|
|
个人电脑常见的被入侵方式: $ n; r- x* x, P* h' ]- B* f9 i0 Q
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: 5 W, u$ S2 j: c
(1) 被他人盗取密码;
3 n, a8 W1 W: u) M$ x4 N2 q(2) 系统被木马攻击; 0 p! k1 i% q: l) c+ d# T
(3) 浏览网页时被恶意的java scrpit程序攻击;
" O% ^' n @+ K. h(4) QQ被攻击或泄漏信息; " ^! p$ i, A8 c9 G
(5) 病毒感染; 2 U- b5 v6 Y) K4 `$ Y/ U: B
(6) 系统存在漏洞使他人攻击自己。 ! y! m; j2 @1 S
(7) 黑客的恶意攻击。
0 X7 Q/ P8 G' @) A5 m! v下面我们就来看看通过什么样的手段来更有效的防范攻击。
9 i$ ?" v7 t1 z2 q- W7 a# z1.察看本地共享资源 - E& q9 x4 @* ~% K( K9 @& p$ O
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
' ?9 D5 b* [- o) w1 S8 u& P2.删除共享(每次输入一个)
1 ] M% }+ f5 G, I: p1 h! Hnet share admin$ /delete
: _ O$ c& O S4 ^5 inet share c$ /delete
7 J( K9 {' ^# ]( ?& |net share d$ /delete(如果有e,f,……可以继续删除)
! ~0 j" d1 F# Q' {6 @3.删除ipc$空连接
& S2 i( R1 o0 ~0 U8 C. k- @* C在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 $ j( X |' w2 i
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
2 v) U" H( k, a2 ^9 n+ `; x关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 ' l# E- [ E8 e( l8 N
5.防止rpc漏洞
! \% J7 ?* N( O打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 % h% A: [4 E# T. z7 _
XP SP2和2000 pro sp4,均不存在该漏洞。
7 ?$ o9 W# Y" V& L6.445端口的关闭
' ^4 E I% `& A- J4 t修改注册表,添加一个键值 # V/ |) c' W/ f o" c1 v) _4 `$ f; {
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
( J9 `" C3 t& k* a2 d7.3389的关闭 - ^0 O: ~* s, P
XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
, I+ ^3 S$ F U) C% hWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) 9 I' ]5 U' ?$ O8 P8 H y- |4 v
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
5 w* F9 u$ ]4 Z! _# x2 E0 |8.4899的防范
+ L" G: Z0 N( b4 w. ?1 F网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 " @$ s& Z+ e. \$ l) {: h
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 # t% q' B* `2 U2 W* {; s5 o* y
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
3 t6 x4 g" f/ [" P& q9、禁用服务
% B. k7 Z: z3 H* ~打开控制面板,进入管理工具——服务,关闭以下服务 0 D; o- }) @- U3 b+ G: o6 p0 B
1.Alerter[通知选定的用户和计算机管理警报]
/ S0 }* c K- O* ?+ _2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3 ~% v3 _% C2 }& Q9 J: R2 q- e3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 ! i; @/ q9 ?2 f# @8 F! N
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
) P% y- [ q( W9 M- Z ^5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] / ]8 b5 S9 ^8 s& R: s; _
6.IMAPI CD-Burning COM Service[管理 CD 录制] + {: e2 i7 N( w- C8 i1 R! G! o
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
5 _! `3 J+ O7 H, j' P& T/ E2 @5 z8.Kerberos Key Distribution Center[授权协议登录网络] % o' }1 [! E G" F2 E0 u+ G
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
- C5 u3 j. T1 U$ |. i10.Messenger[警报]
5 q; {9 u. X& e& y: m/ d' D' y11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
9 n+ |& S+ A; C& h0 O0 K12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] * f2 |: ~" R3 O$ r1 c9 l. H4 V' M9 b% ?
