|
|
|
个人电脑常见的被入侵方式:
5 s$ J( ^. J% G! K( Q( _/ S谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: 0 S4 j- r$ U+ H/ F
(1) 被他人盗取密码;
6 [5 E5 [. ^! V(2) 系统被木马攻击; 4 y8 M9 w4 F4 P# N1 X. L4 s
(3) 浏览网页时被恶意的java scrpit程序攻击; 5 d' Q' j" F' r! |% h
(4) QQ被攻击或泄漏信息; . ?4 I! I3 O0 ~
(5) 病毒感染;
( B( e/ H! o4 i: ^8 C) c(6) 系统存在漏洞使他人攻击自己。 0 l+ W+ c8 v& N1 m
(7) 黑客的恶意攻击。
- g( ?; h/ i# N* [# l下面我们就来看看通过什么样的手段来更有效的防范攻击。
3 R7 ?, p4 K/ o$ ]+ j( K" V1.察看本地共享资源
0 Y) K* R5 v5 \! V C运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
3 j7 A/ l% g8 y" G& T$ z( d2.删除共享(每次输入一个)
: q! D0 F0 m, ~0 Y4 D# N7 ^' Fnet share admin$ /delete
7 N' T4 B, u5 `3 J {( Rnet share c$ /delete
' A8 H$ @+ c& l- U- Onet share d$ /delete(如果有e,f,……可以继续删除)
/ f' ~$ {, C( D4 N$ r# W) b2 b3.删除ipc$空连接
" p* Y$ b- o& p! [& K. `在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 $ o6 ~/ C5 Q3 P
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
- f& y0 ]; l. i9 {关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 5 @3 E- ~& u) a& S+ Y3 y" s) A
5.防止rpc漏洞 7 R* ?& H# \8 s+ |
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
+ b6 F# c! d8 GXP SP2和2000 pro sp4,均不存在该漏洞。
# Y* j' l% k) G$ T( u+ h5 a6.445端口的关闭 * t* U4 ]. w( o$ _( v$ t
修改注册表,添加一个键值 ( [- L0 i2 [- `* c7 f! f% v
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
8 n5 [( x8 K) X1 _7.3389的关闭 : y+ y7 ^/ u6 j2 r; k& D0 f
XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 ' V% l- i& ?" v' j: D5 T$ g, u" x
Win2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
Q, b1 V, O. h o O8 T! A) ]使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 ) s0 G6 ^8 ]8 ~* B. X% b
8.4899的防范 4 \, g' u# f$ l
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
. B9 O- T( h, p- ]4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
" i+ k& @+ q4 P: z: u! Z' s所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
% s& P* g( z$ H0 |6 _! B) F8 M9、禁用服务
3 _ b+ w) c# z打开控制面板,进入管理工具——服务,关闭以下服务
! } E/ V! ?2 a1.Alerter[通知选定的用户和计算机管理警报]
+ w/ l2 k! H2 }( I2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 3 |1 z; D4 ~1 q- C1 f$ b- n- |- D9 ?9 W
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 & i) o9 o- [& ?0 A7 V
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务] 2 G3 \4 ~" t2 c. v6 p, K' Y) t
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] , [2 A1 p5 h9 _( B& J
6.IMAPI CD-Burning COM Service[管理 CD 录制]
" c# ? F7 C) Z! y; z, b7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] . f' x+ I4 R! v
8.Kerberos Key Distribution Center[授权协议登录网络]
; j( E w. S( n9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
D5 _' E% `6 }7 |# t10.Messenger[警报] ( l! A3 T6 A% _, F, }8 h1 R
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
$ j# i; j* [* ]) S12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 6 n+ R) t- P0 L& @0 ~3 E
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] 7 h; Z8 v$ d; O9 v$ v! u
