|
|
|
个人电脑常见的被入侵方式:
; m! ]3 |' I- I+ O( x谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: ! }0 }& ]7 q4 B& ]" H
(1) 被他人盗取密码;
( W3 i1 u/ C4 b" A5 k9 F(2) 系统被木马攻击;
1 a1 Z8 W0 c/ h. C6 [(3) 浏览网页时被恶意的java scrpit程序攻击; # J% x! w, B8 \. u( Y. _
(4) QQ被攻击或泄漏信息;
$ k2 p" k/ S+ k/ k1 n(5) 病毒感染;
' ]0 O! ]7 r! B' P, M" d1 P(6) 系统存在漏洞使他人攻击自己。 6 S% ?8 p6 X: @1 V
(7) 黑客的恶意攻击。
) Y$ h9 s, t# n% J) M6 `, b下面我们就来看看通过什么样的手段来更有效的防范攻击。 1 n4 e- _5 r* M$ a2 s: T6 @" E
1.察看本地共享资源 - V+ @8 W& ~) E: w' K
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
& E& X& ]# p2 Z3 w2.删除共享(每次输入一个)
& u3 J2 \9 T. f) g8 Dnet share admin$ /delete
6 E* j* B4 _% \3 Tnet share c$ /delete
: x9 Y4 \& d# h8 y5 W6 D% F9 j$ Vnet share d$ /delete(如果有e,f,……可以继续删除)
0 w( |$ S# V4 o& e8 Z0 y3.删除ipc$空连接 - c6 F) M6 q/ K& L3 G# {
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 0 u M* a9 Q, m
4.关闭自己的139端口,ipc和RPC漏洞存在于此。 & i' _: h, ^& y8 \2 ]
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
" C, x$ F' W1 [2 q" ~8 Q$ }5.防止rpc漏洞
* \' ~8 _; H' v, n! L' y" q; a J打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
( ~0 j0 x7 f# B, T" Y0 U$ b8 NXP SP2和2000 pro sp4,均不存在该漏洞。9 {1 o. {: V7 {6 z* M; K
6.445端口的关闭
: D: n- I' Y+ ^" A3 m修改注册表,添加一个键值
. |, l1 Q; |" C% G( u, OHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
9 w2 n- q$ a4 D/ }0 z) d+ n7.3389的关闭 / u; r* n3 D. z5 b4 a6 q. T8 h
XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
' X/ I$ _, a* D7 X& @, DWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) ! X% T( ?, r( E4 Z' Y
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 $ J. _; Q' o3 W. G
8.4899的防范 ) h- d. {, c" ?% W) _$ r
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
* {* I' M, j+ v6 W6 H% v3 S4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 4 Y* L1 E) ]% ~1 J
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9 x# @. w$ \7 T9 O2 V3 L% U" {9、禁用服务
; k* v$ J. l3 B. b( s# A打开控制面板,进入管理工具——服务,关闭以下服务
& [% q$ b7 N/ r. V- X1.Alerter[通知选定的用户和计算机管理警报]
! r' [: Y, s2 K2 D1 d2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] + O9 ]0 J6 @- m# h
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 9 i8 s5 s; j* u
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务] # P$ s- M! J1 I( z3 _* u. F
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
/ s& O J. u% J1 z# d6.IMAPI CD-Burning COM Service[管理 CD 录制] 3 Q4 R( K& z4 O5 H
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] ; p4 c; Z, u8 Y2 S
8.Kerberos Key Distribution Center[授权协议登录网络] & U! p3 w/ i8 X/ y- h, s
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
1 y' C" a1 K- w5 }& [* i% V10.Messenger[警报]
1 {! z/ V9 N5 u& Y$ `11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
7 k! @5 @3 V# Z. f$ a" Z& a' d6 n12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] " V. G# R; q- T' k) ? Y
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
3 \. ]! _& j* g1 n# {; _) W14.Print Spooler[打印机服务,没有打印机就禁止吧] 5 o# Y+ o( w4 D3 k% m- R
