|
|
|
个人电脑常见的被入侵方式:
: @0 [, \3 w! R- R/ Z2 h( M/ B, P5 S谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: . `( L/ i# e) w" g, }
(1) 被他人盗取密码;
( ~0 S; S' J7 |: q6 r(2) 系统被木马攻击;
* X8 M4 ~" `, G& y(3) 浏览网页时被恶意的java scrpit程序攻击; # A: j1 R) c# r& `
(4) QQ被攻击或泄漏信息; / ? d9 O8 s O2 r) r
(5) 病毒感染; . m0 V# \" u) @. \
(6) 系统存在漏洞使他人攻击自己。 ' h- f1 P( @8 c5 O/ R L- T; F
(7) 黑客的恶意攻击。
+ k& b9 L" p3 h+ f2 T4 h [- y下面我们就来看看通过什么样的手段来更有效的防范攻击。
+ A6 O& w! ]- t' L1.察看本地共享资源
/ E* D: l8 K+ j( _3 I" P运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 * {/ P/ x. f$ F4 O; o3 t8 c+ ^
2.删除共享(每次输入一个) 3 r# |; l4 I% S3 @6 X
net share admin$ /delete
4 T: l+ Z, z* j7 Tnet share c$ /delete
& m3 {8 k8 R- u* _' p6 S" Y/ nnet share d$ /delete(如果有e,f,……可以继续删除)
' y8 T: e+ J% @- K: ?: L5 `% N1 {3.删除ipc$空连接
" H Z- Q' y) \* r' b在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。 4 S+ @0 R! T9 b# V+ w {: R" W# n
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
# p8 q" c3 t1 F! ~关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 % ?0 H* U3 g+ Y7 e
5.防止rpc漏洞 & m0 v5 s' |: A0 C. s% n# }
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
3 x8 L% n3 a2 F9 d' dXP SP2和2000 pro sp4,均不存在该漏洞。
3 j! S7 {# Z7 c4 U6.445端口的关闭
4 R. }& h/ q9 |1 r4 Y6 J' C修改注册表,添加一个键值
3 h1 I: S" n6 mHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 8 b V8 n9 s& u' ?% I. C
7.3389的关闭
4 J! L% o& v( P# t: |. B& n$ l$ [XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
8 }+ m# _/ D! w0 x* KWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
- y( r0 T! ^2 v+ v+ |! z( H使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
1 b/ j; l: Q6 Y! y8 P8.4899的防范 + {% H- X* d! P8 o, G2 g& s
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
! b/ m# ~0 t L N' d4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 8 d% v4 Q) C- Z$ `7 C
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 1 w2 C' j! t+ q+ b+ @# [
9、禁用服务 / D- B, p- @) \& U
打开控制面板,进入管理工具——服务,关闭以下服务
! _5 b8 |+ s0 o# e9 Q: y7 t1.Alerter[通知选定的用户和计算机管理警报]
0 ~9 G" W! l2 f( g5 v2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
6 O; \$ Z S0 V- S' l/ O# t3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 * h r! K* n# ~8 A# C! T
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务] ! ?" W4 J! i+ e7 C$ o
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
0 T/ ^- h& y$ j. N6.IMAPI CD-Burning COM Service[管理 CD 录制] % ^( W+ o8 \# | Q# o
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] ; G: K# f9 p: U* P( y' D% }
8.Kerberos Key Distribution Center[授权协议登录网络]
# u! O1 x: i) r4 r1 h0 z9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
8 L2 `1 L* w: F2 }0 E0 D3 u2 z) s10.Messenger[警报]
5 p( |1 z/ j. K* o$ C0 P% d/ n11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] 8 K5 N6 t+ O. I& p
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] ! z- d2 u5 v- V( y# e: \) J
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
h9 \ M J3 x# J% D& V; b! Z9 r14.Print Spooler[打印机服务,没有打印机就禁止吧]
' R/ @" ?/ q" |1 i& l6 Q1 Z15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] 6 F1 e. x! \5 P2 d1 a( s
16.Remote Registry[使远程计算机用户修改本地注册表] + O9 z% f0 I) e4 _" G- E