14.Print Spooler[打印机服务,没有打印机就禁止吧] ) U9 K P" d D4 Z! g
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] ( ~$ ?4 p& z& C/ `2 ^( u! z
16.Remote Registry[使远程计算机用户修改本地注册表] 0 L+ _) {$ |" a* W( R) o
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 4 z3 ~9 y- E3 C' ^, @
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] ( y, s) x6 w3 g) P
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
- X- L! B ~% @* }% I20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
( H! m5 a" n. ]( b9 `# T" e) B5 y21.Telnet[允许远程用户登录到此计算机并运行程序]
' O' t/ `; }# N% I$ Z6 P- W6 \22.Terminal Services[允许用户以交互方式连接到远程计算机]
3 |4 |: F; h0 L0 U4 E23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
1 O, `, E1 ~6 ?+ @4 H: y' q如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
, E. v9 P( B- [% ~- ?10、账号密码的安全原则
0 p- n# k# s# _3 r7 Z首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~) V/ Y% u; V$ S' M l
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
; D2 @1 ?& h% g3 }3 l0 ^3 ~. [打开管理工具.本地安全设置.密码策略
* g+ a S2 T1 l. s0 ^$ \ {0 k' H" Y% z- e, Z+ l9 Q
- A; ]% h8 R& I: B) Q
' l4 @& g, i5 q1.密码必须符合复杂要求性.启用
) Y1 V& k5 q8 n. @( s2.密码最小值.我设置的是8
( E3 F2 u& k% X8 ^# F$ ^- Y3.密码最长使用期限.我是默认设置42天 - L, \/ b! D+ g5 j1 K2 @
4.密码最短使用期限0天
& a' B+ l: J8 ]( \5.强制密码历史 记住0个密码
5 W: U4 \0 g; E( B2 K+ V6 h' H6.用可还原的加密来存储密码 禁用
. V1 Q2 I, e& L3 J: a6 C11、本地策略:
+ `2 O- \* s2 ~- }7 b& y这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
1 F/ T o# ^. \! j(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
6 Q! A& b% \2 H! s+ D, \打开管理工具 , N2 m5 w& |2 d$ c! F7 _
找到本地安全设置.本地策略.审核策略 1 p) d; {# c3 S9 |. ~
1.审核策略更改 成功失败
^# j9 ~3 I% A2.审核登入事件 成功失败 & p1 d% Z# Y, F$ y+ Q
3.审核对象访问 失败 + `7 h$ r4 S9 k" Q
4.审核跟踪过程 无审核 3 i( \) s. ~3 Q% P" d
5.审核目录服务访问 失败
4 e0 V+ r4 m- W* y6 k. K' A% s6.审核特权使用 失败 3 Q) i1 A2 E, O# D. f5 z2 p. q; q
7.审核系统事件 成功失败 $ h3 ^: ?# U# J0 C3 S
8.审核帐户登陆时间 成功失败
' d: G9 Z: F6 n4 L5 Q/ S9.审核帐户管理 成功失败 : U) C1 U& h) Y- O% C2 m; K
然后再到管理工具找到
' V0 P2 c+ Q. L, c/ C: j事件查看器 0 t0 j8 l L+ L9 ~ P" v& O/ n
应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件 4 y2 Z3 K# ^% f" X6 |
安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 " e* _% t( E& c3 E
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件
. a- h5 M U% h M, N: J12、本地安全策略: ( ]; I* W( S* {- ?2 p/ X
打开管理工具 4 x) m% ?0 V& C0 B
找到本地安全设置.本地策略.安全选项0 p+ ?" X! F6 s* g4 l- @4 \
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的] * a, U; x8 @5 M' T" g6 _- J
2.网络访问.不允许SAM帐户的匿名枚举 启用 , f' a% v$ \ q2 m3 H1 a
3.网络访问.可匿名的共享 将后面的值删除 ' F+ V* B2 p$ q
4.网络访问.可匿名的命名管道 将后面的值删除 ' d) _/ d2 l, M) T( o" T$ J# C3 O3 R L7 b
5.网络访问.可远程访问的注册表路径 将后面的值删除 & y4 G3 }+ G2 a) X
6.网络访问.可远程访问的注册表的子路径 将后面的值删除 / t; s$ h. V* m* C4 i! E$ n& I
7.网络访问.限制匿名访问命名管道和共享 / G; q9 D: W4 g/ k
8.帐户.(前面已经详细讲过) , E2 @ q! i' h R$ V. p! E4 W( h; P
13、用户权限分配策略:
" u/ l- ]6 E. G9 O j打开管理工具
! ?3 G3 V1 ?2 f1 `" v0 D找到本地安全设置.本地策略.用户权限分配 9 P2 Z. p2 e" H7 I
