|
|
|
个人电脑常见的被入侵方式: 1 r, D, H4 V8 ]& e5 w
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: & h3 _ K; |9 ~: x
(1) 被他人盗取密码;
2 ?9 y& h4 Z, K(2) 系统被木马攻击;
: g5 j$ w. _# _8 H$ J+ M& N! J( r+ d1 n(3) 浏览网页时被恶意的java scrpit程序攻击;
$ V% q. s9 q3 F7 X5 V(4) QQ被攻击或泄漏信息;
8 r3 m6 s# Y7 D- T9 p% [(5) 病毒感染;
' C+ R/ n4 d" `(6) 系统存在漏洞使他人攻击自己。
. |" O" G" V/ s9 H K(7) 黑客的恶意攻击。
1 [, ?* F* `5 h3 C下面我们就来看看通过什么样的手段来更有效的防范攻击。 $ e- h7 H& v% X
1.察看本地共享资源 % q: @9 g0 z! w' o, Z
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 " o9 z* p! e9 U; }# @6 E
2.删除共享(每次输入一个) * f+ G$ U7 |$ F- o% ^
net share admin$ /delete ) Q6 o' Y- ]8 ]: z' b: [! ^
net share c$ /delete
; x" l. t4 w c7 o4 j( Cnet share d$ /delete(如果有e,f,……可以继续删除) 1 v$ H4 W9 ?5 c7 g, |, Z6 E' @
3.删除ipc$空连接
9 P4 U H1 q* }8 r在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
0 n6 L# o2 l- n8 ^ j! `4.关闭自己的139端口,ipc和RPC漏洞存在于此。
, S# c2 r" v* w关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
8 J" ` A0 ~& w, q5.防止rpc漏洞 0 S2 ]7 i, F+ y$ U
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 * h- Y" ?$ s* O0 Q$ R: u3 C3 L
XP SP2和2000 pro sp4,均不存在该漏洞。0 R, s: K; ^( P
6.445端口的关闭
3 F; h9 l* @( @. Z7 m( d' A/ Y修改注册表,添加一个键值
6 c( y0 [$ p+ u4 W; THKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
% F/ ?* G% C9 S$ [1 o7.3389的关闭
5 y- G( w. v8 H! QXP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
4 y% x0 e0 |$ d' j3 ?% W: F; x$ x- _7 oWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) , N4 E5 s$ k4 S8 Q/ X8 e7 ^
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
2 N L) t/ N. M( ?! ^+ z6 P: u8.4899的防范 9 Y4 i, v2 N' F9 d* a2 S# D* Y
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 5 ~! D% J7 K# j
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
+ _" J8 ?; a* B1 M9 B5 o所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 N+ ]% ^8 R2 z9 h3 \
9、禁用服务
, i" a/ [% w/ I. E7 ^打开控制面板,进入管理工具——服务,关闭以下服务 9 \, v2 T* r3 k& N4 N' Z4 M
1.Alerter[通知选定的用户和计算机管理警报] - X4 e% U, n% {3 @; [ O/ w
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 5 o6 V2 I8 W* x* |% }) B5 l6 v
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
# V; A* v* H% l- c+ |4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务] ~1 v A: p# N6 W8 m7 g) [& h% Q
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
3 X7 _) Y. e, C0 r6.IMAPI CD-Burning COM Service[管理 CD 录制] 4 k6 L& M" B) P; a* w, A% [8 z
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
5 k/ `" X% o# a! _4 q( m. k8.Kerberos Key Distribution Center[授权协议登录网络]
: U1 b3 X n7 i& P- ?( [9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
, _2 T- t! J6 Z2 l2 Q7 R10.Messenger[警报] 7 D+ X% Y5 U/ q" _/ Z
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
9 V6 ^9 K0 @) T7 [12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
3 u) _% O% B# P$ N3 Z( V13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
5 E/ P: P Q1 D8 H1 H14.Print Spooler[打印机服务,没有打印机就禁止吧]
4 V2 d2 ^+ k* C2 ]' [2 q: `" M2 P15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] : }0 x9 p5 ?! j# G3 e: `
