|
|
|
个人电脑常见的被入侵方式:
3 X: r6 Z3 H% d1 f5 N6 K谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
% |! a+ z. n# X6 J(1) 被他人盗取密码;
! z, x4 g$ z6 \6 h(2) 系统被木马攻击;
, `9 x% s3 a! E* ^- T k(3) 浏览网页时被恶意的java scrpit程序攻击;
8 L5 m3 |. y# A% \7 q(4) QQ被攻击或泄漏信息; # V3 C1 f4 g, \4 R$ W
(5) 病毒感染;
; A9 S4 X" _! z) d, \# t- a(6) 系统存在漏洞使他人攻击自己。 / k1 k, g E/ m* H" |# z
(7) 黑客的恶意攻击。 - {6 ?3 v/ s$ W# T
下面我们就来看看通过什么样的手段来更有效的防范攻击。 - H$ p* q( B3 v+ Y
1.察看本地共享资源
% j# w" j' c. i @; j运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
! C# @ Q8 ~4 x: F+ b2.删除共享(每次输入一个)
# ~, \5 ~: V3 A( v7 m: g2 Hnet share admin$ /delete ! C; c' X2 E( x5 c
net share c$ /delete
4 ^* O$ R" i5 unet share d$ /delete(如果有e,f,……可以继续删除)
% ?1 J7 F# l; g6 V3.删除ipc$空连接
' v/ S5 z7 P- |在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 0 J3 A& l& |! d" `+ ]. D7 w
4.关闭自己的139端口,ipc和RPC漏洞存在于此。 . a! U: J5 R' w9 H/ \
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 2 [' Z% A0 J2 d- R9 | o
5.防止rpc漏洞 * C' b+ A5 X* }; W
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
4 a8 z) m: T9 t' x/ |XP SP2和2000 pro sp4,均不存在该漏洞。
; S J. h5 U ?) \7 w" x6.445端口的关闭
/ W0 ^2 S* }) v: x i; F! m0 W4 A修改注册表,添加一个键值
( I5 X/ t+ w5 s0 y5 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 ' E) Y3 O7 K+ O$ _
7.3389的关闭
: ?# @4 ~8 H4 EXP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
+ S# }+ u1 Q0 N9 c: B. q, UWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
; Z: h; T+ C% u" c" E使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 # @# }5 U7 z& e6 G" X" Q; O
8.4899的防范 " t8 M5 j9 M! V
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4 [! ]; Q5 v- i k1 Y, b4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
4 ^0 p" ^/ h% T3 w5 J# H# @所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
: q0 B8 I d: o; V9 ~9、禁用服务
. U$ w1 o" ]. K0 @. d2 s# o8 [打开控制面板,进入管理工具——服务,关闭以下服务 1 L0 L5 V2 d' @# K
1.Alerter[通知选定的用户和计算机管理警报]
5 c) |: k' y$ a2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] ! b7 R: A& T4 p- B3 ?6 X; _
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 + j6 H3 l( W6 k: M+ c; R
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
1 P7 a8 |- Q U5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
* t+ n7 W/ ?+ Y! e* {- D+ G B% l9 ?6.IMAPI CD-Burning COM Service[管理 CD 录制] 7 g' ^' g* M6 e I
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
7 `+ q# U, V# n6 P( r! K9 U/ s8.Kerberos Key Distribution Center[授权协议登录网络] # ^8 h; H d; o% c5 x) l: N" V+ F
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
- @8 _8 E3 ]) [5 y4 j4 q10.Messenger[警报]
9 v/ ^; I3 ?- |- S: H4 z. |+ I11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] ! B8 V4 G0 M4 D' E" b2 L
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] + o7 `6 f( _2 Q1 K
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
$ z! |9 p6 }; G% R9 V14.Print Spooler[打印机服务,没有打印机就禁止吧]
