|
|
|
网络安全中谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: , @; ~# L' T$ \% t
(1) 被他人盗取密码; 1 }7 x! S$ {! k
(2) 系统被木马攻击; 6 a; z: K) ~1 ~; _ W0 G
(3) 浏览网页时被恶意的java scrpit程序攻击;
* `- f, d0 r0 m$ b8 q (4) QQ被攻击或泄漏信息; 0 y: A% L% y; o0 J( j
(5) 病毒感染;
1 K) a/ L0 ~4 b' p (6) 系统存在漏洞使他人攻击自己。
% a2 Y9 w! L% l+ P (7) 黑客的恶意攻击。 9 c |# d9 d/ @
下面我们就来看看通过什么样的手段来更有效的防范攻击。 , I" v* M/ h e' t7 j, G3 b6 N a
1.察看本地共享资源
3 m8 ^5 r" V) X' c 运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 & U) {! v/ [$ o, p% c
2.删除共享(每次输入一个)
, C& E) t+ E* R Q net share admin$ /delete . r' y L) C. D( I2 }' @
net share c$ /delete , n7 u" [2 V( }* L# s
net share d$ /delete(如果有e,f,……可以继续删除) }. {* }" e; _) H q
3.删除ipc$空连接
% p7 l5 v( |* G$ @4 V' | 在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
* Q1 d6 Y1 m! D. \' O2 N 4.关闭自己的139端口,Ipc和RPC漏洞存在于此 ! p& h" c8 S% d# t0 b
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
8 R% Q0 v" [. X% q9 D z 5.防止Rpc漏洞
: T# W' z& O4 A! \ 打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
2 ]0 D' |. t7 e: X4 [/ v2 l Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。 + ^& S* J' [& H3 @! l
6.445端口的关闭 ! s' c: \0 o$ P* {, C2 |+ i
修改注册表,添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。 * Y+ T4 z( m, f; E& h9 O
7.3389的关闭
# a$ [6 Q0 j! {1 [% [4 L) m* G WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
0 S7 z1 p0 x: C/ l* o Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
, K* t' ]- Y1 p& w 使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 ; M( S U5 S; n0 p$ k" X1 O t
8.4899的防范 - @; _ F* y, l9 C
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 " G. S: r& a$ `5 \
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 & Z$ ^, b! B( g. G7 t8 m8 @& U
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 3 `# i* O6 R/ j8 P
2007-10-12 10:50:41 回复此发言 : h. L) t9 M9 N7 E6 w1 e
2 回复:17高招打造一道超级电脑防火墙 9 M' U, B# t, |# U3 L; O& r
QQJT501 9、禁用服务 # B q. |8 ?5 \
打开控制面板,进入管理工具——服务,关闭以下服务:
) J2 k. @( \" e$ Z 1.Alerter[通知选定的用户和计算机管理警报]
$ N9 {. w) y5 q) A, b/ [ 2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
m0 Z- u4 V$ c( N 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无
; h! ~' Z" z g: L 法访问共享 / r% i+ H, L% [
4.Distributed Link Tracking Server[适用局域网分布式链接] ; R4 o1 i5 P& @5 |4 Q, Q. I L% D
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] , B' M8 [ z% W
6.IMAPI CD-Burning COM Service[管理 CD 录制] 3 p5 S: v4 O) d- B$ T
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
" y8 J& d! C# d" i) [! ]7 `7 [- z 8.Kerberos Key Distribution Center[授权协议登录网络] 1 o7 M% }& z; u! v, V
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 1 m, H7 e: @, s
10.Messenger[警报] 3 g( L9 A6 K3 o* `6 K; S( o
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
$ D* P1 P# [2 ?& k+ |- @; I: |: e 12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
$ b" z1 D% a7 E& l0 \6 J1 z* m 13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] : k; r9 f# _% w( P! B+ `0 n" @
14.Print Spooler[打印机服务,没有打印机就禁止吧]
* K2 C' O) N6 r6 z/ E 15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
8 P8 x4 ^* K) V* Q/ ` 16.Remote Registry[使远程计算机用户修改本地注册表] : E2 l# t1 \& s* r9 U" G
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
" K( `+ h8 p- c n2 a1 C! U) k 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] . i; @8 S! m% l& p- k" Z
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] ) T6 n6 i3 _* B& g& e5 }
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支 5 \1 C8 e' z! @" l/ v+ Y6 E( m$ _
