|
|
个人电脑常见的被入侵方式:
/ E; ?) |; ?3 v! c+ ~- K7 l谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种: ( `( V! B# s+ [6 ~
(1) 被他人盗取密码; , y$ A! |1 A$ {% N' g
(2) 系统被木马攻击;
: x4 K9 ?0 W5 y9 L% t(3) 浏览网页时被恶意的java scrpit程序攻击;
! j0 X% L8 J0 u. O' b(4) QQ被攻击或泄漏信息;
- ?8 [. C% G. F4 t3 L' i% m2 S(5) 病毒感染; - G+ H/ T, h8 H/ c- h
(6) 系统存在漏洞使他人攻击自己。
8 {' k9 l8 T5 s) N K( _: Z# T(7) 黑客的恶意攻击。 ! }/ V$ F; `; W. l% I& {& z
下面我们就来看看通过什么样的手段来更有效的防范攻击。
7 K9 I" f8 A' b/ _4 x1.察看本地共享资源
( J3 ^% K/ W. K" ]! F1 Y6 u运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 : t1 L1 d9 t) d( p: |0 h
2.删除共享(每次输入一个) + o q& F( h/ `7 X0 F
net share admin$ /delete
6 V1 Y! d5 C8 Q' _net share c$ /delete
. m) b$ u# e- T8 l& o& D4 o' Bnet share d$ /delete(如果有e,f,……可以继续删除) . W8 A' {) j6 z: x' E- W
3.删除ipc$空连接 5 ?9 T6 ~( J9 @/ ]) {
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
+ |2 a. ^2 X6 |9 }4.关闭自己的139端口,ipc和RPC漏洞存在于此。
5 T4 K. d5 g, q4 B+ b关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
$ ]2 v/ y0 d5 R6 o% N; G5.防止rpc漏洞 1 f, v( \3 d+ h W
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
; a7 L9 ?7 e( U8 f1 \XP SP2和2000 pro sp4,均不存在该漏洞。 ~1 V9 z T z' Y
6.445端口的关闭
2 Q# S, C5 c& B# b- a% w1 H$ Z) f修改注册表,添加一个键值 6 ^" f( I9 D) x- W5 f
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
. d9 h% H. g6 r I! _$ j+ i! u7.3389的关闭
1 I, F3 ]6 P8 g$ A! TXP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 - ?4 V! C! G, E8 S- B
Win2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) & S: M* R7 X/ P; z# w6 A& Q
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。 * l% Z" [( q3 _$ q2 p
8.4899的防范 7 @% A1 o; E1 c: h% g
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。 _" ^0 |$ D4 u* i
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 + b$ l* ?4 \9 ~) B
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
$ d1 a6 s- ^' o, @. i; C9、禁用服务 0 C- ]& B: f: h, j: O
打开控制面板,进入管理工具——服务,关闭以下服务
4 E0 b- x; f3 Y7 B+ ?7 C4 l g- D2 v1.Alerter[通知选定的用户和计算机管理警报]
- x* e1 Q" V+ K# P2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
, n, w, b% W2 c3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
/ Z- _; b0 p7 w7 C7 s: Q4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务] 7 |+ X% D; b/ @- M) N" z- C0 d- b) [
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
4 f G- ?! ^) R5 f7 E& E, ?. ] E6.IMAPI CD-Burning COM Service[管理 CD 录制] . R8 c8 |9 G0 _' r+ e& K- a/ L' U
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
1 i2 a2 ^# a8 B: e8.Kerberos Key Distribution Center[授权协议登录网络]
) F6 o7 w X8 t( L4 [9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
' L1 b$ _! ~$ _: p' j# `9 x0 k10.Messenger[警报]
; n2 l9 x$ M) B+ ~) f11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
( {5 ^8 s/ T. Q( }6 d& H12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 1 L& q6 e/ p- p6 u
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] ( K1 m+ p! g2 x
14.Print Spooler[打印机服务,没有打印机就禁止吧]
! C; t$ V6 J0 O9 V! l1 ?. ?. ~15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助] / C) P" `$ V8 f: C2 g9 B
16.Remote Registry[使远程计算机用户修改本地注册表]
2 J" U% X- k8 B/ v' B$ r$ H) y; p17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] & G. E! ]( k( v
