[psac]

教你怎麼打造一道超級防禦的電腦防火牆



個人電腦一般的被入侵方式

　　談到個人上網時的安全，還是先把大家可能會遇到的問題歸個

類吧。我們遇到的入侵方式大概包括了以下幾種：

　　(1) 被他人盜取密碼；

　　(2) 系統被木馬攻擊；

　　(3) 瀏覽網頁時被惡意的java scrpit程序攻擊；

　　(4) QQ被攻擊或洩漏訊息；

　　(5) 病毒感染；

　　(6) 系統存在漏洞使他人攻擊自己。

　　(7) 黑客的惡意攻擊。

　　下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。

　　1.察看本機共享資源

　　執行CMD輸入net share，如果看到有異常的共享，那麼應該關

閉。但是有時你關閉共享下次開機的時候又出現了，那麼你應該考

慮一下，你的機器是否已經被黑客所控制了，或者中了病毒。

　　2.移除共享(每次輸入一個）

　　net share admin$ /delete
　　net share c$ /delete
　　net share d$ /delete（如果有e，f，……可以繼續移除）

　　3.移除ipc$空連接

　　在執行內輸入regedit，在註冊表中找到 HKEY-

LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名

稱RestrictAnonymous的數值資料由0改為1。

　　4.關閉自己的139連接阜，ipc和RPC漏洞存在於此。

　　關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中

選取「Internet傳輸協定(TCP/IP)」內容，進入「進階TCP/IP設定」「

WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了

139連接阜。

　　5．防止rpc漏洞

　　開啟系統管理工具——服務——找到RPC(Remote Procedure Call

(RPC) Locator)服務——將故障恢復中的第一次失敗，第二次失敗

，後續失敗，都設定為不操作。

　　XP SP2和2000 pro sp4，均不存在該漏洞。

　　6．445連接阜的關閉

　　修改註冊表，增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Net

BT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為

REG_DWORD檔案類型鍵值為 0這樣就ok了

　　7．3389的關閉

　　XP：我的電腦上點右鍵選內容-->遠端，將裡面的遠端協助和遠

程桌面兩個選擇項裡的勾去掉。

　　Win2000server 開始-->程序-->系統管理工具-->服務裡找到

Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並

停止該服務。（該方法在XP同樣適用）

　　使用2000 pro的朋友注意，網路上有很多文章說在Win2000pro

開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal

Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服

務，可以關閉3389，其實在2000pro 中根本不存在Terminal

Services。

　　8．4899的防範

　　網路上有許多關於3389和4899的入侵方法。4899其實是一個遠

程控制軟體所開啟的服務端連接阜，由於這些控制軟體功能強大，所

以經常被黑客用來控制自己的目標物，而且這類軟體一般不會被殺毒

軟體查殺，比後門還要安全。

　　4899不像3389那樣，是系統原有的的服務。需要自己安裝，而且

需要將服務端上傳到入侵的電腦並執行服務，才能達到控制的目的

。

　　所以只要你的電腦做了基本的安全組態，黑客是很難通過4899

來控制你的。

　　9、禁用服務

　　開啟控制台，進入系統管理工具——服務，關閉以下服務

　　1.Alerter[通知選定的用戶和電腦管理警報]
　　2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共

享]
　　3.Distributed File System[將分散的文件共享合併成一個邏

輯名稱，共享出去，關閉後遠端電腦無法訪問共享
　　4.Distributed Link Tracking Server[適用區域網路分佈式鏈

接? 倏突朔馷
　　5.Human Interface Device Access[啟用對人體學接頭設備

(HID)的通用輸入訪問]
　　6.IMAPI CD-Burning COM Service[管理 CD 錄製]
　　7.Indexing Service[提供本機或遠端電腦上文件的索引內

容和內容，洩露訊息]
　　8.Kerberos Key Distribution Center[使用權傳輸協定登入網路]
　　9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話