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] # v) Y! x7 \/ J' G# U8 Y" v! n
14.Print Spooler[打印机服务,没有打印机就禁止吧] 3 [5 Y6 {9 u8 {2 t/ V. \* y
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] : ]* \- R" r" b& E4 r! n& w
16.Remote Registry[使远程计算机用户修改本地注册表] , X7 _3 r, H' c: ]# @5 U
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 8 Z2 G; o1 r1 S7 S% O1 p
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] : p% B9 d0 T* j
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
& V# [( [. S/ _- @2 ]: ~4 S' I W20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] 2 R' I* ^7 Y% \- d: S
21.Telnet[允许远程用户登录到此计算机并运行程序] 3 o( b+ C$ W/ q! `
22.Terminal Services[允许用户以交互方式连接到远程计算机] ; ~! \1 q. E7 q7 O- r7 z
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
' _, w/ W( n G- C, |0 k如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 $ @+ v4 c! Z m) M1 b
10、账号密码的安全原则
& l! @- z S( m5 |+ U首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
4 s7 m& H: ~. ?5 m+ D! U4 ]如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
2 z& I0 O6 R$ w9 C, R8 s y% j# z打开管理工具.本地安全设置.密码策略
. @) V( W3 C9 d3 n4 N: D
7 L$ S8 [2 V6 p* r! \5 ^% I! ^- X0 k: i/ P* o$ u3 [
3 l# ]/ L; Z1 ^ ?9 {$ `1.密码必须符合复杂要求性.启用 $ d& H, m9 ~# [
2.密码最小值.我设置的是8
) h' w2 [4 z/ G) a: B$ y1 e- P! I3.密码最长使用期限.我是默认设置42天 5 e1 {# p9 d- d/ B! t1 t" _. Q
4.密码最短使用期限0天 * ]$ [# b, W% O8 f& @/ D5 x/ H' [
5.强制密码历史 记住0个密码
6 S8 U' W4 J3 o; e" c6.用可还原的加密来存储密码 禁用; _+ S, o) h4 n; _& i; Q' m
11、本地策略:
. U5 n% j; m5 W _& b9 j f# {这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
7 j; {# @" {: c8 P) f, w(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
# Z4 U/ A3 N: {- \ k. b打开管理工具 * ]5 S; H! B: \6 x: f
找到本地安全设置.本地策略.审核策略
' Z/ ]- v, g: X' z. Q1.审核策略更改 成功失败
" a2 ]7 {1 j N1 g6 Q2.审核登入事件 成功失败
. Y" G4 H8 u# V& C3.审核对象访问 失败
7 L6 P6 Q/ i7 x+ L% }- i% j4.审核跟踪过程 无审核
! N6 f/ X4 a! E5.审核目录服务访问 失败
& |& A0 M4 A- F) c4 f! e6.审核特权使用 失败
4 N( P$ o3 M( F3 p& q* _; c7.审核系统事件 成功失败
$ ^. ^$ p3 I# L9 Q' ?4 ~8.审核帐户登陆时间 成功失败
2 W) y+ [: f- ]& P9.审核帐户管理 成功失败
' j% J4 y. w f# E; v/ u3 `1 V" k }然后再到管理工具找到
7 i: F7 y: u% D, e5 W事件查看器
, t7 n1 U9 Z& F/ m+ p9 n1 g应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
2 s# y! a# V# b2 M$ @安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件
& M/ u M+ U6 e# d- R系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件
+ e0 M7 [1 z" D' ?8 y( Q% ~9 I12、本地安全策略: $ {! A/ e2 L* s0 B
打开管理工具 ' ?# F- T$ F4 ?. a
找到本地安全设置.本地策略.安全选项' k5 G0 E6 i5 U V
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
) }8 N8 u8 [5 ^8 X. o! F5 z( j2.网络访问.不允许SAM帐户的匿名枚举 启用 ; B3 t* o$ X0 @: M x# J* B
3.网络访问.可匿名的共享 将后面的值删除 & B! B5 ^' ~4 m7 T$ u! Y
4.网络访问.可匿名的命名管道 将后面的值删除 ) B& e1 g. b9 K0 ]/ J4 o" E
5.网络访问.可远程访问的注册表路径 将后面的值删除
8 |! T. K- r' w4 j5 n% d6.网络访问.可远程访问的注册表的子路径 将后面的值删除
9 z5 L9 s; h1 }! m3 V2 s9 g7.网络访问.限制匿名访问命名管道和共享 0 I v: p1 Q+ }- ]( v: s
8.帐户.(前面已经详细讲过) * E" B% V7 c: n3 z0 t& C
13、用户权限分配策略:
5 w' P# _+ u$ N打开管理工具 7 x' k9 i4 G2 Z& y- y4 z. A( p
