|
|
|
网络安全中谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
8 z% r$ Y1 R2 L) N& s, V$ b (1) 被他人盗取密码; ! A. G4 _' w5 v i
(2) 系统被木马攻击;
b8 V* Y' `" U1 X (3) 浏览网页时被恶意的java scrpit程序攻击; 1 d) U0 M ]- n- |! j
(4) QQ被攻击或泄漏信息; 2 p2 d) e+ {) k1 C
(5) 病毒感染; & }- b- K) z; ^# M
(6) 系统存在漏洞使他人攻击自己。 / A4 P* P$ B5 F! t6 D* R
(7) 黑客的恶意攻击。
7 e I5 O- B! T 下面我们就来看看通过什么样的手段来更有效的防范攻击。
1 E4 [! }) G* o! t9 Y$ ^ 1.察看本地共享资源 4 u6 A& W, a: R4 c, _) ]: \
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 $ m6 g8 k% z3 s2 o. G1 C
2.删除共享(每次输入一个) & K2 T4 [) p# V
net share admin$ /delete
+ @! q2 G: t/ |; B& N) Z4 Q% B net share c$ /delete / C1 b Q p" e
net share d$ /delete(如果有e,f,……可以继续删除) 7 I6 K! k8 d z* v+ D9 C
3.删除ipc$空连接
$ l" d2 C- v& [. Y0 ^2 r( E 在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 ( G- v2 M5 ?) n1 L u# H2 B
4.关闭自己的139端口,Ipc和RPC漏洞存在于此
% k! s1 e- V- L" I8 H& V 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
( @0 g' f' i. a" @" m 5.防止Rpc漏洞
5 d1 O) }1 E; ^# H; s8 U 打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
7 S. x* T# w. K+ \7 P8 o5 m7 J Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。
/ }0 Q! z6 S0 B5 S: z( {# e 6.445端口的关闭
) Y* N: r8 T( I3 Z4 Y 修改注册表,添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。 . T4 I! N1 a5 n% c
7.3389的关闭 & h/ ?" E* Z, u- q
WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 . J' f. A( n# @7 V( [- v
Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
( ?/ ^" i* s- i) Q 使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 ! q8 n6 ~6 \' n+ |+ k8 D) e! i, q+ v
8.4899的防范
4 B# g7 U1 `4 _ ?$ A5 ~ 网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
, R. ~8 t' Y# p" e8 \, U. `" Q# G6 o 4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 4 U( s1 w7 F' }/ Z3 G
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 $ \4 y4 B; z. j8 F: E4 k* z) x
2007-10-12 10:50:41 回复此发言
# L3 m0 n7 C+ t" z; b 2 回复:17高招打造一道超级电脑防火墙
: X2 b$ z2 E7 ~! E. XQQJT501 9、禁用服务
' S6 d! _' ^- ^! O5 e* O 打开控制面板,进入管理工具——服务,关闭以下服务:
" `8 g+ i ?, h/ M 1.Alerter[通知选定的用户和计算机管理警报]
5 }$ r9 K* ~' { h5 }; _ 2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
# `7 f8 ?! X. t* {: Y/ I! H7 V 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无 : w) ^7 L/ g- g
法访问共享
2 E% O2 H% U$ ~6 K1 F2 ], } 4.Distributed Link Tracking Server[适用局域网分布式链接] $ ~! b% J; Q5 e
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] ; [5 L2 v% ~' o5 t( w) E, O5 {
6.IMAPI CD-Burning COM Service[管理 CD 录制]
# h. K' @6 A" j& }- t/ m" I 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
5 b) \1 _! q' a, K- I" } 8.Kerberos Key Distribution Center[授权协议登录网络] ; y1 Z" ]+ e% J$ ~/ {3 \
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] : q2 ^4 \1 p8 f9 P8 r
10.Messenger[警报]
7 t0 g" e. k4 Y1 B 11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] / T1 k( `& s- c2 y, x
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 8 y" D1 D; ^' w- d( N6 c
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
/ \- T5 G- F4 K9 P( ]1 L! r! @ 14.Print Spooler[打印机服务,没有打印机就禁止吧] 8 @9 B( }% l+ k) W3 f; V0 E
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] 8 Q( u* i" F0 D! ?