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
4 |# N1 u( U5 z3 R16.Remote Registry[使远程计算机用户修改本地注册表]
. i2 d$ c. _3 ?( V2 e( K17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
9 _& v% Z: }& t6 ]9 V" S18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 7 C) w+ ^/ z: \3 z/ Q
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
5 h0 i8 E W+ w2 m3 o; S, G20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
4 n& ~4 A+ _+ M" r21.Telnet[允许远程用户登录到此计算机并运行程序] " `4 t5 o* O4 q: Y
22.Terminal Services[允许用户以交互方式连接到远程计算机] ! ^1 S5 E8 J% z# [! ^
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] : n6 p' w% `0 ~7 d `; H3 ^
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 ! W5 H; E) H& l4 z- O4 n3 a
10、账号密码的安全原则
( C6 a B) b9 P% D3 B9 k8 T1 ~7 K首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
7 M* w# L3 ]/ I$ Q: B如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。# f/ r9 I, h6 V+ [# k; W1 M5 R
打开管理工具.本地安全设置.密码策略
4 Q( h, a% ~' x2 q
R) b. _" Y+ J w/ m$ A
& w, u# T) ?) a% k3 N' k
+ F/ k% a1 X3 d+ n4 \9 j( t) V& [1.密码必须符合复杂要求性.启用
4 v h* }* B; Y9 K2.密码最小值.我设置的是8
) Q }( S# o, ~7 j5 @3.密码最长使用期限.我是默认设置42天
3 i) ^2 \" [6 F9 Y% {* q8 y" j4.密码最短使用期限0天 ; p1 T" i( V+ Z. _
5.强制密码历史 记住0个密码
5 c x3 K- o2 L- T6.用可还原的加密来存储密码 禁用* V% X" W+ u& v/ `
11、本地策略: 9 g! ]0 r. M3 h+ s0 H( I) q
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
$ M: |: d5 d+ a5 E! p4 z8 M5 }8 a(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
& L. {" j U W打开管理工具 & [: W# O$ y- ]% q1 O! D
找到本地安全设置.本地策略.审核策略
; m( h. k) a' I1.审核策略更改 成功失败
' h! Q6 F; b* `* J6 D+ y- D. `8 W( i8 {2.审核登入事件 成功失败 / W7 Q$ a4 [. M8 r- ~, l
3.审核对象访问 失败
% M& H+ i6 B0 J+ b5 L% R0 T) t6 Q4.审核跟踪过程 无审核
9 Z4 D1 I Y' Z+ z! t, @& M$ _5.审核目录服务访问 失败 - v" t) F0 ~, Z+ l
6.审核特权使用 失败 3 x0 G( _4 K4 l* I
7.审核系统事件 成功失败
) i g, K9 D, e% F/ J& C) e3 v2 x8.审核帐户登陆时间 成功失败
/ E ~3 q/ q P& C. C+ U9.审核帐户管理 成功失败 ! _8 d4 I* v5 H9 l4 k! ^
然后再到管理工具找到 7 F. v! s3 n8 P
事件查看器 ! Z- H% A; l7 g" }1 ?! t& X
应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
g8 N5 I8 _# E! m( _; f0 @安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 - ]! b1 F! V+ ^5 \; z$ m! Z/ y8 {
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 % `" i) V5 g. n# _( w
12、本地安全策略: D- p7 T5 @) q4 Y" N
打开管理工具 ) F' G3 @- B# i" @
找到本地安全设置.本地策略.安全选项/ @% n, m4 q+ r2 F C
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的] 0 g! M! t; f0 w: S* N
2.网络访问.不允许SAM帐户的匿名枚举 启用 ; j$ Q% A u" @8 H8 v- O5 z. h7 L
3.网络访问.可匿名的共享 将后面的值删除
$ N+ _! @1 p3 z- T: w4.网络访问.可匿名的命名管道 将后面的值删除 $ s2 e8 I v- K4 b
5.网络访问.可远程访问的注册表路径 将后面的值删除
- v7 g5 C% e' b" f" }6.网络访问.可远程访问的注册表的子路径 将后面的值删除 " d. N; D# G& v% A
7.网络访问.限制匿名访问命名管道和共享 $ X& X" m% j" u
8.帐户.(前面已经详细讲过)
( Q7 ]" f" u \6 m) \13、用户权限分配策略:
9 s% J& t# g) M/ W打开管理工具
7 [# m* p5 `! {1 e' }- r找到本地安全设置.本地策略.用户权限分配
- }* h0 p2 S& O* i" x4 c/ S1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID " q' W( |/ x0 w( Z$ A& K0 ~ K' s