持而使用户能够共享文件 、打印和登录到网络] 3 \+ Z- D/ `) q$ t9 ^" k$ b" q
21.Telnet[允许远程用户登录到此计算机并运行程序] - n* s0 q' Y$ S! M
22.Terminal Services[允许用户以交互方式连接到远程计算机] 2 d, f; f$ N* I! i1 f* c& M
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
: d1 s6 ^8 W; x 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
( b) X5 H' c4 u 10、账号密码的安全原则
* o+ [- b- f ^& V) z 首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。
/ q6 C! U% O, l& `3 q- G2 v( e4 z 如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。
4 [7 s; h- [6 R: o8 [ 打开管理工具—本地安全设置—密码策略:
0 g/ P, _9 l! R6 I( h- v8 ~+ K* ^ 1.密码必须符合复杂要求性.启用 ' D4 S. \# B4 [3 `5 I- ]
2.密码最小值.我设置的是8
! b8 I1 m+ H# ]! _" K 3.密码最长使用期限.我是默认设置42天
& B% n" }4 n- X$ k6 L* p z8 w( N 4.密码最短使用期限0天 # H. A9 ^, V3 S' | @
5.强制密码历史 记住0个密码 ! c2 y! K( W/ C, m8 G; E
6.用可还原的加密来存储密码 禁用
0 {% ?& }; u6 x b/ T/ e 11、本地策略
* u1 u( }9 s( T% { 这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 & U( T( k1 z8 b& ]- ]1 E1 L7 M- h
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
b+ W" D2 a* p; E 打开管理工具,找到本地安全设置—本地策略—审核策略:
' K, y/ T3 N3 M- E 1.审核策略更改 成功失败 6 i& u2 }& Q% F$ b: A
2.审核登陆事件 成功失败
/ f) `) s( h4 f7 e7 D" O" e- C. p 3.审核对象访问 失败 / d, N9 j8 g* q7 }% b7 B
4.审核跟踪过程 无审核
- a6 y" @( {# _; V2 O4 D( D 5.审核目录服务访问 失败
, f+ @2 z* f A. ~2 d 6.审核特权使用 失败
+ a" ]0 m" v7 I- E4 t# H X) D 7.审核系统事件 成功失败
+ M8 V% T# B. }* l7 d, | 8.审核帐户登陆时间 成功失败
* v. ?2 _, _# ^9 b @& v 9.审核帐户管理 成功失败
x @. ?6 P' I" W7 _2 W &nb sp;然后再到管理工具找到事件查看器:
2 d5 N2 N8 g$ s1 s6 h5 {+ h 应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。
3 O# O' ~. \8 T& j8 g 安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。 7 b& S) }6 I* M5 l
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。
/ u# e) J* e: H2007-10-12 10:51:14 回复此发言
( @$ z6 Q; {; l& E( }3 k 3 回复:17高招打造一道超级电脑防火墙 6 t$ f' _* y: Y: i0 Y( C" d/ ?2 f
QQJT501 12、本地安全策略 % b) `! I& ?) k* ?
打开管理工具,找到本地安全设置—本地策略—安全选项:
2 I3 M, ^6 Q/ y/ K$ e# v 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
E& M0 n. x5 Y+ [3 G B. w$ A7 O) V& p 陆的]。
- v4 j8 @. E2 L o5 k) [4 f 2.网络访问.不允许SAM帐户的匿名枚举 启用。
! t( @# X# `$ P4 @( ?0 r& y 3.网络访问.可匿名的共享 将后面的值删除。 0 J! u' r% ` i' T$ S3 \
4.网络访问.可匿名的命名管道 将后面的值删除。
% r i `# Z9 t# `; L1 F2 O: J$ q; a 5.网络访问.可远程访问的注册表路径 将后面的值删除。
" v* R/ R h. }$ E/ C: U 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
! q5 C5 ]6 _# Y7 Y+ z 7.网络访问.限制匿名访问命名管道和共享。 . A4 c& C& S# U' i
8.帐户.(前面已经详细讲过拉 )。
7 W8 U$ X/ K' D% `8 j 13、用户权限分配策略 5 Q$ L9 @2 w# P2 ]% Y) k+ a
打开管理工具,找到本地安全设置—本地策略—用户权限分配: / U; t: K; K% r% ]& _4 m, ]- J
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 % z, Z/ V/ |2 w2 C
于自己的ID。
& u) ]: t- f {* v" |" o 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 / w6 p$ q5 h3 K
3.拒绝从网络访问这台计算机 将ID删除。
* d% a+ g* R# z 4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
0 A% P% D1 p' _5 l, W 5.通过远端强制关机。删掉。
! m, v* F. H" L0 B1 v% ]$ U( [ 14、终端服务配置
5 U# v. D, ?% H' z/ o8 i4 T 打开管理工具,终端服务配置:
# J$ g f8 z; |- L1 P3 }! a 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
- n" q% ?- N z* c$ z; j* ?/ T; @8 G 2.常规,加密级别,高,在使用标准Windows验证上点√! , e7 x' U: V5 j9 N: {( X2 L/ o+ s: }
3.网卡,将最多连接数上设置为0。
I0 g+ c: A! P& D: q 4.高级,将里面的权限也删除。 ( M) r( D- K, a) m
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。 : z0 i' Z/ A& K
15、用户和组策略 / C O( R! @, X, t# u
打开管理工具,计算机管理—本地用户和组—用户: c9 [0 N R" a9 L j9 A
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
4 u" L( b& B9 w1 I2 [ 计算机管理—本地用户和组—组,组.我们就不分组了。 ! _+ i# J! ?" t
2007-10-12 10:51:33 回复此发言 4 s6 C$ i5 M5 t7 Z/ S5 ?
