系統 - 打造100％絕對安全的個人電腦

[psac]

由於現在家用電腦所使用的操作系統多數為WinXP 和Win2000 pro（建議還在使用98的朋友換換系統，連_blank>微軟都放棄了的系統你還用它幹嘛？）所以後面我將主要講一下關於這兩個操作系統的安全防範。

　　個人電腦一般的被入侵方式

　　談到個人上網時的安全，還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種：

　　(1) 被他人盜取密碼；

　　(2) 系統被_blank>木馬攻擊；

　　(3) 瀏覽網頁時被惡意的java scrpit程序攻擊；

　　(4) QQ被攻擊或洩漏訊息；

　　(5) 病毒感染；

　　(6) 系統存在漏洞使他人攻擊自己。

　　(7) _blank>黑客的惡意攻擊。

　　下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。


查本機共享資源
移除共享
移除ipc$空連接
帳號密碼的安全原則
關閉自己的139連接阜
445連接阜的關閉
3389的關閉
4899的防範
一般連接阜的介紹
如何檢視本地機開啟的連接阜和過濾
禁用服務
本機原則
本機安全原則
用戶權限分配原則
終端服務組態
用戶和群組原則
防止rpc漏洞
自己動手DIY在本機原則的安全性選項
工具介紹
避免被惡意程式碼 木馬等病毒攻擊


　　1.檢視本機共享資源

　　執行CMD輸入net share，如果看到有異常的共享，那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了，那麼你應該考慮一下，你的機器是否已經被黑客所控制了，或者中了病毒。

2.移除共享(每次輸入一個）

　　net share admin$ /delete
　　net share c$ /delete
　　net share d$ /delete（如果有e，f，……可以繼續移除）

3.移除ipc$空連接

　　在執行內輸入regedit，在_blank>註冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名稱RestrictAnonymous的數值資料由0改為1。

4.關閉自己的139連接阜，ipc和RPC漏洞存在於此。

　　關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中選取「Internet傳輸協定(TCP/IP)」內容，進入「進階TCP/IP設定」「WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139連接阜。


5．防止rpc漏洞


　　開啟系統管理工具——服務——找到RPC(Remote Procedure Call (RPC) Locator)服務——將故障恢復中的第一次失敗，第二次失敗，後續失敗，都設定為不操作。

　　XP SP2和2000 pro sp4，均不存在該漏洞。

6．445連接阜的關閉

　　修改註冊表，增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為REG_DWORD檔案類型鍵值為0這樣就ok了。

7．3389的關閉

　　XP：我的電腦上點右鍵選內容-->遠端，將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。

　　Win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服務。（該方法在XP同樣適用）

　　使用2000 pro的朋友注意，網路上有很多文章說在Win2000pro 開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服務，可以關閉3389，其實在2000pro 中根本不存在Terminal Services。

8．4899的防範

　　網路上有許多關於3389和4899的入侵方法。4899其實是一個遠端控制軟體所開啟的服務端連接阜，由於這些控制軟體功能強大，所以經常被黑客用來控制自己的目標物，而且這類軟體一般不會被殺毒軟體查殺，比後門還要安全。

