|
|
|
网络安全中谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
5 J8 x7 u5 \8 w (1) 被他人盗取密码;
: Y6 R: D6 B8 R2 r( D6 \ (2) 系统被木马攻击; ; r7 d; ]2 ^9 I1 X
(3) 浏览网页时被恶意的java scrpit程序攻击; $ I) q8 Y0 A: o0 D/ P
(4) QQ被攻击或泄漏信息;
7 U0 k' @( [/ c* [5 c, f (5) 病毒感染;
& t' q1 O5 {/ c* T* g0 K3 _8 V (6) 系统存在漏洞使他人攻击自己。
7 q) G8 k& S- T+ D, L8 u! S: R (7) 黑客的恶意攻击。 & k$ v; x2 G/ X5 {
下面我们就来看看通过什么样的手段来更有效的防范攻击。 1 \1 R& n) L7 S$ ?: _
1.察看本地共享资源 - T% n: b9 `9 N; l) ?0 z; t/ y
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
; k3 W- R# C' Y, g! X. u 2.删除共享(每次输入一个)
! a# W. n( j) |( Q5 ^: J net share admin$ /delete ! O" T" w5 d Y4 U4 Q5 Z
net share c$ /delete
$ a+ [$ i" F+ t8 V# p net share d$ /delete(如果有e,f,……可以继续删除)
9 \( T% T" z. n# _ 3.删除ipc$空连接 & g3 X) r7 ?4 Y# s" m/ w, S2 a
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 8 B t/ k+ Z7 U( l7 M! y' I3 q
4.关闭自己的139端口,Ipc和RPC漏洞存在于此 1 R% [# G" l; w- b- j
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 6 |3 O5 U- e: \1 P
5.防止Rpc漏洞 , e7 v3 B: x" p1 D: S5 _
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
9 R% B: ]8 |# F' a3 y1 T6 S7 ? Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。 8 s8 Q2 T+ V) |0 F, [
6.445端口的关闭
V7 z4 C" s! e' e/ Y2 ^2 a 修改注册表,添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
0 G, q* i7 o$ c$ A6 A 7.3389的关闭
3 |/ k+ k' w. m2 x& R( N L; a WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
3 Z& E+ k5 Z' v8 R( _ Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
7 g$ r3 k) H; f1 I& g 使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
, ~" E- u: L) J7 v 8.4899的防范
* s) _! Z4 _' k8 L! {+ _, | 网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
5 n" M8 H) Z2 Z0 | 4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
1 v0 O* C" x# X2 n0 m: ^ 所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 F% S* A+ C9 h& G
2007-10-12 10:50:41 回复此发言 0 t1 }( {9 l9 Q' {
2 回复:17高招打造一道超级电脑防火墙
4 q4 z& Q8 N/ AQQJT501 9、禁用服务
P' ?. `; j0 |6 j9 Q3 j6 u 打开控制面板,进入管理工具——服务,关闭以下服务: 5 \. J7 ~1 u/ f7 F" i& o. K
1.Alerter[通知选定的用户和计算机管理警报] # i' s* W% g/ N Z. ^* r
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 4 Y. q N- O& @9 [" ` R
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无
0 ]" c8 h+ \) `4 a. j! R0 j 法访问共享 5 J' `7 x" K# ]2 d$ w
4.Distributed Link Tracking Server[适用局域网分布式链接]
! E: ~9 B+ }- K. o; v9 ~ 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
1 G2 h- ?6 L& h0 g2 m5 c 6.IMAPI CD-Burning COM Service[管理 CD 录制]
. O: g& y( r- S+ i5 A 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 5 P% j! y8 Y' F, Q! A1 `( h. L5 [
8.Kerberos Key Distribution Center[授权协议登录网络] - p. l7 p/ ?! e+ B @. T
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
1 T9 O$ i: P1 a* W 10.Messenger[警报] ) t7 s8 V* K8 P# z" G
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
( G! G @7 ?: l 12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
1 ^0 a. V; y) d4 l5 @0 w 13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] + o# m8 ? c# K6 H( }) k# W5 I& k5 Z
14.Print Spooler[打印机服务,没有打印机就禁止吧]
1 C/ \0 g' H- ?2 [) `4 g 15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
4 u: J! s" ~ l& X 16.Remote Registry[使远程计算机用户修改本地注册表] 0 K! U% t- X: r# P; a& }
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 8 a( c' u5 c0 c; S) Y" u W( n
