|
|
|
个人电脑常见的被入侵方式:
3 K N6 D S! q# P" f谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
' m0 v1 `% S, N* J(1) 被他人盗取密码;
: o3 t% s1 d) A! `! m& j(2) 系统被木马攻击;
2 R: f8 V' |( U7 X: `(3) 浏览网页时被恶意的java scrpit程序攻击; & J0 b( k( N0 Y3 _. Z/ p
(4) QQ被攻击或泄漏信息; % _$ W X) x. x- _
(5) 病毒感染;
2 R( q' |+ w: B2 E* j1 X8 o(6) 系统存在漏洞使他人攻击自己。 & @9 A1 y* s( l& p, x
(7) 黑客的恶意攻击。 . _' ] y4 n8 J) I. T' q
下面我们就来看看通过什么样的手段来更有效的防范攻击。
3 c3 H& Y& F& x; h6 ~1.察看本地共享资源 ) E, [! z# I3 V
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
# F& p+ M6 O) I9 S8 x& I2.删除共享(每次输入一个)
C: H1 B0 F' Z9 Ynet share admin$ /delete $ H& I( U" _( v# e* j; ~
net share c$ /delete
' a2 ]9 _4 Q- m7 t8 d4 u/ ]& k+ unet share d$ /delete(如果有e,f,……可以继续删除) ( C. r- @* V4 {% ~$ U0 T
3.删除ipc$空连接
5 m+ K* D C) i在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
' d, z& I/ L7 f& s7 z2 A9 i4.关闭自己的139端口,ipc和RPC漏洞存在于此。
4 ~; Q- f2 @6 z! z关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 ; r0 ^0 E4 A* N3 e: Q
5.防止rpc漏洞
1 ?5 T$ m( @' _& d% m' ~3 j打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 4 j# u- p& O! j% h
XP SP2和2000 pro sp4,均不存在该漏洞。* A, A( w# A' I4 U+ c
6.445端口的关闭
( d, H4 p. U S/ {修改注册表,添加一个键值
1 u+ x4 [* J& r+ `/ ]. MHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
7 n( E0 e7 x6 e7.3389的关闭 1 @+ X/ O' q# K. z/ k
XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
. r3 w. ~8 {* i. B( CWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) , {( y: f ~% v$ C! ]9 {
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
% n% b E; [: C: ?# ~% N8.4899的防范
! O5 O; R; t1 f$ Q2 C7 {网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 $ j) f1 n6 ]% Y
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
) T: I1 \: v3 R4 D% c! M所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
: K+ f1 C% }( |# I" {0 \" _* ?9、禁用服务 % C/ {! @0 W+ d
打开控制面板,进入管理工具——服务,关闭以下服务 $ v( X# ^8 E8 H4 J7 f/ \4 q+ U' o
1.Alerter[通知选定的用户和计算机管理警报]
5 b" G1 I. \9 ]! R6 |' r1 z2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] $ m. f' N. Y, T6 H
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
( ?5 e) `0 |. P4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
8 r7 P' u" X: j) ~: w5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] . _8 \; b- a# ^
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7 n: s$ @+ U. {8 L9 f5 b! p5 T7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
' ]" q4 W- Y4 V9 L2 z# {8.Kerberos Key Distribution Center[授权协议登录网络]
& S# c, M$ O( {0 N9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] " @ Z/ |. V/ t9 _: S) `& T! C
10.Messenger[警报]
- f x' ]7 G0 p( @11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] 2 n: i4 y+ Q0 p5 x( r; S
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
7 T- k c; O1 Z) }* F& r13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] * [) l6 o( z! Y; C3 c2 g
14.Print Spooler[打印机服务,没有打印机就禁止吧] 6 z- t+ d, v1 f
