|
|
|
网络安全中谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
1 G+ N# _ v6 T# b (1) 被他人盗取密码; + I6 |% C# E7 w# U$ I
(2) 系统被木马攻击;
. u) o) q- j) Z (3) 浏览网页时被恶意的java scrpit程序攻击; , J$ Z7 U6 S% G, e
(4) QQ被攻击或泄漏信息; + g# _0 ]) @$ ?
(5) 病毒感染; 9 f( \* m$ W& @
(6) 系统存在漏洞使他人攻击自己。 . B, o0 Y' N2 [
(7) 黑客的恶意攻击。
, a% c& R) y: y P3 l6 j# V 下面我们就来看看通过什么样的手段来更有效的防范攻击。 " ]$ ~% _' {: J6 Y1 g9 C
1.察看本地共享资源
. S3 y3 M; M& i" l. u6 |% S" }6 [ 运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
- l; Q, X6 N1 l/ J 2.删除共享(每次输入一个) 2 H# d# ]0 X, W0 m- n0 _( ~
net share admin$ /delete . c' U% g" O) M1 D" f E) w
net share c$ /delete
" R# w1 p: U& q9 e- i. ~. ? net share d$ /delete(如果有e,f,……可以继续删除)
) P$ Q9 F2 S4 O2 l, S 3.删除ipc$空连接 8 G& B, P5 n0 g' F1 f
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
7 t# F" H. N+ E2 h$ H% r7 W/ ~2 i: } 4.关闭自己的139端口,Ipc和RPC漏洞存在于此
3 X, @# q& t& B `+ o 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
. X% e# m4 x& Z5 J6 v$ {8 K5 j; \. F 5.防止Rpc漏洞
! k% O1 E& }# p 打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 - `9 }4 I0 I: [' @/ d
Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。
w) a7 W5 c( L 6.445端口的关闭
1 D, I; W. s9 l- V3 G 修改注册表,添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。 , t4 L, b; b. ~
7.3389的关闭
3 d$ E' ?6 B* N; P6 } [ WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
6 z; k, g! c# g D& i& w9 t Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) 0 e1 W) m6 o& \% D8 g5 i' f
使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
' m9 Y2 ?& P0 t 8.4899的防范
5 u% @% o7 h# k4 I' b5 K, w 网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
- E( i/ g' k' _, T 4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
: U' T3 L; z3 Y0 b 所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 7 j s% o( T1 P* s: K' }9 k
2007-10-12 10:50:41 回复此发言 l+ x/ o$ ]3 h- i
2 回复:17高招打造一道超级电脑防火墙 ( P F0 G5 }$ n' {+ o$ `9 }* W
QQJT501 9、禁用服务 0 l, x! j m1 B( f# P! q0 I3 F
打开控制面板,进入管理工具——服务,关闭以下服务:
# j) g& e/ L2 D4 o! h) |" `% K 1.Alerter[通知选定的用户和计算机管理警报] ' A7 J% Q/ J& A. ^4 K
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
( E+ G) {3 z/ j 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无 ; D' X" I. d9 q" {) V! p
法访问共享
% \/ M( d% r2 ]0 z. g6 o 4.Distributed Link Tracking Server[适用局域网分布式链接]
" Z+ e) j9 C. i( n- s+ W) P6 \ 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
% L! q- d# f% K5 p# n) S0 j# j 6.IMAPI CD-Burning COM Service[管理 CD 录制] * T4 }% m" L/ h
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] ! O x( b+ _8 |7 s3 H
8.Kerberos Key Distribution Center[授权协议登录网络] ! ^; M! b' f, P
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 4 o9 S3 _# n: @. F _( m+ u
10.Messenger[警报]
' a0 }. s; ^/ v) r2 R6 Q 11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
0 M2 Y9 n. K1 F! Q& l6 }/ ?2 B 12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 7 T8 z: c2 U, a* o1 \- U! U
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
/ o* a; G# b2 A4 L 14.Print Spooler[打印机服务,没有打印机就禁止吧] # M6 p @/ o) i) u: D& C/ `& C b
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] + ]+ m$ v) h" _- a; h1 i
16.Remote Registry[使远程计算机用户修改本地注册表]
5 L+ V. B3 v2 I2 D. m* Y: _) Z 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
