[psac]

個人電腦詳細的安全性設定方法

由於現在家用電腦所使用的作業系統多數為Win XP 和Win2000 pro（建議還在使用98的朋友換換系統，連微軟都放棄了的系統你還用它幹嘛？）所以後面我將主要講一下關於這兩個作業系統的安全防範。

　　個人電腦一般的被入侵方式

　　談到個人上網時的安全，還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種：

　　(1) 被他人盜取密碼；

　　(2) 系統被木馬攻擊；

　　(3) 瀏覽網頁時被惡意的java scrpit程序攻擊；

　　(4) QQ被攻擊或洩漏訊息；

　　(5) 病毒感染；

　　(6) 系統存在漏洞使他人攻擊自己。

　　(7) 黑客的惡意攻擊。

　　下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。


察看本機共享資源
移除共享

移除ipc$空連接
帳號密碼的安全原則

關閉自己的139連接阜
445連接阜的關閉

3389的關閉
4899的防範

一般連接阜的介紹
如何檢視本地機開啟的連接阜和過濾

禁用服務
本機原則

本機安全原則
用戶權限分配原則

終端服務組態
用戶和群組原則

防止rpc漏洞
自己動手DIY在本機原則的安全性選項

工具介紹
避免被惡意程式碼 木馬等病毒攻擊


　　1.察看本機共享資源

　　執行CMD輸入net share，如果看到有異常的共享，那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了，那麼你應該考慮一下，你的機器是否已經被黑客所控制了，或者中了病毒。

　　2.移除共享(每次輸入一個）

　　net share admin$ /delete
　　net share c$ /delete
　　net share d$ /delete（如果有e，f，……可以繼續移除）

　　3.移除ipc$空連接

　　在執行內輸入regedit，在註冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名稱RestrictAnonymous的數值資料由0改為1。

　　4.關閉自己的139連接阜，ipc和RPC漏洞存在於此。

　　關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中選取「Internet傳輸協定(TCP/IP)」內容，進入「進階TCP/IP設定」「WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139連接阜。
5．防止rpc漏洞

　　開啟系統管理工具--服務--找到RPC(Remote Procedure Call (RPC) Locator)服務--將故障恢復中的第一次失敗，第二次失敗，後續失敗，都設定為不操作。

　　XP SP2和2000 pro sp4，均不存在該漏洞。

　　6．445連接阜的關閉

　　修改註冊表，增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為REG_DWORD檔案類型鍵值為 0這樣就ok了

　　7．3389的關閉

　　XP：我的電腦上點右鍵選內容-->遠端，將裡面的遠端協助和遠端桌面兩個選擇項裡的勾去掉。

　　Win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服務。（該方法在XP同樣適用）

　　使用2000 pro的朋友注意，網路上有很多文章說在Win2000pro 開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服務，可以關閉3389，其實在2000pro 中根本不存在Terminal Services。

　　8．4899的防範

　　網路上有許多關於3389和4899的入侵方法。4899其實是一個遠端控制軟體所開啟的服務端連接阜，由於這些控制軟體功能強大，所以經常被黑客用來控制自己的目標物，而且這類軟體一般不會被殺毒軟體查殺，比後門還要安全。

　　4899不像3389那樣，是系統原有的的服務。需要自己安裝，而且需要將服務端上傳到入侵的電腦並執行服務，才能達到控制的目的。

　　所以只要你的電腦做了基本的安全組態，黑客是很難通過4899來控制你的。

　　9、禁用服務

　　開啟控制台，進入系統管理工具--服務，關閉以下服務

　　1.Alerter[通知選定的用戶和電腦管理警報]
　　2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共享]
　　3.Distributed File System[將分散的文件共享合併成一個邏輯名稱，共享出去，關閉後遠端電腦無法訪問共享
　　4.Distributed Link Tracking Server[適用區域網路分佈式連接? U倏突I朔?馷
　　5.Human Interface Device Access[啟用對人體學接頭設備(HID)的通用輸入訪問]
　　6.IMAPI CD-Burning COM Service[管理 CD 錄製]
　　7.Indexing Service[提供本機或遠端電腦上文件的索引內容和內容，洩露訊息]
　　8.Kerberos Key Distribution Center[使用權傳輸協定登入網路]
　　9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
　　10.Messenger[警報]
　　11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶訊息收集]
　　12.Network DDE[為在同一台電腦或不同電腦上執行的程序提供動態資料交換]
　　13.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
　　14.Print Spooler[列印機服務，沒有列印機就禁止吧]
　　15.Remote Desktop Help& nbsp;Session Manager[管理並控制遠端協助]
　　16.Remote Registry[使遠端電腦用戶修改本機註冊表]
　　17.Routing and Remote Access[在區域網路和廣域往提供路由服務.黑客理由路由服務刺探註冊訊息]
　　18.Server[支持此電腦通過網路的文件、列印、和命名管道共享]
　　19.Special Administration Console Helper[允許管理員使用緊急管理服務遠端訪問指令行提示號]
　　20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、列印和登入到網路]
　　21.Telnet[允許遠端用戶登入到此電腦並執行程序]
　　22.Terminal Services[允許用戶以交互方式連線到遠端電腦]
　　23.Window s Image Acquisition (WIA)[照相服務，套用與數碼攝像機]

　　如果發現機器開啟了一些很奇怪的服務，如r_server這樣的服務，必須馬上停止該服務，因為這完全有可能是黑客使用控制程序的服務端