4 回复:17高招打造一道超级电脑防火墙
: }/ P+ k9 ^7 Q! Y5 L+ cQQJT501 12、本地安全策略
7 ?" u3 @' o" }* L/ ] 打开管理工具,找到本地安全设置—本地策略—安全选项:
0 _6 [- g/ ?0 F( | 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
y3 P3 f* t' p D" H- l 陆的]。 ' t$ ]% W. E n' ~( M5 _( l1 U
2.网络访问.不允许SAM帐户的匿名枚举 启用。
% u0 |4 G* b+ M& }5 k( E 3.网络访问.可匿名的共享 将后面的值删除。
6 j; o8 U1 k- `* [1 z& f 4.网络访问.可匿名的命名管道 将后面的值删除。
$ y1 v, b/ m2 t- |- R 5.网络访问.可远程访问的注册表路径 将后面的值删除。
* F1 ~0 m9 |! K: I' @3 e 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 4 V& ~) }' v( L9 w' U7 [; W2 v+ ^
7.网络访问.限制匿名访问命名管道和共享。
5 c% f" ~8 G# l 8.帐户.(前面已经详细讲过拉 )。 - V- h6 ]' O# d+ L( m1 A- e+ U
13、用户权限分配策略
1 g% L/ e6 ]7 o7 ]4 Y0 C4 U+ z& h 打开管理工具,找到本地安全设置—本地策略—用户权限分配: c( [! o4 J( E; d
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 * A, \0 Z) ?# d7 z! l
于自己的ID。
- D1 ?, ]! x! h1 k8 _9 | 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。
/ I S8 w8 K/ @; J5 } 3.拒绝从网络访问这台计算机 将ID删除。 . Z+ O6 t4 {) v' f
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
2 h" U1 W0 i' P4 C 5.通过远端强制关机。删掉。 ( ?: c! g* x* W/ Z# f# H
14、终端服务配置
9 `! H. V1 R/ o+ [% ~: S4 } r+ B 打开管理工具,终端服务配置:
5 c6 e' ?+ I+ V& R+ Z 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。 0 }6 f# _" ]- F* B) E+ s7 D& }* P
2.常规,加密级别,高,在使用标准Windows验证上点√! $ R2 m* g" k& I3 G% J% i$ ]3 O
3.网卡,将最多连接数上设置为0。 O- n5 F1 B+ l% i
4.高级,将里面的权限也删除。
+ Q, Q D, L6 S: D6 s9 y 再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。 " {/ K' {' }+ x* y) T
15、用户和组策略
' q' i, N- P+ ?- \( ^# } 打开管理工具,计算机管理—本地用户和组—用户:
7 S# k/ M( ^ s+ n1 k. b2 X 删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
0 f# L4 e: U& i 计算机管理—本地用户和组—组,组.我们就不分组了。 & z, c8 U( u4 ~5 S, N, ], \) B- k
VISTA的就不要尝试了
h+ Z2 I+ |3 r6 ?0 o" ]+ k3 n! F0 v! K% D7 p
|
|
雷达卡
发表于 2007-10-17 11:20:43
提升卡
抢沙发
发表于 2007-10-17 12:30:11