|
|
|
网络安全中谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
; |7 o$ I5 j6 k' x+ b2 J* s j (1) 被他人盗取密码;
2 H* Q/ s* n9 r3 v/ c! q9 l (2) 系统被木马攻击;
' |0 U9 @. v% D (3) 浏览网页时被恶意的java scrpit程序攻击;
% X7 N, O* S7 c* `( x (4) QQ被攻击或泄漏信息; # M x6 b$ u7 q# \3 x* E
(5) 病毒感染;
+ _/ i( r$ K* Y6 h& w (6) 系统存在漏洞使他人攻击自己。
& u# e* K3 f4 N2 I8 d6 ^6 g (7) 黑客的恶意攻击。
% d" W/ m" V" g) G 下面我们就来看看通过什么样的手段来更有效的防范攻击。 " k: E% u$ j! k
1.察看本地共享资源 , _/ r P/ ^1 C% {. N+ w4 a
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 # P/ g* e Q8 K" _
2.删除共享(每次输入一个) % n( F8 ^& a- @
net share admin$ /delete $ X/ j& x1 M5 A, K5 s
net share c$ /delete
2 a: G% I, s* R1 e" p net share d$ /delete(如果有e,f,……可以继续删除)
8 i. V# H$ g+ @+ [ 3.删除ipc$空连接
7 A/ F+ f6 Q9 b6 ] 在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
/ A7 _& t1 m8 n M$ g* [% { 4.关闭自己的139端口,Ipc和RPC漏洞存在于此
$ a- h+ ^9 h, Q9 Q; } 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 ( F8 Q0 ?1 V5 _3 g6 e
5.防止Rpc漏洞 0 ?2 R: N, @. y V$ p/ ~7 N% j6 W
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
: Z- q6 X& ^+ m2 h Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。
1 r: D5 W; M; g' s6 Q" C' s; B 6.445端口的关闭 . B! }* U- z, |
修改注册表,添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
1 L( H$ X+ X; A+ I5 {8 k8 |8 N6 e 7.3389的关闭 3 C8 B$ M# p3 E# ~5 u' K7 B
WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
I; u2 G7 y E* r' ?1 V7 |# q( C Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
: y( x( d5 o( u* k4 c" C3 x 使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
. h) @0 v) F+ e8 x; c1 { 8.4899的防范
; ]1 W6 j' u* I( R' l" X/ `+ k 网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 ! W. v4 @: |, g8 c- Z, u! K
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 3 h/ [9 Y* i) n: \1 G& C
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
1 J4 W0 p2 t* q% ~; q; O" d2007-10-12 10:50:41 回复此发言 ! \6 }- N/ s3 A, b
2 回复:17高招打造一道超级电脑防火墙
% A- T9 j; {: m" N# DQQJT501 9、禁用服务 $ o) B Y) e) y: l+ `& _/ K) F
打开控制面板,进入管理工具——服务,关闭以下服务:
, F9 v/ `! i- w1 \3 }6 a 1.Alerter[通知选定的用户和计算机管理警报] ! G% m; l: |4 d6 K3 l
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 8 P, G+ |0 S5 E6 v7 v
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无 " k3 ~4 V5 u7 C$ `- z" `3 @
法访问共享 % b7 q4 J8 ^* u/ o: M% a
4.Distributed Link Tracking Server[适用局域网分布式链接] ) y/ h, `6 C4 m5 t( p1 h" d }$ E3 ^
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] # P. k+ C" _1 n: E! w$ H
6.IMAPI CD-Burning COM Service[管理 CD 录制] 3 b- D' o- w4 O; W1 l* R; c
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 2 H" x9 N% y) Z% z/ N: |
8.Kerberos Key Distribution Center[授权协议登录网络]
9 ~: F' u/ ~) G( \ 9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
' u4 F* T$ K3 o7 n- F& }# P5 K 10.Messenger[警报]
! P; r# ] h2 y" `+ |% |$ v# q, z 11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
& c: s1 U v9 L" R7 w 12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
" _7 h. k/ t; r! L" _- M3 _& F 13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] 3 I+ i7 A& ~' D- [
14.Print Spooler[打印机服务,没有打印机就禁止吧] ; f% C! b) s2 K% V+ I
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] 2 G$ [+ {" I1 I* [, z! O! A
16.Remote Registry[使远程计算机用户修改本地注册表]
0 \ I% p0 s3 p# `0 X 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 9 E6 n! {. D$ V0 d) k2 s8 r
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 3 g7 I) K5 C* }% l. H
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] : x! o; w3 q c# {5 {. I
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支 9 i. M. |1 P- j2 M" M9 Q" S1 h& q
持而使用户能够共享文件 、打印和登录到网络]
0 `, K- v: {" v: X, J5 u- ] 21.Telnet[允许远程用户登录到此计算机并运行程序] 7 K8 u9 b. G! Z! ^ q+ Q7 Y
22.Terminal Services[允许用户以交互方式连接到远程计算机]
6 b7 l% L4 }7 H5 ]' m M 23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] 1 ^5 O8 t( _6 b* Q5 Q9 E
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 6 a+ i2 ]5 B! k/ |
10、账号密码的安全原则
& `' h' A% n- L" v5 | 首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。
$ L8 |6 K- a! a7 H0 R( R" B5 y- m 如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。
$ \6 S, ?; O; {+ n$ i: N/ p 打开管理工具—本地安全设置—密码策略:
/ y4 Q) t3 }+ T$ y 1.密码必须符合复杂要求性.启用
+ H8 [ [; j' e6 |3 E 2.密码最小值.我设置的是8
& E: r* H( |, w1 e: {. N% a 3.密码最长使用期限.我是默认设置42天 : W- W+ M3 G4 n: ?" d
4.密码最短使用期限0天 % \. Z, |. Y/ e0 p
5.强制密码历史 记住0个密码
0 `8 g d$ m9 G Y 6.用可还原的加密来存储密码 禁用 - e C2 W; t; Z0 W3 {2 L8 c8 S3 P4 {6 ?
