|
|
|
个人电脑常见的被入侵方式:
$ f; s. D+ b* r谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: ( ]) g5 z$ E! O( ~% s* u3 c% L
(1) 被他人盗取密码;
; c. s( M6 v+ F0 m- h, y(2) 系统被木马攻击;
4 X3 b" F" o- y8 T8 O* k3 w(3) 浏览网页时被恶意的java scrpit程序攻击;
0 F5 \1 r4 Z5 e/ H9 R(4) QQ被攻击或泄漏信息; # _! H! J% T6 N" I8 l7 V. ]
(5) 病毒感染; 1 C) B7 Q, u! g Y8 ~4 t
(6) 系统存在漏洞使他人攻击自己。 ) \# w; {7 I( [+ y
(7) 黑客的恶意攻击。 : {, g+ D/ O5 O* v% O( K A5 T
下面我们就来看看通过什么样的手段来更有效的防范攻击。
+ x% Q6 [( n. i% S" J _1.察看本地共享资源
" F5 L0 U1 X: A0 V( e运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 # A* j! g/ V6 s7 ^
2.删除共享(每次输入一个) , _# w- ~2 v- r, }% b* |
net share admin$ /delete # G6 d2 a, J+ U$ a8 b9 e
net share c$ /delete 7 Z) w9 y( T2 W* v
net share d$ /delete(如果有e,f,……可以继续删除)
& _9 p& p) D) Q2 R5 \3.删除ipc$空连接 z* s5 ~5 ^4 f) _/ `7 @0 h
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 + _4 j* n; z$ v: d9 u- d
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
: B- Z6 R7 q" w2 t8 C- @关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
8 j2 C+ `7 s/ j4 A5 M4 {5.防止rpc漏洞
! d I, V7 T4 p1 Q* ^3 }打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
0 K: U. M8 T, P! k$ x( X; rXP SP2和2000 pro sp4,均不存在该漏洞。, W5 `# I- y3 P f9 P6 @( K7 [
6.445端口的关闭
! X4 [- ~6 i5 C" Q修改注册表,添加一个键值
* j+ G# C% Z5 R# b* ^: a8 T: U4 eHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
) a2 |8 w' O! E2 @0 t8 m3 F' p7.3389的关闭
& b/ b. A. `% D6 u5 F- {XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 % g7 q& H2 O$ p- b
Win2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
8 g1 ]3 W4 ]. y9 r( U- g使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 G. t2 c9 i% w6 G
8.4899的防范
/ F3 D: i( S, f- m网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 ) |* n, w( ^2 y5 |6 v! j" {
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
7 c& N1 S, A; _7 e, Z3 M所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 / o5 i4 a( z* ~. D/ i
9、禁用服务
' `+ n& q: @9 _8 F8 e6 p打开控制面板,进入管理工具——服务,关闭以下服务
1 ?$ n- H! p6 C1.Alerter[通知选定的用户和计算机管理警报]
8 _+ O& s7 @! T+ }3 |/ `2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
y% Q- k- l0 y& y2 [* C; z! U3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 " o4 D$ a. U2 r) k' k8 U
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
; I% z# J* q9 V4 r( Y5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
2 C% e+ b T1 r3 P0 [/ O/ A6.IMAPI CD-Burning COM Service[管理 CD 录制]
' J/ \0 P% G4 ?7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
- c; h) ^0 C' W8 E7 w! E8.Kerberos Key Distribution Center[授权协议登录网络] ( A* z* x0 N2 b5 u2 i
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
% ~) i( j- X& h10.Messenger[警报]
: B, [! n' x6 ]7 z11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] 6 s q# y j( t; E% M7 J
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
* y2 I& r+ w8 F5 l n. O0 g4 x% V13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
