|
|
|
网络安全中谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
# s, F( w0 A0 f# t; ] (1) 被他人盗取密码; ( V6 E1 A( z# d: G* v/ x' n
(2) 系统被木马攻击; / ]/ x9 {, N* K6 k; l* H$ Z9 g# ?
(3) 浏览网页时被恶意的java scrpit程序攻击;
1 c; p4 f0 L1 i# Z3 z (4) QQ被攻击或泄漏信息; . k! H" ]7 J0 i' Y; v
(5) 病毒感染; ' |) i! G, k1 J
(6) 系统存在漏洞使他人攻击自己。
0 ~7 [; O# p4 C7 f (7) 黑客的恶意攻击。
& z. `+ F+ v) F. C 下面我们就来看看通过什么样的手段来更有效的防范攻击。
& X3 G9 \6 T) J, c# L 1.察看本地共享资源 1 V7 ~9 X% F+ h7 x, x/ J; Y5 z
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
6 _. N$ g8 }1 @6 F 2.删除共享(每次输入一个)
3 B( q3 {0 R; ^. _! p net share admin$ /delete
. Q( P' L& q' ?# M9 [ net share c$ /delete ; T4 S) U( y& ]( n; b
net share d$ /delete(如果有e,f,……可以继续删除) % O- D/ e6 F2 X( O' M
3.删除ipc$空连接 ) z9 M- h" c9 J ?( `
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
* z2 H0 y: L7 \2 r5 R) E; g5 ~ 4.关闭自己的139端口,Ipc和RPC漏洞存在于此
I" P8 Z$ b- ?+ R) F: z( S/ @ 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
& A: X7 R; G; N7 y; Q" s 5.防止Rpc漏洞
! q0 Q" b7 B- E# F8 D 打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 ! Z$ J5 W) q8 }3 d
Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。
3 j) t; e: F# d A2 k( H$ E+ I* W 6.445端口的关闭 2 S# w- h0 q+ o
修改注册表,添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
/ R- C6 A$ L9 R 7.3389的关闭 " I/ Z+ n% ^; r9 i- [' m
WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 0 K& F ^" S+ g0 f" D
Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) - s' O5 H. \( {6 `) p, A: l
使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 / R* V/ D6 B1 R$ F* c
8.4899的防范
- r) S" s% U/ \: Y 网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 ' A1 x( O, A; h3 g! H" f
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 * }9 J, E9 W1 t; Y- s
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 0 ]2 |- S/ \/ l8 J( G0 [
2007-10-12 10:50:41 回复此发言 ) G+ b) {' `) S9 w
2 回复:17高招打造一道超级电脑防火墙
( D8 L% x1 @$ x: _% I nQQJT501 9、禁用服务
- y: }& U8 l+ b3 ]& } 打开控制面板,进入管理工具——服务,关闭以下服务:
0 l: y' F. M5 J7 B 1.Alerter[通知选定的用户和计算机管理警报] 0 | J" e' O/ H
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
: m: z2 T) ]: L 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无 1 Q7 g* c* t& X, `9 d
法访问共享 3 {8 d- F8 m$ f. F+ s
4.Distributed Link Tracking Server[适用局域网分布式链接]
$ X/ Q( t+ N% l7 W5 K* Y% F; a 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
" |4 w7 G2 V! m 6.IMAPI CD-Burning COM Service[管理 CD 录制] 3 h3 O$ K; `5 Y
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
5 N0 M# h% Q# i8 F' L 8.Kerberos Key Distribution Center[授权协议登录网络] 9 ^* _, `8 t3 \/ V/ N- }( ^/ w
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
7 [' w! X! t) c' A* l7 E 10.Messenger[警报] + E/ d& }2 l& p7 V$ @4 B
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