0 M: l& C5 @+ m, o 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] / q" |" {0 @' L) ~% z1 k1 x
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
# O7 @# Z, @& N; b2 A 20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支 3 Z g4 Z6 g: @2 P, L$ Z
持而使用户能够共享文件 、打印和登录到网络] 4 z: B$ y X* U" J ^) j$ ^
21.Telnet[允许远程用户登录到此计算机并运行程序]
; I9 D/ q4 `- j 22.Terminal Services[允许用户以交互方式连接到远程计算机] 2 O$ s; R( a9 Y& s8 s3 {- ?4 s
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
4 Y k- u0 T0 S8 f0 Q0 h: _ 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
* e: ?2 Z: i% f4 w8 V8 Y! Y! u& o8 q' ? 10、账号密码的安全原则 / E7 v1 M0 f2 e( @. G
首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 ! c3 U: L0 `3 Z! o' j1 U1 U' E
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。
: u: f+ o; h8 A" Y, V. D2 y- y, ? 打开管理工具—本地安全设置—密码策略:
' B& Y9 \9 ^# i7 \2 f 1.密码必须符合复杂要求性.启用
, |8 K$ |" m3 E, z7 _$ q$ N 2.密码最小值.我设置的是8
) d/ L8 J6 p6 w4 ?* o8 Y: m 3.密码最长使用期限.我是默认设置42天
% b8 p4 l x- x4 n/ H% u 4.密码最短使用期限0天
: e( e8 x' N1 H# n* H, x: ~# U 5.强制密码历史 记住0个密码 # p1 Y- b7 O- w+ L1 C9 Z0 f1 A
6.用可还原的加密来存储密码 禁用 ( m2 D0 Z: F9 E: l; c6 q+ m) e
11、本地策略 ! f1 y, K* j; N }/ g+ v/ l
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 - d$ X- U0 h) G% l9 f& a2 \
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
# H' o7 ~6 f& O 打开管理工具,找到本地安全设置—本地策略—审核策略:
1 p+ A0 v4 G! k+ A! a8 y 1.审核策略更改 成功失败
7 C5 Y$ |. C& |" V 2.审核登陆事件 成功失败
" O+ v) U. A( { b+ q( Z 3.审核对象访问 失败
/ R- d" Y1 J3 d; U 4.审核跟踪过程 无审核 7 b Y( g- ~# a% C2 P5 _
5.审核目录服务访问 失败 ; ^ E U; s; k+ ?( @: X2 Q
6.审核特权使用 失败 * M5 `0 r9 q! {6 j# E0 e
7.审核系统事件 成功失败 7 M/ a1 S/ k* C6 X3 U
8.审核帐户登陆时间 成功失败
" Y6 a3 ~( o6 _) {5 w 9.审核帐户管理 成功失败 ; T9 R) }# Z( c$ O7 d; Y
&nb sp;然后再到管理工具找到事件查看器:
- A$ H9 }$ E9 X* @ 应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。 & c6 o# q, v) k0 c9 Y: u- a" f
安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。 * ~( C" t* Q/ G* {; {6 D
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。
( f& u& x/ E& i, N G$ h2007-10-12 10:51:14 回复此发言
# F& L0 x4 j% a5 F, b/ i3 f 3 回复:17高招打造一道超级电脑防火墙
/ b8 I* ?( w6 Q# h0 hQQJT501 12、本地安全策略 % S" b5 p$ G6 \+ s) X0 S
打开管理工具,找到本地安全设置—本地策略—安全选项: . M! V( V% H! V8 k2 h" e
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
$ ?2 k6 ^ i0 I9 A0 T 陆的]。
: v# Y' F% v- P4 y4 ?+ U 2.网络访问.不允许SAM帐户的匿名枚举 启用。
" P z& N' s+ n; w' ?2 Q P 3.网络访问.可匿名的共享 将后面的值删除。
0 Z0 J/ B! Y( N9 n2 J/ b; [ 4.网络访问.可匿名的命名管道 将后面的值删除。
# m3 R8 M8 @& [. ~! w1 L 5.网络访问.可远程访问的注册表路径 将后面的值删除。 , r8 P/ R B1 g. x i
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
# R W9 E7 D/ R" g8 M, u1 M 7.网络访问.限制匿名访问命名管道和共享。 ( E5 ^' u3 T/ ~ s) e; ^4 e
8.帐户.(前面已经详细讲过拉 )。 + E6 x2 p* h$ V2 D0 P" B
13、用户权限分配策略 3 ^( k5 o: D6 ^, V2 I% V
打开管理工具,找到本地安全设置—本地策略—用户权限分配: ' U; s" Z9 `9 @- L* X, j) B2 A$ m
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属
' U; y% w+ a' u* v 于自己的ID。
# ?3 U' E5 B. f0 Q4 `5 ` 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 4 N3 n7 w% K) E& o$ q: B6 x3 n
3.拒绝从网络访问这台计算机 将ID删除。
, V3 ?/ v" U6 o# E5 P# d1 n: Q 4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
2 p% A6 A3 u7 n" | 5.通过远端强制关机。删掉。 - F- B. b7 z V1 M" X
14、终端服务配置
" N, o* k2 K" j- c 打开管理工具,终端服务配置: % f( b, H/ |0 c$ z# ^7 e( r
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
/ u( ~9 S9 N8 \1 y! C2 T# ? 2.常规,加密级别,高,在使用标准Windows验证上点√!
