|
|
|
个人电脑常见的被入侵方式:
9 n0 _- ~: J% v谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
& v" h. f& [ T. Y& `( r$ y0 u(1) 被他人盗取密码; " M( A( D6 x/ {: D5 t
(2) 系统被木马攻击;
& D0 r6 Y2 y/ Y3 L( _- B U(3) 浏览网页时被恶意的java scrpit程序攻击; ' Z2 N5 {/ L" T
(4) QQ被攻击或泄漏信息; . V1 g% H6 w4 z
(5) 病毒感染; - L& G& H1 p5 Q5 b2 i$ Q2 ^$ v; n
(6) 系统存在漏洞使他人攻击自己。 1 n s w0 w- A% P( H
(7) 黑客的恶意攻击。
8 @2 L1 [1 H5 }$ S- i) [+ |/ @' v# c下面我们就来看看通过什么样的手段来更有效的防范攻击。
2 F6 n5 P, @9 p7 e9 D( r; K1.察看本地共享资源
% c6 B9 J# ~$ f0 B3 C- c5 B; v运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2 Y: Q) k, J( ^4 t* h5 l2.删除共享(每次输入一个) 4 Q* Z! Y3 ~9 u# I) k
net share admin$ /delete
5 Y) \; v; @: }- N( w2 G. @net share c$ /delete
Q+ y! ~" Z, Z0 U/ pnet share d$ /delete(如果有e,f,……可以继续删除)
+ b+ Q% |% c1 Y( M1 Y0 C, A# g5 r3.删除ipc$空连接
( y# Y0 N4 x9 s$ B在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 / L9 A: ]# R3 }$ h1 ?
4.关闭自己的139端口,ipc和RPC漏洞存在于此。 ! I% g7 Z- d. U8 B; H
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 0 r2 [8 I# H+ @/ ~0 S* S
5.防止rpc漏洞 X' ^4 s! l# R5 j8 c {
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 : W( x) E. r: Y/ u8 A2 q- ^- p
XP SP2和2000 pro sp4,均不存在该漏洞。
* K8 ]0 ~4 }8 |' e6.445端口的关闭 ; }2 P1 B- e% Y5 v* h$ P# Q
修改注册表,添加一个键值
5 W3 u% P- Y0 q6 |" [" D5 rHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 $ d6 N; ?- @7 y/ h( E; B7 P* N0 R
7.3389的关闭 4 I ?. y# @7 A0 q v' I; O
XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
0 k9 @7 @8 j3 Q* o. L/ d3 CWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
. Y7 A x1 a3 N n使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
" L5 t; Y' a9 V' @8.4899的防范 ; ?: \8 q' c' b$ e* h
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
: r% d) u- w) U4 b$ }+ D2 {' g4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 3 |# h% M, Q! _$ T( @- r
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 ! X5 X4 m, M+ T; x' i5 m" S1 h2 h
9、禁用服务 , T h- n! `7 i1 d" h, l
打开控制面板,进入管理工具——服务,关闭以下服务
% f: ]5 e( d! t& V5 |1 y1.Alerter[通知选定的用户和计算机管理警报] # [ Y/ x, d, o- Z1 N K8 J
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
* O3 X6 ~3 V$ }3 i* F5 e3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 ( h8 k8 F/ E7 Y. p u0 L/ x1 O
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
: S' p; Z1 N4 O2 x3 Q, @& T. p5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
5 }9 D3 u9 ~- M8 g$ H5 f. s' S6.IMAPI CD-Burning COM Service[管理 CD 录制] ' F e! O/ M9 X# B/ z" P+ O/ K1 S
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] , E- O2 t# j2 V, Q7 \$ Q1 y' f
8.Kerberos Key Distribution Center[授权协议登录网络] # g. H7 z# A& w9 `1 E4 s
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] ( Z( Y( k2 P& n1 U7 h" {$ ?3 ~
10.Messenger[警报]
. s# K3 k1 p" M1 i4 p% P& [11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
2 M* i$ @1 S/ }+ ^12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
+ p9 D5 B d& h& ]' m13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] " C3 X- d1 `! W( y* R, s
14.Print Spooler[打印机服务,没有打印机就禁止吧]
! I. w/ b8 Q* } V15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
) ]4 O4 A) v& j- ?16.Remote Registry[使远程计算机用户修改本地注册表] - ~8 a* u, m+ O# x9 d
