1.察看本地共享資源
運作CMD輸入net share,如果看到有異常的共享,那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
2.删除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續删除)
3.删除ipc$空連接配接
在運作内輸入regedit,在系統資料庫中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名稱RestrictAnonymous的數值資料由0改為1。
4.關閉自己的139端口,ipc和RPC漏洞存在于此。
關閉139端口的方法是在“網絡和撥接上網”中“本地連接配接”中選取“Internet協定(TCP/IP)”屬性,進入“進階TCP/IP設定”“WinS設定”裡面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。
5.防止rpc漏洞
打開管理工具——服務——找到RPC(Remote Procedure Call (RPC) Locator)服務——将故障恢複中的第一次失敗,第二次失敗,後續失敗,都設定為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445端口的關閉
修改系統資料庫,添加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為REG_DWORD類型鍵值為 0這樣就ok了
7.3389的關閉
XP:我的電腦上點右鍵選屬性-->遠端,将裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。
Win2000server 開始-->程式-->管理工具-->服務裡找到Terminal Services服務項,選中屬性選項将啟動類型改成手動,并停止該服務。(該方法在XP同樣适用)
使用2000 pro的朋友注意,網絡上有很多文章說在Win2000pro 開始-->設定-->控制台-->管理工具-->服務裡找到Terminal Services服務項,選中屬性選項将啟動類型改成手動,并停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。
8.4899的防範
網絡上有許多關于3389和4899的入侵方法。4899其實是一個遠端控制軟體所開啟的服務端端口,由于這些控制軟體功能強大,是以經常被黑客用來控制自己的殭屍電腦,而且這類軟體一般不會被防毒軟體清除,比後門還要安全。
4899不象3389那樣,是系統自帶的服務。需要自己安裝,而且需要将服務端上傳到入侵的電腦并運作服務,才能達到控制的目的。
是以隻要你的電腦做了基本的安全配置,黑客是很難通過4899來控制你的。
9、禁用服務
打開控制台,進入管理工具——服務,關閉以下服務
1.Alerter[通知標明的使用者和計算機管理警報]
2.ClipBook[啟用“剪貼簿檢視器”儲存資訊并與遠端計算機共享]
3.Distributed File System[将分散的檔案共享合并成一個邏輯名稱,共享出去,關閉後遠端計算機無法通路共享
4.Distributed Link Tracking Server[适用區域網路分布式連結? 倏突Ф朔馷
5.Human Interface Device Access[啟用對人體學接口裝置(HID)的通用輸入通路]
6.IMAPI CD-Burning COM Service[管理 CD 錄制]
7.Indexing Service[提供本地或遠端計算機上檔案的索引内容和屬性,洩露資訊]
8.Kerberos Key Distribution Center[授權協定登入網絡]
9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
10.Messenger[警報]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶資訊收集]
12.Network DDE[為在同一台計算機或不同計算機上運作的程式提供動态資料交換]
13.Network DDE DSDM[管理動态資料交換 (DDE) 網絡共享]
14.Print Spooler[列印機服務,沒有列印機就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理并控制遠端協助]
16.Remote Registry[使遠端計算機使用者修改本地系統資料庫]
17.Routing and Remote Access[在區域網路和廣域往提供路由服務.黑客理由路由服務刺探注冊資訊]
18.Server[支援此計算機通過網絡的檔案、列印、和命名管道共享]