' j3 }5 F* u& D. b14.Print Spooler[打印机服务,没有打印机就禁止吧]
0 ~0 O) j) g/ J+ c2 ~15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
6 V# k9 [$ F1 B/ P8 m16.Remote Registry[使远程计算机用户修改本地注册表]
5 q0 r! m" Z& p! j, Z9 ]17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
- H2 |+ t, |( m: z18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] % m. X" u3 A* G2 K, K& c
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
( X, f, s1 U l( R, ]6 }( h20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] ! ]; D; |; x: K
21.Telnet[允许远程用户登录到此计算机并运行程序]
$ N8 \6 X7 M0 L+ I7 u. Z22.Terminal Services[允许用户以交互方式连接到远程计算机] ; x( a. k+ t! `0 K [
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] " j8 r0 n+ b* ?+ {& a: {3 ?- x" a
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
: y) y4 s5 u5 W4 D% Q10、账号密码的安全原则 / `" `9 C+ | s2 h: k) x
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~) , s5 q8 U Z8 X8 p9 o2 J& I% n
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。6 [. t" y" D P
打开管理工具.本地安全设置.密码策略
3 H G9 _2 R" q* U& H& ~0 `" w, \) c$ v8 }) S
4 x6 n/ \( H/ t. k
% A- s3 K0 F3 ?7 |
1.密码必须符合复杂要求性.启用
1 V& b. \' U2 j2 k2 r) k2 x3 Q2.密码最小值.我设置的是8 0 w9 ~5 @2 m" Y" y2 o) @: Y
3.密码最长使用期限.我是默认设置42天
8 t9 y/ m( u/ D3 V _4.密码最短使用期限0天
& T! x: x4 j0 v9 N9 ^/ _5.强制密码历史 记住0个密码 4 _' ~: A \1 R0 C ?' J
6.用可还原的加密来存储密码 禁用; l1 |5 ~' J$ G' r- V
11、本地策略: ' g' P6 f$ J9 r% [3 ~8 G
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
! g p; T8 D: }* n* K- z/ {(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
+ W# i/ t+ \& `2 f* m, r7 }4 f打开管理工具
& i5 H; C& I. B( ~; R: W, A7 P2 D; u找到本地安全设置.本地策略.审核策略 5 B6 `. j* Z6 i
1.审核策略更改 成功失败
' Q7 L# r& E$ p7 L2.审核登入事件 成功失败
; Z, Y J1 f. |3.审核对象访问 失败 9 c f" A4 a4 ]/ H/ \) d
4.审核跟踪过程 无审核 9 |" _+ v- q3 O/ |! C
5.审核目录服务访问 失败 / z! a- j) g0 J: y; c) K
6.审核特权使用 失败 , _% u' A- ~1 Z, Z
7.审核系统事件 成功失败
m2 p# T: T( ?. k6 [& b8.审核帐户登陆时间 成功失败 ' Z3 U# L5 O* ^
9.审核帐户管理 成功失败 1 K" X, J9 z2 T( C8 i, C3 v
然后再到管理工具找到
( A2 S( A1 x' X9 j* S事件查看器
* ]; k) P% H* D* R. j5 ~ w应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
% Z$ ?) j6 D+ Y E) E! g安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 5 l) b. G+ r* o# o& e
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 . W9 C: L( b) v) a3 P
12、本地安全策略:
1 m! a! o9 g; M( K打开管理工具 2 D, D' S; Q. q2 ~$ r9 @
找到本地安全设置.本地策略.安全选项7 L/ b# T0 R9 \8 i' ?6 q" G
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
+ L# }2 y% k5 N& L. F' u7 X& c2.网络访问.不允许SAM帐户的匿名枚举 启用
- Q$ e8 M; d$ H0 i. L+ [' ]3.网络访问.可匿名的共享 将后面的值删除
) K9 ?; R2 }0 ]) B2 q6 H0 |1 G4.网络访问.可匿名的命名管道 将后面的值删除
+ @( S+ v7 m. R0 D r: `; @6 ?5.网络访问.可远程访问的注册表路径 将后面的值删除
, M" b6 k% h6 _, D6.网络访问.可远程访问的注册表的子路径 将后面的值删除 , y. E4 w) ^% Z$ Z! x/ L" P7 C
7.网络访问.限制匿名访问命名管道和共享 L# Y8 w' O E% A( X
8.帐户.(前面已经详细讲过)
; A, d/ ?9 q, f) W+ J" {13、用户权限分配策略:
4 L2 [5 o' o( J+ \# ~$ K0 S打开管理工具 3 M+ K1 f( Y6 w6 H+ t
找到本地安全设置.本地策略.用户权限分配
