|
|
|
个人电脑常见的被入侵方式:
: J. B" X, c6 h9 m谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
+ j Q2 `) Q: J2 [2 Q' t(1) 被他人盗取密码; 0 ?- Y8 _3 v% b+ h% \$ {
(2) 系统被木马攻击; ' Y& F" A& f; ^; f* m2 a
(3) 浏览网页时被恶意的java scrpit程序攻击;
: b9 v1 [% T4 b( R1 J: I# U(4) QQ被攻击或泄漏信息; s' o; Z4 c# d6 O$ J% s
(5) 病毒感染; : b- H" v5 G, H1 z- B' a
(6) 系统存在漏洞使他人攻击自己。 ; S! a, U, b& x4 d5 k" t3 F7 k
(7) 黑客的恶意攻击。
8 O/ j, A8 p, z3 k! v1 k7 q下面我们就来看看通过什么样的手段来更有效的防范攻击。 0 k" M( i2 ~# i1 G7 |- |; A
1.察看本地共享资源
% t. i7 S5 P" U运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 2 {9 `( k8 i9 j2 K
2.删除共享(每次输入一个) 0 P0 j- K) b W/ ~& U9 _7 t+ |. {4 [
net share admin$ /delete
8 |" a) G; ]1 f6 Jnet share c$ /delete / P" w" B$ b9 N' J
net share d$ /delete(如果有e,f,……可以继续删除)
' t8 K4 n2 c( H. }+ ^1 N7 J u3.删除ipc$空连接 & @( l: v" e5 B- i" J" \/ l) n
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
( g4 O# p7 `' H$ [4 f4 n( f, \4.关闭自己的139端口,ipc和RPC漏洞存在于此。
( _6 {' J4 @9 F4 c9 n6 P关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 / p9 {2 F" W7 l8 ?1 m
5.防止rpc漏洞 6 i2 ]$ `8 G/ h6 d- \* F
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
{8 J+ @5 f1 W N! YXP SP2和2000 pro sp4,均不存在该漏洞。6 _) Z# I* I& N5 C
6.445端口的关闭
3 D$ J, z0 ?6 U$ x- f" Q修改注册表,添加一个键值 ; W! H K3 x& E% w1 f1 g: C
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 2 ]/ q$ B4 ]8 D& `
7.3389的关闭 ' S' K$ X; a7 x% J6 @5 t/ V
XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
' U* n& z# M" B) x& J. YWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) / \( M$ p6 g3 }$ p7 u2 u% f
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
^, u) _4 ?# u- |0 Q1 |8.4899的防范 : C$ P! _' t6 l9 h' g8 |: j
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 # ^% Q2 `8 v( j, x+ [. i
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
3 c7 H1 Y+ u+ y# y% z9 k5 i6 H( Z所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 : u8 w# u$ q& u0 i3 k
9、禁用服务 ! O" x2 p" n# d& Y
打开控制面板,进入管理工具——服务,关闭以下服务
, ?5 N) `) E- g& ~1.Alerter[通知选定的用户和计算机管理警报]
1 p% d7 u* P$ ^6 }# m+ [2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
5 O% U) H8 T" ~3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 0 v! m9 v/ i4 D5 O/ @) x; s5 F+ h
4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务]
3 q/ Y2 h1 N- V* j$ `5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
! S5 I. L& m9 [' U# M+ c) }6.IMAPI CD-Burning COM Service[管理 CD 录制]
& ]) W' p6 E- C& y0 ?7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
5 {1 `4 \' ?. n9 x# O8.Kerberos Key Distribution Center[授权协议登录网络] & E: z/ W) P* }
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] ! A" `! a! L3 R1 j
10.Messenger[警报] 6 t9 a" I" e: g( d8 P' y. A) q
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] $ F6 N: o2 o- w6 J; l7 N" a% g0 }+ o
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
. f) m( i" ` X& w5 E13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
: c- t4 G, q% i# a, @& ?8 B* F14.Print Spooler[打印机服务,没有打印机就禁止吧]
, u3 J* |# _, p0 w9 g+ S15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
/ k1 w/ T) c' q. M, w5 f16.Remote Registry[使远程计算机用户修改本地注册表]