2.从远程系统强制关机,Admin帐户也删除,一个都不留
6 j* F( O, d, m" Q0 z5 q3.拒绝从网络访问这台计算机 将ID删除 # m7 j! q/ v" }& d7 |/ N
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
# x& Q' ]0 K* t" u! ^7 X/ M* h+ b5.通过远端强制关机。删掉
K. l. I# D& j2 c0 \14、终端服务配置 " H# H) F: j# f5 ~4 N( s
打开管理工具 & z4 ]* U' j/ ~+ \8 C& m
终端服务配置 $ q- v' l. {0 e8 N) r
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
4 t% C9 v1 i5 o B% X/ B+ @2.常规,加密级别,高,在使用标准Windows验证上点√! 5 L/ u2 ^6 t0 X* D" p
3.网卡,将最多连接数上设置为0 3 U+ j8 {6 A, a2 C. J& `* O2 L
4.高级,将里面的权限也删除.[我没设置]
/ |4 f+ y- \) ~) y- g* }再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话/ d: P% }' u, ~
15、用户和组策略 ; S# l/ h* D0 M* ^
5 N1 z6 g! c, V1 D6 P( P打开管理工具 $ \( `* B; h( C/ U/ ], u
计算机管理.本地用户和组.用户;
/ \$ y* f: _- L0 w" `; ~删除Support_388945a0用户等等 % V6 R$ N V" v+ w- C& X4 O) C5 d' b
只留下你更改好名字的adminisrator权限
6 Y) d- H* E/ [* } N计算机管理.本地用户和组.组
d% F2 R( w: m- i6 R" \' m& H组.我们就不分组了,每必要把 0 l9 p1 g8 b0 @
16、自己动手DIY在本地策略的安全选项 4 k) H. n: C6 c* d6 T
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. 0 p" u% Z: d, I5 d
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. . R* b" Y, d) x" t
3)对匿名连接的额外限制 - ~: m% w! a# y; H1 N
4)禁止按 alt+CRTl +del(没必要)
6 i* b7 b. E( o- k- s+ ]: o5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6 q! Y* B3 h* |3 z$ u8 _6)只有本地登陆用户才能访问CD-ROM
, K& D/ [4 s/ u/ m7)只有本地登陆用户才能访问软驱 ; o1 _& x; n5 ~' s$ T4 U$ ~- Y
8)取消关机原因的提示
, N& P- P( H( o ~A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; 4 W; K% I }; Z N1 l2 h3 V# u
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; - ]7 E3 u* J( |1 a. a v: p
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; ; [" A0 Q* q" Z; }6 W: j
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 0 m0 H: T7 J: w4 E+ G1 L- _6 X
9)禁止关机事件跟踪
' O3 p9 T" \7 s开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
* ]1 t7 m* b8 S& B1 a17、常见端口的介绍 9 O8 l: U3 E" u+ {
TCP
' E& k+ z: ], P; l E( p21 FTP
. h* Q; w& t5 l+ h- A22 SSH
5 C+ K! [. m- N: c5 ?$ ~+ p23 TELNET
6 j0 }. O+ w$ W4 U* T25 TCP SMTP " V7 w; @. M- S# |2 D% T. J& ?' z
53 TCP DNS
* ~ ~/ o1 K, ?! f9 a80 HTTP ! v. Z2 c7 p( `- ]5 s# K) @
135epmap
5 w+ Z6 B, o0 p) {0 h9 H138[冲击波] 7 g8 ^! [- U! [, @
139smb
& Q: a5 C& d7 P: O% _% H/ R445 & h* d3 n& [5 i+ G' g+ P: o6 y' y
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b , Z2 A; K& a! c w3 M, t$ t
1026 DCE/12345778-1234-abcd-ef00-0123456789ac / i1 F7 D0 c B$ z! ~4 c% q& r
1433 TCP SQL SERVER
3 x" D |+ ~. E, `5631 TCP PCANYWHERE
( @( W6 i1 i$ L0 M2 m5632 UDP PCANYWHERE
2 u$ |: S1 q2 m8 M$ p4 g3389 Terminal Services . V9 x7 w& l% B! Q
4444[冲击波]
8 j# j8 w; [2 b" t) T' { ]' x9 AUDP / r1 `! Y$ M3 }8 L
67[冲击波]
6 _0 w# w" T) p3 x# Q9 Z; K9 A$ A137 netbios-ns
5 v& Y) O+ Y, U/ [1 b8 r1 |) i+ w2 g; v161 An SNMP Agent is running/ Default community names of the SNMP Agent % y7 j$ N. y. n5 e! B: U
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48