|
 
- 帖子
- 52
- 积分
- 613
- 管庄币
- 531 元
- 注册时间
- 2007-2-1
- 最后登录
- 2008-5-22
|
由于现在家用电脑所使用的操作系统多数为Win XP 和Win2000& ?) y: d- J7 _, }' M4 }
pro(建议还在使用98的朋友换换系统,连微软都放弃了的系统你还用它干嘛?)所以后面我将主要讲一下基于这两个操作系统的安全防范。
3 v% Z2 H' x. C 个人电脑常见的被入侵方式# ]- r, i$ U* f, |0 h$ g4 L
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:8 p7 s! \$ g$ [+ M T: S+ j( m# S
(1) 被他人盗取密码;+ y6 U/ _: c o* A
(2) 系统被木马攻击;
9 A4 S6 r. [; D; Q) [; _* c8 w% ? Q (3) 浏览网页时被恶意的java scrpit程序攻击;
9 \& F! N+ `2 } L9 U5 E% |+ z (4) QQ被攻击或泄漏信息;, T; [: x, g* D1 v0 V$ }1 C
(5) 病毒感染;, p9 y( H( k/ a% T% j
(6) 系统存在漏洞使他人攻击自己。
7 H5 u- o/ E, C5 T M! B {! L (7) 黑客的恶意攻击。
2 f( C# y3 `$ v% y9 F! ]% ^* h# M: ~# X( @ 下面我们就来看看通过什么样的手段来更有效的防范攻击。# h) n& m) W, `
本文主要防范方法
. c: D% \3 Q \3 Q4 L4 U- m 察看本地共享资源, T; X3 r2 f' {7 E
删除共享, K+ t" A3 ]( a
删除ipc$空连接
5 @( H$ n y# ~) ?+ l 账号密码的安全原则
. i+ X$ Q3 h% }' |3 S& `. n1 \ 关闭自己的139端口) y1 I, T5 g& O8 B2 d$ D
445端口的关闭
7 O! O* D+ E" k/ Q N 3389的关闭
3 G( j- ?5 a6 K+ B/ J6 L8 d( ^ 4899的防范
0 v! p6 z7 D# d8 N# L 常见端口的介绍
; M0 G }( F$ M8 Y$ r( h$ y6 N3 s 如何查看本机打开的端口和过滤3 x8 S1 P8 e% t6 w, J. L
禁用服务
/ {6 O3 ]7 P% \0 q 本地策略1 Q; P9 V) ^- |, |
本地安全策略: V* j$ J5 N/ Z. F: X8 s; b3 V0 p
用户权限分配策略: o9 R9 @& M- [2 X% ^! O! o
终端服务配置
9 W4 ]; |9 n3 Y' Z9 a8 r 用户和组策略
( m8 S W/ E( Y* K$ \ 防止rpc漏洞7 c* }& _, f8 h( v7 E1 v
自己动手DIY在本地策略的安全选项
: C- b( e" z/ {! z4 M2 u 工具介绍2 g8 E- z1 E% L
避免被恶意代码 木马等病毒攻击
/ y R) K) a' c) M, |8 a9 Y 1.察看本地共享资源' |9 |7 A! W. ]/ U9 {; T4 {( U/ a
运行CMD输入net
5 [# V9 l$ z8 ?- H# N share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。! v* N8 G9 k. `6 a1 f
2.删除共享(每次输入一个)# U) }2 t* h+ L- C
net share admin$ /delete$ L# q4 b7 e0 g% E9 g4 v
net share c$ /delete( n' K) b% p( R
net share d$ /delete(如果有e,f,……可以继续删除)
6 A/ b3 t! U& m! a5 d, q% H 3.删除ipc$空连接
( g, J( Y& n0 D x* }8 j9 z4 `" L 在运行内输入regedit,在注册表中找到& f) M( s3 z7 {' G
HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA& b3 h+ u, l% W1 x/ [( O
项里数值名称RestrictAnonymous的数值数据由0改为1。: X, V" S) X. E
4.关闭自己的139端口,ipc和RPC漏洞存在于此。
& R% q& R& Y' W 关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。) }) J/ F. S' P; F6 v4 F
5.防止rpc漏洞
8 z2 x! l" H& I& z5 W 打开管理工具——服务——找到RPC(Remote Procedure Call (RPC)
7 r3 I' q* I# z Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
* T4 `! g2 B* Y" C! O XP SP2和2000 pro sp4,均不存在该漏洞。
* c9 {1 p6 r% [5 @- { _ 6.445端口的关闭; P7 h# b! F x
修改注册表,添加一个键值
5 R2 s7 |6 l' y) N HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled2 G; D2 [# R% U- X$ y) ^; c! i0 h
为REG_DWORD类型键值为 0这样就ok了
. Y& `! t/ ?& S 7.3389的关闭, s; {/ S( L" A
XP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。; I$ k5 d% G) P. q' @7 k) [9 S. ]6 m
Win2000server 开始-->程序-->管理工具-->服务里找到Terminal
2 }7 _& X6 p' Q. ` Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)5 A9 d: I4 ?7 b# Z9 w
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro! z2 Y$ s6 S5 P) o6 z. ^6 ^
开始-->设置-->控制面板-->管理工具-->服务里找到Terminal
7 y" S- M+ `1 {9 i; J1 e Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro% X: B6 _6 z+ |) ], j* A- n" o
中根本不存在Terminal Services。
/ J: J4 _8 K' O; z6 i 8.4899的防范
O/ O$ R% U* w 网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
' m! G, x2 a/ { L 4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。. s) D6 r2 L$ ?4 h8 z: D* m
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
$ V5 x' g& i3 m" i$ N1 U1 C 9、禁用服务9 x4 W5 D& F- X9 ]7 k
打开控制面板,进入管理工具——服务,关闭以下服务4 M6 C7 m2 q0 S+ c9 B g- L; P
1.Alerter[通知选定的用户和计算机管理警报]. Y; N! q. b& @7 U2 a
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]9 A5 I! Z' O O& J2 b5 Y
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享+ \* l, l3 b& b' F5 l/ x
4.Distributed Link Tracking Server[适用局域网分布式链接? |
|
发表于 2007-2-1 14:34
|