|
|
|
个人电脑常见的被入侵方式:
( Q% u ]( Y R3 N2 r5 j( q! y8 M谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: * c( E1 `5 }, N5 H3 [
(1) 被他人盗取密码;
9 i0 g+ v) {5 h6 i' R% o# b* v(2) 系统被木马攻击; 0 |+ _# R2 M9 ~ o; B
(3) 浏览网页时被恶意的java scrpit程序攻击;
6 S& b* T. w& d! l! ?- [(4) QQ被攻击或泄漏信息; ! t [5 J8 h3 s. M& k$ A# k
(5) 病毒感染; ! i; J9 Z; r6 j" Z
(6) 系统存在漏洞使他人攻击自己。
/ Q, K! ]3 X- h, p* C! {0 Y(7) 黑客的恶意攻击。 " d f+ ?& _. e( A
下面我们就来看看通过什么样的手段来更有效的防范攻击。 . y' s" z, ]6 e7 z3 v9 }3 q0 _
1.察看本地共享资源
5 m/ W5 b( `4 Z% a! W( ?运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
* Z* y& E y a5 [4 B* B& u; D2.删除共享(每次输入一个)
9 a7 ]9 a& k. G, M, `. ^& o0 xnet share admin$ /delete & v# [6 K1 ]4 X! M( U6 {- t) Z) Y
net share c$ /delete * m) x! X1 _9 F1 ~8 M8 H) z! O
net share d$ /delete(如果有e,f,……可以继续删除) 7 ?( d: c: P0 f+ A# ]
3.删除ipc$空连接
/ J- C# p+ R( B; }# |在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
f$ }, z: C+ `& u4.关闭自己的139端口,ipc和RPC漏洞存在于此。
X( a4 E& v6 {9 b5 [ r关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 8 o+ ^) u% z$ e7 v# E# Q7 D
5.防止rpc漏洞 + G) b4 r4 p9 q( @. D+ _. i
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 ( S/ L% d# Z7 ]* X
XP SP2和2000 pro sp4,均不存在该漏洞。! b4 \% N5 Y d( `$ O; D% e; N# N
6.445端口的关闭
2 I4 `- Z6 T: t7 ?2 m2 N3 B1 U修改注册表,添加一个键值 X& K8 S- x, z6 h8 H
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
/ w) X1 P9 y) o% E* i f; Q7.3389的关闭 % Q4 L' C1 N. ^, A' ?
XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 * T4 i* ]( f0 }0 C( I
Win2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) 8 I( a. @4 P* o; _6 r R
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 $ m4 n$ r0 p: i6 L. B/ e2 e4 l0 Z+ x
8.4899的防范 7 M8 x/ j% F% n* i
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
" Q& @2 N" i6 D0 }9 p4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
; ^4 }$ w& o+ Q( o所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 L4 m3 c. C0 v% o
9、禁用服务 7 i+ ~2 c/ U% A3 x) n% v, K p
打开控制面板,进入管理工具——服务,关闭以下服务
8 s$ c# s8 f) j. Q$ `: U6 ^( t9 f- ]1.Alerter[通知选定的用户和计算机管理警报]
Y( j6 q- A; k2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
% R, e/ H4 U# i9 K0 r3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
, m. V. @3 T7 I$ y% p2 J% i7 N4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务] $ `- D! k1 b; e7 j8 K% Q
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 4 v: Y9 u7 ]2 q8 Q& K. A
6.IMAPI CD-Burning COM Service[管理 CD 录制] + F! {, a" V1 W: V& F
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 0 ?: H1 @8 k* }1 R: t
8.Kerberos Key Distribution Center[授权协议登录网络] , M- R% N5 v% T, ]" @
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] & U/ ]" z* c q- u) Z
10.Messenger[警报] " \0 \- i+ P/ I( m4 o# j
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
; D, z7 Z5 Z# \8 u# F* X12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] / K. k! H* A- P, \6 o$ c1 ?/ N
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