19.Special Administration Console Helper[允許管理者使用緊急管理服務遠端通路指令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上用戶端的 NetBIOS 名稱解析的支援而使使用者能夠共享檔案、列印和登入到網絡]
21.Telnet[允許遠端使用者登入到此計算機并運作程式]
22.Terminal Services[允許使用者以互動方式連接配接到遠端計算機]
23.Window s Image Acquisition (WIA)[照相服務,應用與數位攝象機]
如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程式的服務端。
10、賬号密碼的安全原則
首先禁用guest帳号,将系統内建的administrator帳号改名~~(改的越複雜越好,最好改成中文的),而且要設定一個密碼,最好是8位以上字母數字元号組合。 (讓那些該死的黑客慢慢猜去吧~)
如果你使用的是其他帳号,最好不要将其加進administrators,如果加入administrators組,一定也要設定一個足夠安全的密碼,同上如果你設定adminstrator的密碼時,最好在安全模式下設定,因為經我研究發現,在系統中擁有最高權限的帳号,不是正常登陸下的adminitrator帳号,因為即使有了這個帳号,同樣可以登陸安全模式,将sam檔案删除,進而更改系統的administrator的密碼!而在安全模式下設定的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼政策:使用者可以根據自己的習慣設定密碼,下面是我建議的設定(關于密碼安全設定,我上面已經講了,這裡不再羅嗦了。
打開管理工具.本地安全設定.密碼政策
1.密碼必須符合複雜要求性.啟用
2.密碼最小值.我設定的是8
3.密碼最長使用期限.我是預設設定42天
4.密碼最短使用期限0天
5.強制密碼曆史 記住0個密碼
6.用可還原的加密來存儲密碼 禁用
11、本地政策:
這個很重要,可以幫助我們發現那些心存叵測的人的一舉一動,還可以幫助我們将來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕迹,不過也有一些不小心的)
打開管理工具
找到本地安全設定.本地政策.稽核政策
1.稽核政策更改 成功失敗
2.稽核登陸事件 成功失敗
3.稽核對象通路 失敗
4.稽核跟蹤過程 無稽核
5.稽核目錄服務通路 失敗
6.稽核特權使用 失敗
7.稽核系統事件 成功失敗
8.稽核帳戶登陸時間 成功失敗
9.稽核帳戶管理 成功失敗
&nb sp;然後再到管理工具找到
事件檢視器
應用程式:右鍵>屬性>設定日志大小上限,我設定了50mb,選擇不覆寫事件
安全性:右鍵>屬性>設定日志大小上限,我也是設定了50mb,選擇不覆寫事件
系統:右鍵>屬性>設定日志大小上限,我都是設定了50mb,選擇不覆寫事件
12、本地安全政策:
找到本地安全設定.本地政策.安全選項
1.互動式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登陸的]
2.網絡通路.不允許SAM帳戶的匿名枚舉 啟用
3.網絡通路.可匿名的共享 将後面的值删除
4.網絡通路.可匿名的命名管道 将後面的值删除
5.網絡通路.可遠端通路的系統資料庫路徑 将後面的值删除
6.網絡通路.可遠端通路的系統資料庫的子路徑 将後面的值删除
7.網絡通路.限制匿名通路命名管道和共享
8.帳戶.(前面已經詳細講過拉 )
13、使用者權限配置設定政策:
找到本地安全設定.本地政策.使用者權限配置設定
1.從網絡通路計算機 裡面一般預設有5個使用者,除Admin外我們删除4個,當然,等下我們還得建一個屬于自己的ID
2.從遠端系統強制關機,Admin帳戶也删除,一個都不留
3.拒絕從網絡通路這台計算機 将ID删除
4.從網絡通路此計算機,Admin也可删除,如果你不使用類似3389服務
5.通過遠端強制關機。删掉
14、終端服務配置部
打開管理工具==>終端服務配置
終端服務配置
1.打開後,點連接配接,右鍵,屬性,遠端控制,點不允許遠端控制
2.正常,加密級别,高,在使用标準Windows驗證上點√!
3.網卡,将最多連接配接數上設定為0
4.進階,将裡面的權限也删除.[我沒設定]
再點伺服器設定,在Active Desktop上,設定禁用,且限制每個使用一個會話
15、使用者群組政策
打開管理工具==〉計算機管理==〉計算機管理(本地)==>本地使用者群組==>使用者.組
删除Support_388945a0使用者等等
隻留下你更改好名字的adminisrator權限
組.我們就不分組了,每必要把
16、自己動手DIY在本地政策的安全選項
打開管理工具==>本地安全設定==>安全設定==>本地政策==>安全選項
1)當登陸時間用完時自動登出使用者(本地) 防止黑客密碼滲透.
2)登陸螢幕上不顯示上次登陸名(遠端)如果開放3389服務,别人登陸時,就不會殘留有你登陸的使用者名.讓他去猜你的使用者名去吧.
