教你怎麼打造一道超級防禦的電腦防火牆
教你怎麼打造一道超級防禦的電腦防火牆
個人電腦一般的被入侵方式
談到個人上網時的安全,還是先把大家可能會遇到的問題歸個
類吧。我們遇到的入侵方式大概包括了以下幾種:
(1) 被他人盜取密碼;
(2) 系統被木馬攻擊;
(3) 瀏覽網頁時被惡意的java scrpit程序攻擊;
(4) QQ被攻擊或洩漏訊息;
(5) 病毒感染;
(6) 系統存在漏洞使他人攻擊自己。
(7) 黑客的惡意攻擊。
下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。
1.察看本機共享資源
執行CMD輸入net share,如果看到有異常的共享,那麼應該關
閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考
慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
2.移除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續移除)
3.移除ipc$空連接
在執行內輸入regedit,在註冊表中找到 HKEY-
LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名
稱RestrictAnonymous的數值資料由0改為1。
4.關閉自己的139連接阜,ipc和RPC漏洞存在於此。
關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中
選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」「
WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了
139連接阜。
5.防止rpc漏洞
開啟系統管理工具——服務——找到RPC(Remote Procedure Call
(RPC) Locator)服務——將故障恢復中的第一次失敗,第二次失敗
,後續失敗,都設定為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445連接阜的關閉
修改註冊表,增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Net
BT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為
REG_DWORD檔案類型鍵值為 0這樣就ok了
7.3389的關閉
XP:我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠
程桌面兩個選擇項裡的勾去掉。
Win2000server 開始-->程序-->系統管理工具-->服務裡找到
Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並
停止該服務。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網路上有很多文章說在Win2000pro
開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal
Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服
務,可以關閉3389,其實在2000pro 中根本不存在Terminal
Services。
8.4899的防範
網路上有許多關於3389和4899的入侵方法。4899其實是一個遠
程控制軟體所開啟的服務端連接阜,由於這些控制軟體功能強大,所
以經常被黑客用來控制自己的目標物,而且這類軟體一般不會被殺毒
軟體查殺,比後門還要安全。
4899不像3389那樣,是系統原有的的服務。需要自己安裝,而且
需要將服務端上傳到入侵的電腦並執行服務,才能達到控制的目的
。
所以只要你的電腦做了基本的安全組態,黑客是很難通過4899
來控制你的。
9、禁用服務
開啟控制台,進入系統管理工具——服務,關閉以下服務
1.Alerter[通知選定的用戶和電腦管理警報]
2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共
享]
3.Distributed File System[將分散的文件共享合併成一個邏
輯名稱,共享出去,關閉後遠端電腦無法訪問共享
4.Distributed Link Tracking Server[適用區域網路分佈式鏈
接? 倏突朔馷
5.Human Interface Device Access[啟用對人體學接頭設備
(HID)的通用輸入訪問]
6.IMAPI CD-Burning COM Service[管理 CD 錄製]
7.Indexing Service[提供本機或遠端電腦上文件的索引內
容和內容,洩露訊息]
8.Kerberos Key Distribution Center[使用權傳輸協定登入網路]
9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話
就停止]
10.Messenger[警報]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留
下的客戶訊息收集]
12.Network DDE[為在同一台電腦或不同電腦上執行的程序
提供動態資料交換]
13.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
14.Print Spooler[列印機服務,沒有列印機就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理並控
制遠端協助]
16.Remote Registry[使遠端電腦用戶修改本機註冊表]
17.Routing and Remote Access[在區域網路和廣域往提供路由
服務.黑客理由路由服務刺探註冊訊息]
18.Server[支持此電腦通過網路的文件、列印、和命名管道
共享]
19.Special Administration Console Helper[允許管理員使
用緊急管理服務遠端訪問指令行提示號]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS
和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件
、列印和登入到網路]
21.Telnet[允許遠端用戶登入到此電腦並執行程序]
22.Terminal Services[允許用戶以交互方式連線到遠端計算
機]
23.Window s Image Acquisition (WIA)[照相服務,套用與數
碼攝像機]
如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服
務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序
的服務端。
10、帳號密碼的安全原則
首先禁用guest帳號,將系統內建的administrator帳號改名~
~(改的越複雜越好,最好改成中文的),而且要設定一個密碼,
最好是8位以上字母數位符號組合。 (讓那些該死的黑客慢慢猜去吧
~)
如果你使用的是其他帳號,最好不要將其加進administrators
,如果加入administrators組,一定也要設定一個足夠安全的密碼
,同上如果你設定adminstrator的密碼時,最好在安全模式下設定
,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登
陸下的adminitrator帳號,因為即使有了這個帳號,同樣可以登入
安全模式,將sam文件移除,從而更改系統的administrator的密碼
!而在安全模式下設定的administrator則不會出現這種情況,因為
不知道這個administrator密碼是無法進入安全模式。權限達到最大
這個是密碼原則:用戶可以根據自己的習慣設定密碼,下面是我建
議的設定(關於密碼安全性設定,我上面已經講了,這裡不再囉嗦了
。
開啟系統管理工具.本機安全性設定.密碼原則
1.密碼必須符合複雜要求性.啟用
2.密碼最小值.我設定的是8
3.密碼最長使用期限.我是預設值設定42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的加密來儲存於密碼 禁用
11、本機原則:
這個很重要,可以說明 我們發現那些心存叵測的人的一舉一動
,還可以說明 我們將來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,
不過也有一些不小心的)
開啟系統管理工具
找到本機安全性設定.本機原則.稽核原則
1.稽核原則更改 成功失敗
2.稽核登入事件 成功失敗
3.稽核對像訪問 失敗
4.稽核跟蹤程序 無稽核
5.稽核目錄服務訪問 失敗
6.稽核特權使用 失敗
7.稽核系統事件 成功失敗
8.稽核帳戶登入時間 成功失敗
9.稽核帳戶管理 成功失敗
&nb sp;然後再到系統管理工具找到
事件檢視器
應用程式:右鍵>內容>設定日誌大小上限,我設定了50mb
,選項不覆蓋事件
安全性:右鍵>內容>設定日誌大小上限,我也是設定了
50mb,選項不覆蓋事件
系統:右鍵>內容>設定日誌大小上限,我都是設定了50mb
,選項不覆蓋事件
|