16.Remote Registry[使远程计算机用户修改本地注册表] 6 f* L2 }! i' e, \6 V
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
1 H2 O6 c1 P% ?+ a* g9 k( l& T+ C1 }# q 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] * F$ ^8 L5 X2 ^8 g
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] " W7 Z4 c4 N" ]8 h
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
8 A. T9 X. L [ 持而使用户能够共享文件 、打印和登录到网络] $ p+ b0 ]' @' h8 \
21.Telnet[允许远程用户登录到此计算机并运行程序]
8 R0 x: O; G, R 22.Terminal Services[允许用户以交互方式连接到远程计算机] ) T0 f% o5 J5 a8 A) ]
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
a" m8 R& m- z& Y; v( g! [4 V 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 % A: ^/ i* l1 ?) s+ f
10、账号密码的安全原则
& V% I5 a6 j( A6 r7 b; V. { 首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。
! G7 e$ U0 N/ F" g/ }. L1 x- B' f1 }6 N 如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。 8 y! G8 V9 e' ^
打开管理工具—本地安全设置—密码策略:
* X3 |$ x* j1 g9 ~$ x! \ 1.密码必须符合复杂要求性.启用
- u# q. |4 r+ _& h2 n* y$ K! h; r 2.密码最小值.我设置的是8
1 e, \# a" J+ A- x 3.密码最长使用期限.我是默认设置42天 4 i: L+ {' M, F8 x5 T7 [
4.密码最短使用期限0天
) M/ o% s) [7 a \! f 5.强制密码历史 记住0个密码 * t- }4 q9 J; c9 r# H6 ~
6.用可还原的加密来存储密码 禁用
( S* l; k2 \! N/ r( U9 h. {6 K9 u 11、本地策略
, @8 `1 u, S5 F- T 这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 9 B3 w. s; t6 g; M, [: @5 K
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) ( g: p6 E) K8 T( s- N9 ]* h* e
打开管理工具,找到本地安全设置—本地策略—审核策略: & \ n; r+ t# n0 P
1.审核策略更改 成功失败 0 E9 A& R! |: P0 ?2 K7 q+ {
2.审核登陆事件 成功失败 6 g0 n5 N$ P: Y3 x, r/ G* {8 P Z
3.审核对象访问 失败
' N$ R& n, B4 i3 d% l. e7 U 4.审核跟踪过程 无审核
! u) F$ b o m* f 5.审核目录服务访问 失败 2 {% I. S: C+ b6 |. c* o
6.审核特权使用 失败 + r$ q* N, r; O, [6 k& j
7.审核系统事件 成功失败
: [' {+ y3 C7 s 8.审核帐户登陆时间 成功失败
! ~5 z2 `1 g* ?5 @9 v 9.审核帐户管理 成功失败 3 M. k; f/ h- F a- E' X' R
&nb sp;然后再到管理工具找到事件查看器: 4 ]' ~3 L' d% b. d q1 f- Q
应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。
6 [1 H+ G. C5 w" K5 l 安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。 / e( _7 T" t, \% J" J
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。 ( z: ?- W) }0 w
2007-10-12 10:51:14 回复此发言
+ ?+ S. \/ t- u6 |* ] 3 回复:17高招打造一道超级电脑防火墙 0 e2 Y4 i, g) `+ }
QQJT501 12、本地安全策略
2 b7 u" q R( {1 P. ?; g 打开管理工具,找到本地安全设置—本地策略—安全选项:
& m; Y( A0 |2 q+ j, R. K 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登 . c* T! s+ g8 Z: f5 c2 A2 C& s! d
陆的]。
$ P- h- { Z0 S 2.网络访问.不允许SAM帐户的匿名枚举 启用。 8 F4 f& P" l4 e- ~6 H
3.网络访问.可匿名的共享 将后面的值删除。 6 p4 ^* x: c: G, O7 a
4.网络访问.可匿名的命名管道 将后面的值删除。 6 T% U7 G3 y9 D' m4 j
5.网络访问.可远程访问的注册表路径 将后面的值删除。
- ?, Z# }0 B$ s* ]$ | 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
) s, w; a; j& ~# T# `- S 7.网络访问.限制匿名访问命名管道和共享。
! C/ \( \2 A' P* Y6 B 8.帐户.(前面已经详细讲过拉 )。 3 I) p- x( Q; O0 b9 m; h
13、用户权限分配策略 , N5 l4 x% N& B% {9 W
打开管理工具,找到本地安全设置—本地策略—用户权限分配:
- B# n& k8 d# a% t; s. k$ ^* M 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 ( s- A6 J* V9 F/ P
于自己的ID。
7 M( Y, d! `% b 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 ! I B2 \" o f9 {
3.拒绝从网络访问这台计算机 将ID删除。 2 X; d1 N, d% r2 C
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。 " ^7 A& ^, N3 F _$ R0 s. [% w
5.通过远端强制关机。删掉。
& o5 J7 f5 \+ G: Y1 b5 _ 14、终端服务配置
6 O2 B6 |$ M& e& Y6 c 打开管理工具,终端服务配置:
# J8 s( R4 C' G" z6 [ 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
3 ?* P( B, i' x4 W6 H 2.常规,加密级别,高,在使用标准Windows验证上点√!