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
" J2 y: q8 |$ _( m, i+ A0 @ 19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
$ c6 V y j8 W/ v" a1 l; Y, k 20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
( Z4 v! d$ d1 ]. ] N( ? 持而使用户能够共享文件 、打印和登录到网络]
4 V8 j6 N' i% Z 21.Telnet[允许远程用户登录到此计算机并运行程序] T3 G& v. m, w6 V! j- s- |9 [
22.Terminal Services[允许用户以交互方式连接到远程计算机] 6 I0 Y$ l8 ^6 K6 t
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
( A! T% o4 B; o8 b$ p 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 ; \( p% D4 `- c" G
10、账号密码的安全原则 * _3 I+ F7 H F/ g" ]) I
首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 9 w* W2 ?* G$ ^; |. f
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。
) Y' n: e9 \9 G, R# ^% T. C: A/ g" E 打开管理工具—本地安全设置—密码策略: 0 f, T% K' k/ d
1.密码必须符合复杂要求性.启用
* r$ r' v4 Z' j# J$ x* ]! D2 R 2.密码最小值.我设置的是8 4 v. b1 E0 f. K- V9 _
3.密码最长使用期限.我是默认设置42天 : R/ Z4 N. L# m
4.密码最短使用期限0天
4 E$ S5 w/ q# V, |6 s- k 5.强制密码历史 记住0个密码
& m" ?; p- I4 V" ? 6.用可还原的加密来存储密码 禁用
% u1 n. p1 c" _ 11、本地策略
1 @0 |( i% Y* U8 J1 m 这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 " E# i1 }0 q* A; M
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) ! J ]! I/ Y* n. P2 c
打开管理工具,找到本地安全设置—本地策略—审核策略: % K9 q- A: d8 u$ x, e
1.审核策略更改 成功失败
$ n1 {* d5 _: w( h 2.审核登陆事件 成功失败
/ H* y2 R8 E3 ]" m! r+ f- U8 e 3.审核对象访问 失败
! T; o% ~! ]6 q* [9 Z 4.审核跟踪过程 无审核
. W5 y) a2 b2 A y 5.审核目录服务访问 失败 / w% n/ r% b2 O4 p! B) J% y% M
6.审核特权使用 失败 7 |% C+ ?( Q( f0 r1 S+ R7 \$ g
7.审核系统事件 成功失败 % @$ F- Y* n3 s
8.审核帐户登陆时间 成功失败 7 l9 @# ?, F# }: ~5 O
9.审核帐户管理 成功失败
1 c1 V c4 g% U. R" n &nb sp;然后再到管理工具找到事件查看器:
/ z6 p+ s5 E& y 应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。 9 J0 m2 E6 f" b
安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。 9 p3 n) }4 A3 V O; K
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。 # S! W0 x" v. J) q( R
2007-10-12 10:51:14 回复此发言 0 Z$ S, Y$ C8 m" \
3 回复:17高招打造一道超级电脑防火墙 , w- H7 D4 r- ?0 G1 v V: F/ |
QQJT501 12、本地安全策略
: s7 p$ f; ^4 i0 j& p: n 打开管理工具,找到本地安全设置—本地策略—安全选项:
5 ] @# v7 }( l7 v8 p7 R 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
* S# C* @9 i: x; `* X 陆的]。 , s$ R6 i1 X" Z5 C% j M
2.网络访问.不允许SAM帐户的匿名枚举 启用。 3 \7 _! [) a3 G0 s
3.网络访问.可匿名的共享 将后面的值删除。 2 p2 _) T# Q: @2 r
4.网络访问.可匿名的命名管道 将后面的值删除。
4 k- i: c9 b9 v9 w$ T( M 5.网络访问.可远程访问的注册表路径 将后面的值删除。 & s7 g0 ?0 |" m, v! Q
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
( ^# |1 J$ C# b& C" x 7.网络访问.限制匿名访问命名管道和共享。
( X" Y2 O! a) |, }# U ]1 l 8.帐户.(前面已经详细讲过拉 )。
& r" l! a3 @+ ]0 x$ I+ L+ D) f A 13、用户权限分配策略
) a V* M/ E% M5 g+ J" |+ v" } 打开管理工具,找到本地安全设置—本地策略—用户权限分配:
; A0 t* }3 x/ U" W7 G' W$ B 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属
8 v# S- }! _6 t: K6 \) y4 R 于自己的ID。
4 U: F7 C& f% t 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 6 e7 [5 P9 P J; [ }+ \
3.拒绝从网络访问这台计算机 将ID删除。
/ G' N5 i8 b/ U0 |7 r" J3 G 4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。 9 T. K4 H9 S! @4 E& {* j: |: d# _$ Y
5.通过远端强制关机。删掉。
8 K, P" W# @% k% y- V( W 14、终端服务配置 $ |3 a+ |& ^5 ?9 M' q: N; R
打开管理工具,终端服务配置: 1 x$ @0 F6 I. d4 V1 O/ `
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。 . G- w+ k1 i9 ~* v
2.常规,加密级别,高,在使用标准Windows验证上点√!