11、本地策略
$ a: X# m* [* s& f [5 @, Q 这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 5 H( N2 \: b7 c& `2 A+ a+ F+ U
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
8 l5 X2 S, X3 p) z9 \' C' O 打开管理工具,找到本地安全设置—本地策略—审核策略: / i) I! ~& s7 j) Q( S K" z' _9 L& L8 }
1.审核策略更改 成功失败
# X( @9 M3 U4 n6 J7 S4 T 2.审核登陆事件 成功失败 . p/ t: E$ w" W0 g+ l- d
3.审核对象访问 失败
; Q9 Q9 k' v+ J' N4 F# A5 O 4.审核跟踪过程 无审核
/ H4 N( U1 [# C) d 5.审核目录服务访问 失败 ; u# F. H+ ?# U+ ~- _/ [" d( p" s
6.审核特权使用 失败
W$ T/ Z3 O3 m8 M2 P5 m6 O 7.审核系统事件 成功失败 7 L; H. d* G$ x# o8 q) v6 N& C
8.审核帐户登陆时间 成功失败 - }( n& c# [; j. k9 W& D$ `
9.审核帐户管理 成功失败 . p( f1 l- v$ c l
&nb sp;然后再到管理工具找到事件查看器: + V& a( H" U+ ~/ {
应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。
+ x k2 u* A+ g* W 安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。
; |( v) S9 e$ s( f, A( A8 u$ \ 系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。
9 ?2 U9 ~7 i0 H0 X; Z* D2007-10-12 10:51:14 回复此发言
2 c I) }3 I; ^# g7 a- N 3 回复:17高招打造一道超级电脑防火墙
( }3 O. s' Z1 [% n" S* ~; `QQJT501 12、本地安全策略 " [, ^: i9 P2 D6 b# W1 [
打开管理工具,找到本地安全设置—本地策略—安全选项: . w+ c; C, f$ C! f$ M, _
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登 : g8 V8 z, J7 L" {/ O
陆的]。
a: i9 Y( y# L: {- C( X6 K2 ^! F 2.网络访问.不允许SAM帐户的匿名枚举 启用。
5 v0 H9 `" X$ T8 y6 V$ M6 H 3.网络访问.可匿名的共享 将后面的值删除。
( b0 {% F0 f) P# ^; p& Q0 ] 4.网络访问.可匿名的命名管道 将后面的值删除。
/ `3 x1 A8 }4 i8 ^ 5.网络访问.可远程访问的注册表路径 将后面的值删除。
! ^" l, O% }# c1 | 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
# E6 ^& z( E& F- l 7.网络访问.限制匿名访问命名管道和共享。 7 R% h$ i1 K) q% j7 o3 g
8.帐户.(前面已经详细讲过拉 )。
% m. }' K1 z, G, ` ^ 13、用户权限分配策略 $ b: o0 q6 c4 B# r) [
打开管理工具,找到本地安全设置—本地策略—用户权限分配:
' q! q9 V( M% y: k1 N' p 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属
/ {: A6 N" p% i" H/ v9 W 于自己的ID。 6 c. f6 \. y3 K0 J* X) S8 a* j
2.从远程系统强制关机,Admin帐户也删除,一个都不留 。 1 D& A7 a2 T: k3 X3 ~, c
3.拒绝从网络访问这台计算机 将ID删除。 : L, U1 }8 g9 U8 r' _9 B
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
) p, O5 ~; ^! l3 Y9 Y$ ?0 X 5.通过远端强制关机。删掉。
1 n6 a" ^6 Z7 K% w' k6 p 14、终端服务配置 # }2 X) o" k! g8 R2 a' f
打开管理工具,终端服务配置:
" b5 X) A3 S) `' [ h 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
: ?( G/ r% v' K: K m. _- R 2.常规,加密级别,高,在使用标准Windows验证上点√!
