|
|
个人电脑常见的被入侵方式:
1 d" I0 U! G$ c4 P( J谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:
9 l: p5 e7 _( W: Q# L(1) 被他人盗取密码;
! A. f/ [$ O+ z(2) 系统被木马攻击; 0 d/ Z& w8 H4 @. W5 G
(3) 浏览网页时被恶意的java scrpit程序攻击;
9 e0 ]9 N/ M& P' {% ^(4) QQ被攻击或泄漏信息; & o1 k+ }& G- r
(5) 病毒感染;
6 Z5 w; ?9 m4 t- A3 h+ k: W |; n(6) 系统存在漏洞使他人攻击自己。 0 c8 h; x' F( N5 C- F1 q
(7) 黑客的恶意攻击。
: ]- x7 r1 B ? u) e下面我们就来看看通过什么样的手段来更有效的防范攻击。
1 _$ @6 m( A9 Q: g1.察看本地共享资源
4 v' {5 W! M1 g2 U( g. M9 s运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
' \- I. @/ f$ P2.删除共享(每次输入一个)
& q9 N k* I2 e8 q- Onet share admin$ /delete % B) k- i2 a& a7 X* j9 F/ z
net share c$ /delete " p Q/ `& v- u4 F
net share d$ /delete(如果有e,f,……可以继续删除)
1 i% d5 B. P8 ~6 q4 p% A3.删除ipc$空连接
R& H& f" F; G; |$ m在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
' N( I0 f% U9 c, w) [9 H/ n4.关闭自己的139端口,ipc和RPC漏洞存在于此。 ( H Y1 D W" w9 {
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
0 G8 d3 f9 l+ J) ?4 R5.防止rpc漏洞 ! ]& w. R3 \4 w) G& g3 S
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
2 D8 o0 ?5 j, k5 tXP SP2和2000 pro sp4,均不存在该漏洞。
* q) k( p5 s9 u2 Y6.445端口的关闭 3 i- D/ K/ U( O5 M8 c" b
修改注册表,添加一个键值
8 a- I9 F/ i' x' p8 w5 rHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
0 X9 l* U2 U7 J5 N' B7.3389的关闭
) Y. l6 @4 K7 q+ [% P( z( e6 KXP:我的电脑上点右键选属性--> 远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 4 Q/ ~* x4 j) P. z, S' w4 [
Win2000server 开始--> 程序--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用) 3 o& j4 V! x- N2 I8 y. f
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始--> 设置--> 控制面板--> 管理工具--> 服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
9 {3 M' t" V$ |/ x2 |8.4899的防范 8 h7 S$ w; b7 O' F
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
" g; V4 ?0 {) f; I5 K4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。 6 A4 I8 R+ b" d, Q+ `( P) A
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。 7 F! e: u2 }' R- |+ ?) c
9、禁用服务 & {1 s% I4 T5 X( L/ U' Y
打开控制面板,进入管理工具——服务,关闭以下服务 : \; [% p, K! R5 c
1.Alerter[通知选定的用户和计算机管理警报]
, H1 _5 V0 z$ G( \5 o* Y2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] * Z. o, n( s4 y4 e$ Z
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
9 }1 p! W r l. c4.Distributed Link Tracking Server[适用局域网分布式链接? ?踪客户端服务] ) ]4 g* u7 X' y/ [% Z9 U& V% i$ F
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] . [' f- G: ]0 y! {0 h2 S
6.IMAPI CD-Burning COM Service[管理 CD 录制]
! q# _- u- u1 x, A5 `7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
% ^9 o3 I4 P4 i! l8.Kerberos Key Distribution Center[授权协议登录网络] : g5 @( I& J0 h
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
& } K& S* ^2 x' L) H10.Messenger[警报] : C4 l. q4 ?4 P4 @5 P& U/ m2 e) ~
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
4 C" C5 U8 t( X% P12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 1 d% }4 J6 {% d6 @% ~& s' F* P
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
K( c* q5 F7 }/ o- s- `14.Print Spooler[打印机服务,没有打印机就禁止吧]
9 S% A/ o' H' G0 d8 ~: y15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
( f0 G6 C4 g- }% e3 c0 I( O' a16.Remote Registry[使远程计算机用户修改本地注册表] 4 I- O3 [+ v. ^; y, w- F5 C* `
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] & \& S* ]0 ?- _