7 `% k5 x# R2 F17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] $ F- X/ k/ e1 s! B2 |
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 0 q6 z7 N; E! k
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] 4 ^8 y* E1 x2 Y# [0 m! u9 U
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] # ~7 w8 N, H! `& x
21.Telnet[允许远程用户登录到此计算机并运行程序]
+ d4 _# l6 {% g5 Y- c s# u22.Terminal Services[允许用户以交互方式连接到远程计算机] - t1 F' h) y# c' f" a
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] & H$ ?. k2 n* q
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
# w0 K2 Y1 F/ Y1 N5 }$ C5 a10、账号密码的安全原则
+ ?; Z$ \5 r k& b4 |4 T; o9 O$ }首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
! T' l% k9 o& J4 W* N f如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。3 S) k5 l$ ~/ L2 b
打开管理工具.本地安全设置.密码策略 2 d& ]! s3 D( X7 }; T* N9 V
( C& H1 c0 }' i! D- w
7 c: c2 P a: U0 w/ m2 W; ^6 [# v; w. F- g0 B w
1.密码必须符合复杂要求性.启用
: l7 n" ^. G1 s# ^! A2 O* D2.密码最小值.我设置的是8 / ]6 M2 j9 e' p( `- Q1 {# ]% I
3.密码最长使用期限.我是默认设置42天
& r; d* A' e; C0 X, M) b4.密码最短使用期限0天
- Y) o+ g, Z- J$ y% q/ a; s" M% Y3 l# i5.强制密码历史 记住0个密码
2 Y/ x3 A1 W/ B. x$ D6.用可还原的加密来存储密码 禁用
$ c9 z2 ~" _" S) \/ C7 o! B6 z11、本地策略:
8 ?" n2 W$ f4 w这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 ! c' d9 q- ~$ T. M, r: X
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
% K. P0 ^& B* {7 Z0 o打开管理工具 " J( r$ L' F7 X* F
找到本地安全设置.本地策略.审核策略
' ~9 L x- Z, p* \1 j1.审核策略更改 成功失败 " v& g) c+ M, d' N8 L; H+ k9 l1 }! E
2.审核登入事件 成功失败 ( L+ D6 g0 X& q1 X: R4 E3 m
3.审核对象访问 失败
* W' T0 x9 c* `5 s r; f, P: s4.审核跟踪过程 无审核 x6 e$ t8 S6 W, N
5.审核目录服务访问 失败
- B" D. K( E! b6.审核特权使用 失败
- V4 u. j5 U& a/ d7.审核系统事件 成功失败
5 J( J1 i* ~- y4 u8.审核帐户登陆时间 成功失败 0 G9 v! m# Y7 r
9.审核帐户管理 成功失败 ! P9 G$ K* O: |% N! a
然后再到管理工具找到 9 \$ R5 _# w0 D+ V
事件查看器 / c. x8 r1 W+ f7 h
应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
# a6 U: e, j0 `6 F& ~" R+ _( C安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 1 D& l; m3 {3 H/ Q
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件 6 r& H( U$ f' N- D# l2 g
12、本地安全策略:
+ `( g2 ?5 G! y打开管理工具
$ h8 Z0 g, j# l& r找到本地安全设置.本地策略.安全选项- a9 o w/ g$ a% _+ _7 Z4 G+ F
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
$ R8 m e3 C) i2.网络访问.不允许SAM帐户的匿名枚举 启用 a: g& Z+ t( f% w: O
3.网络访问.可匿名的共享 将后面的值删除
! H2 F% g* G& P' w' g6 i$ Z1 k* p4.网络访问.可匿名的命名管道 将后面的值删除 - \7 j9 V5 X. C! j
5.网络访问.可远程访问的注册表路径 将后面的值删除
2 [0 W: d" c! d" E' U' L% `- q6.网络访问.可远程访问的注册表的子路径 将后面的值删除
. e" F s& _& J7.网络访问.限制匿名访问命名管道和共享
7 K) i( m7 v, s' V8 t8.帐户.(前面已经详细讲过)
& D/ S0 L( c+ e' e! b13、用户权限分配策略:
) j! `$ a7 K5 C5 {打开管理工具
& @' C3 }$ e6 ^3 _找到本地安全设置.本地策略.用户权限分配
. d5 C: o( l0 ?* U* o1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
4 u. B% @2 V8 b# f5 N2.从远程系统强制关机,Admin帐户也删除,一个都不留
9 H z; L7 Z0 d8 C3.拒绝从网络访问这台计算机 将ID删除
; S) ~/ E' M1 j: n& |3 P4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
Y* n6 L* f: m( J1 Q* \5.通过远端强制关机。删掉
* |# [3 d' B* m- J: L- u( f. @( y9 \14、终端服务配置 3 D2 w, u9 I% t& r7 N
打开管理工具
/ d5 Z& H* u6 `终端服务配置 ' |3 J8 o) h$ y+ C( c: m0 p
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
% R8 o' i: o6 a/ @2.常规,加密级别,高,在使用标准Windows验证上点√!