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
) _4 o& D/ E$ V1 x% n16.Remote Registry[使远程计算机用户修改本地注册表]
7 F& d9 R! g% W' v7 A. u6 o17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
) M7 g2 I3 P- b18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] : _. p U& H/ O! D k V' V" h
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] : g) z8 h+ ]0 W ^8 y, ^ @2 @0 r
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] # }8 N8 T; u1 L
21.Telnet[允许远程用户登录到此计算机并运行程序] " V$ Y+ ^! y6 ?% i: A
22.Terminal Services[允许用户以交互方式连接到远程计算机]
& N; e0 T$ C( ^1 P& ?) v+ T23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
3 G5 Q& R2 t$ h g( C( O. \) _如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 8 U" q5 J, x* O0 V
10、账号密码的安全原则
, g" ]8 y S7 v8 j. x6 w首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
( U8 t/ |. @; A5 G& l+ J* C如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。$ D$ I4 G) `9 ?3 {0 p, u% r5 A2 a4 l
打开管理工具.本地安全设置.密码策略 ) A. y2 Y. {: s' k( _! X/ X
( o, r% m1 ?) W4 Q, J
& @0 E8 V8 h' F# X4 d3 x! z8 h0 D4 u( @: z: b7 M6 Q# I: ~
1.密码必须符合复杂要求性.启用
3 g8 Q2 a( D4 G2.密码最小值.我设置的是8 1 m% L# e; F3 R6 Q" H) V" _6 a
3.密码最长使用期限.我是默认设置42天
$ v' y$ Y# [/ a' L4.密码最短使用期限0天 4 c( X2 B& Y3 ]& c# c8 d
5.强制密码历史 记住0个密码 7 R4 f1 X* y( ~: \) A1 L
6.用可还原的加密来存储密码 禁用$ V( }4 x7 v* ^$ F6 V' W
11、本地策略: & \- P; d8 W& \! Y6 U# l
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
% W( m' u$ M* j$ Z$ p1 e(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) 2 A8 s% N' N0 n& M) k9 {
打开管理工具 - H: \0 j _, P6 b, n1 M8 ^
找到本地安全设置.本地策略.审核策略 - X0 {7 b2 U5 Z
1.审核策略更改 成功失败 0 q7 m l$ C1 P& [; L
2.审核登入事件 成功失败 , n+ a; k: m+ z$ I: u2 C
3.审核对象访问 失败 1 W0 q2 f) |- b# b J' D
4.审核跟踪过程 无审核
: n! C) |/ e0 b$ X; u& q5.审核目录服务访问 失败
8 ~$ B: i2 ?* k6.审核特权使用 失败
2 m7 ?5 E5 F0 [) g, I5 H& i' r- I7.审核系统事件 成功失败
+ Q& r1 k9 L. s8.审核帐户登陆时间 成功失败
4 H! B* t2 v, g/ _2 V/ `' i9.审核帐户管理 成功失败
( d+ e! }, C" h2 W: i然后再到管理工具找到
2 V7 P5 t0 V1 w d& H+ k事件查看器
2 L+ q" `5 W- `3 \) Z( m应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
. e& t) _5 y# [$ [安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件
) ^ ~8 W r2 X2 v; b! ?7 m5 T1 \系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 ; x) K8 f) ^2 f4 v6 v
12、本地安全策略: + {8 |8 p( C5 ?
打开管理工具 7 @* B+ @7 Y$ n
找到本地安全设置.本地策略.安全选项7 F8 V3 q5 ], Q3 v
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
# X3 d: T2 y- F1 M w2.网络访问.不允许SAM帐户的匿名枚举 启用 4 Q1 o: ~8 ?* R7 n6 k8 X+ }/ U
3.网络访问.可匿名的共享 将后面的值删除 1 L4 v8 W9 v, {, K( i1 B
4.网络访问.可匿名的命名管道 将后面的值删除
0 t! s6 t$ Z: n, A0 \# U- ^5.网络访问.可远程访问的注册表路径 将后面的值删除
1 Q) F. _: P) `( x: ^; G6.网络访问.可远程访问的注册表的子路径 将后面的值删除
$ C. `5 w$ s" U/ c0 u) ^7 E2 o b7.网络访问.限制匿名访问命名管道和共享 * s$ V e, c3 j3 ^0 W" L
8.帐户.(前面已经详细讲过)
# ?0 U. m: J M$ l g/ `13、用户权限分配策略: % v1 j# E- I* t+ E9 |5 y
打开管理工具
8 L# S. ^% e1 l" J3 f/ T- P8 ^找到本地安全设置.本地策略.用户权限分配 ) G; m( _6 ]8 J
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID $ a9 J" g& e" d L, `2 M7 R9 D