}8 K. [/ k! }( _! F# ^% _ 3.网卡,将最多连接数上设置为0。
( S8 E9 H* ^- j) W1 z 4.高级,将里面的权限也删除。
! C/ V$ k' y" ^8 Y; P4 d0 j' E: ^7 d 再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。 w: M; ^) p8 y, {+ l! |% |2 J
15、用户和组策略 . [' H+ ^/ Z% V6 M
打开管理工具,计算机管理—本地用户和组—用户: 1 d v% o/ S+ j4 _
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 ( @0 j0 Q7 R2 i
计算机管理—本地用户和组—组,组.我们就不分组了。
4 I8 ^9 |6 V% T2007-10-12 10:51:33 回复此发言
6 y) V: P) U: @# h) _ 4 回复:17高招打造一道超级电脑防火墙 3 r, x, f3 Y2 U3 v6 h% g3 _9 x
QQJT501 12、本地安全策略
" ~! G" h- @$ O4 O. G$ T: M7 t/ f 打开管理工具,找到本地安全设置—本地策略—安全选项: . D+ I1 `: L1 a+ Q
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登 ! E. c! P: r/ E* ^: F
陆的]。 0 k! P, r+ b0 a3 S" r D$ P
2.网络访问.不允许SAM帐户的匿名枚举 启用。 * y' q- K) F8 b. ~7 [
3.网络访问.可匿名的共享 将后面的值删除。
N2 c+ A0 F$ K 4.网络访问.可匿名的命名管道 将后面的值删除。 , M$ u8 r% }" }- `2 V) Q( v" i' | f
5.网络访问.可远程访问的注册表路径 将后面的值删除。
: v; [$ M. V6 ^: q7 y' I, T 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 & I# X7 ]+ U: j0 g+ I
7.网络访问.限制匿名访问命名管道和共享。 9 J. S1 y, e9 B: O8 Z% k: F
8.帐户.(前面已经详细讲过拉 )。
& ~1 x# F u: g2 U2 o9 ^( a* l3 n 13、用户权限分配策略
7 U2 f6 s) P% d- Z$ J* o/ X 打开管理工具,找到本地安全设置—本地策略—用户权限分配: & e$ k! v9 T C2 Z- J6 U$ v
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属
; t1 H4 H; o- S4 S. m4 O 于自己的ID。
0 Q9 h6 e+ _2 P 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 # J( [( l1 v g* M8 I' S7 G
3.拒绝从网络访问这台计算机 将ID删除。
9 L4 Z" p- U. h% f 4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
6 u: ^; p9 r. y0 z" B1 Q 5.通过远端强制关机。删掉。 . O! d/ J% [* z s
14、终端服务配置
+ @6 f# V& l# d [ 打开管理工具,终端服务配置:
+ C: o: o6 V6 m* O3 ~. M2 X# ` 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。 ! l' T4 b. w7 q" `
2.常规,加密级别,高,在使用标准Windows验证上点√!
9 |6 w. S: a( u8 ?4 U n. Z 3.网卡,将最多连接数上设置为0。
& v' [. b4 j0 x 4.高级,将里面的权限也删除。
. a- e& h e4 c: y$ H9 F6 p 再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。 + }6 L( b: h" `& O; p
15、用户和组策略
+ s' ]+ m- G+ B 打开管理工具,计算机管理—本地用户和组—用户:
7 i2 E7 s7 v+ U+ O# Y4 X: s 删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
4 `. {! ~9 l* g0 E; c# X6 y! Z 计算机管理—本地用户和组—组,组.我们就不分组了。
6 U. E% \- G1 a. r' [/ m& pVISTA的就不要尝试了2 i# {- T( c- w& s& q
4 U* g# A% Y% U. [ |
|
雷达卡
发表于 2007-10-17 11:20:43
提升卡
抢沙发
发表于 2007-10-17 12:30:11