|
|
|
个人电脑常见的被入侵方式:
3 q; Q6 ]: J( R5 B0 p- z8 W& [谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: ; m: s9 J. U# L: W
(1) 被他人盗取密码; - ^7 E: C' W6 }4 a
(2) 系统被木马攻击;
& a- r" B$ `; ~8 C) [(3) 浏览网页时被恶意的java scrpit程序攻击;
8 k1 j8 k4 }# s ]6 j7 D G2 i(4) QQ被攻击或泄漏信息; 0 j- z7 @+ E+ C4 k8 Y
(5) 病毒感染;
8 \! S' {8 d9 l3 T2 ^0 v(6) 系统存在漏洞使他人攻击自己。 , F. l; R* D3 r) m0 p4 a; O
(7) 黑客的恶意攻击。 " Q! J5 j, l. G0 ?% U2 d
下面我们就来看看通过什么样的手段来更有效的防范攻击。 2 l5 I% Y/ u" l
1.察看本地共享资源
- X6 C. i: h% y3 ~8 k4 _! l运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
' ^2 O8 n3 I/ p1 I1 q6 p3 C9 [2.删除共享(每次输入一个)
( b- ^4 ]; s k: a! }" Gnet share admin$ /delete 5 y/ x9 ]7 y# o& t
net share c$ /delete * q+ i6 ?$ U( ~, T) G. ^
net share d$ /delete(如果有e,f,……可以继续删除)
6 M8 n' J) Q8 Q7 w! L, \3.删除ipc$空连接
4 K& ~0 s' S3 `8 L9 |+ J在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
, A' }& N. N m# W! M) ]) O$ d2 m8 e4.关闭自己的139端口,ipc和RPC漏洞存在于此。 : @$ C7 z* l- [% c2 y+ J! M
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 4 u! p& Y7 |* ?0 S* g
5.防止rpc漏洞 ; L1 w8 Y7 q9 x% P3 D
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 7 f: j$ _& t f- T
XP SP2和2000 pro sp4,均不存在该漏洞。! Y' P4 c+ i; M5 |/ o8 n" p
6.445端口的关闭
( [6 U, U* T. I' g5 G1 M修改注册表,添加一个键值 . j- t% u% o- q
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 / P6 B4 l1 z/ a$ [6 ]
7.3389的关闭
+ F' F0 L- k. l. S! aXP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
9 e+ U6 T$ V6 l$ S! p) DWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) 0 i7 k q4 @ c1 ]3 s! N0 |) h% V
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 9 _# z* q* d3 {! C; G. |
8.4899的防范 . b5 P, J' I( r. Z( {# E
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
8 W( W0 U0 I `2 E3 s/ E' q) \3 e4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 # f! L$ {$ [ r. q, I1 M
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
1 h- T: W. ~5 G9、禁用服务 ' Y$ w6 q2 W9 B* r7 J4 t4 h3 G' D
打开控制面板,进入管理工具——服务,关闭以下服务 4 ^ G b& w% j, H: G1 w0 ^
1.Alerter[通知选定的用户和计算机管理警报]
( |% v( [+ V6 P4 |. B% X2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] . V" R! {! o. E$ x- N% v- A' \
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 * T# H- h) |% f% X9 z5 ]
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
" J# \* |- ]! m3 Y! [6 ~2 n: W5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
+ m/ k5 T: R5 z C$ B! X9 P6.IMAPI CD-Burning COM Service[管理 CD 录制] , B% V+ K& k! k2 x: p5 t( M
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] , C% r3 k9 K$ g: }8 c
8.Kerberos Key Distribution Center[授权协议登录网络] 9 q' e$ H$ `4 G( ~
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 9 t9 K# S* u! j8 T! P+ i2 y
10.Messenger[警报]
, x% E3 u( [2 n% ^9 K+ Q( b- t11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] % H$ j6 G5 i7 ?! B6 k8 M& I/ ], P* \
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
; v8 b ~, D3 o2 C! v/ |% X" Z13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] . p: E6 m: o3 S" [6 U9 m6 E" n