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
7 m6 f( S! {7 v- L4 l1 D1 Y9 p3 ^19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
2 P. l8 d2 p3 j; x" U; t# H20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
; n" k# t/ L+ A# ^% s9 h21.Telnet[允许远程用户登录到此计算机并运行程序]
) J0 N+ t8 N* V# b22.Terminal Services[允许用户以交互方式连接到远程计算机]
% g. B- p; }; G23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
( z( o$ S' R( c! S) j& D2 L% I4 x- ]如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
; W5 r+ t, F5 k0 ^* |10、账号密码的安全原则
/ V' u. e* d" b- Z6 p首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
0 Q1 Y: d$ T! F; K- P8 D如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。9 ?$ f( B6 {- l$ C, _. M
打开管理工具.本地安全设置.密码策略 : a& O8 D( a; E
$ w4 t; y, ^* B, L: p4 u( B$ v- D; j9 o) L2 v$ \& l
1 ^8 B3 j1 S# y* M! S/ X
1.密码必须符合复杂要求性.启用 $ L; ], A$ I' J9 N7 R3 ]/ O% C. R
2.密码最小值.我设置的是8
$ W6 P t' K- B" { T3.密码最长使用期限.我是默认设置42天
h" g# L8 C2 `$ P4.密码最短使用期限0天
% D5 `0 n7 Z+ `8 u5.强制密码历史 记住0个密码 0 Z" Y& v' y. C. }2 Z5 p
6.用可还原的加密来存储密码 禁用/ S( i' H) [7 ?$ |
11、本地策略: , F3 W/ e. I5 o- K/ I
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
$ l' N! Q5 j7 M7 |& I(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的) # h4 N) l. W# T. c
打开管理工具 7 o0 F1 U9 }1 H& R9 h A
找到本地安全设置.本地策略.审核策略 ( T0 E& D4 n3 }# f
1.审核策略更改 成功失败 ! A L A7 p/ Y" s1 _' z' c
2.审核登入事件 成功失败 2 _+ \ M/ ?( U0 h' _
3.审核对象访问 失败 6 Q2 a% L! J S
4.审核跟踪过程 无审核
n3 |% P4 O) ?7 _% _, c0 x5 d; `5.审核目录服务访问 失败
& y' R+ Q8 u- T9 R: l2 O3 t6.审核特权使用 失败 & R. k- Z$ k6 r4 V. t2 [9 l) X# ^' @
7.审核系统事件 成功失败
8 E( g; b, z( H3 Q, ]/ X3 r8.审核帐户登陆时间 成功失败 6 Q5 ]8 D4 C% F& b+ ?( `9 i
9.审核帐户管理 成功失败 & h- ?9 u. T9 d; d
然后再到管理工具找到 8 n: l+ \. C5 e- x( n
事件查看器
: A( q. K8 D1 X, `+ b应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件
0 p% s* z, A0 r: w# h1 k安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件
! l6 l" b& ]# F( r9 Z0 }系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件
5 _4 h e3 g( `12、本地安全策略: ! }. j7 q* c, I6 O6 O
打开管理工具 ~2 | N' a/ w
找到本地安全设置.本地策略.安全选项, b. R% H# q/ V0 C- V" J4 j
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的] : A# \ X/ @& V/ H0 u
2.网络访问.不允许SAM帐户的匿名枚举 启用
h( j5 t3 J) X' t9 d3.网络访问.可匿名的共享 将后面的值删除
8 D% \7 j, C4 _4.网络访问.可匿名的命名管道 将后面的值删除 5 [- V3 V0 o+ F" o3 A8 e% _ v$ j
5.网络访问.可远程访问的注册表路径 将后面的值删除
- k5 t$ p4 O: V% p' s6.网络访问.可远程访问的注册表的子路径 将后面的值删除
6 G' G& |7 U& D6 J7.网络访问.限制匿名访问命名管道和共享 - T$ y( a! w' M9 J7 o8 }
8.帐户.(前面已经详细讲过)
1 R) i& E/ }" C, w13、用户权限分配策略:
7 e C+ m& {/ y) \9 h+ _# i& j& f3 K打开管理工具
/ ~% g0 \4 c( Q& i- {6 {找到本地安全设置.本地策略.用户权限分配 5 o" I$ T, Y0 y! z/ L, z
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID 3 ~$ E& O% l% b! Q. M) Z
2.从远程系统强制关机,Admin帐户也删除,一个都不留 1 u& ^. `& ?% I% Z$ h! _. n
3.拒绝从网络访问这台计算机 将ID删除
4 u4 W; \7 V! E6 P k: _4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
: K2 m2 C- I! O% P8 ]0 @4 g/ c5.通过远端强制关机。删掉
) N$ I1 K; B% J) ]14、终端服务配置 $ m) X' f* q+ B
打开管理工具
' e6 } m0 t8 Q6 |1 \; k% D终端服务配置
/ w) b, a+ Y) K. \1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
D# y, T4 I9 m; j3 y8 l2.常规,加密级别,高,在使用标准Windows验证上点√!