2.从远程系统强制关机,Admin帐户也删除,一个都不留
. j/ ?4 D' [- x' c" A3.拒绝从网络访问这台计算机 将ID删除 " P; `+ R" m3 [4 G, ~5 Q8 P
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 8 ?" S/ B* Y; v% m! `: y% Z2 V- \. @
5.通过远端强制关机。删掉 ' r; o0 X& \8 I# Z# L" u& Y
14、终端服务配置
% C9 u7 X+ l* ]7 V3 Q3 p打开管理工具 - L% y' _( i, T2 Z7 l# N3 P$ G
终端服务配置
3 ^' X, z9 l/ N1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
% M! \, Y. G( ?) ?% G2.常规,加密级别,高,在使用标准Windows验证上点√! % M N% r; w2 {9 x4 ]/ ?- F7 n
3.网卡,将最多连接数上设置为0
0 h# |0 N: D( X3 J4.高级,将里面的权限也删除.[我没设置] ) j: j e0 L! h m9 m4 J
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话8 _' n1 \! U- X; s
15、用户和组策略 , q9 h0 u" I: M" W% f2 Y x- l
0 M0 ^7 ?# S; ~; M打开管理工具 4 Q' f9 v; q: o( a
计算机管理.本地用户和组.用户;
5 T" m# s8 _0 a3 n* d删除Support_388945a0用户等等 * |6 K6 z V' z( _" b. `0 {: J
只留下你更改好名字的adminisrator权限 0 T9 j& P0 A* Y$ ?3 R2 t* _
计算机管理.本地用户和组.组
d1 U& B. f Z: w4 ]- Q1 ?, S组.我们就不分组了,每必要把
$ h3 p3 s6 [4 }* V6 T9 a16、自己动手DIY在本地策略的安全选项 9 I7 S. ^, d8 c* R
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. , @# ?: `: }$ `5 S, e, P
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. ; Q1 n* X5 j+ L3 d% }
3)对匿名连接的额外限制
& B# U+ n, H1 x5 R' D4)禁止按 alt+CRTl +del(没必要) 9 c1 H2 k; e$ E
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
! z/ |, y8 z( E; X8 e/ b6)只有本地登陆用户才能访问CD-ROM - }4 E9 b/ z0 c& w9 u; P+ N
7)只有本地登陆用户才能访问软驱
# _) `( B2 z6 H+ y' T8)取消关机原因的提示
, B/ D3 ]. g- e4 L3 e' c# V0 VA、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; , W2 t/ d; l0 A" _5 I* f0 C( E7 r
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; . K( B6 G0 A. U0 |* T, D
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
. o) T- L( Z: ^D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
8 o1 Y! e0 O: Y/ J7 W- G" S( k1 `2 E9)禁止关机事件跟踪
6 K% \2 z+ f& z开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
9 f. k9 O3 p3 H" I17、常见端口的介绍 # f/ t' h+ A! I7 B' J8 j: s @$ ^
TCP i' R* Y% F0 }1 ?
21 FTP
2 f& _: Q* T5 C% ?22 SSH / T/ M3 v* V3 H2 U# e3 [3 O
23 TELNET : m: V2 U: U* W2 [' n8 W/ X% w
25 TCP SMTP ) V) t2 M+ m% u4 G
53 TCP DNS " i+ P; ], t, B' N5 I
80 HTTP
8 o) w( r; F. k4 e- d135epmap 1 C9 ^* z9 W: F
138[冲击波] 1 a6 W( b$ m# [- X! C' [% b
139smb % |# r$ x/ k/ V# N1 d
445 ( M- p3 w9 L% {( N9 N4 X
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b 4 z7 p# N+ ~- a" b( A' R1 _, W2 p/ o
1026 DCE/12345778-1234-abcd-ef00-0123456789ac 7 l* b# _) F& u, q; l
1433 TCP SQL SERVER
+ v1 _ Q2 ] q# o8 n3 g# V7 a5631 TCP PCANYWHERE 7 g7 u$ E8 g- X: W$ X
5632 UDP PCANYWHERE 1 r+ R& U* v$ `+ z! j0 T; }
3389 Terminal Services , ^# D+ H( q& j% k8 u6 y
4444[冲击波] $ c7 c. v9 T2 n
UDP % ?6 o" O q2 ~4 E$ f. b
67[冲击波]
# |( Z3 @! N4 _! L5 q137 netbios-ns
( E, O8 z, H% d& t& j% e: [! L [161 An SNMP Agent is running/ Default community names of the SNMP Agent
: F( Q; q5 }7 K2 a( V关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48