|
|
|
网络安全中谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
4 b7 J4 w+ {: }# k6 w. t q (1) 被他人盗取密码;
' d1 M# O% C+ L8 E9 k9 n6 b (2) 系统被木马攻击;
# n: j8 o! B4 U# p (3) 浏览网页时被恶意的java scrpit程序攻击;
/ H4 G* j* A6 A: V2 I( x (4) QQ被攻击或泄漏信息; ( V3 I; X- U# t, c: C" I5 f
(5) 病毒感染; / @0 T4 d8 T2 B, r( c" U
(6) 系统存在漏洞使他人攻击自己。
( M' n6 o, w# e (7) 黑客的恶意攻击。 X, U# |. Q2 i, P ~3 a" E
下面我们就来看看通过什么样的手段来更有效的防范攻击。
. a! m) w! ^# c I! S, ] 1.察看本地共享资源 2 a7 }+ |% c; B: X8 A
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
0 h/ `- }& K: l. d# O3 E2 r& X5 _ 2.删除共享(每次输入一个) 0 _" w1 E& k( L
net share admin$ /delete . |2 ^2 r k1 j
net share c$ /delete
l# j/ q- J8 ~" J4 f) ? net share d$ /delete(如果有e,f,……可以继续删除)
8 A3 P5 {4 Z: A 3.删除ipc$空连接 7 J% E) g1 m) t9 `; t
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
/ Y3 R9 z% x1 q 4.关闭自己的139端口,Ipc和RPC漏洞存在于此
/ H3 y! o! }/ N: t( K( s; {9 l 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
9 L# v# y' z4 ?- H 5.防止Rpc漏洞 2 W. T* B' D" V
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 7 C G1 O/ l A1 I$ B4 _
Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。
2 {8 P: N' ^& ]9 F, S& U7 s 6.445端口的关闭
4 y% g) t$ y2 y: i$ k( K: @ 修改注册表,添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。 # F4 M2 o5 L) O" R5 w l
7.3389的关闭
3 M) J( `9 b8 c WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
6 f7 v: d. @5 f: y Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
; s8 D! F3 `$ }# c0 i, }* m5 B5 z e 使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
, U( _1 H; C% K3 Q; j5 G) _% F; J 8.4899的防范 : M3 ~ J5 O) O
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
2 E9 u5 X) F) |7 S 4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
8 x9 J- n1 Y0 ^/ f* X" p 所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
- e6 V% n& I2 ]5 j/ ~( s; ^# {) D1 b2007-10-12 10:50:41 回复此发言 * }: A0 m- T( A+ Z; J0 s% D
2 回复:17高招打造一道超级电脑防火墙 6 U. R r' s1 e C9 C- l1 c4 t
QQJT501 9、禁用服务
7 Q- B5 [4 [/ [. P9 I& o 打开控制面板,进入管理工具——服务,关闭以下服务:
9 r# I3 a) i( t j 1.Alerter[通知选定的用户和计算机管理警报] + f( D' {3 ?, A) g6 F5 I
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
! _1 @8 \' p8 B; A+ i W 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无
9 q$ ]* N* R' Y- O7 Z9 c4 U 法访问共享
& }: n/ S1 W# ~1 v9 w" N ` 4.Distributed Link Tracking Server[适用局域网分布式链接]
* ?: A# u; Q- E g 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
$ S2 C: t* g, }$ Z 6.IMAPI CD-Burning COM Service[管理 CD 录制]
* A4 A; W: k/ d% s! c: ? j3 p 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 5 D( p" E8 B# i0 t( Y L% T
8.Kerberos Key Distribution Center[授权协议登录网络]
7 X1 M6 x" G/ \9 t$ B 9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
# X9 z. U ?: w# q 10.Messenger[警报] , e0 q; i/ y$ L( @" X
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