16.Remote Registry[使远程计算机用户修改本地注册表]
, [8 U/ _& U8 {17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 6 `8 L: O; m6 s- F
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] o! p; X/ {+ a8 b: {9 p' D+ a
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
+ A/ t4 v4 e7 T! E* q6 E3 o20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] . q. k1 m% [. l+ ^5 z# e+ d& p5 y
21.Telnet[允许远程用户登录到此计算机并运行程序]
0 O. ?/ h" S9 a5 ~22.Terminal Services[允许用户以交互方式连接到远程计算机] : R' t: Y9 e/ W3 k: H+ i+ |% f" t
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
' x: R" L" o$ E6 H6 d如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
" p, m' |3 ?3 r. r0 k3 B' w# ^10、账号密码的安全原则 3 s: ~1 G9 X2 L
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
9 p; [& m/ d$ W1 l如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
3 H0 g* H0 Q6 O打开管理工具.本地安全设置.密码策略 4 d8 I9 m. O+ i
# _" T, J( C% J+ G
4 A8 z2 D& N; U( w
# c7 W4 y$ y9 v3 r- y% G1.密码必须符合复杂要求性.启用
, A2 Y0 G. R6 B2 W; u; e: w7 b; ?2.密码最小值.我设置的是8 5 ^* x6 {: L$ S/ m& c; P: x
3.密码最长使用期限.我是默认设置42天
' V( J% a4 ]" F, l, L5 y" t: D4.密码最短使用期限0天
+ {' \; D! {5 Y$ h- k5.强制密码历史 记住0个密码
! ]( ?' B+ {: D/ u- P8 R6.用可还原的加密来存储密码 禁用3 J! i0 P! S, }- G Q
11、本地策略: 9 O1 K0 |$ T$ V( H; a/ s. s2 z* o) V
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 8 N1 \/ s' ?3 S; ]6 C
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) 5 f2 V/ D( F( ?' \% C; d4 @/ X
打开管理工具
/ g1 }! Y! c- h: } z找到本地安全设置.本地策略.审核策略
* a6 k3 x5 E; f& l5 h1.审核策略更改 成功失败
! L9 {* `7 z$ m' J1 J0 |5 Z/ o2.审核登入事件 成功失败
2 ~+ w- m0 v( U9 T$ s0 k. O3.审核对象访问 失败
4 L8 B8 B( W# U, _9 `# ~( B4.审核跟踪过程 无审核 8 W9 `7 D0 G7 e# v
5.审核目录服务访问 失败 ( B2 S; Y& X) |" y: m% Z" n
6.审核特权使用 失败
# y5 m% n k; E" f7.审核系统事件 成功失败 3 T, e. z# `+ D$ ]* b& k
8.审核帐户登陆时间 成功失败
1 i) }; n! w S2 j! I( a9.审核帐户管理 成功失败 , d0 N# C F' X% _+ M W* d5 H. A! e
然后再到管理工具找到 6 M+ J( _0 V1 f5 o* x
事件查看器
& N5 Y2 ~5 |, e q; @应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
4 J0 w( ~; B* q$ N4 R7 o+ R7 K安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 $ C1 C p, ?2 Q" S. s! P5 _: d
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 & |! ~$ U6 @9 S9 p
12、本地安全策略: % h& ]0 W7 I5 m# r4 I4 z1 r- P. w
打开管理工具 * v6 |9 u( X1 y( D" z) E
找到本地安全设置.本地策略.安全选项8 n. R n' C1 H6 F# N0 T B) O
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的] / i; D* p( g6 K
2.网络访问.不允许SAM帐户的匿名枚举 启用 4 o$ r7 h6 w; t, E* F
3.网络访问.可匿名的共享 将后面的值删除 ; T2 _( T3 r8 ~( e
4.网络访问.可匿名的命名管道 将后面的值删除
. f+ G! D' d ?1 q$ o7 q5.网络访问.可远程访问的注册表路径 将后面的值删除
' T, {# p. I# ^. r1 a# L* l" c: w; J6.网络访问.可远程访问的注册表的子路径 将后面的值删除 ( s4 |+ p1 W( \. B
7.网络访问.限制匿名访问命名管道和共享 - A8 M# i; Y T0 i* ?
8.帐户.(前面已经详细讲过) ; K% \2 z+ l! }, M6 F; X0 @ q
13、用户权限分配策略:
/ g, {( [) w, I8 ]! e5 L( n. D+ h打开管理工具
: P' u' ]0 D* k5 n) a找到本地安全设置.本地策略.用户权限分配
+ l" H& d4 I; G# u1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
. Y! a, D% U0 A2 K! ]1 S/ u4 p2.从远程系统强制关机,Admin帐户也删除,一个都不留 : t5 I) D' [+ j( u6 h7 ?
