|
|
|
个人电脑常见的被入侵方式:
# k0 \8 y; I% h4 `0 G: K- P谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
1 z) S1 N9 X) o% Y5 G- I(1) 被他人盗取密码;
. c& c/ t, G5 i$ z1 [: |(2) 系统被木马攻击; $ \$ g; c, a4 y( F" k7 `
(3) 浏览网页时被恶意的java scrpit程序攻击; ( t& s# |3 V: d- x5 G) g1 A
(4) QQ被攻击或泄漏信息; $ ~4 ~7 ~$ D2 p) ~2 H8 U5 t
(5) 病毒感染; ; { A& U+ R( f/ b+ {7 ?
(6) 系统存在漏洞使他人攻击自己。 0 T/ t+ x' ^8 L; e2 V9 O( y2 r
(7) 黑客的恶意攻击。
" e" X% j5 Z, R; r0 u下面我们就来看看通过什么样的手段来更有效的防范攻击。
# |% p+ B6 V, J' L8 R( G1.察看本地共享资源 7 S3 Z# f1 H( D% O
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 & ~& ^ M7 V/ H4 _# D
2.删除共享(每次输入一个)
) ~ [0 p) z7 f& knet share admin$ /delete , n* _- J1 \, S$ d' Z
net share c$ /delete
' W; M. A) P+ d% O8 T/ Dnet share d$ /delete(如果有e,f,……可以继续删除)
; M$ Z& v9 I. K7 b3.删除ipc$空连接
]) x5 ]2 G8 T2 J2 w# L9 D在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
4 {% J7 O! L+ h/ z9 }. V4.关闭自己的139端口,ipc和RPC漏洞存在于此。
& X8 C6 ? I" ]6 p关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
% z1 ]+ g' M5 p% @9 f5.防止rpc漏洞
& [0 R& o0 j/ N5 \6 q5 B打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
6 s. K" ?. K8 T* DXP SP2和2000 pro sp4,均不存在该漏洞。
/ Q# P5 ^0 e, b+ _& o5 Z M. L4 s6.445端口的关闭
2 {; }3 K' p& _* P* k% B; X修改注册表,添加一个键值
$ R+ ?* v* W, c2 |HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 7 ^. J6 _0 u& }* m
7.3389的关闭
' J* y9 _; L4 B: z1 Y% TXP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 4 h, U! H$ x. h/ N
Win2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) 1 l5 i+ e3 F9 r# O7 y0 [
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 " u( L: e2 ?' J- g" v
8.4899的防范
& Q6 F i8 @& u: l' ^, _+ V( i网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
' y4 `5 G; k+ n1 Y- p$ ^4 _4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 1 U/ ~% K; [- a# |
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 ! ]- n. y/ s7 c% {
9、禁用服务
* J: i d2 Y% g/ q4 K打开控制面板,进入管理工具——服务,关闭以下服务 $ ~9 a0 K4 G! e/ H4 {9 ~
1.Alerter[通知选定的用户和计算机管理警报] 7 f A& q0 A3 L2 c' ]5 |+ X
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
2 B! I0 p' \0 M- q2 `3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 7 U/ Y& W# F8 V& Z
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
- v7 C0 o3 X% m% A5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
& W# l8 S5 w( E0 q6.IMAPI CD-Burning COM Service[管理 CD 录制] + J: s: `) g5 U1 Q
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] ' D9 v9 s4 W* P) R
8.Kerberos Key Distribution Center[授权协议登录网络] % X& a6 r5 _& j% G5 S4 n0 g
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] ' Q# \2 l# |9 V3 c! Z
10.Messenger[警报] 6 C4 _1 Y& A, [5 w- W, D
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
+ m& e& s! P! _12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] ) H: @1 N- N6 Y: e( b0 p1 O: _
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] ( _2 [# R8 q3 O8 }; y( a* T$ e