" E7 E; Q* K w. e- G5 b 12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
( d3 ^) n+ L+ d b8 q0 S. M 13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] 2 S' R9 d7 B1 p; O$ g
14.Print Spooler[打印机服务,没有打印机就禁止吧] $ d! u8 `( t+ R, o9 x
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
5 k9 g, w$ d% u8 P) J 16.Remote Registry[使远程计算机用户修改本地注册表]
7 K( u0 ?3 k* m! _4 i. R 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 8 r6 [9 d2 U1 |) i: H
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
/ b3 C5 [2 L8 g+ P4 G 19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] " A: e* n8 H6 Y# v$ m% c) N
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支 * U& Z8 t+ i: P1 m- R0 a# L% F
持而使用户能够共享文件 、打印和登录到网络]
@( A" R) V9 q6 W5 k. A8 L 21.Telnet[允许远程用户登录到此计算机并运行程序] 9 ?: G/ C0 u$ ~# U
22.Terminal Services[允许用户以交互方式连接到远程计算机]
. j( I/ [" @" D8 P9 A- O( E7 a 23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
8 m( y& v3 O+ Q$ o, r1 j 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
( x9 t6 Y4 z0 W4 s1 r6 Z# Y% n 10、账号密码的安全原则
; f& X* r4 {: U, U$ W5 y& T 首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。
) d: a; @0 Z7 h! {1 G 如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。
9 e6 u9 y/ ~( M. @* d 打开管理工具—本地安全设置—密码策略: + f: A6 F4 l/ i7 h5 K+ j' w. n
1.密码必须符合复杂要求性.启用 0 h0 a, M8 n b D
2.密码最小值.我设置的是8 ; F# H' y, p+ n" G6 ^; H1 }
3.密码最长使用期限.我是默认设置42天
q: S8 @; v; N9 K4 `" o 4.密码最短使用期限0天
% H- s- U N) r* e7 ~ 5.强制密码历史 记住0个密码 $ Q. C% Q+ ?& W: C- X1 y D- C, I: J7 k
6.用可还原的加密来存储密码 禁用 9 r6 Y8 |; K X& X% m. h
11、本地策略
, U6 R Z" }5 D, ~. ~% Y 这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
9 E3 `# s4 `9 O (虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
0 d/ P; K0 [& z) C0 a 打开管理工具,找到本地安全设置—本地策略—审核策略:
, l" d3 w+ r7 y1 v: D 1.审核策略更改 成功失败 * T& `; M- r9 H- {! C# z( ~: V
2.审核登陆事件 成功失败 , Y9 Y% v& [; J8 a
3.审核对象访问 失败
9 m% M7 a5 J8 I) `$ U 4.审核跟踪过程 无审核 3 ]% K D9 F. A) o) Z% K% f7 G8 F# X. d
5.审核目录服务访问 失败 # x( G; w; T8 T9 v
6.审核特权使用 失败 $ d) d1 ]" ^- n3 f# G
7.审核系统事件 成功失败
0 v8 y2 B- g! E: d 8.审核帐户登陆时间 成功失败 * z' L, e+ `) d8 l- @# H0 s |
9.审核帐户管理 成功失败
% ?' m9 l! v+ V5 V' Z( K &nb sp;然后再到管理工具找到事件查看器: + z! c# T1 u7 g% ?# n% U; b; `
应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。
( r5 G. M/ l6 l* I3 \% w+ Y 安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。
& ^! ]2 \" ` Y V; q 系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。
2 y0 [: U. A/ Q2007-10-12 10:51:14 回复此发言
& ^+ k+ v7 Q: Q6 R# k3 o4 h. C6 n. [9 t3 Q 3 回复:17高招打造一道超级电脑防火墙 ) h7 r& [( e7 i2 O. ?) a
QQJT501 12、本地安全策略
! F$ H2 t5 B2 D; p1 }) |/ @ 打开管理工具,找到本地安全设置—本地策略—安全选项:
, q* X9 ^8 h6 `9 |' P. J" P9 B) i 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
- B7 B! T, ` @9 P6 k% x 陆的]。 8 a7 [4 g+ S. r0 V
2.网络访问.不允许SAM帐户的匿名枚举 启用。 , m: r/ D0 S" k+ n
3.网络访问.可匿名的共享 将后面的值删除。 ' `- s0 Q: k- s: ]! A' X2 ?