' E" Q! {4 K o" A14.Print Spooler[打印机服务,没有打印机就禁止吧]
; i9 a& ]. |4 T# G! E4 N- a/ \8 N15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] ' N y4 y/ o5 R7 j w
16.Remote Registry[使远程计算机用户修改本地注册表]
0 p( O) |- t0 B! A, Q- q17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
9 `6 P! n- v. |5 C' Z18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] . L+ c2 s8 O2 O7 [$ R# I0 k
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
! U7 e- ?, J4 K8 f20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
1 ]0 D2 }, @* b0 i21.Telnet[允许远程用户登录到此计算机并运行程序] ) }" W! _ ]; {: D8 a
22.Terminal Services[允许用户以交互方式连接到远程计算机]
$ A& M) {# }( t6 [23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
) ?& q9 }! }0 A% B& f如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
: Z { d7 J; I1 N ~7 G* y5 C8 ?10、账号密码的安全原则 + O$ w6 F2 E! \
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~) : z5 |. ]+ m% D/ J
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
" L5 j. Q! w' s- G( K- ]) k8 c+ |打开管理工具.本地安全设置.密码策略
. Y' u5 q. l; t q3 z' ?2 e% _# E7 ~% c* G5 ]
! i8 i( \; _* S) Q/ p+ ^
9 b& d# r' Y/ B8 ^5 l6 Y6 o) W7 t
1.密码必须符合复杂要求性.启用 & t0 |$ w$ ^- u6 n1 l$ v6 k: s
2.密码最小值.我设置的是8 ( y, p( c5 F; `2 ]
3.密码最长使用期限.我是默认设置42天 - m" c4 w7 P& L+ z* B$ b" r0 ^2 s" n4 R
4.密码最短使用期限0天 $ h+ P& ]( ^: o% J! C6 r
5.强制密码历史 记住0个密码
8 K# h1 t2 m& q, r6.用可还原的加密来存储密码 禁用
* \1 Y, n o4 M11、本地策略:
% U4 u* F& p1 j) h$ C, T: L+ m% @这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
+ i: Z: `: l. Z/ x1 C3 h3 {+ ^& i(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) . ^5 ^( V1 {+ q# u( }2 N4 j7 x
打开管理工具 - u. N/ o$ V/ j1 V/ k. U
找到本地安全设置.本地策略.审核策略
3 f' J( g2 y) u; c# X2 V1.审核策略更改 成功失败
: q: q( O2 ?9 y) o0 \6 I6 i$ J2.审核登入事件 成功失败
. B$ g1 D' |. O4 ^" @3.审核对象访问 失败 - j5 C8 j8 w' N" y
4.审核跟踪过程 无审核
, A6 D4 u. c2 q4 i' V5.审核目录服务访问 失败
8 {) T( f+ {' s* V6.审核特权使用 失败 0 ]& r. y% x& b( _1 |- z! Y
7.审核系统事件 成功失败
. t* v2 b' C8 e$ T' T- c8.审核帐户登陆时间 成功失败
8 p- ] z* Q' q; T9 _ t9.审核帐户管理 成功失败
# r. X1 p X" p2 ]然后再到管理工具找到
1 Y6 Q4 q* ?- x" d" g L) m事件查看器 ) B, a& Q2 I+ B4 x$ K
应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件 3 ^7 Y7 H& M) M% T
安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 4 a! W. R0 G4 H! D5 U: C! H
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件
) `7 @5 K1 Y: F/ r0 \" @& J12、本地安全策略: - O W' _" Y" V
打开管理工具 6 Y. g, K" u& O8 x5 Q% S
找到本地安全设置.本地策略.安全选项% f( O+ R, l4 u, U
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
4 T5 `+ b# P, D' }9 ~4 z2.网络访问.不允许SAM帐户的匿名枚举 启用 0 S+ m W: m: f+ r7 O' r
3.网络访问.可匿名的共享 将后面的值删除
( Y- T" O5 i' W4.网络访问.可匿名的命名管道 将后面的值删除 ' e4 L0 H7 Q4 \5 R
5.网络访问.可远程访问的注册表路径 将后面的值删除 * ^7 q4 [, E$ k0 i4 s- u
6.网络访问.可远程访问的注册表的子路径 将后面的值删除 7 H! g0 i1 p' J. ^
7.网络访问.限制匿名访问命名管道和共享 - k; }9 `, Q" j, x+ Z
8.帐户.(前面已经详细讲过) # J( u1 m' Y8 ~. I& R/ e5 v
13、用户权限分配策略: " S- \7 t! b. L+ a0 W# R1 R m" Q
打开管理工具
0 q3 b: V4 G* C, t+ I. I找到本地安全设置.本地策略.用户权限分配 C2 G, m3 a" e; y2 x