　　4899不像3389那樣，是系統原有的的服務。需要自己安裝，而且需要將服務端上傳到入侵的電腦並執行服務，才能達到控制的目的。

　　所以只要你的電腦做了基本的安全組態，黑客是很難通過4899來控制你的。

9、禁用服務

　　若PC沒有特殊用途，關於安全考慮，開啟控制台，進入系統管理工具——服務，關閉以下服務：

　　1.Alerter[通知選定的用戶和電腦管理警報]
　　2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共享]
　　3.Distributed File System[將分散的文件共享合併成一個邏輯名稱，共享出去，關閉後遠端電腦無法訪問共享
　　4.Distributed Link Tracking Server[適用區域網路分佈式連接]
　　6.Indexing Service[提供本機或遠端電腦上文件的索引內容和內容，洩露訊息]
　　7.Messenger[警報]
　　8.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶訊息收集]
　　9.Network DDE[為在同一台電腦或不同電腦上執行的程序提供動態資料交換]
　 10.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
　 11.Remote Desktop Help Session Manager[管理並控制遠端協助]
　 12.Remote Registry[使遠端電腦用戶修改本機註冊表]
　 13.Routing and Remote Access[在區域網路和廣域往提供路由服務.黑客理由路由服務刺探註冊訊息]
　 14.Server[支持此電腦通過網路的文件、列印、和命名管道共享]
　 15.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、列印和登入到網路]
　 16.Telnet[允許遠端用戶登入到此電腦並執行程序]
　 17.Terminal Services[允許用戶以交互方式連線到遠端電腦]
　 18.Window s Image Acquisition (WIA)[照相服務，套用與數碼攝像機]

　　如果發現機器開啟了一些很奇怪的服務，如r_server這樣的服務，必須馬上停止該服務，因為這完全有可能是黑客使用控制程序的服務端。

10、帳號密碼的安全原則


　　首先禁用guest帳號，將系統內建的administrator帳號改名∼∼（改的越複雜越好，最好改成中文的），然後設定一個密碼，最好是8位以上字母數位符號組合。 (讓那些該死的黑客慢慢猜去吧∼）

　　如果你使用的是其他帳號，最好不要將其加進administrators，如果加入administrators組，一定也要設定一個足夠安全的密碼，同上如果你設定adminstrator的密碼時，最好在安全模式下設定，因為經我研究發現，在系統中擁有最高權限的帳號，不是正常登入下的adminitrator帳號，因為即使有了這個帳號，同樣可以登入安全模式，將sam文件移除，從而更改系統的administrator的密碼！而在安全模式下設定的administrator則不會出現這種情況，因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼原則：用戶可以根據自己的習慣設定密碼，下面是我建議的設定（關於密碼安全性設定，我上面已經講了，這裡不再囉嗦了。
　　
　　開啟系統管理工具.本機安全性設定.密碼原則

　　　　 1.密碼必須符合複雜要求性.啟用
　　　　 2.密碼最小值.我設定的是8
　　　　 3.密碼最長使用期限.我是預設設定42天
　　　　 4.密碼最短使用期限0天
　　　　 5.強制密碼歷史 記住0個密碼
　　　　 6.用可還原的_blank>加密來儲存於密碼 禁用
　　
11、本機原則:

　　這個很重要，可以說明 我們發現那些心存叵測的人的一舉一動，還可以說明 我們將來追查黑客。

　　(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡，不過也有一些不小心的)

　　開啟系統管理工具
　　
　　找到本機安全性設定.本機原則.稽核原則

　　　　 1.稽核原則更改 成功失敗
　　　　 2.稽核登入事件 成功失敗
　　　　 3.稽核對像訪問 失敗
　　　　 4.稽核跟蹤程序 無稽核
　　　　 5.稽核目錄服務訪問 失敗
　　　　 6.稽核特權使用 失敗
　　　　 7.稽核系統事件 成功失敗
　　　　 8.稽核帳戶登入時間 成功失敗
　　　　 9.稽核帳戶管理 成功失敗
　　　　 &nb sp;然後再到系統管理工具找到
　　　　 事件檢視器
　　　　 應用程式：右鍵>內容>設定日誌大小上限，我設定了50mb，選項不覆蓋事件
　　　　 安全性：右鍵>內容>設定日誌大小上限，我也是設定了50mb，選項不覆蓋事件
　　　　 系統：右鍵>內容>設定日誌大小上限，我都是設定了50mb，選項不覆蓋事件

12、本機安全原則:

　　開啟系統管理工具
　　
　　找到本機安全性設定.本機原則.安全性選項
　　　　
　　　　 1.交互式登入.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要，? 但是我個人是不需要直接輸入密碼登入的]
　　　　 2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用
　　　　 3.網路訪問.可匿名的共享 將後面的值移除
　　　　 4.網路訪問.可匿名的命名管道 將後面的值移除
　　　　 5.網路訪問.可遠端訪問的註冊表路徑 將後面的值移除
　　　　 6.網路訪問.可遠端訪問的註冊表的子路徑 將後面的值移除
　　　　 7.網路訪問.限制匿名訪問命名管道和共享
　　　　 8.帳戶.（前面已經詳細講過拉 ）

13、用戶權限分配原則:

[psac]

　　開啟系統管理工具
　　
　　找到本機安全性設定.本機原則.用戶權限分配
　　　　
　　　　 1.從網路訪問電腦 裡面一般預設有5個用戶，除Admin外我們移除4個，當然，等下我們還得建一個屬於自己的ID
　　　　 2.從遠端系統強制關機，Admin帳戶也移除，一個都不留　　　　
　　　　 3.拒絕從網路訪問這台電腦 將ID移除
　　　　 4.從網路訪問此電腦，Admin也可移除，如果你不使用類似3389服務
　　　　 5.通過遠端強制關機。刪掉

14、終端服務組態

　　開啟系統管理工具
　　
　　終端服務組態

　　　　1.開啟後，點連接，右鍵，內容，遠端控制，點不允許遠端控制
　　　　2.一般，加密等級，高，在使用標準Windows驗證上點√!
　　　　3.網路卡，將最多連接數上設定為0
　　　　4.進階，將裡面的權限也移除.[我沒設定]
　　　　再點伺服器設定，在Active Desktop上，設定禁用，且限制每個使用一個會話

15、用戶和群組原則

　　開啟系統管理工具

　　電腦管理.本機用戶和組.用戶;

　　　　移除Support_388945a0用戶等等
　　　　只留下你更改好名字的adminisrator權限　　

　　電腦管理.本機用戶和組.組
　　　　
　　　　組.我們就不分組了，每必要把

16、自己動手DIY在本機原則的安全性選項
　　　　
　　　　1）當登入時間用完時自動註銷用戶(本機) 防止黑客密碼滲透.
　　　　2）登入螢幕上不顯示上次登入名(遠端)如果開放3389服務，別人登入時，就不會殘留有你登入的用戶名.讓他去猜你的用戶名去吧.
　　　　3）對匿名連接的額外限制
　　　　4）禁止按 alt+crtl +del(沒必要）
　　　　5）允許在未登入前關機[防止遠端關機/啟動、強制關機/啟動]
　　　　6）只有本機登入用戶才能訪問cd-rom
　　　　7）只有本機登入用戶才能訪問軟式磁碟機
　　　　8）取消關機原因的提示
　　　　 A、開啟控制台視窗，雙按「電源選項」圖示，在隨後出現的電源內容視窗中，進入到「進階」標籤頁面；
　　　　 B、在該頁面的「電源按鈕」設定項處，將「在按下電腦電源按鈕時」設定為「關機」，按下「確定」按鈕，來結束設定框；
　　　　 C、以後需要關機時，可以直接按下電源按鍵，就能直接電腦關機了。當然，我們也能啟用休眠功能鍵，來實現快速關機和開機；
　　　　 D、要是系統中沒有啟用休眠模式的話，可以在控制台視窗中，開啟電源選項，進入到休眠標籤頁面，並在其中將「啟用休眠」選項選就可以了。
　　　　9）禁止關機事件跟蹤
　　開始「Start ->」執行「 Run ->輸入」gpedit.msc 「，在出現的視窗的左邊部分，選項 」電腦設定「（Computer Configuration ）-> 」管理範本「（Administrative Templates）-> 」系統「（System），在右邊視窗雙按「Shutdown Event Tracker」 在出現的對話視窗中選項「禁止」（Disabled），點擊然後「確定」（OK）儲存後結束這樣，你將看到類似於Windows 2000的關機視窗