14.Print Spooler[打印机服务,没有打印机就禁止吧] ; D4 W6 t6 f& j8 Y# |8 d0 V" p1 {
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] * r+ ?5 o* d& }0 N, N
16.Remote Registry[使远程计算机用户修改本地注册表]
8 b! G, k3 Y& |% E, c5 `17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
4 B2 p, Q ~* [! T- ~$ V: m18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] ) x0 b: k/ F+ ~
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
+ ] Q$ z# c; T5 n3 r0 p z' Y20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
# \/ X C6 `1 W2 E) ?21.Telnet[允许远程用户登录到此计算机并运行程序] 3 v) v; ~- j$ d
22.Terminal Services[允许用户以交互方式连接到远程计算机]
; ^! {" {8 p( A23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] # C; }8 U2 Z& p( i# \2 J5 [
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 * I8 M, M* j# j1 `
10、账号密码的安全原则
. C9 T8 |3 G( F, K/ `+ R5 {首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
, n9 z5 e8 r8 y9 f6 ~$ C2 i如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
6 u$ G% ~2 q$ T- v, X打开管理工具.本地安全设置.密码策略 ; }, }- d1 S5 k7 {8 z
* I R R- w# ~8 p4 ?, x/ Z2 p7 K. c) C. l
6 ]" H" v+ H8 D8 O) |
1.密码必须符合复杂要求性.启用
$ P# H% }. ]* s: d! f( |2.密码最小值.我设置的是8
) ?+ G& I/ [7 R% b) A j5 Y3.密码最长使用期限.我是默认设置42天
- T& U8 D. g- m0 G a4.密码最短使用期限0天 / R: {5 i3 q3 ?2 F$ M4 v) f/ C
5.强制密码历史 记住0个密码
) ?: q- e& ^- D" M- x1 S% \6.用可还原的加密来存储密码 禁用& A1 r% c' Y* o" x/ A% K
11、本地策略:
5 l8 S# E3 d) n. n3 i这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 # z m. V1 D- u
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) 0 ^7 l: h. a# h: D
打开管理工具 9 y1 B4 u2 g) B. A" ^; m9 h( G
找到本地安全设置.本地策略.审核策略 " I+ J6 b: @: h& m& w" m4 _! ~
1.审核策略更改 成功失败
& G5 }/ J* t4 q4 G, |2.审核登入事件 成功失败 : [8 P- Z d" I; Q, p' S
3.审核对象访问 失败 ' r! _) i/ y0 b4 u2 ?
4.审核跟踪过程 无审核
7 I) l- H C! d6 B5.审核目录服务访问 失败
+ P9 _0 r; p1 Q. a% j6.审核特权使用 失败 / B/ ^' U/ s1 X5 D8 t/ ?8 F
7.审核系统事件 成功失败
7 V8 } C1 X5 Q- ]* b, X8.审核帐户登陆时间 成功失败 7 J" [% X7 q7 M# O
9.审核帐户管理 成功失败
0 Z( T( @; ~$ V9 {; \9 x然后再到管理工具找到 3 y7 K( ?) p0 I- s, f9 Q" D8 S
事件查看器
f# A# {8 J, _2 F应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件 ( `/ X- P' v& r8 M1 ~
安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件
: B1 p) A8 e+ M* c系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件
2 m/ \: w, c1 J1 l0 u12、本地安全策略: ( C j5 y& B0 v# g
打开管理工具
1 j4 o3 G' J$ {* A; P找到本地安全设置.本地策略.安全选项6 S/ _. P8 b% Q/ v, U
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
7 M+ ?+ C! ~9 v* s J% k3 w$ m+ T2.网络访问.不允许SAM帐户的匿名枚举 启用
6 W! P7 [ ~# S! R1 A3.网络访问.可匿名的共享 将后面的值删除
" t$ H1 y$ G2 H6 S+ W, h4.网络访问.可匿名的命名管道 将后面的值删除 + U* v/ ^- @( y% ]7 a4 J! Z
5.网络访问.可远程访问的注册表路径 将后面的值删除 4 _8 a% z4 D8 I2 D9 B* k
6.网络访问.可远程访问的注册表的子路径 将后面的值删除 , M- |$ A$ l" F# O, C, r/ J& r* c
7.网络访问.限制匿名访问命名管道和共享
- x! F, H/ ^$ r6 @4 i: b: J' M9 {8.帐户.(前面已经详细讲过)
5 ~# R% C9 E- v4 K F5 }5 ~+ c13、用户权限分配策略:
: c2 T" L6 q E \# M- w: [9 A打开管理工具
, v9 [3 `2 g8 n. K找到本地安全设置.本地策略.用户权限分配 " J% C' L0 ?* R u6 y$ W# s+ E