3)對匿名連接配接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登陸前關機[防止遠端關機/啟動、強制關機/啟動]
6)隻有本地登陸使用者才能通路cd-rom
7)隻有本地登陸使用者才能通路軟驅
8)取消關機原因的提示
A、打開控制台視窗,輕按兩下“電源選項”圖示,在随後出現的電源屬性視窗中,進入到“進階”标簽頁面;
B、在該頁面的“電源按鈕”設定項處,将“在按下計算機電源按鈕時”設定為“關機”,單擊“确定”按鈕,來退出設定框;
C、以後需要關機時,可以直接按下電源按鍵,就能直接關閉計算機了。當然,我們也能啟用休眠功能鍵,來實作快速關機和開機;
D4、要是系統中沒有啟用休眠模式的話,可以在控制台視窗中,打開電源選項,進入到休眠标簽頁面,并在其中将“啟用休眠”選項選中就可以了。
9)禁止關機事件跟蹤
開始“Start ->”運作“ Run ->輸入”gpedit.msc “,在出現的視窗的左邊部分,選擇 ”計算機配置“(Computer Configuration )-> ”管理模闆“(Administrative Templates)-> ”系統“(System),在右邊視窗輕按兩下“Shutdown Event Tracker” 在出現的對話框中選擇“禁止”(Disabled),點選然後“确定”(OK)儲存後退出這樣,你将看到類似于Windows 2000的關機視窗
17、常見端口的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [沖擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[沖擊波]
UDP
67[沖擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
關于UDP一般隻有騰訊QQ會打開4000或者是8000端口或者8080,那麼,我們隻運 行本機使用4000這幾個端口就行了
18、另外介紹一下如何檢視本機打開的端口和tcp\ip端口的過濾
開始--運作--cmd
輸入指令netstat -a
會看到例如(這是我的機器開放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025(端口号) yf001:0 LISTE
TCP (使用者名)yf001:1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
現在講講基于Windows的tcp/ip的過濾
控制台——網絡和撥接上網——本地連接配接——INTERNET協定(tcp/ip)--屬性--進階---選項-tcp/ip篩選--屬性!!
然後添加需要的tcp 和UDP端口就可以了~如果對端口不是很了解的話,不要輕易進行過濾,不然可能會導緻一些程式無法使用。
19、胡言亂語
(1)、firefox浏覽器
選擇用另外一款浏覽器浏覽網站.我推薦用firefox,使用firefox是有道理的。
firefox可以識别網頁中的腳本,JAVA程式,可以很好的抵禦一些惡意的腳本等等,而且firefox即使被感染,你删除掉又重新安裝一個就是。
MYIE浏覽器
是一款非常出色的浏覽器,篇幅有險,不做具體介紹了。(建議使用)
(2)、移動“我的檔案”
進入資料總管,右擊“我的檔案”,選擇“屬性”,在“目标檔案夾”頁籤中點“移動”按鈕,選擇目标盤後按“确定”即可。在Windows 2003 中“我的檔案”已難覓芳蹤,桌面、開始等處都看不到了,建議經常使用的朋友做個快捷方式放到桌面上。
(3)、移動IE臨時檔案
進入“開始→控制台→Internet 選項”,在“正常”選項“Internet 檔案”欄中點“設定”按鈕,在彈出窗體中點“移動檔案夾”按鈕,選擇目标檔案夾後,點“确定”,在彈出對話框中選擇“是”,系統會自動重新登入。點本地連接配接>進階>安全日志,把日志的目錄更改專門配置設定日志的目錄,不建議是C:再重新配置設定日志存儲值的大小,我是設定了10000KB。
20、避免被惡意代碼 木馬等病毒攻擊
以上主要講怎樣防止黑客的惡意攻擊,下面講避免機器被惡意代碼,木馬之類的病毒攻擊。
其實方法很簡單,是以放在最後講。
我們隻需要在系統中安裝防毒軟體
如 卡巴基斯 等(可選)
并且能夠及時更新你的病毒定義庫,定期給你的系統進行全面殺毒。殺毒務必在安全模式下進行,這樣才能有效清除電腦内的病毒以及駐留在系統的非法檔案。
還有就是一定要給自己的系統及時的打上更新檔,安裝最新的更新包。微軟的更新檔一般會在漏洞發現半個月後釋出,而且如果你使用的是中文版的作業系統,那麼至少要等一個月的時間才能下到更新檔,也就是說這一個月的時間内你的系統因為這個漏洞是很危險的。
本人強烈建議個人使用者安裝使用防火牆(目前最有效的方式)
例如:tiny防火牆、諾頓防火牆、outpost防火牆等等。
因為防火牆具有資料過濾功能,可以有效的過濾掉惡意代碼,和阻止DDOS攻擊等等。總之如今的防火牆功能強大,連漏洞掃描都有,是以你隻要安裝防火牆就可以杜絕大多數網絡攻擊,但是就算是裝防火牆也不要以為就萬事無憂。因為安全隻是相對的,如果哪個邪派高手看上你的機器,防火牆也無濟于事。我們隻能盡量提高我們的安全系數,盡量把損失減少到最小。
安全意識也很重要,我們平時上網的時候都應該有一個好的安全意識。加上我們的不懈努力,相信我們的網絡生活會更美好。