|
|
个人电脑常见的被入侵方式: 1 I! z: `% G" l' l1 w& T
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
# m3 c) r" Z1 ^& n; f(1) 被他人盗取密码; . n1 r2 L8 M2 u4 }( m1 \( X
(2) 系统被木马攻击;
0 y; C% B+ K1 E( }' `. t% ^(3) 浏览网页时被恶意的java scrpit程序攻击;
0 \' ]) @ Q x. W1 q(4) QQ被攻击或泄漏信息; " a* ^6 x4 P0 ~4 H3 t0 _% @9 [7 t
(5) 病毒感染;
2 h* K' W; [2 t% ^- T(6) 系统存在漏洞使他人攻击自己。 * O" d' C( n. a; P
(7) 黑客的恶意攻击。 1 W* R8 ~: L. b6 U Z C
下面我们就来看看通过什么样的手段来更有效的防范攻击。
& N) l! Y, \! t9 ~1.察看本地共享资源 + _* s `# R7 J: I, b$ ~" r
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 ( D4 {& M, L5 N# T2 B' D( {& S
2.删除共享(每次输入一个)
* `: c( W: m9 J# d5 Onet share admin$ /delete ; u" U$ Z( ]; G0 n3 n( c
net share c$ /delete
2 _, x2 A. ?3 a/ M+ O1 D% [5 Dnet share d$ /delete(如果有e,f,……可以继续删除)
8 m; J0 Y% \1 ]' F& r9 p3.删除ipc$空连接 . k$ [/ o. `1 P6 j, x$ y# R
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
' C: G4 _; P1 n; ]. Y# l4.关闭自己的139端口,ipc和RPC漏洞存在于此。 3 S% m6 z3 _: o+ V
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 P& W1 Y$ s. f7 H
5.防止rpc漏洞 " h: Z7 T! q6 v# c+ A% W& t
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。 : Q$ j* r3 d9 H/ N9 K! T
XP SP2和2000 pro sp4,均不存在该漏洞。9 m, `) ]2 M @0 u- Y, z
6.445端口的关闭 1 b- V' s/ W/ z8 i$ w
修改注册表,添加一个键值
# t" o% |$ V) uHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了 6 D7 [6 g$ N9 j& E& K
7.3389的关闭 K* @. t& `4 d) E
XP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
% @3 l+ R8 }0 @* _# {; aWin2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
5 }2 L$ P5 t1 {, k使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 7 n) s! c$ {" e9 Y0 K0 E
8.4899的防范 # p* S* J! c0 p- q+ q/ M
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
% x# ~* F2 m+ {# p2 y0 o* O4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 1 j. F) x s3 M! ?2 X f1 Z
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 7 p1 U8 [; ?6 Y8 o$ F+ E4 d. U
9、禁用服务
' ]2 Z7 U! s. x4 T打开控制面板,进入管理工具——服务,关闭以下服务 ' b+ h# i) R3 q6 `2 p
1.Alerter[通知选定的用户和计算机管理警报] 5 ~9 }/ W- H0 N+ L' z( v
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
1 A& Z1 m; q& z# y3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
/ ~! t- g- s. u: J4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务] . U3 O% Y* \5 e
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] * g! [; L9 y) h; h# o5 `7 t) p( ?9 X
6.IMAPI CD-Burning COM Service[管理 CD 录制]
' Q5 D9 X$ D2 m- C7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
) Z: r% {& B" k( R' K$ ?! s$ A8.Kerberos Key Distribution Center[授权协议登录网络]
" T# i1 {( y- s& l/ u9 Y9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] " d" z% U9 d, l3 }3 J* Z' @& h$ p
10.Messenger[警报]
+ j# W) D+ c1 J. C3 U: `- Z/ o4 B4 }11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
. R+ M7 |) j" p. N i4 z1 j9 w12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 3 w4 P& H% x1 d" ?
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] # |& g# Z( z! W0 F& |' u" R3 O8 R
14.Print Spooler[打印机服务,没有打印机就禁止吧] " V( p( a9 @9 k9 [% L/ r
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] + P5 j6 z3 C m; H1 q6 P2 }: V# ?
