6 c1 V9 \
5.通过远端强制关机。删掉。 + ?4 `! ?. d4 L J: h
14、终端服务配置
# v% M( Y8 r! N 打开管理工具,终端服务配置:
/ J% Y) _- e# ?) c. o# `$ m 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。 7 v. d- n( }/ I. J9 f
2.常规,加密级别,高,在使用标准Windows验证上点√! 6 l o" P) u6 R) Z f9 V5 D. \, f
3.网卡,将最多连接数上设置为0。 & |! ~( H* t" {8 G
4.高级,将里面的权限也删除。 6 p6 L0 O# L m* X8 x$ T# w
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。
* G' c: L- r* M# r- N 15、用户和组策略 $ \* @! a9 `8 ?9 j9 d6 X# M
打开管理工具,计算机管理—本地用户和组—用户:
3 T4 D# `5 R* |& o 删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
! k& o' p) s. p 计算机管理—本地用户和组—组,组.我们就不分组了。 ' M6 ?0 {8 w- r/ Y+ o
2007-10-12 10:51:33 回复此发言
6 J! X+ S" T" n1 D. ?, D) T. P8 G 4 回复:17高招打造一道超级电脑防火墙 - m* O( T4 V! ~% [) l
QQJT501 12、本地安全策略 4 T7 Q( l. M1 |& f$ H
打开管理工具,找到本地安全设置—本地策略—安全选项: / y( ` {! r4 n! w& m$ n7 P4 O9 s
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登 ; k: [- `- ]/ H( a9 ?. \6 Y* f/ q
陆的]。
( |) }% q( [2 J& p/ X2 p M a 2.网络访问.不允许SAM帐户的匿名枚举 启用。 2 E8 O+ i6 k" y4 b, I4 B
3.网络访问.可匿名的共享 将后面的值删除。 : R$ u% S+ ?( T( [# K
4.网络访问.可匿名的命名管道 将后面的值删除。
8 |/ W4 i" W) o, L 5.网络访问.可远程访问的注册表路径 将后面的值删除。 - G: U5 Z7 j0 \# K3 ^8 l. R
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 5 i4 n! ]# g" a. F! }
7.网络访问.限制匿名访问命名管道和共享。
) q; p8 N6 l4 V3 ~ 8.帐户.(前面已经详细讲过拉 )。
6 I1 ]9 [6 Q1 j& _ 13、用户权限分配策略 2 r0 p$ L& x: e @: A, n
打开管理工具,找到本地安全设置—本地策略—用户权限分配:
; E7 Z5 |7 I8 z1 i1 f9 {. |) A$ R3 k 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 9 L# m0 b1 I) ]; B. B& T
于自己的ID。
; H, N/ O0 I) q7 J 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 ; s3 |1 ^/ R2 Q, v, C5 ~% k8 S
3.拒绝从网络访问这台计算机 将ID删除。 # ]: s7 n* s3 o# F1 g
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
" G7 g# r3 ]9 N9 |* A% x5 R 5.通过远端强制关机。删掉。
, W! {6 D# C7 e" }, D8 t& ^ 14、终端服务配置
4 [0 I0 } w' h% l 打开管理工具,终端服务配置:
9 [$ l( G3 ]; p4 H( ` 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。 6 _% B( [6 z) ~4 b, I6 u
2.常规,加密级别,高,在使用标准Windows验证上点√! % \' L' F) {/ c8 ?" j! d! A
3.网卡,将最多连接数上设置为0。 3 ^* v4 S6 C. v4 s
4.高级,将里面的权限也删除。 . v% ]6 z; z# O2 ^) |3 R
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。 " ]! v+ j/ F' X1 E3 T
15、用户和组策略
: H6 X, @! w2 B) }, E4 [6 E 打开管理工具,计算机管理—本地用户和组—用户: # |# F9 o$ U% W/ g8 z
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 7 ` N1 I/ F$ I. r, G
计算机管理—本地用户和组—组,组.我们就不分组了。 5 }0 N# H8 t4 A" k2 r" l$ L4 |
VISTA的就不要尝试了
" h4 G% f( B9 K+ L4 O# @; y6 s' d+ [# Q
|
|
雷达卡
发表于 2007-10-17 11:20:43
提升卡
抢沙发
发表于 2007-10-17 12:30:11