# d5 F; C4 J L9 e! |8 L, \3 } 3.网卡,将最多连接数上设置为0。
/ o" g% }$ _6 O. E5 F 4.高级,将里面的权限也删除。 / {2 X7 ^& S) k
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。 8 H) i- ?( n5 l8 ~
15、用户和组策略
; `1 k2 H4 I% y$ j1 ]3 ^; d4 E+ } 打开管理工具,计算机管理—本地用户和组—用户: 1 r: p$ m d& f* |& T, c
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 ' a+ G, u* x4 m9 H5 t3 w# k
计算机管理—本地用户和组—组,组.我们就不分组了。 4 g3 w2 W+ \ @0 U/ F
2007-10-12 10:51:33 回复此发言 8 o/ D* V+ s+ c8 r0 f2 [' c( r
4 回复:17高招打造一道超级电脑防火墙 1 H) C& J7 [( ~3 L' X0 I, R$ j
QQJT501 12、本地安全策略
% Q) |3 v+ e- l 打开管理工具,找到本地安全设置—本地策略—安全选项:
% i# {; L1 l. ?) V5 f# E 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登 / a" A- _ [# k
陆的]。
5 ~7 c* ]. d* A& X* J4 ~ 2.网络访问.不允许SAM帐户的匿名枚举 启用。
7 f, a/ I7 t" H* n: m* i9 y6 {3 Q1 H 3.网络访问.可匿名的共享 将后面的值删除。 : @5 Q. [, \8 {
4.网络访问.可匿名的命名管道 将后面的值删除。 3 E: Q2 ^: _. r* h7 c1 T8 m
5.网络访问.可远程访问的注册表路径 将后面的值删除。
( C" ^) H+ J: b4 P. m* p% T- t 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 # j- h' }/ I! \/ @
7.网络访问.限制匿名访问命名管道和共享。 $ `7 O/ }1 B' Q& [9 m- O
8.帐户.(前面已经详细讲过拉 )。 4 h9 _) ?* Q, [( Z* Y- J, Y$ U
13、用户权限分配策略 $ p- l+ t1 ?. n5 l
打开管理工具,找到本地安全设置—本地策略—用户权限分配: - v$ Z/ k; j( b8 `
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 0 `0 d5 L; ^4 s7 ?
于自己的ID。 * d. m7 ^+ z& M0 p+ u5 D, E
2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 ( N+ a$ ^+ z$ z9 O4 X
3.拒绝从网络访问这台计算机 将ID删除。 3 \# e. o# F6 F/ F" y. u
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。 9 h! M, v H( U a
5.通过远端强制关机。删掉。 5 [5 v8 C4 W- `# [4 B [- ]
14、终端服务配置
' D7 f5 L, T: U, m6 q 打开管理工具,终端服务配置: 8 _7 I* Q$ g' X5 A9 W, e. k* w# r% n# i
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
! ~7 [, v7 x0 P$ a- _% Y 2.常规,加密级别,高,在使用标准Windows验证上点√! . y: B3 C# i/ S4 {( o) F
3.网卡,将最多连接数上设置为0。 0 T! L4 S+ f% y
4.高级,将里面的权限也删除。 : e. N, ^4 J- n* S/ ~7 J8 O
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。
3 r. t. t8 _8 n' L* `* Y 15、用户和组策略
x1 ~1 E' }1 ?" } 打开管理工具,计算机管理—本地用户和组—用户:
9 c: v' S9 ~& Q! D# U8 k 删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 " |$ p' o- s/ @9 ~* V; p
计算机管理—本地用户和组—组,组.我们就不分组了。
9 o1 V2 t- V' |! B7 e' l! W+ m aVISTA的就不要尝试了
$ n0 V% a P: f B {7 g g2 ]% N" n& J1 x2 N- c% t- I
|
|
雷达卡
发表于 2007-10-17 11:20:43
提升卡
抢沙发
发表于 2007-10-17 12:30:11