17、一般連接阜的介紹
　　　　　　　　　　　　
　　TCP
21　　 FTP
22　　 SSH
23　　 TELNET
25　　 TCP SMTP
53　　 TCP DNS
80　　 HTTP
135　　epmap
138　　[衝擊波]
139　　smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389　　 Terminal Services
4444[衝擊波]

彝DP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent

藏鰫軂DP一般只有騰訊QQ會開啟4000或者是8000連接阜或者8080，那麼，我們只運 行本地機使用4000這幾個連接阜就行了

　　18、另外介紹一下如何檢視本地機開啟的連接阜和tcp\ip連接阜的過濾

　　開始－－執行－－cmd

　　輸入指令netstat -a

　　會看到例如（這是我的機器開放的連接阜）

Proto Local Address　　　　Foreign Address　　　　State
TCP　　yf001:epmap yf001:0　　　　 LISTE
TCP　　yf001:1025 yf001:0 LISTE
TCP　　(用戶名）:1035　 yf001:0 LISTE
TCP　　yf001:netbios-ssn yf001:0　　　　 　 LISTE
UDP　　yf001:1129　　　　　　*:*
UDP　　yf001:1183　　　　　　*:*
UDP　　yf001:1396　　　　　　*:*
UDP　　yf001:1464　　　　　　*:*
UDP　　yf001:1466　　　　　　*:*
UDP　　yf001:4000　　　　　　*:*
UDP　　yf001:4002　　　　　　*:*
UDP　　yf001:6000　　　　　　*:*
UDP　　yf001:6001　　　　　　*:*
UDP　　yf001:6002　　　　　　*:*
UDP　　yf001:6003　　　　　　*:*
UDP　　yf001:6004　　　　　　*:*
UDP　　yf001:6005　　　　　　*:*
UDP　　yf001:6006　　　　　　*:*
UDP　　yf001:6007　　　　　　*:*
UDP　　yf001:1030　　　　　　*:*
UDP　　yf001:1048　　　　　　*:*
UDP　　yf001:1144　　　　　　*:*
UDP　　yf001:1226　　　　　　*:*
UDP　　yf001:1390　　　　　　*:*
UDP　　yf001:netbios-ns *:*
UDP　　yf001:netbios-dgm *:*
UDP　　yf001:isakmp *:*

　　現在講講關於Windows的tcp/ip的過濾

　　控制台——網路和撥號連接——本機連接——INTERNET傳輸協定（tcp/ip)--內容－－進階－－－選項－tcp/ip篩選－－內容!!

　　然後增加需要的tcp 和UDP連接阜就可以了∼如果對連接阜不是很瞭解的話，不要輕易進行過濾，不然可能會導致一些程序無法使用。


19、關於瀏覽器

　　IE瀏覽器（或關於IE內核的瀏覽器）存在隱私問題，index.dat文件裡記錄著你上網的訊息。所以我推薦大家換一款其他內核瀏覽器。
現在炒的很熱的FireFox，就很不錯，如果你想打造一款屬於自己的個性化瀏覽器，那FireFox是首選。它有強大的增強設定功能！
還有傳說中那款最快的瀏覽器 Opera ，速度驚人，界面華麗，筆者正在使用。（就在3個小時前，OPERA公司10年慶祝送正式註冊碼，筆者申請了兩個，^_^）
　　當然，由於國內一些網頁並不是用WC3組織認證的標準HTML語言編寫，所以IE還是不能丟，留作備用。

處理IE隱私可以用：Webroot WindowWasher -- www.hanzify.org 上有正式版+漢化修正檔
Ccleaner -- GOOGLE一下，官方佔上有，多國語言的。
RAMDISK 用記憶體虛擬出一塊硬碟，將快取文件寫進去，不僅解決了隱私問題，理論上還能提高網速。（建議記憶體>=512M者使用）

20、最後一招，也是最關鍵的一招：安裝殺毒軟體與防火牆
　　
殺毒軟體要看實力，絕對不能看廣告。筆者在霏凡的病毒區混了半年，把殺毒軟體幾乎也裝了個遍，以下是個人心得：

