廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1637 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 新手也能對付病毒---配好系統事半功倍
新手也能對付病毒---配好系統事半功倍

電腦安全問題一直以來都是個最重要的一個問題,也是電腦愛好者最關心的一個問題。它是個大話題涉及到電腦的方方面面,三言兩語是說不清楚的,也不是幾天就能夠學會的。在這裡我總結了一些系統安全配置方面的知識,希望對大家有所幫助。因為只有一台安全的電腦才可以預防病毒的騷擾、抵禦駭客的入侵。

  下面就開始我們的安全之旅吧。

  一、安裝過程

  1、有選擇性地安裝組件

  安裝作業系統時請用NTFS格式, 不要按Windows 2000的默認安裝組件,本著“最少的服務+最小的許可權=最大的安全”原則,只選擇安裝需要的服務即可。例如:不作為Web伺服器或FTP伺服器就不安裝IIS。常用Web伺服器需要的最小組件是: Internet 服務管理器、WWW伺服器和與其有關的輔助服務。如果是默認安裝了IIS服務自己又不需要的就將其卸載。卸載辦法:開始---->設置---->控制面板---->添加刪除程式---->添加/刪除Windows組件,在“windows組件嚮導”的“組件(C):”中將“Internet資訊服務(IIS)”前面小框中的√去掉,然後“下一步”就卸載了IIS。

  2、網路連接

  在安裝完成Windows 2000/XP作業系統後,不要立即連入網路,因為這時系統上的各種程式還沒有打上補丁,存在各種漏洞,非常容易感染病毒和被入侵,此時應該安裝殺毒軟體和防火牆。殺毒軟體和防火牆推薦使用卡巴斯基、諾頓企業版客戶端(若做伺服器則用服務端)和ZoneAlarm防火牆。接著,再把下面的事情做完後再上網。

  二、正確設置和管理賬戶

  1、停止使用Guest賬戶,並給Guest 加一個複雜的密碼。所謂的複雜密碼就是密碼含大小寫字母、數字、特殊字符(~!@#¥%《》,。?)等。比如象:“G7Y3,^)y。

  2、賬戶要盡可能少,並且要經常用一些掃描工具查看一下系統賬戶、賬戶許可權及密碼。刪除停用的賬戶,常用的掃描軟體有:流光、HSCAN、X-SCAN、STAT SCANNER等。正確配置賬戶的許可權,密碼至少應不少於8位,比如:"3H.#4d&j1)~w",呵呵……讓他破吧!!這樣的密碼他可能把機子跑爛也跑不出來哦 ^_^

  3、增加登錄的難度,在“賬戶策略→密碼策略”中設定:“密碼複雜性要求啟用”,“密碼長度最小值8位”,“強制密碼歷史5次”,“最長存留期 30天”;在“賬戶策略→賬戶鎖定策略”設定:“賬戶鎖定3次錯誤登錄”,“鎖定時間30分鐘”,“復位鎖定計數30分鐘”等,增加了登錄的難度對系統的安全大有好處。

  4、把系統Administrator賬號改名,名稱不要帶有Admin等字樣; 創建一個陷阱帳號,如創建一個名為“Administrator”的本地帳戶,把許可權設置成最低,什麼事也幹不了,並且加上一個超過10位的超級複雜密碼。這樣可以讓那些“不法之徒”忙上一段時間了,並且可以借此發現他們的入侵企圖。

  三、正確地設置目錄和文件許可權(這步可以在以後做)

  為了控制好伺服器上用戶的許可權,同時也為了預防以後可能的入侵和溢出,還必須非常小心地設置目錄和文件的訪問許可權。Windows 2000/XP Pro的訪問許可權分為:讀取、寫入、讀取及執行、修改、列目錄、完全控制。在默認的情況下,大多數的文件夾對所有用戶(Everyone這個組)是完全控制的(Full Control),您需要根據應用的需要重新設置許可權。在進行許可權控制時,請記住以下幾個原則:

  一許可權是累計的,如果一個用戶同時屬於兩個組,那麼他就有了這兩個組所允許的所有許可權。

  拒絕的許可權要比允許的許可權高(拒絕策略會先執行)。如果一個用戶屬於一個被拒絕訪問某個資源的組,那麼不管其他的許可權設置給他開放了多少許可權,他也一定不能訪問這個資源。

  文件許可權比文件夾許可權高。

  利用用戶組來進行許可權控制是一個成熟的系統管理員必須具有的優良習慣。

  只給用戶真正需要的許可權,許可權的最小化原則是安全的重要保障。

  預防ICMP攻擊。ICMP的風暴攻擊和碎片攻擊是NT主機比較頭疼的攻擊方法,而Windows 2000/2003應付的方法很簡單。Windows 2000/2003自帶一個Routing & Remote Access工具,這個工具初具路由器的雛形。在這個工具中,我們可以輕易地定義輸入輸出包過濾器。如設定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文。

  四、網路服務安全管理

  1、關閉不需要的服務

  只留必需的服務,多一些服務可能會給系統帶來更多的安全因素。如Windows 2000/2003的Terminal Services(終端服務)、IIS(web服務)、RAS(遠程訪問服務)等,這些都有產生漏洞的可能。

  2、關閉不用的端口。

  3、只開放服務需要的端口與協議。

  具體方法為:按順序打開“網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→TCP/IP篩選→屬性”,添加需要的TCP、UDP端口以及IP協議即可。根據服務開設口.