& `0 K2 M2 T+ I3.网卡,将最多连接数上设置为0
1 A" X4 a2 a* C, S% O9 W4.高级,将里面的权限也删除.[我没设置]
) `- A6 R% E1 k再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
{% h4 I @& k. k0 C! H; X15、用户和组策略 * D7 u( x2 O% ?# N" D2 |* a0 H1 Y
# c* X4 P) ]& f" z, N
打开管理工具
3 n% I% U' Q7 T6 N/ T" z计算机管理.本地用户和组.用户; , U. Z) h4 T/ w o/ C
删除Support_388945a0用户等等 7 p& ~6 g6 C( u6 A
只留下你更改好名字的adminisrator权限
- Z; f, L8 D1 f, s" n8 S$ k" k计算机管理.本地用户和组.组
7 s3 y2 x7 T& O& {2 |; L组.我们就不分组了,每必要把
% o' v) {" L8 F3 @; |4 v16、自己动手DIY在本地策略的安全选项
[/ k4 ^4 X' P9 b3 p! y* J1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
F4 w: R9 u- n* A$ \1 Q* M0 V2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
) A3 u4 k% m+ g# @+ g9 @; n9 X3)对匿名连接的额外限制 # i6 v5 p7 T1 ~4 @2 u. F
4)禁止按 alt+CRTl +del(没必要) ) z6 S" U8 W- t9 X
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动] ' H5 K& v( D8 y8 m/ _- l- P
6)只有本地登陆用户才能访问CD-ROM 0 m+ Y7 J: T6 f0 y
7)只有本地登陆用户才能访问软驱 ; F2 V" `; X7 c3 q' v5 h8 t
8)取消关机原因的提示
3 U. D( ~7 |: r- E& v* N/ l- k5 W4 W9 Q% MA、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
$ q+ x, z( `- N* y# k, eB、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; # @5 z& N; H6 L' d0 a5 y
C、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
% t- _3 p* w9 M- @% ^D4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 # o8 r1 A; d. [7 g) ^* f( n+ v, v
9)禁止关机事件跟踪 ! b# a9 m! e7 [% e( @+ z T& C
开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 - {$ i# Y; f( c
17、常见端口的介绍
, D# R5 m0 U3 ?* b5 c' ^6 ^7 B& RTCP / N- U d3 M( O& ~% z/ n
21 FTP
4 O" i$ [6 i5 m; T z1 y& k" U9 ~& M22 SSH
, I' P% n& c0 x T/ R23 TELNET
3 Z3 S6 z( [, J, k25 TCP SMTP
8 b8 N5 d( z% h53 TCP DNS $ H6 c4 F( w9 v! b
80 HTTP
; B; C- |& U+ [% B135epmap
7 O6 l; r7 n+ q# m; [( o138[冲击波]
. o: e6 a1 W. L7 ^) b139smb
4 L: }1 f3 q4 S7 p445 " F1 V; [5 Z( W, l# ^! ?
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
, U4 H7 }- U, X4 q& v) n1026 DCE/12345778-1234-abcd-ef00-0123456789ac , ~ J1 i; H% D. k: D8 V
1433 TCP SQL SERVER o/ ~! v+ z0 n
5631 TCP PCANYWHERE : \; C# f7 [' {, }
5632 UDP PCANYWHERE 6 m1 ^* J& l/ G+ Q+ u
3389 Terminal Services 6 x2 d: S; W& `9 F( H! t
4444[冲击波]
* T# w/ o/ v3 v! XUDP 9 y) h3 c& g! Z5 L
67[冲击波] 6 C( g5 `8 {' U% y. C8 t& n
137 netbios-ns . L# ?" D' R# n; }
161 An SNMP Agent is running/ Default community names of the SNMP Agent " n4 S4 k8 _5 A: t7 q
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48