|
|
|
网络安全中谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: ; U6 q, I' i3 Y5 r
(1) 被他人盗取密码;
* ~# z& b x& I. h (2) 系统被木马攻击; ; u9 L+ i+ j- P
(3) 浏览网页时被恶意的java scrpit程序攻击; % S% }1 Z7 D5 r" t( }1 c f
(4) QQ被攻击或泄漏信息; : S* r, m1 F; M. A+ Z' |1 L
(5) 病毒感染;
' U9 T# D3 R4 t4 m2 Q& T8 X( R& e (6) 系统存在漏洞使他人攻击自己。 _" ]" V3 A3 u/ x
(7) 黑客的恶意攻击。
; W) m9 k1 b5 V! A1 q$ U 下面我们就来看看通过什么样的手段来更有效的防范攻击。
+ h( B3 R" B9 @) x9 m' ` 1.察看本地共享资源 * I _( C% n; H& P" A$ t$ Q. Y1 _6 j
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
+ k/ w& `8 R$ k) p) m& p 2.删除共享(每次输入一个)
3 b9 B9 L; K5 I: @$ J- g4 ] net share admin$ /delete 5 l! r( S* I4 ]. z j% @+ r
net share c$ /delete
. q3 i8 J$ ^) h4 \5 [7 X net share d$ /delete(如果有e,f,……可以继续删除)
% ~7 T+ Y; h+ X6 p 3.删除ipc$空连接 ! G% Z. p- ?8 U0 F4 n
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
/ e O! q; s. C# \4 z7 r$ H1 M+ f8 A 4.关闭自己的139端口,Ipc和RPC漏洞存在于此 , V! a& Z* {$ m+ P8 h7 A0 p! ^
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 + I6 _ U, B/ F
5.防止Rpc漏洞
1 k% ~ \" J0 J0 @ 打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
1 Z8 P5 h) E7 @+ K$ E Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。 4 U& Z8 _, d4 N
6.445端口的关闭 + W5 r3 m! V- R* C0 g$ u0 Y
修改注册表,添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
7 H( y4 J: A+ b4 H& K1 N) j 7.3389的关闭 & x: q% U* Q, o0 u" e( L s
WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
2 P! y; [+ C5 d6 [% R# x$ F" l- k4 A Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) 2 A( {/ ^) T6 Y3 ~
使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 ( X1 J' l$ v0 ~: z3 C; J
8.4899的防范
( ^0 C9 n1 Z5 b0 d6 c 网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 2 F6 W0 v5 i& s
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
0 E$ E8 G+ q2 h0 a( C' c 所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
1 [( ^' S2 q( N6 q2 b5 m7 F2007-10-12 10:50:41 回复此发言
3 S: t+ O: j% K7 r2 G2 ]; K/ a 2 回复:17高招打造一道超级电脑防火墙
) M% v; p) y6 c/ U* c; \QQJT501 9、禁用服务 / A$ `3 Y c" x0 G. O7 E9 S0 I" q
打开控制面板,进入管理工具——服务,关闭以下服务:
4 ^: N0 o) m% p" v1 m9 R$ [% L 1.Alerter[通知选定的用户和计算机管理警报]
; O$ |/ i8 q5 c+ Z* w 2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] , d, J# V) r: V+ X5 `; W; D
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无 9 d. @- E. d6 `. D4 ~
法访问共享 * Q# K$ T% V+ L( w) t* m
4.Distributed Link Tracking Server[适用局域网分布式链接] & v: v0 d: u* L1 ?/ ~6 J9 \
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] # |( f$ d0 h, m) H w9 s
6.IMAPI CD-Burning COM Service[管理 CD 录制]
% g/ i# l" N. O 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] + j4 E8 d/ u' \+ H! D: U+ L
8.Kerberos Key Distribution Center[授权协议登录网络]
; ~/ y" t5 i. Q8 `1 [ 9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
+ k7 a. E% `. t2 A 10.Messenger[警报]
8 E! i' V4 w6 k. g 11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] # p! y) @/ H& }
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] * o7 ]% J, j' ^5 \
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
; v( E0 s9 n3 ~& U0 N& J 14.Print Spooler[打印机服务,没有打印机就禁止吧]
. w- }" V8 Y. q/ \" f1 `3 i 15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] 2 |( M/ d+ e0 M' H' f% j" X
16.Remote Registry[使远程计算机用户修改本地注册表]
! [, Q; \6 j' Y7 }( Z& ~ 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 3 _9 k X, ]3 c* L# O$ J
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] : U. Q; _" Q- ]+ |& a4 D* R5 G
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
2 \: n! q& h5 L* a' ^! K. x 20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
4 V! T- A% q7 Y/ K 持而使用户能够共享文件 、打印和登录到网络] ) x1 A Q0 ^; @/ ~+ _" N
21.Telnet[允许远程用户登录到此计算机并运行程序]
7 M& N+ w; `6 c 22.Terminal Services[允许用户以交互方式连接到远程计算机] ' Q( s1 _1 n0 l3 {( h
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] 3 L s( W) E& O
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
# c2 y6 {5 g3 G( O) N 10、账号密码的安全原则 : J# O% v9 W8 j: \* }
首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 ' L C/ L% F1 ^2 L, R0 X/ B
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。
& ?+ t; Q1 ]" ^; N/ @ U+ N 打开管理工具—本地安全设置—密码策略:
2 U. `; ^6 E# h% E. J7 [- Y 1.密码必须符合复杂要求性.启用 ! W, r. ^# C5 Z; ~% _! r, ?
2.密码最小值.我设置的是8
9 q b1 d: l( P7 R7 r3 E 3.密码最长使用期限.我是默认设置42天
Q# p. o6 G: L/ k5 a* P1 p3 O 4.密码最短使用期限0天 ) e+ Y# {# h+ w9 U. x; }
5.强制密码历史 记住0个密码 , W$ X& n6 h2 R( u
6.用可还原的加密来存储密码 禁用 . l9 g2 ?; d8 ]0 u& X! P
11、本地策略 0 o: O+ ]% N/ A/ d/ p
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
% Z w7 ~: Z7 n! i (虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
c/ ?/ z. w# I. Z5 I' @' c3 x 打开管理工具,找到本地安全设置—本地策略—审核策略: K. \5 W3 u+ ]0 `
1.审核策略更改 成功失败
6 A% y, k+ ]2 f$ d2 i 2.审核登陆事件 成功失败
1 [) L6 G k# D6 A/ C" I5 \ 3.审核对象访问 失败
5 R$ p, j1 x/ @# n1 E 4.审核跟踪过程 无审核 : V& M! K! `4 m" c% P/ B- S2 k; O% w. x
5.审核目录服务访问 失败
. q9 t( T' C7 H& j8 I 6.审核特权使用 失败
+ {$ v$ m- ^0 ~( T4 Q6 Z+ |& O 7.审核系统事件 成功失败
% j6 Z$ S8 k; q3 ~0 J: ]" V 8.审核帐户登陆时间 成功失败 8 S3 \$ H. e; |
9.审核帐户管理 成功失败
! X( j% k) ?' O7 ^( M/ m1 O* }& [ &nb sp;然后再到管理工具找到事件查看器:
, V9 r/ K) w4 U [ 应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。 ( x( |) I* h0 m' M7 D
安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。
' L* c9 \3 ]( x 系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。
$ ]: q. B9 t! F; i4 N2 e2007-10-12 10:51:14 回复此发言
9 \' I, `3 z+ h( | 3 回复:17高招打造一道超级电脑防火墙
+ ~- ?! X: ~- D( ]9 d7 hQQJT501 12、本地安全策略
; L/ C/ p# V# B# s5 G6 f. M! E 打开管理工具,找到本地安全设置—本地策略—安全选项:
/ f$ m8 N7 e4 ~0 m 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
1 l4 p! M9 h& q# B, y1 b3 J4 G 陆的]。 ' p* ?9 T+ q& r" `5 J1 F
2.网络访问.不允许SAM帐户的匿名枚举 启用。
z3 v" `0 v- I4 E 3.网络访问.可匿名的共享 将后面的值删除。
+ U" O' G y9 p+ r7 n4 O2 | 4.网络访问.可匿名的命名管道 将后面的值删除。 5 {+ n# M+ g+ M; q+ j1 o0 R
5.网络访问.可远程访问的注册表路径 将后面的值删除。
* X# L8 O& ~. _! C8 S! S 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
. O& `7 T' C1 e 7.网络访问.限制匿名访问命名管道和共享。
: U$ o6 U4 e: j2 Y# i 8.帐户.(前面已经详细讲过拉 )。
" _* v: E2 w' g n- x$ o2 U 13、用户权限分配策略 v6 R1 L8 S' K4 c
打开管理工具,找到本地安全设置—本地策略—用户权限分配: + I( g+ o2 \& U1 O8 T$ Z% P
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 + P6 l: `2 s) T1 @
于自己的ID。
: H4 A- p! H, I% }' b 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。
R) r, T) D2 U, Q 3.拒绝从网络访问这台计算机 将ID删除。 8 l- H2 l2 X q7 _7 \: w) a2 T
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
3 n! W) P. H, U6 p! o 5.通过远端强制关机。删掉。
/ I9 |, F: ^5 a 14、终端服务配置
. j3 B& Z6 M& V- C 打开管理工具,终端服务配置: ; C: H. R2 l1 E3 a
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
