廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2791 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[資訊教學] 安全攻略 打造100%絕對安全個人電腦
安全攻略 打造100%絕對安全個人電腦

細想一下,現在大多數人的電腦這只未必安全,真好閑暇無事,特發此帖,希望對大家有所幫助!!!

由於現在家用電腦所使用的操作係統多數爲WinXP 和Win2000 pro(建議還在使用98的朋友換換係統,連_blank/>微軟都放棄了的係統你還用它幹嘛?)所以後面我將主要講一下基於這兩個操作係統的安全防範。


個人電腦常見的被入侵方式


談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:


(1) 被他人盜取密碼;


(2) 係統被_blank/>木馬攻擊;


(3) 浏覽網頁時被惡意的java scrpit程序攻擊;


(4) QQ被攻擊或泄漏信息;


(5) 病毒感染;


(6) 係統存在漏洞使他人攻擊自己。


(7) _blank/>黑客的惡意攻擊。


下面我們就來看看通過什麽樣的手段來更有效的防範攻擊。


查本地共享資源

刪除共享

刪除ipc$空連接

賬號密碼的安全原則

關閉自己的139端口

445端口的關閉

3389的關閉

4899的防範

常見端口的介紹

如何查看本機打開的端口和過濾

禁用服務

本地策略

本地安全策略

用戶權限分配策略

終端服務配置

用戶和組策略

防止rpc漏洞

自己動手DIY在本地策略的安全選項

工具介紹

避免被惡意代碼 木馬等病毒攻擊


1.查看本地共享資源


運行CMD輸入net share,如果看到有異常的共享,那麽應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麽你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。


2.刪除共享(每次輸入一個)


net share admin$ /delete

net share c$ /delete

net share d$ /delete(如果有e,f,……可以繼續刪除)


3.刪除ipc$空連接


在運行內輸入regedit,在_blank/>注冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裏數值名稱RestrictAnonymous的數值數據由0改爲1。


4.關閉自己的139端口,ipc和RPC漏洞存在於此。


關閉139端口的方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WinS設置”裏面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。


5.防止rpc漏洞


打開管理工具——服務——找到RPC(Remote Procedure Call (RPC) Locator)服務——將故障恢複中的第一次失敗,第二次失敗,後續失敗,都設置爲不操作。


XP SP2和2000 pro sp4,均不存在該漏洞。


6.445端口的關閉


修改注冊表,添加一個鍵值

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 爲REG_DWORD類型鍵值爲0這樣就ok了。


7.3389的關閉


XP:我的電腦上點右鍵選屬性--/>遠程,將裏面的遠程協助和遠程桌面兩個選項框裏的勾去掉。


Win2000server 開始--/>程序--/>管理工具--/>服務裏找到Terminal Services服務項,選中屬性選項將啓動類型改成手動,並停止該服務。(該方法在XP同樣適用)


使用2000 pro的朋友注意,網絡上有很多文章說在Win2000pro 開始--/>設置--/>控制面板--/>管理工具--/>服務裏找到Terminal Services服務項,選中屬性選項將啓動類型改成手動,並停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。


8.4899的防範


網絡上有許多關於3389和4899的入侵方法。4899其實是一個遠程控制軟件所開啓的服務端端口,由於這些控制軟件功能強大,所以經常被黑客用來控制自己的肉雞,而且這類軟件一般不會被殺毒軟件查殺,比後門還要安全。


4899不象3389那樣,是係統自帶的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦並運行服務,才能達到控制的目的。


所以只要你的電腦做了基本的安全配置,黑客是很難通過4899來控制你的。

9、禁用服務


若PC沒有特殊用途,基於安全考慮,打開控制面板,進入管理工具——服務,關閉以下服務:


1.Alerter[通知選定的用戶和計算機管理警報]

2.ClipBook[啓用“剪貼簿查看器”儲存信息並與遠程計算機共享]

3.Distributed File System[將分散的文件共享合並成一個邏輯名稱,共享出去,關閉後遠程計算機無法訪問共享

4.Distributed Link Tracking Server[適用局域網分布式鏈接]

5.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性,泄露信息]

6.Messenger[警報]

7.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]

8.Network DDE[爲在同一台計算機或不同計算機上運行的程序提供動態數據交換]

9.Network DDE DSDM[管理動態數據交換 (DDE) 網絡共享]

10.Remote Desktop Help Session Manager[管理並控制遠程協助]

