查看單個文章
舊 2005-10-29, 05:54 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 打造100%絕對安全的個人電腦

由於現在家用電腦所使用的操作系統多數為WinXP 和Win2000 pro(建議還在使用98的朋友換換系統,連_blank>微軟都放棄了的系統你還用它幹嘛?)所以後面我將主要講一下關於這兩個操作系統的安全防範。

  個人電腦一般的被入侵方式

  談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:

  (1) 被他人盜取密碼;

  (2) 系統被_blank>木馬攻擊;

  (3) 瀏覽網頁時被惡意的java scrpit程序攻擊;

  (4) QQ被攻擊或洩漏訊息;

  (5) 病毒感染;

  (6) 系統存在漏洞使他人攻擊自己。

  (7) _blank>黑客的惡意攻擊。

  下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。


查本機共享資源
移除共享
移除ipc$空連接
帳號密碼的安全原則
關閉自己的139連接阜
445連接阜的關閉
3389的關閉
4899的防範
一般連接阜的介紹
如何檢視本地機開啟的連接阜和過濾
禁用服務
本機原則
本機安全原則
用戶權限分配原則
終端服務組態
用戶和群組原則
防止rpc漏洞
自己動手DIY在本機原則的安全性選項
工具介紹
避免被惡意程式碼 木馬等病毒攻擊


  1.檢視本機共享資源

  執行CMD輸入net share,如果看到有異常的共享,那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。

2.移除共享(每次輸入一個)

  net share admin$ /delete
  net share c$ /delete
  net share d$ /delete(如果有e,f,……可以繼續移除)

3.移除ipc$空連接

  在執行內輸入regedit,在_blank>註冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名稱RestrictAnonymous的數值資料由0改為1。

4.關閉自己的139連接阜,ipc和RPC漏洞存在於此。

  關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」「WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139連接阜。


5.防止rpc漏洞


  開啟系統管理工具——服務——找到RPC(Remote Procedure Call (RPC) Locator)服務——將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設定為不操作。

  XP SP2和2000 pro sp4,均不存在該漏洞。

6.445連接阜的關閉

  修改註冊表,增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為REG_DWORD檔案類型鍵值為0這樣就ok了。

7.3389的關閉

  XP:我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。

  Win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務。(該方法在XP同樣適用)

  使用2000 pro的朋友注意,網路上有很多文章說在Win2000pro 開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。

8.4899的防範

  網路上有許多關於3389和4899的入侵方法。4899其實是一個遠端控制軟體所開啟的服務端連接阜,由於這些控制軟體功能強大,所以經常被黑客用來控制自己的目標物,而且這類軟體一般不會被殺毒軟體查殺,比後門還要安全。

  4899不像3389那樣,是系統原有的的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦並執行服務,才能達到控制的目的。

  所以只要你的電腦做了基本的安全組態,黑客是很難通過4899來控制你的。

9、禁用服務

  若PC沒有特殊用途,關於安全考慮,開啟控制台,進入系統管理工具——服務,關閉以下服務:

  1.Alerter[通知選定的用戶和電腦管理警報]
  2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共享]
  3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠端電腦無法訪問共享
  4.Distributed Link Tracking Server[適用區域網路分佈式連接]
  6.Indexing Service[提供本機或遠端電腦上文件的索引內容和內容,洩露訊息]
  7.Messenger[警報]
  8.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶訊息收集]
  9.Network DDE[為在同一台電腦或不同電腦上執行的程序提供動態資料交換]
  10.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
  11.Remote Desktop Help Session Manager[管理並控制遠端協助]
  12.Remote Registry[使遠端電腦用戶修改本機註冊表]
  13.Routing and Remote Access[在區域網路和廣域往提供路由服務.黑客理由路由服務刺探註冊訊息]
  14.Server[支持此電腦通過網路的文件、列印、和命名管道共享]
  15.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、列印和登入到網路]
  16.Telnet[允許遠端用戶登入到此電腦並執行程序]
  17.Terminal Services[允許用戶以交互方式連線到遠端電腦]
  18.Window s Image Acquisition (WIA)[照相服務,套用與數碼攝像機]

  如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序的服務端。

10、帳號密碼的安全原則


  首先禁用guest帳號,將系統內建的administrator帳號改名∼∼(改的越複雜越好,最好改成中文的),然後設定一個密碼,最好是8位以上字母數位符號組合。 (讓那些該死的黑客慢慢猜去吧∼)

  如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設定一個足夠安全的密碼,同上如果你設定adminstrator的密碼時,最好在安全模式下設定,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登入下的adminitrator帳號,因為即使有了這個帳號,同樣可以登入安全模式,將sam文件移除,從而更改系統的administrator的密碼!而在安全模式下設定的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼原則:用戶可以根據自己的習慣設定密碼,下面是我建議的設定(關於密碼安全性設定,我上面已經講了,這裡不再囉嗦了。
  
  開啟系統管理工具.本機安全性設定.密碼原則

     1.密碼必須符合複雜要求性.啟用
     2.密碼最小值.我設定的是8
     3.密碼最長使用期限.我是預設設定42天
     4.密碼最短使用期限0天
     5.強制密碼歷史 記住0個密碼
     6.用可還原的_blank>加密來儲存於密碼 禁用
  
11、本機原則:

  這個很重要,可以說明 我們發現那些心存叵測的人的一舉一動,還可以說明 我們將來追查黑客。

  (雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)

  開啟系統管理工具
  
  找到本機安全性設定.本機原則.稽核原則

     1.稽核原則更改 成功失敗
     2.稽核登入事件 成功失敗
     3.稽核對像訪問 失敗
     4.稽核跟蹤程序 無稽核
     5.稽核目錄服務訪問 失敗
     6.稽核特權使用 失敗
     7.稽核系統事件 成功失敗
     8.稽核帳戶登入時間 成功失敗
     9.稽核帳戶管理 成功失敗
     &nb sp;然後再到系統管理工具找到
     事件檢視器
     應用程式:右鍵>內容>設定日誌大小上限,我設定了50mb,選項不覆蓋事件
     安全性:右鍵>內容>設定日誌大小上限,我也是設定了50mb,選項不覆蓋事件
     系統:右鍵>內容>設定日誌大小上限,我都是設定了50mb,選項不覆蓋事件

12、本機安全原則:

  開啟系統管理工具
  
  找到本機安全性設定.本機原則.安全性選項
    
     1.交互式登入.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登入的]
     2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用
     3.網路訪問.可匿名的共享 將後面的值移除
     4.網路訪問.可匿名的命名管道 將後面的值移除
     5.網路訪問.可遠端訪問的註冊表路徑 將後面的值移除
     6.網路訪問.可遠端訪問的註冊表的子路徑 將後面的值移除
     7.網路訪問.限制匿名訪問命名管道和共享
     8.帳戶.(前面已經詳細講過拉 )

13、用戶權限分配原則:
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
有 8 位會員向 psac 送花:
arvin0513 (2007-11-19),bryanadams (2008-02-29),edmangel (2007-08-29),KL-iris (2007-03-14),liaotsung (2009-01-01),mozillaya (2008-03-04),天雨 (2007-07-18),孤鷹 (2007-12-13)
感謝您發表一篇好文章