1：國產殺毒軟體：江民一出，誰與爭峰？KV的敗筆就是當年那個硬碟炸彈吧，哈哈。其實論實力，江民在國內絕對是一支獨秀。先進的殺毒引擎，較完整的病毒庫，
清除活體病毒能力強，殺殼能力強，可殺連環DLL，監控靈敏，占系統記憶體小。－－宣告：我不是KV的槍手，因為國內的殺毒軟體公司普遍只會打廣告，應該BS一下。
DB2005都到了2005了才殺兩個殼？Rising的誤報天下第一，可是隨便下個毒包基本上沒有它報的（不信的去霏凡病毒區試試：bbs.crsky.com)；費爾還不錯，
可是與KV比還有差距；光華雖然是主動昇級，但毒庫也不是很全。

2：國外殺毒軟體：百家爭鳴！
Kapersky：這款俄國的殺毒軟體在國內極度火熱，其擁有世界第一的毒庫，毒庫3小時一昇級，對系統提供最完善的保護。
McAfee：美國殺毒軟體，柔和而強勁的保護，適合有點資歷的用戶。規則指定得當，百毒不侵。
Norton: 唉！老了老了，對國內木馬簡直是白癡。本不想說它，可是又是國際三大殺毒軟體之一，唉！
NOD32：占資源超小，殺毒超快，監控靈敏，只是毒庫似乎有些不全。
BitDefender：羅馬尼亞不錯的殺毒軟體，能力平衡。
GData AntiVirusKit：真正的強悍！它用Kapersky+BitDefender的雙引擎，而且經最佳化處理，系統不會很卡。
F-Scure：竟然誇張到4引擎！不過除了Kapersky4.0的引擎，其他的很一般。雖然保護是很週到，但用它筆者覺得不如AVK（上一個）。

筆者建議：一般組態 KV2005 OR McAfee OR Kapersky OR GData AntiVirusKit；－組態稍好的可以用以上任一款（除KV2005)+ KV2004
老爺機組態 KV2004 OR NOD32
較好的機器 GData AntiVirusKit+KV2005 OR Kapersky+KV2005 OR McAfee+KV2005

防火牆，系統的最後一道防線。即使殺毒軟體再強大，一些最新變種的木馬仍能見縫插針。沒有防火牆，你的機器很可能成為Haker的代理伺服器，哈哈。還有，如果你的
系統有漏洞，Haker也會輕而易舉的Contral Your PC.
強大的防火牆推薦：Look 'n' Stop ：世界測評第一。占記憶體超小。啟動超迅速。
ZoneAlarm ：性力強大，功能很多，全面且穩定。
Tiny ：這是一款專業到恐怖的防火牆，能力絕對強悍！適合較專業者使用。
天網：國內最強的了，只是和國外的比......

說一句，木馬專殺的東西幾乎沒用，因為那些根本沒有什麼先進的引擎。如果一定要，就用ewido吧，這個還可以。

[kyoshih]

謝謝大大的分享!!...........

[joexyz]

嗯，很有用的資訊，感謝大大的分享

[yanglang]

又一篇精乎的文章，趕快收集研究一下

[cdai3419]

防護學問真大，看來我還得好好學習，感謝分享！

感覺謾實用的資訊
我已經把他保存下來慢慢研究

[poss]

最近重灌系統從以前截存的文章找到此篇文章,打造100％絕對安全的個人電腦,乍看來似乎
很複雜,但是詳細看了一遍後覺得很有道理,就依樣畫葫蘆修改設定,本來並不覺得作用有多大
,使用了一個多月後發現真的有效耶!
第一從設定完成以來沒有產生被木馬感染過一次。
第二系統從來沒有那麼安靜過被病毒及網路攻擊的次數也少了很多。
感覺打造100％絕對安全的個人電腦這篇文章真的是專家们嘗試了多久才發表的精心瀝血
之作，在此強力推薦操作系統WinXP pro和Win2000 pro的系統使用者必看之作。