  常用的TCP口有:80口用於Web服務;21用於FTP服務;25口用於SMTP;23口用於Telnet服務;110口用於POP3(郵件服務)。

  常用的UDP端口有:53口-DNS域名解析服務;161口-snmp簡單的網路管理協議。8000、4000用於OICQ,伺服器用8000來接收資訊,客戶端用4000發送資訊。如果沒有上面這些服務就沒有必要打開這些端口。

  4、禁止建立空連接

  Windows 2000/XP的默認安裝允許任何用戶可通過空連接連上伺服器,枚舉賬號並猜測密碼。空連接用的端口是139,通過空連接,可以複製文件到遠端伺服器,計劃執行一個任務,這就是一個漏洞。可以通過以下兩種方法禁止建立空連接:

  A:修改註冊表中Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。

  B:修改Windows 2000的本地安全策略。設置“本地安全策略→本地策略→選項”中的RestrictAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號和共用”。

  Windows 2000/XP的默認安裝允許任何用戶通過空連接得到系統所有賬號和共用列表,這本來是為了方便局域網用戶共用資源和文件的,但是,同時任何一個遠程用戶也可以通過同樣的方法得到您的用戶列表,並可能使用暴力法破解用戶密碼給整個網路帶來破壞。很多人都只知道更改註冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接,實際上Windows 2000/XP的本地安全策略裏(如果是域伺服器就是在域伺服器安全和域安全策略裏)就有RestrictAnonymous選項,其中有三個值:“0”這個值是系統默認的,沒有任何限制,遠程用戶可以知道您機器上所有的賬號、組資訊、共用目錄、網路傳輸列表(NetServerTransportEnum)等;“1”這個值是只允許非NULL用戶存取SAM賬號資訊和共用資訊;“2”這個值只有Windows 2000/XP才支援,需要注意的是,如果使用了這個值,就不能再共用資源了,所以還是推薦把數值設為“1”比較好。

五、關閉無用端口和修改3389端口

  Windows的每一項服務都對應相應的端口,比如眾如週知的www服務的端口是80,smtp是25,ftp是21,win2000/XP安裝中這些服務都是默認開啟的。對於個人用戶來說確實沒有必要,關掉端口也就是關閉了無用的服務。

  關閉這些無用的服務可以通過“控制面板”的“管理工具”中的“服務”中來配置。

  1、關閉7.9等等端口:關閉Simple TCP/IP Service,支援以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。

  2、關閉80口:關掉WWW服務。在“服務”中顯示名稱為"World Wide Web Publishing Service",通過 Internet 資訊服務的管理單元提供 Web 連接和管理。

  3、關掉25端口:關閉Simple Mail Transport Protocol (SMTP)服務,它提供的功能是跨網傳送電子郵件。
  
  4、關掉21端口:關閉FTP Publishing Service,它提供的服務是通過 Internet 資訊服務的管理單元提供 FTP 連接和管理。

  5、關掉23端口:關閉Telnet服務,它允許遠程用戶登錄到系統並且使用命令行運行控制臺程式。

  6、還有一個很重要的就是關閉server服務,此服務提供 RPC 支援、文件、列印以及命名管道共用。關掉它就關掉了win2k的默認共用,比如ipc$、c$、admin$等等,此服務關閉不影響您的共他操作。

  7、還有一個就是139端口,139端口是NetBIOS Session端口,用來文件和列印共用,注意的是運行samba的unix機器也開放了139端口,功能一樣。以前流光2000用來判斷對方主機類型不太準確,估計就是139端口開放既認為是NT機,現在好了。

  關閉139端口的方法是在“網路和撥號連接”——“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS設置”裏面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。

  對於個人用戶來說,可以在以上各項服務屬性設置中設為“禁用”,以免下次重啟服務也重新啟動後端口再次打開。現在你不用擔心你的端口和默認共用了。

  8、修改3389:打開註冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那個PortNumber沒有?0xd3d,這個是16進制,就是3389啦。我改XXXX這個值是RDP(遠程桌面協議)的默認值,也就是說用來配置以後新建的RDP服務的,要改已經建立的RDP服務,我們去下一個鍵值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations這裡應該有一個或多個類似RDP-TCP的子健(取決於你建立了多少個RDP服務),一樣改掉PortNumber。

