|
个人电脑常见的被入侵方式: 9 H$ ^- X) @; R0 M4 ]- R4 d
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
7 u( {. p4 I4 f! k, Y(1) 被他人盗取密码;
* I i9 P0 T0 Z(2) 系统被木马攻击; 0 `/ e+ P0 u# M3 X% _. M, K" v! i4 l
(3) 浏览网页时被恶意的java scrpit程序攻击; % W( X: S% l7 H3 [7 h/ R
(4) QQ被攻击或泄漏信息; / B: O3 Y) J! o0 k! p
(5) 病毒感染; $ d! k9 p; }6 \' p' D
(6) 系统存在漏洞使他人攻击自己。 W$ O, u& Y) J7 r
(7) 黑客的恶意攻击。 1 @8 b# b* f1 h: G
下面我们就来看看通过什么样的手段来更有效的防范攻击。 6 j* D! F! O: q" f. |( @2 f
1.察看本地共享资源
4 W; r. {4 `2 g4 [. K运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
B' D( P0 E# p2.删除共享(每次输入一个)
2 q2 n/ w3 t3 h' J" tnet share admin$ /delete , b: o' ]( S% P3 \9 @% x
net share c$ /delete
& c6 u9 H; W4 O" R5 z- enet share d$ /delete(如果有e,f,……可以继续删除)
& Z$ I2 u8 h7 j7 z8 t3.删除ipc$空连接 : q2 ]* ~! N5 H7 C
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 / a# B! f+ M+ h. T
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
& o/ V1 j$ z8 Y- }+ Y0 u关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 5 x! V+ C# w, @( U3 }
5.防止rpc漏洞
) y6 Q- t3 k" Y打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 $ y7 V: G/ j& t# f
XP SP2和2000 pro sp4,均不存在该漏洞。- j |# s; Q% T0 }
6.445端口的关闭
: b' r& @, Y! ~/ W! V修改注册表,添加一个键值
6 u5 s9 j& W( H7 i; i- nHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
1 U9 l- z: n0 q- {) z* M" W- o7.3389的关闭
0 w# U: F9 y, q* I- ZXP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
- q0 a6 R8 h" Z+ G# fWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
. n) O+ Y7 `% Z" `- F# w1 U使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
' h; R; E% x, |2 h! J5 }; O8.4899的防范
" B: F m& I- a. \! u网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
' f7 i# I% ?# B9 a4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
6 ^ m( ]. J8 P1 b3 Q0 Q/ O所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
6 D8 O" c1 Y; t9、禁用服务
# M7 k( t+ F8 a1 F& E打开控制面板,进入管理工具——服务,关闭以下服务
- P1 F7 y: Y U1.Alerter[通知选定的用户和计算机管理警报] * d9 `+ p- r- Q) D* y* T
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
; G0 i7 c5 M8 k, P2 v: V2 R5 E3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 9 R& A8 O. U* u0 L, `9 ?
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
$ o6 b* _+ }7 |$ s% Q5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] u6 Z0 P- S! s+ {* j3 I- Q
6.IMAPI CD-Burning COM Service[管理 CD 录制]
* @1 O6 y) d6 o7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] * [) G6 D1 M4 q5 d9 Z" p7 [0 z
8.Kerberos Key Distribution Center[授权协议登录网络] 3 n" W0 L& A/ g" l' a
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
1 i% G8 r, i7 V$ f1 `3 n U10.Messenger[警报]
7 x- ~$ I8 v9 F. M' ]+ O11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] ) |6 M5 w. Q& m9 C8 i5 O6 ]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 3 }. D: M3 g0 O+ v! e. n. e
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
3 v3 {+ k) s6 o5 X( E& Q4 x14.Print Spooler[打印机服务,没有打印机就禁止吧]