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
+ l- Q/ J( _5 b" d2 j18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 7 Q5 H6 x7 s8 { ~
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] 0 P0 F) |/ Y1 ^7 H
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
H: E/ _( N2 f" t21.Telnet[允许远程用户登录到此计算机并运行程序]
3 w \ Z3 C8 ~( @9 E22.Terminal Services[允许用户以交互方式连接到远程计算机] . ^ |; c5 z6 w; W' I+ i7 |9 B0 R
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
6 f; _( |) c0 B( v$ y! g' o2 j如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 9 e* ^8 a2 H7 `. v1 _
10、账号密码的安全原则 . P" I ~, Z# A+ r3 a$ J
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
- p" F! r/ `7 ~' _% k7 s+ ?( v如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。; s: K1 x1 L7 w$ O! z
打开管理工具.本地安全设置.密码策略
' V8 h z0 w4 k3 J# `( [# ?5 M
2 L r" F. K( i# o0 t
* q; m4 c" H* I
, y# z: F" i8 ]" K7 x9 ~1.密码必须符合复杂要求性.启用 / Z/ P+ B' u- |- B
2.密码最小值.我设置的是8 - h5 _3 ~6 G" N
3.密码最长使用期限.我是默认设置42天
: f* ^6 @1 x9 q% f1 P2 _9 `4.密码最短使用期限0天
1 j+ Y2 H, N5 l) y( I6 C5.强制密码历史 记住0个密码 2 s- p! `7 E5 j6 o T# n6 A
6.用可还原的加密来存储密码 禁用" b4 F: c8 S/ N' g/ P8 }* R$ r& _% y
11、本地策略:
$ `& \# E2 R& T) i) V \! H这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 & j6 a. X3 \4 _1 X# o6 H
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
0 u9 s! |- ]. A) D# ?" m f打开管理工具 % [# E, ^& M5 W
找到本地安全设置.本地策略.审核策略 ' }2 |) i2 o6 D3 w% z
1.审核策略更改 成功失败
8 d4 Z2 r: E4 @$ l2.审核登入事件 成功失败
9 }) Z5 m; G1 ]8 B5 f3.审核对象访问 失败
$ q x- q R3 K. r0 j4.审核跟踪过程 无审核
/ _2 g, i, \& ]5.审核目录服务访问 失败
# @+ H. t! V! n$ Z0 ^- h6.审核特权使用 失败 ' U3 ?- Q6 k8 ?3 m; t
7.审核系统事件 成功失败 3 E: J G) o) J" a% J: h
8.审核帐户登陆时间 成功失败 $ U+ O6 e0 b1 e, n, j, }; m
9.审核帐户管理 成功失败
9 f1 {% q. q9 O( l( Z- Z然后再到管理工具找到 , Z+ g. S/ B4 k: ]& G2 j2 H
事件查看器 ' W2 S) E: c& c
应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
1 a, ]3 I* M# `/ b/ O5 O安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 6 f/ F+ S5 I: l; n' V7 C3 G
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件
1 q" `2 }& i3 X+ B5 V7 _. ?12、本地安全策略:
6 I/ C) F1 K1 |* Y9 ^: N& Y' r打开管理工具
5 E; _$ X' k& v# H3 r5 a找到本地安全设置.本地策略.安全选项3 t" O+ Q; S0 K8 P* v- a
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
2 Y: l: a4 f$ C6 u/ g2.网络访问.不允许SAM帐户的匿名枚举 启用
3 t# k9 G! u0 u' E3.网络访问.可匿名的共享 将后面的值删除
/ a" n$ F, g, I6 n* y) w/ s4.网络访问.可匿名的命名管道 将后面的值删除 * w {7 Q$ q! w1 @+ @6 Y
5.网络访问.可远程访问的注册表路径 将后面的值删除 & |$ p! _' T w5 r
6.网络访问.可远程访问的注册表的子路径 将后面的值删除 / `1 r ~% F6 Y" K& v
7.网络访问.限制匿名访问命名管道和共享
" W5 c0 D; V; d, g, u1 n! o8.帐户.(前面已经详细讲过) 4 i; L& K9 H& B7 d. a5 `% a
13、用户权限分配策略: & t9 u) M+ C; X6 Z
打开管理工具
* m" u8 c3 j# G& ^( ?0 C找到本地安全设置.本地策略.用户权限分配
3 ~3 L1 b" I+ F) w1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
& F# U f5 Q: }) H" b2.从远程系统强制关机,Admin帐户也删除,一个都不留 ! ~( E( V% O! X8 G& I% r) ^
3.拒绝从网络访问这台计算机 将ID删除
1 O/ M% d- }, u! z1 C4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 " k9 c1 s. o s/ f
5.通过远端强制关机。删掉
2 M) V4 c/ Y7 F7 C f% S14、终端服务配置
. G/ Q b9 j4 [# F# E) n3 d) c打开管理工具 / ?6 @. Z; b# ~
终端服务配置
j3 U) n* M( F7 k: w1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
- u$ z1 p; z, d8 p4 r* D2.常规,加密级别,高,在使用标准Windows验证上点√!