- M* ?# B5 g+ J1 f) E3.网卡,将最多连接数上设置为0 5 P9 M) Y" m+ Q8 R& Q
4.高级,将里面的权限也删除.[我没设置]
# L2 H% G* R2 @7 q) S4 ?( Q$ D再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话3 {7 [4 ^$ u( a/ O
15、用户和组策略 & n/ x9 Z- z9 S$ R$ J
7 {! h; e5 ]0 c) s9 c
打开管理工具
% j+ @* c$ o6 T. t) A# S8 |# Y计算机管理.本地用户和组.用户; 5 H$ F: S$ S- g6 Q/ _' |& B
删除Support_388945a0用户等等 ) ~+ b9 t' s: W2 x
只留下你更改好名字的adminisrator权限
2 j0 ?% O- d: L1 A1 o" R) s计算机管理.本地用户和组.组 4 y7 P+ {. y% f. [. x
组.我们就不分组了,每必要把
" b3 E1 U1 C9 b) H+ s4 J16、自己动手DIY在本地策略的安全选项
5 o+ C$ h5 N S- T7 | j& U1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. " K; } q" ]' G j
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. ! z( u8 D# x8 S7 x j
3)对匿名连接的额外限制 - \* |/ n2 g$ c; W( F9 Q2 a9 w
4)禁止按 alt+CRTl +del(没必要) 0 m& {6 Y, u& n# D! q8 M1 A7 G
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动] & L2 n$ e& d% V( m
6)只有本地登陆用户才能访问CD-ROM
# d( m" [. t4 k& c7)只有本地登陆用户才能访问软驱 * o% n! s8 x, t+ Y5 C
8)取消关机原因的提示 : \8 _* r6 [/ D3 D* u
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; ; G( t$ k% U4 Y+ r/ s1 m+ ?( S) A
B、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
# A' R0 W7 d' c5 h9 j( BC、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; 5 h( }% @+ u' b( G' W4 M& }% z5 a
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 ) p. B1 {" Z- [+ G/ ]+ K
9)禁止关机事件跟踪
0 T- @1 ?( }$ |7 F开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
2 R; e$ p+ d3 R# O17、常见端口的介绍 $ U: G4 _2 E: r( R- T6 V4 R
TCP
4 L. S" P) s" w8 o0 r& f3 g$ R' v21 FTP 7 D$ G* c' Q4 F" D( @
22 SSH ( y* d0 X) n& J; _8 V
23 TELNET
M [1 r3 D+ p! V4 P/ F25 TCP SMTP
7 z4 C2 k% Q! s! p! f/ Y, ?53 TCP DNS # i' z7 u* ~; z
80 HTTP + `& B$ V/ N( Y/ l5 }
135epmap 4 L/ W( w. Z' @& ?+ `
138[冲击波] ! G( r: v/ A7 d
139smb
# P* Q; x5 s, |* ^" [/ d$ }445
* O w! D h5 D( w" x1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
% Q/ } |6 h/ Y2 i) x) c# M1026 DCE/12345778-1234-abcd-ef00-0123456789ac 2 t! B3 H* u( ^# m
1433 TCP SQL SERVER
6 Y& U( f. G" q' L( q' B5631 TCP PCANYWHERE ; [0 [4 D8 w0 f U( o+ L9 ~
5632 UDP PCANYWHERE . Q1 E4 m5 `) w& a' F4 h
3389 Terminal Services 6 G* S$ H6 X7 `& n, e
4444[冲击波] * S' k5 F; W1 R2 f
UDP
& \* |& S8 l: U& _5 ~' B8 [8 W67[冲击波] ) d b( b& ~! a* n1 H9 E; E% {0 f9 F5 ~
137 netbios-ns / P/ \4 l7 I. l1 E2 r8 @
161 An SNMP Agent is running/ Default community names of the SNMP Agent 3 b6 O& |0 `) \5 d! ^1 Z; D1 C# L4 p
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48