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] : x$ n7 D' t0 }( S/ f, z
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
w8 U( S" s" r: U+ z7 n& p5 I20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络] . Z+ \8 ~8 v' e
21.Telnet[允许远程用户登录到此计算机并运行程序] . C9 M# I" ~; n1 I
22.Terminal Services[允许用户以交互方式连接到远程计算机]
1 d/ `2 ?7 m( r0 l, @% u5 I6 j23.Window s Image Acquisition (WIA)[照相服务,应用与数码摄象机]
0 k9 x6 f4 t: v- J8 r0 m如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
% m0 Y2 [/ l& N6 V$ k10、账号密码的安全原则 4 ~9 [5 t; a" P5 h: w
首先禁用guest帐号,将系统内建的administrator帐号改名~~(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧~)
* H8 w `! }# I5 g! {4 C& p如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置(关于密码安全设置,我上面已经讲了,这里不再罗嗦了。
1 |) V! c a! Q' M4 F' Y9 C7 ~, T打开管理工具.本地安全设置.密码策略
9 I7 z' C7 _. ^2 a# z1 m8 J" }3 B
6 T8 ?# @& F) d3 y2 ~3 Y. h2 `+ h- C( `. ]: e+ s7 c. f
1.密码必须符合复杂要求性.启用
' A& `7 g' M7 M# H8 C( X2.密码最小值.我设置的是8
3 e6 t i: g. k% K/ S8 P3.密码最长使用期限.我是默认设置42天 1 F3 h! i1 O, I
4.密码最短使用期限0天 0 Q5 R+ _" w! G4 r7 E8 R B. s7 T' Z* j
5.强制密码历史 记住0个密码 2 S' S# L, H6 O1 X+ T2 W7 @( A
6.用可还原的加密来存储密码 禁用
/ J. `. @" K, p( j% O11、本地策略: # N3 O6 p: ?/ d; Y; ]. O# o
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
/ s/ U9 U- m) [# ^9 m% r(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
' _. ~) Y; y$ p) N打开管理工具 # V1 h$ @% K4 i) H
找到本地安全设置.本地策略.审核策略
, ]. O* E. G, `- z7 J1.审核策略更改 成功失败
/ _5 {4 ~3 C- Y5 R2.审核登入事件 成功失败
, C, e3 N; u6 B9 [0 E# @3.审核对象访问 失败 - t$ ?( B- `& z0 f
4.审核跟踪过程 无审核
/ I, r0 I+ h8 `0 [4 u2 j/ b* n5.审核目录服务访问 失败
; Q" a7 j% d! {3 Q2 p6.审核特权使用 失败
, c; r3 W9 R1 z/ M! H* c7.审核系统事件 成功失败 ) q/ _6 X0 M7 M
8.审核帐户登陆时间 成功失败 4 w# ?; }: j n' A3 b4 [4 b4 Z( z
9.审核帐户管理 成功失败
, S6 q$ \% ?/ w5 B3 G3 k B Q然后再到管理工具找到
; l/ ]$ Y) F1 a, I事件查看器 , z* K) g' T4 u4 l/ v6 E& W
应用程序:右键> 属性> 设置日志大小上限,我设置了50mb,选择不覆盖事件 / K& b: }! O5 S, t
安全性:右键> 属性> 设置日志大小上限,我也是设置了50mb,选择不覆盖事件
+ X% j9 D" [4 a$ u9 p7 s( i9 K" d系统:右键> 属性> 设置日志大小上限,我都是设置了50mb,选择不覆盖事件
1 ]! W! }5 G1 X0 r' `% _- K12、本地安全策略:
& c. e0 q. J. C8 F4 p; ^, ~; j3 B打开管理工具
) u4 j: o/ |2 d! M' K1 [" ?找到本地安全设置.本地策略.安全选项
' A. T5 c" H" I; W2 H- L1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,? 但是我个人是不需要直接输入密码登陆的]
- @" u d4 K1 `8 ?8 L2.网络访问.不允许SAM帐户的匿名枚举 启用
2 x' ~& k3 y# |- ~8 N3.网络访问.可匿名的共享 将后面的值删除
3 m$ c+ P9 S; I+ c4.网络访问.可匿名的命名管道 将后面的值删除 7 O6 Y# F" X" P, o
5.网络访问.可远程访问的注册表路径 将后面的值删除 ) d- k1 l* R3 i$ ^" t( e
6.网络访问.可远程访问的注册表的子路径 将后面的值删除 # a5 O8 f" r' y( z- c
7.网络访问.限制匿名访问命名管道和共享
0 Y* w) ~0 T) E! p2 E8 G, L8.帐户.(前面已经详细讲过)
2 X. e$ U! N; M/ X9 d13、用户权限分配策略:
+ r5 r: E5 w9 K5 l9 X+ q) _打开管理工具 * U, K. n4 p5 {7 ?( g6 I* Z
找到本地安全设置.本地策略.用户权限分配 ) c' P+ a% [: w+ l
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID , g: f3 A* M$ E) K7 z
2.从远程系统强制关机,Admin帐户也删除,一个都不留
; l" K4 r* k0 s1 f' ]7 `1 i$ ]3.拒绝从网络访问这台计算机 将ID删除
& V3 w0 V8 {' Y! t4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 - d' K! R, [" t0 V
5.通过远端强制关机。删掉 + x3 W' d" U6 ]/ P( |
14、终端服务配置 $ E& `% D" A+ \9 r/ P; P) M
打开管理工具
. |1 r! U' ^9 A终端服务配置
6 [0 E1 f c& c8 L2 J1.打开后,点连接,右键,属性,远程控制,点不允许远程控制 ; a# o( @+ H* @7 X. M
2.常规,加密级别,高,在使用标准Windows验证上点√! ; C5 W/ p/ | ^8 a7 x8 x6 P
3.网卡,将最多连接数上设置为0
+ Y( T4 `- {) ]. ~+ u/ n( B3 i4.高级,将里面的权限也删除.[我没设置] , z; G2 L1 F+ ?