X9 W' j# ?" Y0 Y" H# L+ D5 T7 h 3.网卡,将最多连接数上设置为0。 ! C0 l7 \; y8 w( ^5 c- ?
4.高级,将里面的权限也删除。
" G4 v& `- E, M 再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。 : [5 C4 A# r! x
15、用户和组策略
8 O; ?1 a5 w% b 打开管理工具,计算机管理—本地用户和组—用户: 7 j, ?3 O( ]9 b8 k0 r( j
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 4 l; C) Q$ [+ x5 S
计算机管理—本地用户和组—组,组.我们就不分组了。
% l8 m( x3 z- h6 W1 {( k0 Q7 k2007-10-12 10:51:33 回复此发言 ^7 A s! P; G2 T( Z
4 回复:17高招打造一道超级电脑防火墙 1 p4 G! ]9 u0 a
QQJT501 12、本地安全策略 & n) T" H7 Z5 O2 s
打开管理工具,找到本地安全设置—本地策略—安全选项: ( n+ t0 r6 P6 p0 t
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登
, X' M% h M9 T( f5 K5 `5 h8 c' L1 j 陆的]。 , g3 C' o1 V1 e9 |
2.网络访问.不允许SAM帐户的匿名枚举 启用。 ! r( R- ]/ P/ R+ d
3.网络访问.可匿名的共享 将后面的值删除。 ) f) A5 V% V% Z: r8 ?& B
4.网络访问.可匿名的命名管道 将后面的值删除。 % c# H5 S( L! F* L1 y. O
5.网络访问.可远程访问的注册表路径 将后面的值删除。 3 a1 W& J. o8 l2 M. B
6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 7 {" K; q; Q* U; @1 |1 d; F$ }
7.网络访问.限制匿名访问命名管道和共享。
& c+ U* k; J, r" O 8.帐户.(前面已经详细讲过拉 )。 3 k$ L! q% y. H0 a, f
13、用户权限分配策略
; K+ X" ~% c! N* y 打开管理工具,找到本地安全设置—本地策略—用户权限分配: * {& n X) s7 q5 p, |( J& U( x
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 : Q& [7 p. U. ~8 F! U
于自己的ID。
8 U9 H- {0 f+ j0 y 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 & B" s. [2 o( n* c! z; d! ~
3.拒绝从网络访问这台计算机 将ID删除。 $ A9 d/ i3 w* c
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。 ( f9 J! z3 F* m
5.通过远端强制关机。删掉。
. Y! k( \: P) ?( P 14、终端服务配置 : M5 F2 z/ m |2 B: T6 v
打开管理工具,终端服务配置:
$ W( Q1 B) y. T _$ e+ D( ~; T 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
$ ?- t- O) S2 x$ s, a 2.常规,加密级别,高,在使用标准Windows验证上点√!
6 q; `7 G1 y: D: V) |1 c 3.网卡,将最多连接数上设置为0。
' Q/ n7 s8 a8 W- ?; H3 s 4.高级,将里面的权限也删除。 6 e {0 H# `; [* ?1 J8 x
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。
2 G; V z5 |# [) Z! V' ~0 L m 15、用户和组策略 : Z7 ?( y% g7 ^
打开管理工具,计算机管理—本地用户和组—用户:
- Q0 A# g9 w# @" n# F. o; X 删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。
& @1 V0 }, T- h, o* ] 计算机管理—本地用户和组—组,组.我们就不分组了。
) s* ]& m0 ^# FVISTA的就不要尝试了
3 Q' g% m( E' y5 Y3 h6 U3 i% U8 s7 |
|
|
雷达卡
发表于 2007-10-17 11:20:43
提升卡
抢沙发
发表于 2007-10-17 12:30:11