' P7 r+ v: X- O& T% \( n15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] ' ~$ o6 d5 K; n% j3 u
16.Remote Registry[使远程计算机用户修改本地注册表] - z8 o' f7 U8 H5 H) B+ b9 \& M
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] z+ a2 c( r, s. P: Q' t: J+ Q- Y7 t
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
/ i" ~4 p5 a$ _- Y7 K* Z- ~19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
' o% K2 \% e. E/ N20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] ! } W+ X5 _6 n H: H3 i
21.Telnet[允许远程用户登录到此计算机并运行程序]
" _1 z* G6 H* ?9 j, w22.Terminal Services[允许用户以交互方式连接到远程计算机] , ^+ C4 l5 i; o$ O
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] 8 T- v7 m% @2 b9 `* o3 Y3 v3 s
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 . I V' ]. H: i2 s; n l6 u
10、账号密码的安全原则
# R: q& i$ U; V/ H7 c5 }- |首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~) 7 B* Q6 t/ B& @
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。6 _& _( q% m' K2 z
打开管理工具.本地安全设置.密码策略
j. c6 A- }. U4 y5 G+ ~# ~, }: ^& u2 q! Q4 C1 f; B2 F
' G& Q. m, @! J* _7 i8 G
0 q6 X, x' x" q/ j8 f8 K. i. C1.密码必须符合复杂要求性.启用
2 N2 Z( ~3 d5 m2 c- f. X2.密码最小值.我设置的是8
# D A- j4 g' v0 o: ]0 ]$ A3.密码最长使用期限.我是默认设置42天
* ]8 A! h1 B0 g2 K7 X4.密码最短使用期限0天 `' d5 e& B3 l. ~
5.强制密码历史 记住0个密码 : Q3 F6 J6 u# n/ p- h! O( H
6.用可还原的加密来存储密码 禁用7 f8 I& b/ _9 b/ d
11、本地策略: * \' i5 X) U% y$ N8 N$ B: j
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
) _4 T# o9 O0 r' V4 Y+ z(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
' u3 T6 T5 v7 F& d+ ~0 O) a( n打开管理工具
8 H, s" S* O# w8 Y' ^1 {/ o找到本地安全设置.本地策略.审核策略
/ i9 P6 a1 X5 A7 m0 e3 Q1.审核策略更改 成功失败 8 s" e6 n7 y8 o7 f2 c2 z
2.审核登入事件 成功失败 , p. k; `0 Q! D6 I1 W/ T5 S+ ]% D# c
3.审核对象访问 失败
# P* D+ P% q1 ] c5 w; r: b# b* c4.审核跟踪过程 无审核 ; f) v5 Q2 Z& ?; B9 O2 a
5.审核目录服务访问 失败
* ], K9 u+ B4 N/ t# [8 m$ D; H' s/ l6.审核特权使用 失败 4 b5 \; y# q1 Z5 x7 k) h8 P6 J* \
7.审核系统事件 成功失败 q0 i* L9 t8 M1 ~& u1 m
8.审核帐户登陆时间 成功失败 5 B( c, t+ I: a. p
9.审核帐户管理 成功失败
: J R2 N; o+ m然后再到管理工具找到 : b- y( M/ y. Y* n" @
事件查看器
+ E* ]1 K" }- o0 F* s应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件 5 g z) ~+ n$ H5 h% t
安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 0 O( E+ l3 T4 @3 F6 p# ^ e- W' ^
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 1 U# T! M% C) q8 `- ^
12、本地安全策略:
+ w+ q/ R9 Q1 H$ v打开管理工具 4 |" Q# k; g2 D( y
找到本地安全设置.本地策略.安全选项
) r' Z, n6 a& t, p- f" h: M6 a1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
* {: t: V; c3 d6 b1 [. [ _/ s2.网络访问.不允许SAM帐户的匿名枚举 启用
A4 A @7 J+ L2 d/ [: N3.网络访问.可匿名的共享 将后面的值删除 " a2 H: t# x. E; L* w
4.网络访问.可匿名的命名管道 将后面的值删除 : i( T5 S2 [2 q
5.网络访问.可远程访问的注册表路径 将后面的值删除 & ?4 s5 P' F G8 O
6.网络访问.可远程访问的注册表的子路径 将后面的值删除 # B- g2 P) T8 A W
7.网络访问.限制匿名访问命名管道和共享 3 [3 f# i% l- d9 L% h9 @
8.帐户.(前面已经详细讲过) , n4 r: Y& O8 v' c
13、用户权限分配策略: & m9 A. U8 u$ {8 ]4 Q# L
打开管理工具
6 ]0 r6 y- i P5 k( `) f' \; D8 U+ j找到本地安全设置.本地策略.用户权限分配 $ U& `0 q, F ?% k- E( M