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
- n( F9 b' \, v+ ^15、用户和组策略
, ^3 }1 {5 R9 V0 i% \, g2 y# R: ~$ z7 Q
打开管理工具 * N/ k) z! ?/ Q5 U
计算机管理.本地用户和组.用户; 4 [% a% p7 V, k
删除Support_388945a0用户等等
* V* T7 u1 b, F& H- O只留下你更改好名字的adminisrator权限 " h- ~4 v; i, j, ?. U) p
计算机管理.本地用户和组.组
) T4 O+ J/ v1 r" K组.我们就不分组了,每必要把
8 v- X6 I( \( _' f4 @* Z16、自己动手DIY在本地策略的安全选项
8 c5 c7 S+ {) |0 Y* S$ K3 V" `1)当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
* k' S4 N# S+ S2)登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
7 ^: J; R+ x6 z, K( |6 V3)对匿名连接的额外限制
) R: Z" E" C" L, o( ?& G" V& Z4)禁止按 alt+CRTl +del(没必要) ! o- S9 U- V8 d- u8 S) c# I5 G
5)允许在未登陆前关机[防止远程关机/启动、强制关机/启动] ) G9 Q4 l9 ^2 O) f0 d) a
6)只有本地登陆用户才能访问CD-ROM ) w4 [3 a! q; }9 m% v6 O' F* p
7)只有本地登陆用户才能访问软驱
' X. q! s v M3 o8)取消关机原因的提示
2 y* Q4 \" O$ ~- i9 v1 aA、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
+ ?# Y3 g8 G; B/ CB、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
+ v3 O# \% x+ f0 W6 ]7 }4 N: I. IC、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4 b& l9 ?0 w: F8 t, D t0 m8 fD4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 ' T% C/ a6 {: U# f3 P4 E
9)禁止关机事件跟踪 D! j- A2 q; F/ l. e
开始“Start -> ”运行“ Run -> 输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates)-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出这样,你将看到类似于Windows 2000的关机窗口 , o, [% d: ?. V) z
17、常见端口的介绍 1 s7 Q( }" J5 _. s; h
TCP ; ^" n8 b( w6 N
21 FTP
2 G$ n2 a8 R+ \/ D5 ^# _22 SSH
) G1 {- D/ Q' r; T9 O0 _! G, s2 f23 TELNET ! j% G! U( c, e3 F. Z
25 TCP SMTP
% Q9 R+ H% M2 F) f; z0 e2 {53 TCP DNS
4 t/ c4 x: d7 J: x( U0 |+ z8 h% O80 HTTP - X+ z, e- W9 J& ?; W$ X
135epmap
% O+ k4 g2 c2 ]* v138[冲击波] X/ V! b4 \8 I7 }5 t1 U, d
139smb , B7 f$ ^) |7 t6 H
445 8 d* a8 e- Y, _
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b & l. \3 q- R* e+ N6 C, _& }& w0 p
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
- s$ c9 h; e# A8 M! f0 K& g- S1433 TCP SQL SERVER $ `& v0 w+ N1 W3 Q/ O
5631 TCP PCANYWHERE
: @' T- c* Z4 a) D5632 UDP PCANYWHERE - \8 }7 j U4 X( I% Z
3389 Terminal Services # p5 R/ A0 Y5 h6 f- ?: E `8 ~) ^4 u
4444[冲击波]
- }3 r. E" D0 V* I& DUDP
0 F* _ }/ e1 Y8 W1 T6 u67[冲击波] : e) L+ ~$ A* j
137 netbios-ns ! f7 T' _! J( W3 z
161 An SNMP Agent is running/ Default community names of the SNMP Agent 3 O+ u) ^" J. X
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 |
|
狗仔卡
发表于 2009-1-16 13:28:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
发表于 2009-1-21 02:03:48