  六、本地安全策略

  1、通過建立IP策略來阻止端口連接

  TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389

  TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導)

  UDP端口:1434(這個就不用說了吧)

  阻止所有ICMP,即阻止PING命令

  2、在這裡我用關閉135端口來實例講解

  七、審核策略

  具體方法:控制面板→管理工具→本地安全策略→本地策略→審核策略,然後右鍵點擊下列各項,選擇“安全性”來設置就可以了。

  審核策略更改:成功,失敗

  審核登錄事件:成功,失敗

  審核對象訪問:失敗

  審核對象追蹤:成功,失敗

  審核目錄服務訪問:失敗

  審核特權使用:失敗

  審核系統事件:成功,失敗

  審核賬戶登錄事件:成功,失敗

  審核賬戶管理:成功,失敗
  
  密碼策略:啟用“密碼必須符合複雜性要求","密碼長度最小值"為6個字符,"強制密碼歷史"為5次,"密碼最長存留期"為30天。

  在賬戶鎖定策略中設置:"復位賬戶鎖定計數器"為30分鐘之後,"賬戶鎖定時間"為30分鐘,"賬戶鎖定值"為30分鐘。

  安全選項設置:本地安全策略→本地策略→安全選項→對匿名連接的額外限制,雙擊對其中有效策略進行設置,選擇"不允許枚舉SAM賬號和共用",因為這個值是只允許非NULL用戶存取SAM賬號資訊和共用資訊,一般選擇此項,然後再禁止登錄螢幕上顯示上次登錄的用戶名。

  禁止登錄螢幕上顯示上次登錄的用戶名也可以改註冊表HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn項中的Don’t Display Last User Name串,將其數據修改為1

  八、Windows日誌文件的保護

  日誌文件對我們如此重要,因此不能忽視對它的保護,防止發生某些“不法之徒”將日誌文件清洗一空的情況。

  1. 修改日誌文件存放目錄

  Windows日誌文件默認路徑是“%systemroot%\system32\config”,我們可以通過修改註冊表來改變它的存儲目錄,來增強對日誌的保護。

  點擊“開始→運行”,在對話方塊中輸入“Regedit”,回車後彈出註冊表編輯器,依次展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog後,下面的Application、Security、System幾個子項分別對應應用程式日誌、安全日誌、系統日誌。

  我以應用程式日誌為例,將其轉移到“d:\abc”目錄下。首先選中Application子項,在右欄中找到File鍵,其鍵值為應用程式日誌文件的路徑“%SystemRoot%system32configAppEvent.Evt”,將它修改為“d:abc\AppEvent.Evt”。接著在D盤新建“abc”目錄,將“AppEvent.Evt”拷貝到該目錄下,重新啟動系統,這樣就完成了應用程式日誌文件存放目錄的修改。其他類型日誌文件路徑修改方法相同,只是在不同的子項下操作。

  2. 設置文件訪問許可權

  修改了日誌文件的存放目錄後,日誌還是可以被清空的,下面通過修改日誌文件訪問許可權,防止這種事情發生,前提是Windows系統要採用NTFS文件系統格式。

  右鍵點擊D盤的CCE目錄,選擇“屬性”,切換到“安全”標簽頁後,首先取消“允許將來自父系的可繼承許可權傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號,只給它賦予“讀取”許可權;然後點擊“添加”按鈕,將“System”賬號添加到賬號列表框中,賦予除“完全控制”和“修改”以外的所有許可權,最後點擊“確定”按鈕。這樣當用戶清除Windows日誌時,就會彈出錯誤對話方塊。

  九、寫在最後的話

  現在你可以連接上網了,但是暫時不要打開IE瀏覽器。接下來工作是升級殺毒軟體和防火牆,並設置好,具體設置方法請參照締造論壇的相關教程。然後從開始功能表打開Windows update 打好系統所有的補丁,這個過程有點漫長,耐心等待吧。當你打好系統所有補丁後再備份好系統,呵呵……上網吧你安全了(注意!沒有絕對的安全哦)!



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-03 03:16 |
sang 會員卡
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎
知名人士
級別: 知名人士 該用戶目前不上站
推文 x49 鮮花 x4916
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

表情 這一篇真是太實用了,感謝upside大的提供,我想提供給朋友們在安裝相關平台及軟體時作為參考的準則. 表情 ,而且培養上下網即再掃毒也是一個很重要的步驟呢,並且希望朋友們來數位提供資訊時一定要先去了解該網址是不是有木馬等程式,再決定提供,不然朋友您可能就是加害者哦.


獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2006-12-03 11:36 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.063837 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言