14.Print Spooler[打印机服务,没有打印机就禁止吧]
( \4 V" b7 T- y' {15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] & m6 D" n. A% t
16.Remote Registry[使远程计算机用户修改本地注册表]
2 Q" ^8 i# L/ I7 B0 V17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
, M X1 b% J' ?# B' F# D18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
& @3 R9 V: `8 {% z7 n19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
: l) o6 ]' l9 \; ?20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] , R s( M+ g6 ]4 h
21.Telnet[允许远程用户登录到此计算机并运行程序] # r L* T: [) p; Z
22.Terminal Services[允许用户以交互方式连接到远程计算机] 9 J: ^ B v6 Q. z
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
5 ~5 K. l B' l8 b) a如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
- J2 ~) g7 L* e) h+ Z( O10、账号密码的安全原则
" O4 o( m! g6 H. ~* G首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~) d7 I1 V& N, R$ W1 l8 k' s
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
+ [' u. S: i9 X& H8 L, K7 B/ p/ V5 G打开管理工具.本地安全设置.密码策略
% M. q2 I! A3 j/ X
( v d ~1 u+ i, Y5 R2 m; l+ X+ g
& Z+ G; m. O' g, s' m1.密码必须符合复杂要求性.启用 + z. H3 D6 v/ v& x
2.密码最小值.我设置的是8
! z: {6 b- y+ o$ r8 `# s3.密码最长使用期限.我是默认设置42天
6 n! r4 X1 u) |# ~- Q1 D* A4.密码最短使用期限0天
0 S$ [$ N: e, C8 w3 [4 I5.强制密码历史 记住0个密码 $ W4 s' d G0 D
6.用可还原的加密来存储密码 禁用' h9 s- G( k& X) C+ B; P/ g5 L
11、本地策略: 8 i7 X6 S& L' d7 i( x
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 / ?6 [; f) n* ^/ {" m' ]
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) 6 X ]9 f1 l/ k4 P: p
打开管理工具
) p; O/ @ d* D& h/ t找到本地安全设置.本地策略.审核策略
( U9 Y# z W$ [+ y$ }- W, t6 G1.审核策略更改 成功失败 8 o' j! Z) x8 ~
2.审核登入事件 成功失败
5 }# q/ o& L( Q3.审核对象访问 失败
! l+ v& U+ x+ v7 I A4.审核跟踪过程 无审核
$ }' `. \; W& j! ~& v. y5.审核目录服务访问 失败 ' I0 U9 c1 b( V" V3 J
6.审核特权使用 失败
* a% m" y) W; r) ?+ d7.审核系统事件 成功失败
" _# k/ E( N0 n8.审核帐户登陆时间 成功失败
# z8 m8 M6 P# }" r; x2 X9.审核帐户管理 成功失败 * F. G* s" e7 H3 F! N4 E
然后再到管理工具找到
# g3 o( D+ Y+ O事件查看器 & e) H" ]7 O9 `& F4 Q5 F( a4 Z0 v/ ]
应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
* e3 e+ F. E' Z( j; I0 M安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件
, a$ `# F) E9 Z* ?) H7 N( l系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 - D ^# W7 c1 y0 _9 E& R6 K
12、本地安全策略:
( A- w6 H. i& B: f7 I/ S/ j- A9 K; |6 ~打开管理工具 0 c$ J: J* c% ?7 {
找到本地安全设置.本地策略.安全选项
7 ]& a# ], L+ q% z( N8 x" I9 q1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
9 f8 @- u; a+ ]' f, Z/ ~; G) v2.网络访问.不允许SAM帐户的匿名枚举 启用
# B* T: \: ]4 @3 S7 A' W3.网络访问.可匿名的共享 将后面的值删除 4 z& C. q5 k6 p |! ~' |) A" H2 F% x
4.网络访问.可匿名的命名管道 将后面的值删除 6 }5 {- o% [ ~: z$ |/ R
5.网络访问.可远程访问的注册表路径 将后面的值删除 ; r P1 @7 A. p- y' i% `
6.网络访问.可远程访问的注册表的子路径 将后面的值删除 % _5 X$ L2 g" h) v$ S
7.网络访问.限制匿名访问命名管道和共享 . N$ M; {5 Z; C3 R
8.帐户.(前面已经详细讲过)
. d3 k; i; a' `% y13、用户权限分配策略:
1 Y! p" e( m% m1 q打开管理工具
( X+ K3 g4 d% R9 A9 `) L找到本地安全设置.本地策略.用户权限分配 ( N( m0 P7 K7 ?/ P, [- d: R
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