# s @; C8 _( z15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
: j+ D% _$ t5 [- w16.Remote Registry[使远程计算机用户修改本地注册表]
6 g+ x8 n/ _+ s) t17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] & d# v% @ B2 r* @
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] , N" L& e& b, d8 `) T0 j
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] * X, P8 D. z: d
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] * Y, o# a6 h- L; i) b% M
21.Telnet[允许远程用户登录到此计算机并运行程序] 3 {3 g* n# Z% m5 R, [
22.Terminal Services[允许用户以交互方式连接到远程计算机] 2 z% O2 r: r/ H: \
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
% c* {+ w+ c0 k% h9 x6 I如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 % s6 ~( g8 e5 O5 w0 K* Z5 @
10、账号密码的安全原则
0 r" P6 ^) P2 C4 v: M; w0 ]首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
+ I( a) O! b e) |& n: `& m如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
6 k, p7 _' ^$ g% v打开管理工具.本地安全设置.密码策略
4 e; P* ^7 T! D1 B
8 R4 j3 i! m6 ~' b
% ^3 E0 W8 k+ K! X
9 N$ F" z8 r0 ?2 q0 F/ `5 P! m1.密码必须符合复杂要求性.启用
9 r6 R3 i7 s& Z0 V& B2.密码最小值.我设置的是8 ' C! m7 G+ M X. c$ n6 |* A/ y
3.密码最长使用期限.我是默认设置42天
* O8 j0 }- Y! ~4.密码最短使用期限0天
4 T' f# I! M* I9 n5.强制密码历史 记住0个密码 1 d: J1 P5 w9 r( p5 `& E. z/ G% }! {
6.用可还原的加密来存储密码 禁用7 t9 S2 }: }' r" x
11、本地策略: 2 h( ^# B; W5 o
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
4 D N/ Q: m" q4 B6 D* Z$ O, }6 T(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) - P Q m7 t2 `* N
打开管理工具 $ B* v" u8 a7 c' m5 D
找到本地安全设置.本地策略.审核策略
- G" [( `# `! r2 T1.审核策略更改 成功失败
; M$ ^$ n! s5 v+ I4 k4 q7 ^# A# V: q2.审核登入事件 成功失败
% W; {( j0 P u \: R3.审核对象访问 失败 $ n% q! z: D# w( q+ }6 W
4.审核跟踪过程 无审核 . |# q7 q$ H6 K4 T5 \
5.审核目录服务访问 失败
0 W; j9 z$ d/ K3 x+ Q6.审核特权使用 失败 $ `+ i; V) E, j) y j5 e
7.审核系统事件 成功失败 ; V3 j. |2 c& v& C, r0 s
8.审核帐户登陆时间 成功失败 6 l0 ^( B( U0 ^* X. j+ E/ o
9.审核帐户管理 成功失败
" A ]1 C3 R; Z2 M然后再到管理工具找到 % K; c, V7 N% f- ~8 e- f
事件查看器
@+ e0 I- r0 d# Q# [9 r1 p应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
7 G; ] }9 m- g+ L; z f8 e安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件
4 N" i& J ], a5 H) s' [系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 # M( a& M; Y3 ^, H' f
12、本地安全策略:
3 }& F+ p1 S, ]0 S+ H打开管理工具 + t) F+ _$ K" j. j7 P
找到本地安全设置.本地策略.安全选项. _' l4 X# F, Y$ l- W
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
$ I$ i( J4 p6 e2.网络访问.不允许SAM帐户的匿名枚举 启用 5 G& s( X6 z1 X. u" X. }" y) f
3.网络访问.可匿名的共享 将后面的值删除 + q( |8 H- w f- i3 K+ q& L5 G
4.网络访问.可匿名的命名管道 将后面的值删除 8 f3 u3 @8 S8 N9 ^* S; S7 d
5.网络访问.可远程访问的注册表路径 将后面的值删除 L' E7 j4 F1 G! I+ p" H: ?6 @' Z
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
2 m3 V t9 y9 h- O5 L5 m7.网络访问.限制匿名访问命名管道和共享
% Q1 J+ j; C# e1 p; F0 y8.帐户.(前面已经详细讲过) 3 \; ^; Y+ U, g/ q' f. C$ B, r
13、用户权限分配策略: 6 ~% ]2 f4 t4 p5 b4 |. g4 s
打开管理工具
& T+ }/ V3 N- q# _1 G% ?找到本地安全设置.本地策略.用户权限分配 8 S! S/ z- n, X* Y i
