|
|
个人电脑常见的被入侵方式:
/ f- `8 {1 G: y( u1 `: B6 Z6 Q' }谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: 5 m7 y m& i/ N
(1) 被他人盗取密码; % V7 R _. w% S( X' r' X% d" C
(2) 系统被木马攻击;
* R6 S4 s% \9 S2 y! ~5 B(3) 浏览网页时被恶意的java scrpit程序攻击;
) F) T6 V2 p B: U; u4 n8 v' \3 N1 n(4) QQ被攻击或泄漏信息; 8 J+ a: Y0 y1 k0 g5 v: F7 {! Y0 B* H- l
(5) 病毒感染;
% t& q f; W+ l( e; D) t(6) 系统存在漏洞使他人攻击自己。 * ^- _7 B% T. V+ g; N r4 n
(7) 黑客的恶意攻击。
8 D* X& h2 I) j( o& _下面我们就来看看通过什么样的手段来更有效的防范攻击。
! a" w2 y2 s2 c; a$ R1 k' x2 n" R J! W1.察看本地共享资源
* H8 L2 N4 J5 S7 V/ Z, P运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
5 W) g& Q* V2 g) _9 R2.删除共享(每次输入一个) ' t3 w5 L* g" @7 X$ E4 b
net share admin$ /delete 8 g2 j H# k% T8 V, M7 K# C
net share c$ /delete 9 t: j$ u: m! z6 @
net share d$ /delete(如果有e,f,……可以继续删除)
* B! X8 v( ~6 ?9 l3.删除ipc$空连接
( I/ J7 E: b3 {6 \在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 1 \. [# e5 S5 ]4 B3 o* o3 S
4.关闭自己的139端口,ipc和RPC漏洞存在于此。 3 _9 U- G; A7 Y9 Q# }) |! X- O
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
: @* q: P" ^. b7 `$ B5.防止rpc漏洞 ! n" f1 ?8 [8 @# X6 f
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
+ b! q3 Q; H/ W, u t9 Q% zXP SP2和2000 pro sp4,均不存在该漏洞。( G, ^: Y2 o. \! V7 t7 c
6.445端口的关闭 * T2 D# `2 J, P; P2 D$ _
修改注册表,添加一个键值
8 X# r. C. u5 h9 P0 m' I5 \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 ' v* b3 r' _* s1 N9 ~' C+ l6 |
7.3389的关闭
3 ^( e6 q* I( L' s8 P h1 A* _XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
! y$ q6 Z4 U3 q8 {; w% D" I: n3 _- uWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) # X `5 Q" U- d8 _ q- x2 |/ }
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
: n+ H$ X* D5 h1 e' G8.4899的防范 N" W' @) \- z* k8 P
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
7 g( j+ Y* b) [! v1 @6 }4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 % Z- G. P) ~# r9 \4 D$ m, n
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
7 Z& g% v6 b4 N! R9、禁用服务 z! D s' T1 f6 Z4 Q {- D
打开控制面板,进入管理工具——服务,关闭以下服务 , L8 S9 P7 b8 o+ ^7 x( F8 M3 P
1.Alerter[通知选定的用户和计算机管理警报] 7 ~+ @' r0 u f
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] : d4 g' H3 _: h! j h7 k
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
& a! v' I- |+ P: K1 L* s4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务] 3 @3 L2 W7 S8 P
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] . o# ~) o1 A# O9 p8 @3 x' |
6.IMAPI CD-Burning COM Service[管理 CD 录制]
+ \) l- k( Y( g9 h1 a7 l6 q5 o0 r4 E0 @7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] ) j1 u% m0 h# e8 g1 t8 a4 ?3 v1 L
8.Kerberos Key Distribution Center[授权协议登录网络]
( d/ J4 P" z3 X4 W2 y& w9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 0 H! Y6 e9 ^) }
10.Messenger[警报] + K+ P2 W1 ~/ {1 ?; a$ L9 p
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
1 M! E2 U% Z ~! }, B; B; B4 o& M12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
" V* i: p& z1 n13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] ' c' w" L( f& ]4 M$ b! w J; \