! u: {" D& I( Y) E* ` 2.常规,加密级别,高,在使用标准Windows验证上点√! 7 x. Q4 z! S0 K0 `/ X# _
3.网卡,将最多连接数上设置为0。 P" C. V+ |& g* M& d5 B
4.高级,将里面的权限也删除。 * S9 Y( n; W$ S" N
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。
6 \6 ~7 ~/ S1 c8 B1 ]) y3 \; m* z- i+ V+ Y 15、用户和组策略 . J/ Z8 I& [) q0 ]& W/ M9 Q; d% J
打开管理工具,计算机管理—本地用户和组—用户: 7 D+ p+ v, H& I) U. h! p( `2 F
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
( v. N0 a5 s$ H! i2 t' p- a9 d" n 计算机管理—本地用户和组—组,组.我们就不分组了。 . H; n8 z8 |3 J6 I p
2007-10-12 10:51:33 回复此发言 1 r$ c6 c' @( L, J0 R* _1 [8 L
4 回复:17高招打造一道超级电脑防火墙
8 B; o2 i8 U* X+ t cQQJT501 12、本地安全策略
% w$ k$ U2 f' X' E; A" @* @ 打开管理工具,找到本地安全设置—本地策略—安全选项:
( N6 E* [" p9 E" `" \( Z 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
9 O8 m. L' l9 V 陆的]。 , Z5 D; y' [9 o+ V3 v( _
2.网络访问.不允许SAM帐户的匿名枚举 启用。 - m( ^) D" T! x9 P7 X7 _+ ~
3.网络访问.可匿名的共享 将后面的值删除。 + _. ^, d0 }# ]) ?6 N" F
4.网络访问.可匿名的命名管道 将后面的值删除。
) y3 {4 c/ a: D1 j2 W) l- i0 ^! l 5.网络访问.可远程访问的注册表路径 将后面的值删除。 + D* ^3 m8 Y, k# w
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
) B, ]! W2 U* j0 s1 i 7.网络访问.限制匿名访问命名管道和共享。
; C& I ? y. ?* _" c% `% V 8.帐户.(前面已经详细讲过拉 )。
4 K- m3 H& C6 H# U% f2 e, ?* ^ 13、用户权限分配策略 9 e( n8 x) i$ V3 P9 ~ F% @- M7 {
打开管理工具,找到本地安全设置—本地策略—用户权限分配: 2 p6 i( s. w" e
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属
# C) o A4 l, H( ^ 于自己的ID。
& w. V I( `$ V 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。
! W( v- B ]2 C9 u# `. R9 ` 3.拒绝从网络访问这台计算机 将ID删除。
7 I5 C/ |3 A! c- c, U. u( ?) M6 T 4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
/ R X5 A9 j/ g; W 5.通过远端强制关机。删掉。 & k$ p* s, E# f+ w6 o0 F, y! l6 k
14、终端服务配置
' ^% m' I9 k& l4 [# `9 p) P" W1 r 打开管理工具,终端服务配置:
' Z4 {4 U2 E- P& L G: o 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
/ Q/ h' W$ b. w) h: z. c% I 2.常规,加密级别,高,在使用标准Windows验证上点√! " R% ?7 F: h+ C+ y4 o9 ^
3.网卡,将最多连接数上设置为0。 9 J, ^+ }: a( I- T) R6 m
4.高级,将里面的权限也删除。 / Z5 D# R; U, F, M
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。 0 @# X7 w f4 u; v% Y
15、用户和组策略
2 K) g& G6 f& Z 打开管理工具,计算机管理—本地用户和组—用户:
" L6 Q/ s- J& ^) m% } 删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 0 J' K! h% t$ x! N% A
计算机管理—本地用户和组—组,组.我们就不分组了。 " b7 [# j N* x, M- _. K, I
VISTA的就不要尝试了9 E+ d7 B$ d3 Y8 }4 J! O
" L, ^9 a8 k/ y% j" u5 d! F1 f
|
|
雷达卡
发表于 2007-10-17 11:20:43
提升卡
抢沙发
发表于 2007-10-17 12:30:11