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID ' Q' R% c% [( \# ~
2.从远程系统强制关机,Admin帐户也删除,一个都不留 3 I* Q8 s/ P# [" {1 }
3.拒绝从网络访问这台计算机 将ID删除
* I1 K& b: ?" p% Y) C' q; G1 _4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
; Z" f- q. T v" b; b5 {4 w5.通过远端强制关机。删掉
9 @+ J$ Q0 ?4 O* Q$ b9 Q14、终端服务配置 3 @6 Z' u0 {$ e3 r
打开管理工具 & a! w7 Y$ p- I/ ?: Y! t
终端服务配置 1 j1 e1 c; b. L+ q8 M) V _
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制 5 |; X9 Y+ X. c3 _& o
2.常规,加密级别,高,在使用标准Windows验证上点√! 2 g4 F1 E! }; ~# x4 P) o& d
3.网卡,将最多连接数上设置为0 # ]6 _' c* l$ Y! P
4.高级,将里面的权限也删除.[我没设置] {# q# `: V" n! Q9 D
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话4 \) \. y, X3 u
15、用户和组策略
& Q% [0 C+ e- z* r; |4 M
) Z' f% ]0 x j! H: h打开管理工具 ' y4 \: p" e, H8 s- @# ]
计算机管理.本地用户和组.用户;
$ a% k$ K1 x, |5 {* |/ s3 L( c3 \删除Support_388945a0用户等等
# H. N$ O3 @0 ^ b只留下你更改好名字的adminisrator权限 4 i, ]/ I5 W4 e f/ m- R) N
计算机管理.本地用户和组.组 & }1 ]: c7 E# d! k7 A
组.我们就不分组了,每必要把 & A8 p$ S5 w m$ N: n! n& x' G
16、自己动手DIY在本地策略的安全选项 " y4 N: K4 M5 {
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
) g0 o9 z/ E) k+ F9 ~) F$ G2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
* d2 d: g6 {: Q4 e7 p; x2 h w$ F. g3)对匿名连接的额外限制
. n5 v' ?% ]- c4)禁止按 alt+CRTl +del(没必要)
z% {, b, ~! p! j& W4 n9 }$ V7 f5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
d, T* @: v; c2 Z6)只有本地登陆用户才能访问CD-ROM 1 d/ ^ H- D# Z2 ?
7)只有本地登陆用户才能访问软驱
/ b4 C6 _2 j J, V5 K m. D8)取消关机原因的提示
Y3 t* D: I" {( gA、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; # G" Q$ J6 d) B* g5 r1 {
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; 3 q! _. n# F' Z5 X
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
) S, Q' f# K' V: Q. P! V7 yD4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 ' U/ j6 }7 [2 f5 F* W
9)禁止关机事件跟踪 ; y8 @* Z; N; N( ]$ x; ~
开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 ! u/ Q# n7 K- v2 M, {& a
17、常见端口的介绍
* @! t Y2 A9 [0 N. U9 q% ]. CTCP : Q; i: f! R! ~
21 FTP . U, K8 C: A; \; b4 L! \- _7 t
22 SSH
; R4 s7 }( r6 R" ^2 K23 TELNET
/ r. s: x) `8 d* e9 f25 TCP SMTP % Q! o) ]/ ]7 m3 }- ]3 t+ d
53 TCP DNS
7 m: V9 B n# r) M5 h2 Q80 HTTP - g- t3 q7 w" l3 o& a5 _5 q
135epmap
+ U' j# ~! _$ p: D+ T# x& C138[冲击波]
5 S0 ~3 C- v1 x. _139smb
2 ?5 a; }5 `5 ~+ ]$ D6 m+ t445
3 R6 D y$ E j9 b1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1 Y; _* X# }8 I6 ?: l1026 DCE/12345778-1234-abcd-ef00-0123456789ac ' U/ ^+ s5 S5 l, A. v b4 ~
1433 TCP SQL SERVER
# Y7 _7 Y2 @/ g {5 `3 \3 z u5631 TCP PCANYWHERE
( R3 G: w+ ^& }5 Y5632 UDP PCANYWHERE , v/ w. L5 M: ^ ?8 l
3389 Terminal Services
* }* O& b( R3 z; f3 W$ `4444[冲击波] ! b4 W( p2 \- |3 C K& ~! I
UDP : d9 U9 Z5 g. Y- V
67[冲击波] ; w1 q" C6 I( p e: z4 j% S
137 netbios-ns ) j4 l' C; W* q: k, @
161 An SNMP Agent is running/ Default community names of the SNMP Agent
" E% H5 {+ d- ]3 }5 T关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|