11.Remote Registry[使遠程計算機用戶修改本地注冊表]

12.Routing and Remote Access[在局域網和廣域往提供路由服務.黑客理由路由服務刺探注冊信息]

13.Server[支持此計算機通過網絡的文件、打印、和命名管道共享]

14.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網絡]

15.Telnet[允許遠程用戶登錄到此計算機並運行程序]

16.Terminal Services[允許用戶以交互方式連接到遠程計算機]

17.Window s Image Acquisition (WIA)[照相服務,應用與數碼攝象機]


如果發現機器開啓了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因爲這完全有可能是黑客使用控制程序的服務端。


10、賬號密碼的安全原則


首先禁用guest帳號,將係統內建的administrator帳號改名~~(改的越複雜越好,最好改成中文的),然後設置一個密碼,最好是8位以上字母數字符號組合。 (讓那些該死的黑客慢慢猜去吧~)


如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設置一個足夠安全的密碼,同上如果你設置adminstrator的密碼時,最好在安全模式下設置,因爲經我研究發現,在係統中擁有最高權限的帳號,不是正常登陸下的adminitrator帳號,因爲即使有了這個帳號,同樣可以登陸安全模式,將sam文件刪除,從而更改係統的administrator的密碼!而在安全模式下設置的administrator則不會出現這種情況,因爲不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼策略:用戶可以根據自己的習慣設置密碼,下面是我建議的設置(關於密碼安全設置,我上面已經講了,這裏不再羅嗦了。

  

打開管理工具.本地安全設置.密碼策略


1.密碼必須符合複雜要求性.啓用

2.密碼最小值.我設置的是8

3.密碼最長使用期限.我是默認設置42天

4.密碼最短使用期限0天

5.強制密碼曆史 記住0個密碼

6.用可還原的_blank/>加密來存儲密碼 禁用

  

11、本地策略:


這個很重要,可以幫助我們發現那些心存叵測的人的一舉一動,還可以幫助我們將來追查黑客。


(雖然一般黑客都會在走時會清除他在你電腦中留下的痕迹,不過也有一些不小心的)


打開管理工具

  

找到本地安全設置.本地策略.審核策略


1.審核策略更改 成功失敗

2.審核登陸事件 成功失敗

3.審核對象訪問 失敗

4.審核跟蹤過程 無審核

5.審核目錄服務訪問 失敗

6.審核特權使用 失敗

7.審核係統事件 成功失敗

8.審核帳戶登陸時間 成功失敗

9.審核帳戶管理 成功失敗

&nb sp;然後再到管理工具找到

事件查看器

應用程序:右鍵/>屬性/>設置日志大小上限,我設置了50mb,選擇不覆蓋事件

安全性:右鍵/>屬性/>設置日志大小上限,我也是設置了50mb,選擇不覆蓋事件

係統:右鍵/>屬性/>設置日志大小上限,我都是設置了50mb,選擇不覆蓋事件

12、本地安全策略:


打開管理工具

  

找到本地安全設置.本地策略.安全選項

    

1.交互式登陸.不需要按 Ctrl+Alt+Del 啓用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登陸的]

2.網絡訪問.不允許SAM帳戶的匿名枚舉 啓用

3.網絡訪問.可匿名的共享 將後面的值刪除

4.網絡訪問.可匿名的命名管道 將後面的值刪除

5.網絡訪問.可遠程訪問的注冊表路徑 將後面的值刪除

6.網絡訪問.可遠程訪問的注冊表的子路徑 將後面的值刪除

7.網絡訪問.限制匿名訪問命名管道和共享

8.帳戶.(前面已經詳細講過拉 )


13、用戶權限分配策略:


打開管理工具

  

找到本地安全設置.本地策略.用戶權限分配

    

1.從網絡訪問計算機 裏面一般默認有5個用戶,除Admin外我們刪除4個,當然,等下我們還得建一個屬於自己的ID

2.從遠程係統強制關機,Admin帳戶也刪除,一個都不留    

3.拒絕從網絡訪問這台計算機 將ID刪除

4.從網絡訪問此計算機,Admin也可刪除,如果你不使用類似3389服務

5.通過遠端強制關機。刪掉


14、終端服務配置


打開管理工具

  

終端服務配置


1.打開後,點連接,右鍵,屬性,遠程控制,點不允許遠程控制

2.常規,加密級別,高,在使用標準Windows驗證上點√!