14.Print Spooler[打印机服务,没有打印机就禁止吧]
+ X7 x. ~/ W" ]! j15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
6 @+ k# b" o& ?) T6 u; A1 Y16.Remote Registry[使远程计算机用户修改本地注册表] . K7 X t. v& u# N6 T) A; y5 M
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
) C+ f3 `4 x* x: d* ~! X18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 2 Q+ n; d K7 p( W
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
: a" m: u3 ~0 m7 F8 u/ V20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] . W& y# I' H+ u
21.Telnet[允许远程用户登录到此计算机并运行程序]
3 ?) E6 P3 X; Z4 Q22.Terminal Services[允许用户以交互方式连接到远程计算机]
/ ]8 d8 s) B; R+ l' h& @1 ?$ i23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] " @/ k9 V% a V$ h$ p+ }$ a
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
# J# I0 l, c K; c# d+ v/ J10、账号密码的安全原则 , s5 z3 R |7 u" a6 D6 O0 C
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~) - b2 O1 P% w$ Q
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
$ j3 w J: R( e! f6 F( Y/ s9 o! S& N9 Y打开管理工具.本地安全设置.密码策略 0 A# q# H0 D+ e- ?" }
: \8 ~( b3 m: I# Y* o5 J% C$ ~" H( Y
% j. g) Y0 w: V d! C: y1 U8 J( `1.密码必须符合复杂要求性.启用 y! r# v4 |3 A: |9 ]( Y u9 f
2.密码最小值.我设置的是8 # o0 y# x1 g* [
3.密码最长使用期限.我是默认设置42天 0 ?9 ~! D- N7 {8 T
4.密码最短使用期限0天
/ e0 U, h9 \8 H* Q+ x5.强制密码历史 记住0个密码 1 h7 [, S2 s, r3 C0 }+ Y4 t) I+ o
6.用可还原的加密来存储密码 禁用0 G' I. q1 z, F, g* [# m
11、本地策略:
+ p ~1 ^" b/ P6 D, Y这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
z; N7 z3 \2 R2 ]6 B: F(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) 0 v' N1 p2 F) z) `# M
打开管理工具 2 y, V8 e9 l; D* z+ S
找到本地安全设置.本地策略.审核策略 / [. a6 Y# A, }. a" B7 V- _% p
1.审核策略更改 成功失败 # B, |1 H1 G; {$ @, F# t- b
2.审核登入事件 成功失败 8 E7 E. }9 k' O; V; y! S
3.审核对象访问 失败 0 b2 I4 q: r* b$ ]* ^
4.审核跟踪过程 无审核 , @0 d; d7 t+ m6 Q- e! v Q# @
5.审核目录服务访问 失败 ; |( w' H$ M Q8 O" R" M. g
6.审核特权使用 失败 1 W" b# `' ^6 i& v
7.审核系统事件 成功失败 $ e4 ?8 L9 t$ H+ C2 A
8.审核帐户登陆时间 成功失败 ' h( W% p8 l* o3 U) u' K* i
9.审核帐户管理 成功失败 * N( u- D7 n* e3 r3 i2 z* K9 o" j
然后再到管理工具找到
! o! x5 e4 t& _2 f+ q- A j" O事件查看器 g: h; n1 e3 O. p) p8 s
应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
9 I3 T+ K. \8 d安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 {* R; F& x% K7 x+ A- f
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 / ^! p( L$ e& l i4 D
12、本地安全策略:
6 U, q/ V1 @2 X3 H* `& D! O- p% b$ R打开管理工具
( L+ @( z6 Y1 V/ D- \* C2 l$ j& N, a找到本地安全设置.本地策略.安全选项
$ m- W4 |2 k& E1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
, G: `# g6 F. Y, d* r2.网络访问.不允许SAM帐户的匿名枚举 启用
4 H+ v& P) @' g7 I% @6 v$ l: d3.网络访问.可匿名的共享 将后面的值删除
, \- Z. {. e0 g4.网络访问.可匿名的命名管道 将后面的值删除
' R9 k4 p& w3 c* A6 ~5.网络访问.可远程访问的注册表路径 将后面的值删除
! L2 }( ~+ `3 i+ [6.网络访问.可远程访问的注册表的子路径 将后面的值删除 ; ~, n3 G$ T% P& p' U, [7 y
7.网络访问.限制匿名访问命名管道和共享
) M2 m: Q0 S* ~' {) J* S! {8.帐户.(前面已经详细讲过)
) a4 w4 L0 K+ i: L! H13、用户权限分配策略:
( e3 v+ K. f" V1 B1 L& p打开管理工具 5 |) D* T8 K: m3 h/ Z" b3 e
找到本地安全设置.本地策略.用户权限分配