5 b1 a# O) c& |- u3 x8 _1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
5 }. K. x" j- r$ B' P* `- |" A2.从远程系统强制关机,Admin帐户也删除,一个都不留
, U- w0 i& e0 `* x! Z+ |3.拒绝从网络访问这台计算机 将ID删除 / K- y+ y k; l4 ]
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5 Z8 d; l0 Y r5.通过远端强制关机。删掉
9 |7 L: Q6 w5 q+ b3 c8 n14、终端服务配置 , [: H; m* j& x9 U5 Y- J0 a F
打开管理工具
6 _5 N7 Y0 q0 K, `/ G终端服务配置 $ p; N) x6 A; p" Z7 x
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
! {# v5 y, v- s/ ^2.常规,加密级别,高,在使用标准Windows验证上点√! O/ N) O* [. G: L( W& h
3.网卡,将最多连接数上设置为0 * D8 o: @. u1 c4 h8 A t
4.高级,将里面的权限也删除.[我没设置] 4 h- u% V# S6 S" }3 d5 u
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
. w, G$ K# y. |( C" N15、用户和组策略 ' M1 c: g3 n' v' C
- z7 i4 A7 X& u( `- l/ \打开管理工具 3 ^ {1 `/ I% a
计算机管理.本地用户和组.用户;
# D$ E( u3 C( \# z2 Y删除Support_388945a0用户等等 ! V, P4 D: X. y5 R) @
只留下你更改好名字的adminisrator权限
; B8 Z6 g/ e/ l& }7 W' N! G计算机管理.本地用户和组.组
. W7 v0 D F" K; k, [组.我们就不分组了,每必要把 7 y5 k2 K* N' n7 T6 m
16、自己动手DIY在本地策略的安全选项 - L8 W4 n% @; n" v/ k0 Z- N
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
* x8 h8 X+ O) E8 K6 d3 g9 D- v, |/ X+ ~2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
, B, l( @' v- S3 v! B6 I6 n- b* F3)对匿名连接的额外限制 5 ]# A8 `' z! ^# s6 o' A# C
4)禁止按 alt+CRTl +del(没必要) 4 R" _1 y; j. Q% L) r2 c: F
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
0 d) M0 V6 I2 P7 O+ V: q6)只有本地登陆用户才能访问CD-ROM ) u6 G. G- j) g+ e
7)只有本地登陆用户才能访问软驱
; M; F4 V. ?! r8)取消关机原因的提示 ) Q# d% c$ L) O, Z5 @
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
3 W" q9 x( [6 _( p1 h/ PB、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; 3 ?6 g6 p4 G. A. q. p
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; 9 ?4 L$ Q6 R6 [3 L4 l D) }
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 - v# ^2 ?1 E4 H( h$ z3 M9 {5 @
9)禁止关机事件跟踪 4 W; h& |0 k. r, r* l
开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 4 w% `& j e) u) F, c' e, m
17、常见端口的介绍
8 w; S9 d# s3 T. L! r1 U# nTCP
; ?: F% w2 ]6 x21 FTP 3 S5 `* U& x) c7 K: E
22 SSH 5 K5 j* @: q& Y
23 TELNET
# g' ~3 q1 n) }8 j25 TCP SMTP 8 ^! v9 U% u- y8 p1 K; I @. `7 r
53 TCP DNS
1 S( Q$ Z6 W' x80 HTTP ) G% a. N* z3 E8 A( w0 m- y, d
135epmap
+ d' l+ ]. y& s* c% k138[冲击波]
; x, O- d/ ~2 @8 ?1 J7 s1 f( U+ }4 N139smb $ p( f0 l" R# m3 g
445 ; t+ a% B2 h# ^9 a' a) Q
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b & A( Y1 [5 {. e+ L
1026 DCE/12345778-1234-abcd-ef00-0123456789ac 2 J/ @4 o1 ?# o' `0 r
1433 TCP SQL SERVER ( a/ E; {( ?7 _- [3 H( e( q" X
5631 TCP PCANYWHERE
+ k- S4 b! Q1 w \( |5632 UDP PCANYWHERE
5 B$ @% {+ d2 z! `8 i3389 Terminal Services
8 z& ^6 D9 O+ y) B9 i4444[冲击波]
, e4 G) y! S% @0 \/ GUDP 1 D2 w. H& w$ C
67[冲击波]
' h* W! r% m R* f( T9 b _/ G, r& Z137 netbios-ns
: W) e/ D) d. f! D0 X! g6 L161 An SNMP Agent is running/ Default community names of the SNMP Agent
3 Z, R" m r7 D/ i关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48