16.Remote Registry[使远程计算机用户修改本地注册表] % l$ ~9 D1 q: X+ `2 B5 K
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
5 e6 R) u4 Y! Z1 k18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
( y1 H3 K' Z% Z# Q( v$ f$ ^ s19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] ; i- [" h! N M
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] . ?- g# e* O" g
21.Telnet[允许远程用户登录到此计算机并运行程序]
0 i. S" R, w8 |8 r22.Terminal Services[允许用户以交互方式连接到远程计算机] 8 T' b% P5 A6 R9 |" W- b$ `
23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机] + r" ~- a( P7 H9 H! k& t8 G0 g
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。 0 ?" ?( ]# M5 K; N* Q
10、账号密码的安全原则 ( h* N+ H; R+ I. \) M. F& Q
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~) , I0 Z% \2 j8 o8 I+ {
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。$ z: s% o( U5 u" Z5 D3 a
打开管理工具.本地安全设置.密码策略
* w1 V) K7 P% e$ D6 O
' M9 a4 L( E1 t% u0 K/ u9 t9 Y2 W7 y; y; _- `4 t) W
& Q3 |7 Z& `1 {/ s1.密码必须符合复杂要求性.启用
; y+ Y+ Z( h0 }. b5 [2.密码最小值.我设置的是8
& U7 I% u4 L. f! A3 w# \9 a1 q5 }8 `. h3.密码最长使用期限.我是默认设置42天 5 p# s1 u; u' N& ?8 W
4.密码最短使用期限0天
; }- E! U& m+ b* b2 ?: u0 U5.强制密码历史 记住0个密码
8 z& t$ A! j& j4 K/ i* g' u6.用可还原的加密来存储密码 禁用/ X0 u8 n' S* O. H) q& c4 L4 g
11、本地策略:
* H2 x4 w m3 a这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。 % o1 U' J+ U7 e) {7 }
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
/ S9 A" ^. w% a: W* p) P" Y4 V- t打开管理工具
, ~+ z: c3 s' [ H( C9 D6 k找到本地安全设置.本地策略.审核策略 3 f: T, W8 I: C/ v9 i
1.审核策略更改 成功失败
, k. b- l( o6 L" H- S$ v2.审核登入事件 成功失败 6 H9 o2 f/ z3 B
3.审核对象访问 失败
7 t. Z/ h) L5 j4 m$ Z P0 e+ @4.审核跟踪过程 无审核
9 i" m% }, { e5 A! ~5.审核目录服务访问 失败 1 {4 M) h: \& } ^% c( x
6.审核特权使用 失败 / s+ U& ~& \7 K! A! J, B% [. |
7.审核系统事件 成功失败 ' `( M1 M3 v# V9 {2 i
8.审核帐户登陆时间 成功失败 2 ]' t9 k4 q( B
9.审核帐户管理 成功失败
+ s$ J$ M6 \ S0 }% |然后再到管理工具找到 ; m; F& }: L8 s5 X: ?) s
事件查看器
8 p/ h: |/ P' U: ~( A( o应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件 : k" e c8 R; l% F
安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件 7 ~ V4 r# j$ W0 T
系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件
% t7 U! J. Q- P) a" G1 w12、本地安全策略: 3 k7 H0 p, P0 z
打开管理工具
~7 g8 A ~1 a! [% h" S找到本地安全设置.本地策略.安全选项
* m8 M, v" d6 q8 o G% }1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的] 3 C% U3 J) v9 x* m; m, j3 K
2.网络访问.不允许SAM帐户的匿名枚举 启用 / p, c, B. ~, [7 |/ T7 r
3.网络访问.可匿名的共享 将后面的值删除 7 K8 {' Q) a( f- R+ e v6 d: k# E2 I7 R
4.网络访问.可匿名的命名管道 将后面的值删除
. Q$ Y7 S0 ]% s1 Q/ m( d5.网络访问.可远程访问的注册表路径 将后面的值删除
; f( l9 {( h- V+ z4 Y$ S6.网络访问.可远程访问的注册表的子路径 将后面的值删除 , D! W' T0 B" p, b! y
7.网络访问.限制匿名访问命名管道和共享
/ m1 {3 G M1 C8.帐户.(前面已经详细讲过) ; h ^( g: i5 w+ C3 C
13、用户权限分配策略:
Y& o6 P# w1 c- p打开管理工具 * ?( l) D. O6 @ [# O1 k
找到本地安全设置.本地策略.用户权限分配 0 e0 X( K! O+ a* R- e
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID 1 v9 L9 I) s i$ ~