" F# `9 \/ G# G: p" K 12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
0 a0 l# f6 `/ r) ^ 13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] $ m& U/ a6 `+ S! n
14.Print Spooler[打印机服务,没有打印机就禁止吧]
0 g! Y0 S$ u+ ]5 k9 T 15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] 3 U% ?: }5 E1 y/ v: s( @; I
16.Remote Registry[使远程计算机用户修改本地注册表] % U' _* m5 M, o6 P( c& t9 m' w
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] ) V0 O/ [) b1 c p
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
0 h; I( {, J' i/ @6 @$ C* a 19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] & ^& {& H. a2 \, E/ x* K& h
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支 ) }. O2 g H4 N
持而使用户能够共享文件 、打印和登录到网络] 8 r3 d. s) _- o
21.Telnet[允许远程用户登录到此计算机并运行程序] ( @$ S' O- G; |. \) |# y
22.Terminal Services[允许用户以交互方式连接到远程计算机] - ~) x* ^9 i$ K0 t& @
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
) {) U2 h: M2 M1 f9 q 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 ! [( x% o: [! A! I) M8 a2 V
10、账号密码的安全原则
3 k. q! [3 B" m: T 首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 ' l# J3 p- S6 G; y! e- \& O% c7 D: |
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。
. ` p4 h1 z. D! r9 v7 L: j; v; H4 S 打开管理工具—本地安全设置—密码策略:
" e( W' _( r/ o# I6 `9 P+ M9 c 1.密码必须符合复杂要求性.启用 % Q7 _1 h7 a0 ^9 k% r
2.密码最小值.我设置的是8
. U2 e, T1 _# F" j; |5 _( } 3.密码最长使用期限.我是默认设置42天 & W; N" D$ \- M5 |! n- o8 e; @, \
4.密码最短使用期限0天 , |* Z# k8 B1 Z
5.强制密码历史 记住0个密码
y+ P5 J9 v2 R2 W+ }# M) B' ] 6.用可还原的加密来存储密码 禁用
: `& w% V/ C( R+ q4 z3 ~ 11、本地策略 * {2 Q6 | ?$ R6 K. e4 Q1 C7 f
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 $ Z z# f- c; s8 f9 K" T
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
9 I- |) Z. h3 G' l2 d- I1 d" C9 j 打开管理工具,找到本地安全设置—本地策略—审核策略: + Y# N! N) W: x& x y! h+ f {7 K" g
1.审核策略更改 成功失败 $ [" M% O2 k( k
2.审核登陆事件 成功失败 % o: l4 |8 R0 l6 r* s
3.审核对象访问 失败 ) v$ \* x8 H9 ?8 h8 U( K
4.审核跟踪过程 无审核
& c. m$ }' v9 h9 \. T3 S& ` 5.审核目录服务访问 失败 * X \7 F! @6 \6 {/ k
6.审核特权使用 失败
' n8 y3 ^7 j4 d( U 7.审核系统事件 成功失败 $ S+ P9 Y8 H- K6 i
8.审核帐户登陆时间 成功失败 ; |, h8 I/ C: F) _( i4 V" |
9.审核帐户管理 成功失败
9 A! E/ t) M4 @6 F6 ~, `: \; F &nb sp;然后再到管理工具找到事件查看器: 6 [6 u4 d' ^7 m! H- \# o9 s
应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。 1 G5 F5 a7 ?0 d& E6 S
安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。 * u! i8 L3 R( b
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。 ; Y2 g9 i7 f' Y/ {) }$ _. h4 Q
2007-10-12 10:51:14 回复此发言 : q1 B5 H5 v. A: B: F' t# O
3 回复:17高招打造一道超级电脑防火墙 + P4 L6 q& x J
QQJT501 12、本地安全策略 7 P1 x$ G0 }6 ^$ |1 o* _2 r9 J0 m2 v
打开管理工具,找到本地安全设置—本地策略—安全选项:
3 D9 E% {2 r5 T( O" c" Y' h8 ] k 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登 1 U# P! h% X5 J) i; a% d" [8 a) ?