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2 N4 ~( ^ Y& A- d2.从远程系统强制关机,Admin帐户也删除,一个都不留
; M% j6 ~$ H: T9 K; M% K3.拒绝从网络访问这台计算机 将ID删除
! t2 Z' o8 a5 S8 N* Q4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
2 C7 A: f$ A3 z4 {% O5.通过远端强制关机。删掉
# f) S% o0 U) ~# b0 M' c0 i+ C14、终端服务配置
7 L9 r2 S6 V7 V- t打开管理工具
# K0 ^1 h, i6 }9 i. R3 u6 x终端服务配置 _* g& `; y1 V* ?0 y4 G6 B
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制 , @" J2 V4 H8 a! N. P
2.常规,加密级别,高,在使用标准Windows验证上点√! 5 D. e: [& o/ O" o/ l
3.网卡,将最多连接数上设置为0
+ e* {& _+ d3 b4.高级,将里面的权限也删除.[我没设置]
D% ?. P- _( E w再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话2 f% `; \, C2 E7 T4 o& }6 }1 N" E
15、用户和组策略 , r% x. L3 p. u) J G: _7 _9 B
& y! Z- P, _' L9 f
打开管理工具
( q8 ?8 W, {5 I% p计算机管理.本地用户和组.用户; ) w7 G# j# O" x$ G- C2 u
删除Support_388945a0用户等等 9 ?' X# c. Z; s+ b( @
只留下你更改好名字的adminisrator权限 1 |8 K) W$ `8 `: m& v& R$ m- A& A
计算机管理.本地用户和组.组
% w! n1 e8 A6 a组.我们就不分组了,每必要把 3 X6 _) G; F8 u+ _8 p6 @
16、自己动手DIY在本地策略的安全选项 $ {+ |9 r% h" L' \
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
4 y- i$ \& \2 O7 c T3 A1 K# `2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
4 k1 c) M" O/ ]( ]8 ~3)对匿名连接的额外限制
r9 n' O- s2 f4 O; T5 z6 P4)禁止按 alt+CRTl +del(没必要) + z/ ?, g3 m$ A
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
% t) a- M1 m; e( e2 v) W6)只有本地登陆用户才能访问CD-ROM 2 U5 ?- [, n% T g. L- w
7)只有本地登陆用户才能访问软驱
3 j( E" O. c6 F5 h) Z% U( I8)取消关机原因的提示
. b- }! {' q" |/ \; S% G; t3 j7 hA、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
9 ~7 \: Y3 e) U+ j4 Z# MB、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; 7 |9 l% y( T3 r* w( i: _
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
& {" `1 `* H3 v2 YD4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 ) w: w7 C$ `5 z: z6 S
9)禁止关机事件跟踪 / f3 b# Q5 N% f
开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
; y- u& T" {. Q0 n/ ~- F17、常见端口的介绍 7 b/ }+ `* j1 ?3 b
TCP
% |4 f/ k# E1 s; E21 FTP
1 }& c$ { d; _% h3 \: `1 [* |* X22 SSH ) K* ]6 i6 q) x s5 s7 S& N
23 TELNET
4 S- A; t0 y$ c9 k& v& W2 }2 [- T, U25 TCP SMTP + Y" D3 r' J9 c3 @
53 TCP DNS
R- g+ e; Q _80 HTTP
. N7 P+ B6 p- Y1 `135epmap
% ^, m: U( B; _" v$ l" t8 c$ E138[冲击波]
+ e3 G% N+ K* V# G4 t1 O0 x139smb j( n1 H/ `( |1 |, a3 a1 s2 a8 `0 D
445 f1 _" z5 d# V: u6 l/ w$ C) O5 x
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b * {( k2 z" F7 \
1026 DCE/12345778-1234-abcd-ef00-0123456789ac . r+ [" v4 _% m! R" w
1433 TCP SQL SERVER
?2 f0 J7 ]6 _5 ~" ]! f* |7 G+ N5631 TCP PCANYWHERE 5 B8 `8 U- K2 j/ ?' `3 z: K
5632 UDP PCANYWHERE
" U, x$ X: u7 q- c4 K1 o6 _2 e" J. [( v3389 Terminal Services + m; |: \ X1 o) x3 M( q
4444[冲击波]
, H+ c( o* R/ I0 H5 n# i% uUDP & t. C2 V# H" ^4 c* G7 b
67[冲击波]
+ X8 N5 m1 @; _) A2 I9 o137 netbios-ns
0 f& b2 M) ^; B1 d161 An SNMP Agent is running/ Default community names of the SNMP Agent ' C6 [6 z; A5 \: J* _2 O4 L
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48