3.拒绝从网络访问这台计算机 将ID删除 - @ x9 u5 O' e5 _2 R' O& X# b! Q- T7 ~3 U
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
; r5 M" k) w$ N) z- H5.通过远端强制关机。删掉
0 u6 ^ `2 Q6 s, Q6 r, o14、终端服务配置
/ B& Z% z5 h( k0 J* k0 e8 v; h打开管理工具
6 g( u) m5 y; A% k终端服务配置 . z& h2 _# S! {- _, q1 N* {- ^3 U
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制 . h% e/ R' S" d8 k0 \
2.常规,加密级别,高,在使用标准Windows验证上点√! : D2 t1 W# _8 x7 E% v( {! A
3.网卡,将最多连接数上设置为0
5 `: L( N+ Z8 \$ u2 m R: ]4.高级,将里面的权限也删除.[我没设置]
0 g$ Q, @3 G+ w: R) E0 ]再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话) ~' W5 U. K& D- a% ]) V% T" b( Z
15、用户和组策略 : a" M k7 S& O: ]) m A1 k
2 M9 r) c+ p7 v6 S1 o# m6 w
打开管理工具 # W. H' U. `- c/ ?( ]! h
计算机管理.本地用户和组.用户;
3 T E8 Y# H9 o5 }. Y+ D删除Support_388945a0用户等等
/ ~) e5 Q0 |& z2 C5 L7 [只留下你更改好名字的adminisrator权限
' D; s( M p7 P0 F" T1 Y计算机管理.本地用户和组.组 & ~! |" c0 e+ h+ j
组.我们就不分组了,每必要把
% y+ u# b# C/ o7 r K0 @! d16、自己动手DIY在本地策略的安全选项 ! P/ k3 D. _/ c$ m6 s$ u* R
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
# V% F" _7 M( Y% `2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
* W8 ~* b8 T$ g. }3)对匿名连接的额外限制 6 U T! k( @* C2 D
4)禁止按 alt+CRTl +del(没必要)
8 Q) j, y8 T0 z1 h# ]4 K5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动] . S6 |2 T O& _# g, ^+ F% ?( {
6)只有本地登陆用户才能访问CD-ROM
# D# o, L$ }' V7)只有本地登陆用户才能访问软驱 ; V7 c$ u/ T; P- F1 P* C9 v
8)取消关机原因的提示
& V2 |2 X( n {3 x4 Z" ~A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; 7 i* z) |- t0 D4 ~ `, `
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; 5 T- R) W- f, w" w8 `( x2 b
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; / G! r s2 l4 _ K6 ^4 @
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
; q, u% x* r4 E9)禁止关机事件跟踪
3 d8 O- U& `$ p/ K/ O4 A; U开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 ! J! t: [0 r7 I* y/ c5 J: O
17、常见端口的介绍 ( [+ E. X& l0 T+ J; X# t# I: k( ?
TCP
) t9 q% e* g S( k8 m' o$ `. T21 FTP
# f. M& f0 `- B q. x: C22 SSH ( I* N% d; a; Y" l& v& P
23 TELNET " s* Q: o7 z4 W4 \% x7 U
25 TCP SMTP
5 ^' ^7 \( F& l- M' }& c) C4 n/ @1 }* @53 TCP DNS
, _$ A# O# `4 L, ?80 HTTP
5 A% n* E4 Q0 t, ^135epmap
4 r! t" g h4 w- M# t. B138[冲击波]
! W5 ~6 C- s+ J/ P1 T& b; y% S139smb
* G' Q ~( \" I: A, N445
/ \, c7 Z' b# Y4 c# \- l, q- K1 ?& l1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
! R- E4 t, N; O) X1 d1026 DCE/12345778-1234-abcd-ef00-0123456789ac 2 ~& W2 c1 R" k0 B' x
1433 TCP SQL SERVER ' A3 {+ q5 t0 @* V
5631 TCP PCANYWHERE . C, Z' Q$ I2 L, w5 F
5632 UDP PCANYWHERE , i W+ Z3 e o: o) j9 J
3389 Terminal Services 4 B- B- N# o6 r! E( E
4444[冲击波]
+ @2 K$ i2 d. IUDP : ~" ^/ Y2 D ~, a
67[冲击波]
$ N/ F7 e2 G2 n0 \" `; z* o137 netbios-ns
' |: H' O$ y7 J1 z) |6 q P. I161 An SNMP Agent is running/ Default community names of the SNMP Agent 0 `4 s N4 D8 J# a% `6 ]
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48