2.从远程系统强制关机,Admin帐户也删除,一个都不留
5 ]* I, n6 A, N- t4 v3.拒绝从网络访问这台计算机 将ID删除
8 `3 i. r7 }. f/ F+ F$ h+ I4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 - }& u1 L1 z6 r" n" n% {
5.通过远端强制关机。删掉 ' O! U- ?/ o% d
14、终端服务配置 0 B1 r, t: R/ A2 X
打开管理工具 5 l, F& y2 V& n
终端服务配置
) s1 N8 m& H# t: c# K- [1.打开后,点连接,右键,属性,远程控制,点不允许远程控制 1 [5 d( }) D! J4 i3 Z3 U
2.常规,加密级别,高,在使用标准Windows验证上点√! , e2 Q2 I) g% y5 ]( K1 {2 Q6 u* J
3.网卡,将最多连接数上设置为0 0 ]2 ~, ]3 h) v& L" ?- s
4.高级,将里面的权限也删除.[我没设置] 7 Z4 J6 M) ]2 n4 U$ Z9 T
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话- l9 K3 \4 n. h
15、用户和组策略 8 j0 U+ Q/ q. Y- h2 z( _4 m
0 V. ? X# v& W; P5 N打开管理工具
7 k$ Q8 l& u4 @4 e7 J8 x1 [计算机管理.本地用户和组.用户; % |" b2 a4 c& g* F9 d
删除Support_388945a0用户等等
$ b- b: t0 b. v1 p- ]0 v8 {, u" Z只留下你更改好名字的adminisrator权限
3 n$ U6 Q, _, p" _0 w计算机管理.本地用户和组.组 2 B9 m# j" h! _9 d7 Z
组.我们就不分组了,每必要把 0 m: D& w+ M& v
16、自己动手DIY在本地策略的安全选项 ! ]4 T) q7 N' v
1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. 3 ^3 ~8 L0 ]) Q( s! H8 k+ G) z! \
2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
- d3 ]$ d H6 h o! o& p! ^3)对匿名连接的额外限制 8 C" j7 W5 d0 f" O5 z/ l
4)禁止按 alt+CRTl +del(没必要)
) s& x, S' k1 o, U3 F5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动] 9 ?$ w. ]# [5 F, l7 E$ L. b7 a/ j
6)只有本地登陆用户才能访问CD-ROM
3 U$ y! q& w1 o m t- Q; @. m7)只有本地登陆用户才能访问软驱 6 P1 C( A6 f7 _+ T" `0 M( V, a
8)取消关机原因的提示 + m8 r) Q8 [' v% p
A、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
% Y2 b% Q! I( p3 D# sB、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
% ^. Z1 `. D ^+ dC、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; i! P# K- s2 H* H
D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 7 q2 W& N7 R% ?- ]8 P, H, l" }
9)禁止关机事件跟踪 0 Z) w. S1 L' _4 z
开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口
3 i' C5 B4 U; u6 e5 `1 q+ y17、常见端口的介绍 2 B0 |4 R' X# ~" l: v/ y, D
TCP % N; [1 `% B6 B: \* e
21 FTP
5 o+ x) U4 E3 R, Y0 T3 S g22 SSH
, h3 v/ p7 [ o23 TELNET
' q" B" Z, }4 Z0 {25 TCP SMTP
7 ?* c( U3 v5 j53 TCP DNS
4 l U" k; @; O! @ @80 HTTP
7 N# f, V/ d/ N0 o4 Z135epmap
2 @2 }- v! `7 P @+ D; c& m5 U6 z5 U4 O138[冲击波]
! s: n U( M; ?, r- z139smb
# I+ Y) k4 H: j445
$ y. @! e% X7 \: l; ~% }: s% X1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b 3 S/ W* l5 t6 u6 I, c$ l9 j" ^! w
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
. \) m$ Q7 ]9 y7 j1433 TCP SQL SERVER / u. |! l) K( [/ [
5631 TCP PCANYWHERE + y" K' v- j0 ?3 g w
5632 UDP PCANYWHERE
. U0 x- D5 F/ @: \3389 Terminal Services
& B9 X* l4 Y! {# w# H8 s% m4444[冲击波] ; J% {2 l( ` t# Q% ]
UDP
) v* A: w0 g9 w0 V! Y+ q& t67[冲击波]
" F9 a; r6 P( |: r4 ?4 A; k5 l& y. v137 netbios-ns
" Z2 i$ t5 {3 I4 k161 An SNMP Agent is running/ Default community names of the SNMP Agent
" d X& X" g/ y( h5 B [1 M# r关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48