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID 8 Q7 Y1 S+ x! }5 c
2.从远程系统强制关机,Admin帐户也删除,一个都不留 7 U0 K y3 A: j8 Q( C# ~5 p: t) H
3.拒绝从网络访问这台计算机 将ID删除 . U" V) K P _7 M) ]/ j8 u
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 0 r0 |* p) v+ o2 v
5.通过远端强制关机。删掉 - W! x. |2 s8 {
14、终端服务配置 & g8 U6 w P9 d3 ]7 A
打开管理工具 5 {) e3 i: `: V0 A/ \2 t/ l
终端服务配置
( ?$ m* |1 K: t" `: |1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2 b2 Q% g0 C+ P I- {) ]* W2.常规,加密级别,高,在使用标准Windows验证上点√! ( P( ~/ O. b! \0 e
3.网卡,将最多连接数上设置为0 ! W, H2 o4 S( I$ c, n
4.高级,将里面的权限也删除.[我没设置]
" D" ~% k' L# o* H g再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
& n; j! l& E' |: J6 T- U0 Q3 f- W* o15、用户和组策略
0 Y2 O) I8 G: X1 a+ H
) f5 P' I) t1 [- w/ M9 j6 j打开管理工具 ( m+ N) N4 y7 m( L
计算机管理.本地用户和组.用户; - N4 E( p3 l! [9 `- T
删除Support_388945a0用户等等
2 I& g% G$ b3 Q6 {5 x只留下你更改好名字的adminisrator权限 2 R0 ?/ [% J# O+ D9 S/ z/ o
计算机管理.本地用户和组.组 : B* O4 }+ ^5 w2 i) A2 G; P
组.我们就不分组了,每必要把
F' C, E6 C3 g" P- @16、自己动手DIY在本地策略的安全选项 0 ^- W* Y# Z0 }# n
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
& ]% B/ p/ _) C, J& ]7 i2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. # @6 F! m( U$ I
3)对匿名连接的额外限制 . ^$ ~- H E' A- ^
4)禁止按 alt+CRTl +del(没必要)
9 D1 ~! V0 E5 a5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
, |. q- [: n, s$ A- R. G6)只有本地登陆用户才能访问CD-ROM # s6 w: m, e! R' T2 u3 f9 U
7)只有本地登陆用户才能访问软驱
0 m5 @# c/ W) G! \. X9 u# i8)取消关机原因的提示 % i9 b' b( y- F9 M
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; ' L* H/ ]4 Z6 d
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
% z3 }! ^" d/ ^8 d) `, ?C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; 1 o3 N1 h/ d( }& u5 Y
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 ) f9 L" ]7 ]$ ?' Y: W# L9 S
9)禁止关机事件跟踪 " C2 s: J l) M: Z2 `
开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
/ U: X. s% g7 e) F17、常见端口的介绍
( ?7 C+ b- Q6 m2 w& a& OTCP
# f1 E- i$ o) {. V& _21 FTP
1 ^* B2 ]* x8 G22 SSH
( y! h, N7 K4 R1 O2 R: E& `6 i23 TELNET
2 m7 r7 m R1 O1 v/ O' }25 TCP SMTP
% g- S: ~+ z$ Z! a; `53 TCP DNS
: q( V6 Y7 b7 k# [/ J80 HTTP # x7 @6 H; ]; K y9 R
135epmap ; Z G/ d% z6 U/ f" `
138[冲击波]
$ n& m0 _+ }0 v6 f7 `139smb 9 b8 C K$ U! ?7 N
445 : B. s4 j7 C9 E! k4 V: C1 ^$ m& g4 q
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
, g9 t) \1 k( f0 F2 `1026 DCE/12345778-1234-abcd-ef00-0123456789ac 7 P$ o6 ^( _9 i! g: f) a# ?
1433 TCP SQL SERVER 2 E! Y3 o( L8 R& G, i* O( g
5631 TCP PCANYWHERE
0 i2 O' b( H! s* d! R: k6 |: [5632 UDP PCANYWHERE ! l' A* C7 C6 g% q7 R9 g
3389 Terminal Services ; t# b; S2 _- _- }! Q6 W
4444[冲击波]
; H- G* b% j, }: L1 DUDP $ S6 `; A3 h4 n. X! q
67[冲击波]
+ [0 E5 S7 A4 {; s* {2 A9 E137 netbios-ns $ G! Y4 v/ x9 P2 D/ a5 P% P
161 An SNMP Agent is running/ Default community names of the SNMP Agent 8 y' t8 J9 |: R+ E) {0 Z0 A
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48