3.網卡,將最多連接數上設置爲0

4.高級,將裏面的權限也刪除.[我沒設置]

再點服務器設置,在Active Desktop上,設置禁用,且限制每個使用一個會話


15、用戶和組策略


打開管理工具


計算機管理.本地用戶和組.用戶;


刪除Support_388945a0用戶等等


只留下你更改好名字的adminisrator權限  


計算機管理.本地用戶和組.組

    

組.我們就不分組了,每必要把


16、自己動手DIY在本地策略的安全選項

    

1)當登陸時間用完時自動注銷用戶(本地) 防止黑客密碼滲透.

2)登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務,別人登陸時,就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.

3)對匿名連接的額外限制

4)禁止按 alt+CRTl +del(沒必要)

5)允許在未登陸前關機[防止遠程關機/啓動、強制關機/啓動]

6)只有本地登陸用戶才能訪問CD-ROM

7)只有本地登陸用戶才能訪問軟驅

8)取消關機原因的提示


A、打開控制面板窗口,雙擊“電源選項”圖標,在隨後出現的電源屬性窗口中,進入到“高級”標簽頁面;

B、在該頁面的“電源按鈕”設置項處,將“在按下計算機電源按鈕時”設置爲“關機”,單擊“確定”按鈕,來退出設置框;

C、以後需要關機時,可以直接按下電源按鍵,就能直接關閉計算機了。當然,我們也能啓用休眠功能鍵,來實現快速關機和開機;

D、要是係統中沒有啓用休眠模式的話,可以在控制面板窗口中,打開電源選項,進入到休眠標簽頁面,並在其中將“啓用休眠”選項選中就可以了。


9)禁止關機事件跟蹤

開始“Start -/>”運行“ Run -/>輸入”gpedit.msc “,在出現的窗口的左邊部分,選擇 ”計算機配置“(Computer Configuration )-/> ”管理模板“(Administrative Templates)-/> ”係統“(System),在右邊窗口雙擊“Shutdown Event Tracker” 在出現的對話框中選擇“禁止”(Disabled),點擊然後“確定”(OK)保存後退出這樣,你將看到類似於Windows 2000的關機窗口


17、常見端口的介紹

            

  TCP

  21   FTP

  22   SSH

  23   TELNET

  25   TCP SMTP

  53   TCP DNS

  80   HTTP

  135  epmap

  138  [沖擊波]

  139  smb

  445

  1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b

  1026 DCE/12345778-1234-abcd-ef00-0123456789ac

  1433 TCP SQL SERVER

  5631 TCP PCANYWHERE

  5632 UDP PCANYWHERE

  3389   Terminal Services

  4444[沖擊波]

 

  UDP

  67[沖擊波]

  137 netbios-ns

  161 An SNMP Agent is running/ Default community names of the SNMP Agent


關於UDP一般只有騰訊QQ會打開4000或者是8000端口或者8080,那麽,我們只運 行本機使用4000這幾個端口就行了

18、另外介紹一下如何查看本機打開的端口和tcp\ip端口的過濾


開始--運行--cmd


輸入命令netstat -a


會看到例如(這是我的機器開放的端口)


Proto Local Address    Foreign Address    State

TCP  yf001:epmap yf001:0     LISTE

TCP  yf001:1025 yf001:0 LISTE

TCP  (用戶名):1035  yf001:0 LISTE

TCP  yf001:netbios-ssn yf001:0       LISTE

UDP  yf001:1129      *:*

UDP  yf001:1183      *:*

UDP  yf001:1396      *:*

UDP  yf001:1464      *:*

UDP  yf001:1466      *:*

UDP  yf001:4000      *:*

UDP  yf001:4002      *:*

UDP  yf001:6000      *:*

UDP  yf001:6001      *:*

UDP  yf001:6002      *:*

UDP  yf001:6003      *:*

UDP  yf001:6004      *:*

UDP  yf001:6005      *:*

UDP  yf001:6006      *:*

UDP  yf001:6007      *:*

UDP  yf001:1030      *:*

UDP  yf001:1048      *:*

UDP  yf001:1144      *:*

UDP  yf001:1226      *:*

UDP  yf001:1390      *:*

UDP  yf001:netbios-ns *:*

UDP  yf001:netbios-dgm *:*

UDP  yf001:isakmp *:*


現在講講基於Windows的tcp/ip的過濾


控制面板——網絡和撥號連接——本地連接——INTERNET協議(tcp/ip)--屬性--高級---選項-tcp/ip篩選--屬性!!