) t$ V5 i* _5 A4 R( H* M3.网卡,将最多连接数上设置为0
! t! w; v" A V4 \. u/ ^' R4.高级,将里面的权限也删除.[我没设置]
f" b( D0 e; F' I& B再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
" l+ z0 n3 G, {% {15、用户和组策略
6 s: L5 V2 y( g
4 t0 h: f7 ^7 T/ o! G打开管理工具 5 Q8 B; s* D2 k" `! @/ u0 ?
计算机管理.本地用户和组.用户;
; I6 F5 d8 X$ f+ _9 e* X删除Support_388945a0用户等等
7 T+ X, b9 z. N8 w+ v0 T只留下你更改好名字的adminisrator权限
; F! f9 [. }6 g B+ P! T计算机管理.本地用户和组.组 . o M/ z5 q9 g. J' r7 r6 @
组.我们就不分组了,每必要把
& n b1 x# a' B7 e$ u; ^16、自己动手DIY在本地策略的安全选项 ; F7 b9 K% h7 }
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2 l! D, H1 C) G) m2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. 9 _# {1 n x/ ~6 o, j$ }, S7 C
3)对匿名连接的额外限制
% A: ~* T/ U0 T; M1 b# m9 P! w2 ?4)禁止按 alt+CRTl +del(没必要) 4 \) }# a1 @$ J& L+ R0 `; j
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
8 o* M1 M2 t1 x) S( x9 k6)只有本地登陆用户才能访问CD-ROM 2 b- y6 J: v, Z/ _0 B4 _
7)只有本地登陆用户才能访问软驱
$ b2 e& C( j% y9 l8)取消关机原因的提示 # R8 B$ \& i! y
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; " M4 Q$ u0 y$ E: O8 [! b/ O5 K
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; 3 G; {0 R2 _$ @5 J, W
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
( `2 |4 h9 k6 B* o8 F; sD4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
: C& J# r% c- d0 C1 ?6 }5 U. E9)禁止关机事件跟踪 7 d: n: k( N0 y" |! X2 C) M% Q; s
开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 3 k2 W1 ?2 s: `5 X4 W2 |6 V, \8 @: V
17、常见端口的介绍
. w) Q8 ~ a! ~& {TCP
0 x6 e4 q' ~( S* W21 FTP
/ z( p# Q( S7 F4 Z1 j# p% B22 SSH 4 j# R8 Q. ~9 u, ]; C. V/ z
23 TELNET
% _2 b2 _ b3 Z" H' U25 TCP SMTP 9 R! Q- k: [# g4 I; K
53 TCP DNS
* P) o$ G& _; c; R# V- y80 HTTP
6 c4 F4 m1 T2 x9 `9 k) p( {135epmap
; k0 c7 U( F$ x2 B8 [6 E; X9 \0 ~138[冲击波] ! n" [1 b4 @! A
139smb ) \6 e" C. ~4 C5 F9 T$ p) ^
445 8 N8 I m6 f( F$ t! S0 _
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b 9 {: |* y) q- l8 X U
1026 DCE/12345778-1234-abcd-ef00-0123456789ac 3 E/ T( d3 f+ ?: B* ~3 M9 |; V
1433 TCP SQL SERVER + e& d" p7 q; g X$ B4 t
5631 TCP PCANYWHERE
# _0 s5 v T/ j5632 UDP PCANYWHERE
8 [& j1 E* A( r9 k3389 Terminal Services
$ i0 @! z6 _8 \0 N+ {4444[冲击波]
: U- _7 l( l8 o* WUDP ; E! `# r$ w& B5 S9 o
67[冲击波]
5 u! y3 c) J3 m# _: ]( @( y137 netbios-ns
- @6 s8 F" ^1 u; [) V" F% ]161 An SNMP Agent is running/ Default community names of the SNMP Agent - }3 Q8 O) b$ {0 x/ M$ X
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48