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID - @; Y) N; u) Q2 @9 y
2.从远程系统强制关机,Admin帐户也删除,一个都不留 / M. j* Z9 a3 [2 d/ B# i
3.拒绝从网络访问这台计算机 将ID删除
$ P9 w3 Q3 V) @) L1 ~0 q4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
3 o! I- @6 M: _; m9 J& v( w2 ?/ I2 h) d5.通过远端强制关机。删掉 ) b* F3 ]+ D) p+ Y
14、终端服务配置
. F9 }* \) V8 m5 B0 g3 d打开管理工具
0 g+ T5 @6 `2 L3 e" i终端服务配置
3 }5 M2 Z4 a; O% s% l) }& U1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
3 I3 j; q% i I. h& U2.常规,加密级别,高,在使用标准Windows验证上点√! 0 V. D8 b8 G/ p6 p$ j. a, [1 F! L
3.网卡,将最多连接数上设置为0
$ l" J3 k& Z1 N3 p" _; X. A4.高级,将里面的权限也删除.[我没设置] ; J1 F; S; R) ~6 n' b3 V
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话+ N4 R) l" `4 [& Q9 v& A0 ~
15、用户和组策略 0 [! ?9 n+ G8 K. P: i- g. _& b, H
4 `* W/ g2 \& z, Q0 T6 S打开管理工具 : k3 ]$ m6 j# N7 T
计算机管理.本地用户和组.用户;
( q# o/ g* W8 V% y& c删除Support_388945a0用户等等 % x( P' P9 A s$ l" Y, \% Q
只留下你更改好名字的adminisrator权限
: u, w" U" O6 a U* |' I t6 f计算机管理.本地用户和组.组
# U1 X9 O8 i$ \9 |4 d2 s组.我们就不分组了,每必要把
4 `1 t- q3 y. r; ]! T16、自己动手DIY在本地策略的安全选项
( Y$ C' Y& z1 z g# t4 ~6 I$ O1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. * \) Z3 {$ w( U1 B
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. * e, N0 L+ E- b
3)对匿名连接的额外限制
4 R6 W0 f1 Y* S/ C4)禁止按 alt+CRTl +del(没必要) " m t. T) C) }" |% x% a: n" w J
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
1 }/ q9 x, d/ U4 e6)只有本地登陆用户才能访问CD-ROM / D* v& I7 x* E
7)只有本地登陆用户才能访问软驱 9 U' r/ c2 d% ~: j: e
8)取消关机原因的提示 ' i4 R g8 p' p7 h
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
( O; g, Y# i9 ` ]' ^$ v: q( O) MB、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; ) U- t& Y: Q/ A C
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
. l2 x" \; U3 ` a: j7 q! Q; ID4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 * C8 n: Y/ ~3 G1 ^
9)禁止关机事件跟踪
9 P% Y; ?1 m% G; H3 {开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
; L, J1 W) T' J4 G' s o1 ?* d6 c$ D17、常见端口的介绍
7 y% w# H+ M6 m- u6 V7 Q. s' |, {TCP : n8 Q: J1 G, ]1 S; K, `4 ^1 _3 a
21 FTP
% q$ `% j8 r3 S' Z; U# {# N22 SSH 2 `, [2 i+ o9 y* q8 d
23 TELNET 4 r- q7 I9 t7 X* C2 z. S3 I
25 TCP SMTP
* N& ?2 s" c7 H+ o% @5 j% d53 TCP DNS
* ]; H1 N1 g: l4 P80 HTTP * H4 y% C$ Z/ g/ l
135epmap
8 M; d3 V1 k- o3 i138[冲击波] $ C4 X: P1 p1 W' F
139smb
: b# G, q# K' R1 {( L: @& T445
& K5 \) p% u+ G: z1 ^: W1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
; ]8 u* p5 G$ t3 D t7 {1026 DCE/12345778-1234-abcd-ef00-0123456789ac ( C/ u9 d' o# |
1433 TCP SQL SERVER ; J8 j( u* S/ Q" D$ l
5631 TCP PCANYWHERE
3 [9 e- m! Q: Z. y9 X" X5632 UDP PCANYWHERE 3 E6 `7 t1 m: F& _ H# o
3389 Terminal Services O& N% k$ o3 p7 J* c! M1 x& N2 R, ?
4444[冲击波]
$ M" p/ X/ ^- W: p6 P3 M9 [UDP
+ p$ B# W! }2 p0 `/ ^. o( f67[冲击波]
7 b) } N2 l6 n/ \/ w V3 [137 netbios-ns , Z }1 i. t0 \* P" M4 P$ p: K/ l
161 An SNMP Agent is running/ Default community names of the SNMP Agent * d, {, N6 ~+ _) z8 ?
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48