然後添加需要的tcp 和UDP端口就可以了~如果對端口不是很了解的話,不要輕易進行過濾,不然可能會導致一些程序無法使用。


19、關於浏覽器


IE浏覽器(或基於IE內核的浏覽器)存在隱私問題,index.dat文件裏記錄著你上網的信息。所以我推薦大家換一款其他內核浏覽器。

現在炒的很熱的FireFox,就很不錯,如果你想打造一款屬於自己的個性化浏覽器,那FireFox是首選。它有強大的擴展定制功能!

還有傳說中那款最快的浏覽器 Opera ,速度驚人,界面華麗,筆者正在使用。(就在3個小時前,OPERA公司10年慶祝送正式注冊碼,筆者申請了兩個,^_^)


當然,由於國內一些網頁並不是用WC3組織認證的標準HTML語言編寫,所以IE還是不能丟,留作備用。


處理IE隱私可以用:Webroot WindowWasher -- hanzify.org... 上有正式版+漢化補丁

Ccleaner -- GOOGLE一下,官方占上有,多國語言的。

RAMDISK 用內存虛擬出一塊硬盤,將緩存文件寫進去,不僅解決了隱私問題,理論上還能提高網速。(建議內存/>=512M者使用)


20、最後一招,也是最關鍵的一招:安裝殺軟與防火牆

  

殺毒軟件要看實力,絕對不能看廣告。筆者在霏凡的病毒區混了半年,把殺軟幾乎也裝了個遍,以下是個人心得:


1:國産殺軟:江民一出,誰與爭峰?KV的敗筆就是當年那個硬盤炸彈吧,呵呵。其實論實力,江民在國內絕對是一支獨秀。先進的殺毒引擎,較完整的病毒庫,

清除活體病毒能力強,殺殼能力強,可殺連環DLL,監控靈敏,占係統內存小。--聲明:我不是KV的槍手,因爲國內的殺軟公司普遍只會打廣告,應該BS一下。

DB2005都到了2005了才殺兩個殼?Rising的誤報天下第一,可是隨便下個毒包基本上沒有它報的(不信的去霏凡病毒區試試:bbs.crsky.com);費爾還不錯,

可是與KV比還有差距;光華雖然是主動升級,但毒庫也不是很全。


2:國外殺軟:百家爭鳴!

Kapersky:這款俄國的殺軟在國內極度火熱,其擁有世界第一的毒庫,毒庫3小時一升級,對係統提供最完善的保護。

McAfee:美國殺軟,柔和而強勁的保護,適合有點資曆的用戶。規則指定得當,百毒不侵。

Norton: 唉!老了老了,對國內木馬簡直是白癡。本不想說它,可是又是國際三大殺軟之一,唉!

NOD32:占資源超小,殺毒超快,監控靈敏,只是毒庫似乎有些不全。

BitDefender:羅馬尼亞不錯的殺軟,能力平衡。

GData AntiVirusKit:真正的強悍!它用Kapersky+BitDefender的雙引擎,而且經優化處理,係統不會很卡。

F-Scure:竟然誇張到4引擎!不過除了Kapersky4.0的引擎,其他的很一般。雖然保護是很周到,但用它筆者覺得不如AVK(上一個)。


筆者建議:一般配置 KV2005 OR McAfee OR Kapersky OR GData AntiVirusKit;-配置稍好的可以用以上任一款(除KV2005)+ KV2004

老爺機配置 KV2004 OR NOD32

較好的機器 GData AntiVirusKit+KV2005 OR Kapersky+KV2005 OR McAfee+KV2005


防火牆,係統的最後一道防線。即使殺軟再強大,一些最新變種的木馬仍能見縫插針。沒有防火牆,你的機器很可能成爲Haker的代理服務器,呵呵。還有,如果你的

係統有漏洞,Haker也會輕而易舉的Contral Your PC.

強大的防火牆推薦:Look 'n' Stop :世界測評第一。占內存超小。啓動超迅速。

ZoneAlarm :性力強大,功能很多,全面且穩定。

Tiny :這是一款專業到恐怖的防火牆,能力絕對強悍!適合較專業者使用。

天網:國內最強的了,只是和國外的比......


說一句,木馬專殺的東西幾乎沒用,因爲那些根本沒有什麽先進的引擎。如果一定要,就用ewido吧,這個還可以。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2006-12-19 05:46 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.055658 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言