" T; V! u$ m. k1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
: r8 t- A0 }/ G7 ?" Y2.从远程系统强制关机,Admin帐户也删除,一个都不留 ! _6 f8 x5 M! o+ M0 O* T' O6 H
3.拒绝从网络访问这台计算机 将ID删除
( i# m0 J# q1 i% z4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 4 U2 h8 T6 ~5 t
5.通过远端强制关机。删掉 , H+ D5 r" z- t, @- N6 c1 _0 F; a
14、终端服务配置
# X- V- ]5 L7 M; ?9 N打开管理工具
$ x; I% E+ s t& a% n! U3 v终端服务配置
- \9 p5 q) A5 J3 F$ d% I) @1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
, j5 y, v4 F' z& `2.常规,加密级别,高,在使用标准Windows验证上点√! + A8 E% r- {- u. H' H
3.网卡,将最多连接数上设置为0 - O6 k* o5 @; D; P
4.高级,将里面的权限也删除.[我没设置]
4 g; V( `8 @! A. Z! e0 c! l8 ]再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话" l* A2 i3 H% z* a# h6 u
15、用户和组策略
( \, t# L' S' B7 \' | \5 T- |* W7 O0 |
打开管理工具 # ^0 `! X1 S+ w; M+ y, j4 G3 X
计算机管理.本地用户和组.用户;
. w3 q O0 z1 S" ]; V删除Support_388945a0用户等等 3 y" m- u# X" ?6 f
只留下你更改好名字的adminisrator权限
( D" o3 ?( r8 X0 m5 W计算机管理.本地用户和组.组 / r" S) I2 k& [& ?1 ~' k
组.我们就不分组了,每必要把
" V: l4 V3 ]- S- N6 O16、自己动手DIY在本地策略的安全选项
; g' ?+ p+ d! Z. \: Q! I1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
6 n! t/ k A0 e& M7 |& |2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
/ M" I# c) P# q) r- d% c3 i3)对匿名连接的额外限制
) V% w( }$ a9 O; H9 T( D% y7 {& S7 x7 B4)禁止按 alt+CRTl +del(没必要)
4 ~1 |+ a! V7 [5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动] 3 T9 i0 C: w8 B
6)只有本地登陆用户才能访问CD-ROM
+ N8 J; E. g; {0 U' |9 K7)只有本地登陆用户才能访问软驱 3 L$ Z8 Q& [" p/ u1 J7 s( [. O- A
8)取消关机原因的提示 1 I2 ]1 Y. s& `& c# |3 N
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
; u+ v! m" A: I' e0 t# E8 S: _B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; P& D b5 I' t* L3 S
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; " m$ ?' W3 O9 ]( W* a$ g; Y w7 B
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
6 _8 \* p3 e/ Q* K& Y g9)禁止关机事件跟踪
, a9 G$ ] M+ B' \开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 * _/ F6 V7 P& y- b
17、常见端口的介绍
1 Y. `* G/ r+ r# E! R( N3 o0 ~+ BTCP 8 l% h6 j3 d, }( {0 f% Y9 }
21 FTP ' m6 M- a/ A" ]% ^. ?1 r+ s
22 SSH + L9 t. u) Z7 c- H" ]
23 TELNET
! S% o7 a+ } j6 T+ p" l8 c3 V& K25 TCP SMTP
q1 T* s7 O6 P% h: ?/ t7 I1 d! f53 TCP DNS % d; s5 k, W' b; E# C+ Q! z1 i( z
80 HTTP : @1 [+ h4 V" b6 T. Q. G
135epmap
0 n3 X4 l1 C& p4 i' x138[冲击波]
0 r' W: D7 K9 N' d- l139smb
5 F0 D/ E0 T/ a0 {; ~" w' l) H445
: P& y" e4 T" Y, M2 u1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b 6 ? M0 A% g2 {# B" m9 Q
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
' p0 ?: J7 S+ B1433 TCP SQL SERVER
+ r1 M# s0 H' D$ Z6 f5631 TCP PCANYWHERE ! T% G. ^. | w4 Z2 j
5632 UDP PCANYWHERE
! X, d5 v9 ]6 G0 M) [3389 Terminal Services 5 d6 R _2 e. ]9 P/ l! k
4444[冲击波] ( Y+ }' I1 J5 ^+ ~/ `6 e3 O' L% X: `
UDP
4 T; \4 F+ b2 a67[冲击波]
( {5 B; l7 w4 Z. t! q0 \! `4 D137 netbios-ns ' F1 C0 j9 A* y, G' d
161 An SNMP Agent is running/ Default community names of the SNMP Agent # `! H e6 A) x Y
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48