找到本地安全设置.本地策略.用户权限分配
# L9 B$ i, P Q9 e+ J0 l3 E1 X1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
) X' _) g2 K7 u; l* Z2.从远程系统强制关机,Admin帐户也删除,一个都不留 9 e { L& Y$ |4 t9 I+ E
3.拒绝从网络访问这台计算机 将ID删除
" D+ X- q4 U& n, z7 c2 H( w0 g4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
& u3 w" z! N) G$ x7 p5.通过远端强制关机。删掉 % a4 v9 @0 \. R; |# z
14、终端服务配置 & d3 \- w8 ~) I0 [1 D7 M; h
打开管理工具 5 A# z a+ D$ X1 Q) u
终端服务配置
1 f$ k J @$ O3 R1.打开后,点连接,右键,属性,远程控制,点不允许远程控制 4 P7 }/ Z6 g- F% G$ J# c) J
2.常规,加密级别,高,在使用标准Windows验证上点√! ; \: Q4 Q# q t, X# j9 V; a5 R
3.网卡,将最多连接数上设置为0 / f1 i! B1 |3 h r
4.高级,将里面的权限也删除.[我没设置]
# T2 L& D, V' B$ @9 o再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话# a* X7 \9 t! ^0 d" d
15、用户和组策略
) G+ g- F5 N: x. b5 M2 x7 Q% ]& ^$ U& C
打开管理工具
* _& ~( s& Q" A$ w7 ^: c9 d; m7 ^6 \计算机管理.本地用户和组.用户; 0 {: q( a9 ~; e, J7 t6 o# [
删除Support_388945a0用户等等
: ~0 }' f* B5 m( F) p只留下你更改好名字的adminisrator权限 - w9 _: y, z$ {9 {/ P
计算机管理.本地用户和组.组 a v7 E) X' X/ E( h# ^
组.我们就不分组了,每必要把 , Q" }5 \! ]6 D" w/ ?* |! h4 {
16、自己动手DIY在本地策略的安全选项 / y, B1 [# ~ Q/ a. X+ K
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
7 y7 c( F' Y& {2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
+ g% g0 T' p( t& w8 _% v5 j3)对匿名连接的额外限制
! Z2 M6 M$ i+ c5 J! f4)禁止按 alt+CRTl +del(没必要)
! a' d* J5 g5 p1 O) q2 i( Q8 S5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动] ) }: }! S3 @* s% e0 K
6)只有本地登陆用户才能访问CD-ROM ' _( G. K$ `" f5 e0 R L3 U
7)只有本地登陆用户才能访问软驱 4 C3 M( N. _# y
8)取消关机原因的提示 ; e& U+ p" J% q& H# Z
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; 4 Y G. h6 Y& y: q5 C. n
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
( t |3 u% n# X$ F9 MC、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; ( Z/ \" z' { S
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
! v7 x8 e2 T' |0 I9)禁止关机事件跟踪 7 T" R8 f* w4 V" [$ }
开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 4 z' s" _4 j* u5 c5 i/ e
17、常见端口的介绍 % _$ p% Z" Y6 l; m1 m, M
TCP 5 o+ S5 G3 E0 H% M1 a j5 H u
21 FTP ' Y" T; P1 m- ~- I, k
22 SSH 3 W: z6 a! a* e4 Y
23 TELNET 3 [2 F" F3 y0 r9 K% ^
25 TCP SMTP
0 Y3 |: _4 C' m! f m4 e" I; k53 TCP DNS
, [- |* A; F, [' s80 HTTP 1 I% s4 D7 B1 n. }
135epmap - Z+ s8 {# v) N. n) X0 C8 n
138[冲击波] 0 r1 `$ |4 b, @
139smb
- P0 o+ d& n9 t2 e445 6 s/ H" k- `" f1 F F: ?$ T
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b L8 i9 E1 [6 R# ?% A" m
1026 DCE/12345778-1234-abcd-ef00-0123456789ac ( J8 A/ J% K: m; t" j- f+ Z3 Y+ x
1433 TCP SQL SERVER 4 p# B/ W- b/ v" p* S6 Z
5631 TCP PCANYWHERE
" E: B' N- s5 h3 {* q5632 UDP PCANYWHERE
6 k# ~& [3 S3 b( ]% f, W# c3389 Terminal Services ) i3 u! U$ s7 A$ h$ I! o( @
4444[冲击波]
* F" E1 {) L( ^3 LUDP 2 \8 ~ F* q! v, h1 ?" ~0 s
67[冲击波]
0 h) \! c" v. L+ U, g137 netbios-ns
9 ]- h, {; ?" M7 [. ~161 An SNMP Agent is running/ Default community names of the SNMP Agent + m A/ T- F9 }/ e
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48