陆的]。
7 ?0 X: T8 d1 D 2.网络访问.不允许SAM帐户的匿名枚举 启用。 $ f0 t% u2 `; a3 C$ J/ |% x
3.网络访问.可匿名的共享 将后面的值删除。 1 W A8 h! x1 V8 n& d: b$ s+ G
4.网络访问.可匿名的命名管道 将后面的值删除。 + f. ]; k% H' k b
5.网络访问.可远程访问的注册表路径 将后面的值删除。
! B+ X6 N0 _/ {$ p5 \ 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 - F* J: w' i# T- e/ P
7.网络访问.限制匿名访问命名管道和共享。 7 f( z5 z( B6 F J5 m% M3 L% W7 h& h
8.帐户.(前面已经详细讲过拉 )。 ! h" X0 I0 B) U
13、用户权限分配策略
! p. j# A# t' ^ 打开管理工具,找到本地安全设置—本地策略—用户权限分配:
5 {7 W5 e6 s7 Q 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属
2 n6 J3 I$ D" t8 K n- T2 e 于自己的ID。
Z6 Z# |, u! S6 m5 \ 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 & C( P1 B- \; g% ^; q. B9 n
3.拒绝从网络访问这台计算机 将ID删除。 8 \9 c, x& T [* K
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。 7 ?- t$ }3 V$ M
5.通过远端强制关机。删掉。
0 I3 {$ C2 M; K/ ]. x% D7 J5 A0 c 14、终端服务配置
* v% u' R! d9 f0 O: G; }8 J1 o 打开管理工具,终端服务配置: 9 {% h/ g* [7 P) W( H- M
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
3 }$ B) u$ m. z1 L" q% g 2.常规,加密级别,高,在使用标准Windows验证上点√! 3 Z$ e+ d" k0 H* d
3.网卡,将最多连接数上设置为0。 7 Q( T7 Q- d! v+ o
4.高级,将里面的权限也删除。 : _0 ?2 O+ y4 w H! C
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。
, I) Y$ ?0 B3 q" Z1 ^3 k# @ 15、用户和组策略
; k( { c" L+ M- C5 e9 g/ A; Y 打开管理工具,计算机管理—本地用户和组—用户:
, j) F! C% l) V% ` 删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
- d4 U, z% N, N3 C 计算机管理—本地用户和组—组,组.我们就不分组了。
# z5 s$ c: x4 z) d$ {5 w$ N1 x" m7 S, Z2007-10-12 10:51:33 回复此发言 5 u" I- S0 T* z7 B( P w2 L; M
4 回复:17高招打造一道超级电脑防火墙 " O) ]# G* G$ d
QQJT501 12、本地安全策略 + h$ d0 Y/ P N0 b" H; {: e
打开管理工具,找到本地安全设置—本地策略—安全选项: 9 G: v; U; ]- J: }+ x
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
! {* G, N% U$ z& j& } 陆的]。 - v T3 X& g6 \- Q$ I; t: d
2.网络访问.不允许SAM帐户的匿名枚举 启用。 " B: S j) N1 i% N" ?
3.网络访问.可匿名的共享 将后面的值删除。 * e F; _' u- b$ Y" h9 C
4.网络访问.可匿名的命名管道 将后面的值删除。
1 ~1 g1 l4 m. M 5.网络访问.可远程访问的注册表路径 将后面的值删除。 4 U1 Q' G9 Q ~+ e* V# f( D
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
7 l0 f2 G1 [8 D- ^) @) ^ 7.网络访问.限制匿名访问命名管道和共享。
2 c( P+ n4 h" A' U1 M 8.帐户.(前面已经详细讲过拉 )。 8 H) `1 f* d9 {. W Q( J; ]
13、用户权限分配策略
* A8 ], M' x: ^; P 打开管理工具,找到本地安全设置—本地策略—用户权限分配:
2 A5 `. J. v& K q$ [! F 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 5 Q; B5 g/ P2 ?2 n3 ^
于自己的ID。
# o! ?) B( c( p" O% G% a 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 # p$ x$ G+ l ], |
3.拒绝从网络访问这台计算机 将ID删除。 , P2 m) U" A* i
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。 {* [8 |5 r) U$ h: P a1 c9 v
5.通过远端强制关机。删掉。
/ R L& }' d1 _, j$ _+ R0 g0 l 14、终端服务配置 5 P2 Q0 W9 j( l+ k. M
打开管理工具,终端服务配置:
8 ]9 V8 v0 y1 r* Y 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。 . {/ I- T9 z" D
2.常规,加密级别,高,在使用标准Windows验证上点√! 5 L4 L4 [/ W. _8 d
3.网卡,将最多连接数上设置为0。 $ g3 X0 P3 Q5 f' d' e6 ^5 ~
4.高级,将里面的权限也删除。
6 f. A& I: d- C! m 再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。 ' ~% l& u$ J, t5 u! K
15、用户和组策略 + j2 C$ G8 t+ g& n7 z) s' {
打开管理工具,计算机管理—本地用户和组—用户: ; A% s+ s) T. _6 P. A1 D$ V3 R
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 ~ O/ j0 D& f% J% ^
计算机管理—本地用户和组—组,组.我们就不分组了。
8 O- J* n2 L* Y3 k$ ?VISTA的就不要尝试了
, \* K4 H, }) j
& o, B) X2 w2 y) z5 @# \ |
|
雷达卡
发表于 2007-10-17 11:20:43
提升卡
抢沙发
发表于 2007-10-17 12:30:11