就停止]
　　10.Messenger[警報]
　　11.NetMeeting Remote Desktop Sharing[netmeeting公司留

下的客戶訊息收集]
　　12.Network DDE[為在同一台電腦或不同電腦上執行的程序

提供動態資料交換]
　　13.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
　　14.Print Spooler[列印機服務，沒有列印機就禁止吧]
　　15.Remote Desktop Help& nbsp;Session Manager[管理並控

制遠端協助]
　　16.Remote Registry[使遠端電腦用戶修改本機註冊表]
　　17.Routing and Remote Access[在區域網路和廣域往提供路由

服務.黑客理由路由服務刺探註冊訊息]
　　18.Server[支持此電腦通過網路的文件、列印、和命名管道

共享]
　　19.Special Administration Console Helper[允許管理員使

用緊急管理服務遠端訪問指令行提示號]
　　20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS

和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件




、列印和登入到網路]
　　21.Telnet[允許遠端用戶登入到此電腦並執行程序]
　　22.Terminal Services[允許用戶以交互方式連線到遠端計算

機]
　　23.Window s Image Acquisition (WIA)[照相服務，套用與數

碼攝像機]

　　如果發現機器開啟了一些很奇怪的服務，如r_server這樣的服

務，必須馬上停止該服務，因為這完全有可能是黑客使用控制程序

的服務端。

　　10、帳號密碼的安全原則

　　首先禁用guest帳號，將系統內建的administrator帳號改名～

～（改的越複雜越好，最好改成中文的），而且要設定一個密碼，

最好是8位以上字母數位符號組合。 (讓那些該死的黑客慢慢猜去吧

～）

　　如果你使用的是其他帳號，最好不要將其加進administrators

，如果加入administrators組，一定也要設定一個足夠安全的密碼

，同上如果你設定adminstrator的密碼時，最好在安全模式下設定

，因為經我研究發現，在系統中擁有最高權限的帳號，不是正常登

陸下的adminitrator帳號，因為即使有了這個帳號，同樣可以登入

安全模式，將sam文件移除，從而更改系統的administrator的密碼

！而在安全模式下設定的administrator則不會出現這種情況，因為

不知道這個administrator密碼是無法進入安全模式。權限達到最大

這個是密碼原則：用戶可以根據自己的習慣設定密碼，下面是我建

議的設定（關於密碼安全性設定，我上面已經講了，這裡不再囉嗦了

。
　　
　　開啟系統管理工具.本機安全性設定.密碼原則

　　　　 1.密碼必須符合複雜要求性.啟用
　　　　 2.密碼最小值.我設定的是8
　　　　 3.密碼最長使用期限.我是預設值設定42天
　　　　 4.密碼最短使用期限0天
　　　　 5.強制密碼歷史 記住0個密碼
　　　　 6.用可還原的加密來儲存於密碼 禁用
　　
　　11、本機原則:

　　這個很重要，可以說明 我們發現那些心存叵測的人的一舉一動

，還可以說明 我們將來追查黑客。

　　(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡，

不過也有一些不小心的)

　　開啟系統管理工具
　　
　　找到本機安全性設定.本機原則.稽核原則

　　　　 1.稽核原則更改 成功失敗
　　　　 2.稽核登入事件 成功失敗
　　　　 3.稽核對像訪問 失敗
　　　　 4.稽核跟蹤程序 無稽核
　　　　 5.稽核目錄服務訪問 失敗
　　　　 6.稽核特權使用 失敗
　　　　 7.稽核系統事件 成功失敗
　　　　 8.稽核帳戶登入時間 成功失敗
　　　　 9.稽核帳戶管理 成功失敗
　　　　 &nb sp;然後再到系統管理工具找到
　　　　 事件檢視器
　　　　 應用程式：右鍵>內容>設定日誌大小上限，我設定了50mb

，選項不覆蓋事件
　　　　 安全性：右鍵>內容>設定日誌大小上限，我也是設定了

50mb，選項不覆蓋事件
　　　　 系統：右鍵>內容>設定日誌大小上限，我都是設定了50mb

，選項不覆蓋事件