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] * a3 K1 l* T$ B8 G: Q
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] / _) T0 m C+ q5 e
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] 1 e4 }! ]5 a( A! D( Z. T: n: w
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
. c6 X: E4 }% l J/ i) V' M21.Telnet[允许远程用户登录到此计算机并运行程序] 2 N* q5 g% @$ d. N. b2 }0 z
22.Terminal Services[允许用户以交互方式连接到远程计算机] & s, D' {9 `/ ^1 `
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
& S/ m% V1 J4 x如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 9 R4 j7 }. Q; z7 J4 ~; M
10、账号密码的安全原则
6 U- D1 o6 I. B. Q8 v: `首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~) # Z8 u1 R; M( t% u9 `2 _
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
2 c. m' p6 H9 v( b打开管理工具.本地安全设置.密码策略
3 h2 l/ G ^; D
9 B- {+ K6 z+ g q* E. S: w/ Y/ j* r. W( Q, e# R3 ?6 w% w4 `: b2 c
# N- i R8 y4 c1 J$ [
1.密码必须符合复杂要求性.启用
& g' m5 v/ X9 A! |/ B: m+ r/ V% z2.密码最小值.我设置的是8
$ }9 @0 Y7 p z# t1 o( m, q3.密码最长使用期限.我是默认设置42天
/ |& O4 f1 k2 {4.密码最短使用期限0天 ( n0 Q3 p+ |8 n" w* l: a% r$ B
5.强制密码历史 记住0个密码
4 C: G/ D4 v9 A3 Q9 ^6.用可还原的加密来存储密码 禁用
4 J- G: A$ |7 }9 N4 l1 t11、本地策略:
' Y: t- z$ M4 m这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 7 |" v c1 m% M) B( L
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) ; O z% @! c1 e3 B* w7 C& Q! ]4 f* ?8 p
打开管理工具 ( _4 c) G! z( f5 \! n {
找到本地安全设置.本地策略.审核策略
! d7 q( A/ T" j0 R" S1.审核策略更改 成功失败 3 F# y0 d9 R: R
2.审核登入事件 成功失败 1 L8 O: F8 y6 G$ v4 S
3.审核对象访问 失败 5 n+ y q! k9 k' n
4.审核跟踪过程 无审核 4 L6 H5 V) b: g, w4 E
5.审核目录服务访问 失败
- K6 j* n) j5 @, R2 Z( |6.审核特权使用 失败
4 i$ Y& b2 W, }5 |1 u9 M7.审核系统事件 成功失败
# M+ r5 m7 C9 V" N% m7 ] m3 j8.审核帐户登陆时间 成功失败 $ {$ |! }5 g- G
9.审核帐户管理 成功失败
7 t* z# x0 F7 y, Q0 w然后再到管理工具找到 % R/ X# ?5 |3 b. O5 K( L
事件查看器
, M8 B+ \8 ~3 t应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件 : a+ ]8 T! {6 I8 u* b. a& v
安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 - u9 X3 m/ n. M# o+ v$ {# i7 q
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 % j3 i3 l& k( t6 e8 E1 d
12、本地安全策略:
9 _+ e+ B$ [/ Y8 a打开管理工具
. ]; w' P! ~$ C/ u( }0 a找到本地安全设置.本地策略.安全选项
* J1 k! Q; j+ h8 U1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的] 0 [ n8 P* |1 U: H
2.网络访问.不允许SAM帐户的匿名枚举 启用
) H# H9 I& I7 w( Q) F3.网络访问.可匿名的共享 将后面的值删除
1 X$ X" Q: ~# k& o4.网络访问.可匿名的命名管道 将后面的值删除
0 o% E( |" |! x! v2 b1 s$ \- b5.网络访问.可远程访问的注册表路径 将后面的值删除 ! ]) G; c4 [. A0 Y
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
+ e1 @1 a- N* W- p6 q7.网络访问.限制匿名访问命名管道和共享 + e4 J% @. n0 U9 `- f- s. P; @( ?
8.帐户.(前面已经详细讲过) * ]& C# g( B2 l. e8 j6 P
13、用户权限分配策略:
1 s2 c0 [, w. V7 `5 C# b打开管理工具 1 X" H' I K% j( I' J+ d! _
找到本地安全设置.本地策略.用户权限分配 1 m6 T0 Q7 E8 T9 T+ Q
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
% [! y7 h: L5 I. A X+ t/ ? k2.从远程系统强制关机,Admin帐户也删除,一个都不留 " I6 v2 u; ? n y* O. E
3.拒绝从网络访问这台计算机 将ID删除 $ f9 ^! [; q& Q; Y9 L
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 ; ]- A" c7 e- m7 E1 Q& X4 ]
5.通过远端强制关机。删掉
/ c$ J: c( _5 k- b2 O2 v! V# J h14、终端服务配置
6 F8 z! W. @7 k+ `* b" H打开管理工具 |7 e; \2 [/ n. Z/ {) u! o3 V
终端服务配置
0 a# Z% x0 o8 W: |0 O1.打开后,点连接,右键,属性,远程控制,点不允许远程控制 ' @+ G/ U( E3 F9 X* G
2.常规,加密级别,高,在使用标准Windows验证上点√!