4.网络访问.可匿名的命名管道 将后面的值删除。
8 t: J' `1 x6 S 5.网络访问.可远程访问的注册表路径 将后面的值删除。
g. s. X4 h; S. G 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
9 M% `, V7 d* g# u 7.网络访问.限制匿名访问命名管道和共享。 # f6 q; ^! Y$ z( W, P6 d( U
8.帐户.(前面已经详细讲过拉 )。 : h0 X c: O+ I
13、用户权限分配策略
9 }# ] p# o. N4 r5 g 打开管理工具,找到本地安全设置—本地策略—用户权限分配:
) r; l+ {+ I% B4 |' M" L6 H- { 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 # M' \) X# @* C" Y4 o8 J0 r
于自己的ID。
% S z5 w" f& x* F2 K: G 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 ' m* |9 R2 S- }( l
3.拒绝从网络访问这台计算机 将ID删除。 5 E# z8 \! ]4 {
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
9 F- D& N' [1 ]+ L/ [, @: D) W 5.通过远端强制关机。删掉。 B1 O# l" W9 x0 N6 l
14、终端服务配置
, V: \& E- B% F1 E3 A, R' D7 Q 打开管理工具,终端服务配置: : b* [+ O0 t" o% { N+ C/ L8 p4 V
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。 ; Z K1 P! x z) C2 k ^4 ]
2.常规,加密级别,高,在使用标准Windows验证上点√! - ~& g: w. O: f$ ^( G
3.网卡,将最多连接数上设置为0。
/ D0 h- B n! B" c 4.高级,将里面的权限也删除。 7 ~! }6 k5 V e% ?% A+ [8 @
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。
' X7 O" X0 Z- s+ N 15、用户和组策略
; d$ O* K F! s 打开管理工具,计算机管理—本地用户和组—用户: 7 y* z+ y! [/ ~) ^" \. Z
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 * D! }- p: a8 q4 G. l) I3 D
计算机管理—本地用户和组—组,组.我们就不分组了。 " B& n3 ^- Z Z: t3 s
2007-10-12 10:51:33 回复此发言
; `6 ?/ Z. S# h: B3 N 4 回复:17高招打造一道超级电脑防火墙 & w$ \! c# V' L& B9 m' C
QQJT501 12、本地安全策略 # @9 G, p$ r6 R+ g& L, F/ ~
打开管理工具,找到本地安全设置—本地策略—安全选项: , S& \" `& S+ Z1 u1 }: Y
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
4 d: T: \. ]: d 陆的]。 ( F: M+ X* |* D! z t; B+ t
2.网络访问.不允许SAM帐户的匿名枚举 启用。 * a x z; g2 u9 r A$ T
3.网络访问.可匿名的共享 将后面的值删除。 0 A2 \$ w! A. g2 @& u8 X! o% e
4.网络访问.可匿名的命名管道 将后面的值删除。
' r& g( e% I- F& y) o 5.网络访问.可远程访问的注册表路径 将后面的值删除。
: }7 H2 e$ C. a, `3 H 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 ! d1 L% E# [1 n& W" \
7.网络访问.限制匿名访问命名管道和共享。
( T ?0 s7 ?1 a 8.帐户.(前面已经详细讲过拉 )。
. p2 ^, v& k5 y: ~4 n0 g 13、用户权限分配策略
9 Z/ O2 n" k+ d" C: V 打开管理工具,找到本地安全设置—本地策略—用户权限分配: 5 N0 ]6 o$ }- c. w" C) u
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 7 Z7 s! X* t! m$ T2 z4 M: s
于自己的ID。 : [* W# G7 E2 V% k" V7 {
2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 ( {$ g, b; _: y4 Y9 }$ E9 }
3.拒绝从网络访问这台计算机 将ID删除。 - P; Z1 v: A- P
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。 ) P+ h2 d p5 B
5.通过远端强制关机。删掉。
$ t7 H% m% _ Q$ E& ~0 ] 14、终端服务配置 , t' q! u5 V# s% P/ e' t
打开管理工具,终端服务配置: 1 A7 s( ]0 A6 \" F! g* S
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
5 A$ n0 j5 w/ N- @7 A0 Z 2.常规,加密级别,高,在使用标准Windows验证上点√!
0 W2 P" |& y. T 3.网卡,将最多连接数上设置为0。 5 z! ?, ]" u% e8 G2 c! S& Q
4.高级,将里面的权限也删除。 ; t: f- R7 W* l
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。
- A& v- Y* P7 ^" h 15、用户和组策略 + L6 _% \1 Y. L1 G# M
打开管理工具,计算机管理—本地用户和组—用户: $ i- z4 l- l/ @ v: |
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
) l- t7 {- |; { 计算机管理—本地用户和组—组,组.我们就不分组了。 9 W5 l1 u- `. ?* ]0 S
VISTA的就不要尝试了
1 a. @' u/ I9 ~7 d, O8 N5 M( K. D1 p2 x
|
|
雷达卡
发表于 2007-10-17 11:20:43
提升卡
抢沙发
发表于 2007-10-17 12:30:11