# J. }9 V4 W$ L9 ? 3.网卡,将最多连接数上设置为0。
1 y1 a/ `0 b3 H3 p8 E 4.高级,将里面的权限也删除。 3 `. g1 X/ I4 h( L' W; W
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。
" g" `5 \9 [+ _ W' z! l 15、用户和组策略
) i+ ?% }7 l/ q6 Y4 w7 i 打开管理工具,计算机管理—本地用户和组—用户: ' L' L! @/ s8 p7 w7 w9 A+ n; b
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 ) T$ c m b4 M3 U) k* T
计算机管理—本地用户和组—组,组.我们就不分组了。 4 N! K0 Q- P$ ^0 y, X
2007-10-12 10:51:33 回复此发言
C5 |# ?6 {( E8 t) G$ W8 c 4 回复:17高招打造一道超级电脑防火墙
0 B F3 S/ J% @) A: E0 S2 k9 [QQJT501 12、本地安全策略
: ]# N5 f4 Z2 [ n 打开管理工具,找到本地安全设置—本地策略—安全选项:
/ U+ G5 W/ L4 ] e/ o6 T! [' U- d 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登 5 ?3 L3 T( V4 q" a |5 ~
陆的]。
3 D4 v9 r1 s/ \' @/ g 2.网络访问.不允许SAM帐户的匿名枚举 启用。
/ F- X9 C/ p% h; i( [1 y2 b3 j" Y 3.网络访问.可匿名的共享 将后面的值删除。 5 N0 w+ Q4 H7 b# W3 U/ t; k* I2 @; b
4.网络访问.可匿名的命名管道 将后面的值删除。
$ G& x' f0 r5 o6 k( C' n 5.网络访问.可远程访问的注册表路径 将后面的值删除。
1 x k2 q/ l) P8 U5 v0 a8 c4 w ~ 6.网络访问.可远程访问的注册表的子路径 将后面的值删除。 Z" Z$ ^5 R* V8 @1 s: H( ^
7.网络访问.限制匿名访问命名管道和共享。
Y4 q8 H- ? } 8.帐户.(前面已经详细讲过拉 )。
( S' @, N7 a9 N2 v" x1 u 13、用户权限分配策略
9 {6 T! u! [% q7 K 打开管理工具,找到本地安全设置—本地策略—用户权限分配:
r5 V4 g; x. Q: u* l Y 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属 3 s2 L L. h1 M9 W1 O3 B8 f
于自己的ID。
# F( |& v+ W1 \! j; q0 T 2.从远程系统强制关机,Admin帐户也删除,一个都不留 。
& h+ ]) ]( D( H) ^; h 3.拒绝从网络访问这台计算机 将ID删除。 6 S. b) Z. `5 y6 T; n0 W
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务。
% V8 O. u/ K' p 5.通过远端强制关机。删掉。
5 S: m* ^6 ^$ A0 l9 ~ 14、终端服务配置 Y1 o" {2 k3 x8 B, a
打开管理工具,终端服务配置:
' M- p/ }. E0 P( b 1.打开后,点连接,右键,属性,远程控制,点不允许远程控制。
& P8 C: x0 z, f: F: P6 R 2.常规,加密级别,高,在使用标准Windows验证上点√!
1 f0 A, q0 e$ l7 x. V8 }1 K 3.网卡,将最多连接数上设置为0。 # G) R c. P; k3 f% S$ U) F
4.高级,将里面的权限也删除。 " ], @, R4 E+ W9 Z# `. n7 y
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话。
8 y, \. R& }2 ~8 z T; C 15、用户和组策略 4 V7 s6 E9 j1 {
打开管理工具,计算机管理—本地用户和组—用户: 9 [& X8 ?; P1 f h; m# h) f
删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 * Y1 r9 @* e; b! Q, j) m5 a% w
计算机管理—本地用户和组—组,组.我们就不分组了。
8 X2 K) V4 ~; } z2 o& ]; d8 jVISTA的就不要尝试了+ Z2 L9 ^3 D6 Y0 s+ p4 e
4 |& u$ A5 `# i) e |
|
雷达卡
发表于 2007-10-17 11:20:43
提升卡
抢沙发
发表于 2007-10-17 12:30:11