3 s0 k9 C; O1 d- c3.网卡,将最多连接数上设置为0 9 [7 U2 z$ P: T. ?7 K! H1 d9 ~
4.高级,将里面的权限也删除.[我没设置]
: g2 i" S1 f/ l8 T再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话; G9 i' G, z9 {0 i. |! d* z+ Z
15、用户和组策略 : _% y# p& H) c# E) B
, ]! n; F; U9 X) p4 {# Z
打开管理工具
8 @0 u. E; P9 {6 N计算机管理.本地用户和组.用户; : Q7 }# P) E' C( Q0 l) q
删除Support_388945a0用户等等
, M I+ z4 n% w* h3 M p只留下你更改好名字的adminisrator权限 # c# F. u k/ y- P* ?" F: W
计算机管理.本地用户和组.组 & |/ w$ v v2 u& i7 G! n& h+ J5 {
组.我们就不分组了,每必要把 " U( b u# ]8 F- h6 b+ G. G8 [: U5 }* U
16、自己动手DIY在本地策略的安全选项
. a! c1 ?) s5 K* h2 g1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
8 d6 g1 X2 X# g1 [4 O+ \+ Y2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. $ s: k1 h- X$ X9 r
3)对匿名连接的额外限制
% x9 j- E4 K. k% y* {* Z. ?- D4)禁止按 alt+CRTl +del(没必要) 0 w+ Z5 C6 x6 h/ m' s
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
7 W; d& _( ?6 B9 ^8 }6)只有本地登陆用户才能访问CD-ROM
* d" `/ w- m$ h) o% n7)只有本地登陆用户才能访问软驱 , ]6 l/ X& p- I0 o8 R4 a8 v5 B
8)取消关机原因的提示 ( @4 H( s8 A1 y' ^$ [3 M+ N
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
F. z7 j4 L4 s' sB、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; + P; [8 D& B0 e
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; * @0 U1 K3 x) O& F6 N4 @* \+ k" D
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
& R7 H! g( h. d! Q1 ]" [9)禁止关机事件跟踪
7 F* a$ l9 ?5 m& n* b8 ~开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
9 g. K% _3 U* L9 [: k& D" @2 V17、常见端口的介绍
' s/ q9 D7 \$ l7 b* d; lTCP
# o3 ]" k& c' h' ]( b0 }21 FTP ; G. `! @# J% j) Q5 K, a1 Q+ q
22 SSH ! A) n4 u* J' f! x7 R
23 TELNET
! F6 [% d9 p. k25 TCP SMTP
3 Z5 ^2 R; l$ N$ o- X; H! L53 TCP DNS
- _4 P2 @) O9 {80 HTTP
1 ~5 L- ?1 k7 S- z& X# m135epmap
8 X$ c) r' ]2 R3 ?7 N i: @+ z8 L138[冲击波] 0 d+ ^7 e) d% d2 _# L0 H7 N
139smb
+ |+ n+ Z0 E5 _: k445 0 j% N r( n& S- R" |3 _2 ?7 U
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
0 S* W8 Q' N4 o0 `* E- O7 d1026 DCE/12345778-1234-abcd-ef00-0123456789ac
* g7 T, u: E# d b- i& _1433 TCP SQL SERVER 2 |2 U4 c* s, i" H- v& O; D
5631 TCP PCANYWHERE 1 u( a5 ?2 F8 k$ Z
5632 UDP PCANYWHERE
# x5 a4 F4 y2 p# U( G0 C3389 Terminal Services
3 X' \* M7 u! h( G3 c6 W5 d# D4444[冲击波]
' F% E( q3 R7 Z0 z7 l6 A5 ^UDP
e$ u3 p) i4 r0 `0 T67[冲击波] . e2 T2 p) k- I1 C- A$ t# [0 x
137 netbios-ns # o+ i, U8 |. b; m
161 An SNMP Agent is running/ Default community names of the SNMP Agent , o/ W) C% |. C- r- Z- z$ U
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48