3 v6 D4 u1 \/ z* Q' q: D, N2.从远程系统强制关机,Admin帐户也删除,一个都不留 ) c; X4 `: W4 ^% B7 F. X
3.拒绝从网络访问这台计算机 将ID删除 . ~* f6 I: t# h# q( h$ L- @
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
+ Z6 Q8 ^4 i! ]+ R; Z5 a n5.通过远端强制关机。删掉
9 c4 q/ I! ]/ L" [% U' G+ U( w1 y14、终端服务配置
2 m. G( ?3 q0 p1 u, h打开管理工具 % t8 b. z0 C1 l
终端服务配置 & m! `" ^( ?6 P$ g; _
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
) v; b" R/ T9 a0 `. Q' f% E2.常规,加密级别,高,在使用标准Windows验证上点√! & x% X# t/ v: S1 s6 a) N1 K% P
3.网卡,将最多连接数上设置为0
3 i8 \! U) J8 [7 X4.高级,将里面的权限也删除.[我没设置] # T* [' U: R& |1 v& @
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
7 r3 `/ C# T: q- T q$ d: ]# t15、用户和组策略 / a& l6 l6 k9 n2 e# E
: |4 A' l, e0 p打开管理工具
! I$ Z% u, e9 N9 d: F* B& C, }计算机管理.本地用户和组.用户; : _* w- l2 N/ ]$ N
删除Support_388945a0用户等等 - R# ~0 N: H8 B5 ~& F6 e* h" G
只留下你更改好名字的adminisrator权限
r1 u& t; U8 A7 D! [计算机管理.本地用户和组.组
4 g+ C x' E0 M' J) M组.我们就不分组了,每必要把 - `% G: y& J5 K0 L+ _# w
16、自己动手DIY在本地策略的安全选项
, h: B% B& N/ U& o# q6 Y, c1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. 2 Y" b3 j" d; ?
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
" e- k T: n. p3 Z4 S3)对匿名连接的额外限制 ) h# e. I9 a8 W7 e6 U0 r9 Y
4)禁止按 alt+CRTl +del(没必要) 7 H0 [3 ?2 D/ u; ?) ~7 u3 d
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
& }' p- G* F* ?6 m6)只有本地登陆用户才能访问CD-ROM
4 w) q: Y5 ?0 o' y1 K; K% }. u7)只有本地登陆用户才能访问软驱 $ I) F. a: k6 `. ?; P
8)取消关机原因的提示
4 h8 q/ Q. L1 [0 X/ B% T1 RA、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; w! T. A. i# x8 j
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
8 b' X) Y6 u4 P6 T5 {3 e, wC、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
, ^2 j! j( t+ _0 ]( ~" iD4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
2 H1 c* Y1 D0 s; x1 m7 C5 U8 d9)禁止关机事件跟踪
& y' L5 `. a6 E+ p _开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 1 i8 r- a2 }5 i( ?. q, u% z
17、常见端口的介绍
+ N6 n& q( \ U0 @6 k7 cTCP ( b _) }1 T3 |+ }
21 FTP
* Q+ @5 Z) k' v22 SSH ( c5 i8 o7 J+ \% E
23 TELNET
. ~3 ?2 x; @/ K7 y) i25 TCP SMTP + G( G9 O+ f$ b& ~3 J& A6 [
53 TCP DNS
7 U% g/ C& `2 ?: t80 HTTP
# d% t' n d% J1 Y. c6 i* J135epmap 4 ^( Y6 s/ ~- ^- S! A6 f
138[冲击波] 3 v! u& V& [& a) L$ y( _
139smb % P3 ?- z s% F7 c/ x& H
445
* R& x3 m2 \) D+ r& ]1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b + Y' K4 F" D6 t6 Z( b% T3 F% [3 @
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
# z9 h/ O9 I) T" W* R+ o$ S/ D1433 TCP SQL SERVER $ w% H `( s; ~8 [# V
5631 TCP PCANYWHERE
# |' d6 u+ n- K3 a5632 UDP PCANYWHERE / ~5 H# g/ }4 R8 g: m5 {
3389 Terminal Services , ~2 C, K& ]; B4 ~; M+ ~
4444[冲击波] / E9 D) n' j! T, k' S5 }/ q7 M
UDP
; _! q# K7 \; m! ~! [( l# w& S67[冲击波] 1 u0 ~2 E/ Y7 ?
137 netbios-ns
$ V/ N$ E) L( X- b; ?$ P161 An SNMP Agent is running/ Default community names of the SNMP Agent ( e( x% Q8 T8 ^% o
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48