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
- h+ H3 {/ q6 A# c' l% c: @2.从远程系统强制关机,Admin帐户也删除,一个都不留
, E8 v+ U. w: u3.拒绝从网络访问这台计算机 将ID删除
' t* o h2 d5 l/ Q/ s# S4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
4 r0 }6 |7 \- C( y9 ^5.通过远端强制关机。删掉
* N7 \1 f3 u o% S14、终端服务配置
! e/ x/ S9 I S打开管理工具
! i" A h( P# r& p# m0 f终端服务配置
: A# ~' J# T+ V3 ^8 E0 f1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
5 }" N5 K0 V' y0 q& g, v2.常规,加密级别,高,在使用标准Windows验证上点√! ; k' s9 {; w1 p" \
3.网卡,将最多连接数上设置为0
9 h8 k1 J& [% H7 s( x% X2 C" k( Z4.高级,将里面的权限也删除.[我没设置] ' {* W/ Y9 w# B( G9 u% e
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
s6 f( }' ]! M% H6 K15、用户和组策略 ; {/ W `9 h0 X m. Y
& c0 `! g- l$ C {) ^
打开管理工具 3 k0 Q8 i, S* \1 S* Q. C
计算机管理.本地用户和组.用户;
$ ]$ Z B3 Z. O/ w P& W0 W删除Support_388945a0用户等等
: _% K6 _0 B9 G# ^" q只留下你更改好名字的adminisrator权限
2 J' Q8 E7 v5 A) [% I计算机管理.本地用户和组.组 / L& r! v* h+ E. e V- E9 ]
组.我们就不分组了,每必要把
- ^" T9 A9 `3 K2 c" L16、自己动手DIY在本地策略的安全选项 . F# G c: ~6 Q) _( p; \3 g, P* h
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
: j% }2 [2 l7 X! V6 r9 Q( g2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
9 W H. ?; o' s3 v* J3)对匿名连接的额外限制
$ z# T. h2 ?' K/ S- _4)禁止按 alt+CRTl +del(没必要)
7 }* k6 x1 c! R3 K6 l$ I5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
. \- s9 |* X% m; A, N6)只有本地登陆用户才能访问CD-ROM 6 o6 O9 y" J* x: @
7)只有本地登陆用户才能访问软驱
% G* _/ k) Q; P* y' \8)取消关机原因的提示 , o2 c: m! M- l1 u& t
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; * h1 w' h% M4 y* z; H2 f
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; / \9 w8 {8 z. Z- C+ S# j0 P: _
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
( b& E7 n: g6 j* `- TD4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 + f1 `3 L) X" R- m& q
9)禁止关机事件跟踪
7 T, ?8 e& F1 G$ }1 S; W N开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 ' k7 g& }! F7 R0 `, h8 ^
17、常见端口的介绍 5 V& o. ^% P7 D& t
TCP $ Q5 S7 [, m0 q5 n2 |, Z0 L
21 FTP
7 Y) f/ K7 K2 q# d! e! {22 SSH
8 v% p g5 F E; v% L9 r5 _/ W23 TELNET
5 A8 N; z" ^$ H" Z5 [- G25 TCP SMTP 7 i5 z/ U3 P7 Q$ t, L
53 TCP DNS 7 o7 l* `' @8 w
80 HTTP 2 j5 X1 V+ m* \0 U, p$ s9 \
135epmap , i0 w" L% o1 @; o; q6 l- d
138[冲击波] 1 K2 ^( ^% k" h$ n T$ }* b
139smb
- n! C2 X+ t- P" ]/ {6 x: ]445 ! G; u- r+ ^' s1 l6 A- B
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b . m0 ?3 `3 S, V% t; P+ z ?7 Y& W
1026 DCE/12345778-1234-abcd-ef00-0123456789ac / b: v$ B) x+ A/ N) y3 m
1433 TCP SQL SERVER
8 r; ~6 C/ [& b5631 TCP PCANYWHERE 5 t; q d) g, k6 G* d
5632 UDP PCANYWHERE
$ q- ?5 x% ?0 t5 p3389 Terminal Services % T4 e: D. r& l5 G, Y$ ~# \$ `. f, {
4444[冲击波]
! N- M3 L- _6 D8 BUDP
3 W1 T; j+ H: o; m67[冲击波] ( M+ G# t/ Y" Y; ?) x
137 netbios-ns ! w* i( Z5 F- i( p1 I6 l5 p, h
161 An SNMP Agent is running/ Default community names of the SNMP Agent
" D2 m% N x* c+ o6 {# g关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48