史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 應用軟體使用技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-10, 01:08 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 教你怎麼打造一道超級防禦的電腦防火牆

教你怎麼打造一道超級防禦的電腦防火牆



個人電腦一般的被入侵方式

  談到個人上網時的安全,還是先把大家可能會遇到的問題歸個

類吧。我們遇到的入侵方式大概包括了以下幾種:

  (1) 被他人盜取密碼;

  (2) 系統被木馬攻擊;

  (3) 瀏覽網頁時被惡意的java scrpit程序攻擊;

  (4) QQ被攻擊或洩漏訊息;

  (5) 病毒感染;

  (6) 系統存在漏洞使他人攻擊自己。

  (7) 黑客的惡意攻擊。

  下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。

  1.察看本機共享資源

  執行CMD輸入net share,如果看到有異常的共享,那麼應該關

閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考

慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。

  2.移除共享(每次輸入一個)

  net share admin$ /delete
  net share c$ /delete
  net share d$ /delete(如果有e,f,……可以繼續移除)

  3.移除ipc$空連接

  在執行內輸入regedit,在註冊表中找到 HKEY-

LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名

稱RestrictAnonymous的數值資料由0改為1。

  4.關閉自己的139連接阜,ipc和RPC漏洞存在於此。

  關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中

選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」「

WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了

139連接阜。

  5.防止rpc漏洞

  開啟系統管理工具——服務——找到RPC(Remote Procedure Call

(RPC) Locator)服務——將故障恢復中的第一次失敗,第二次失敗

,後續失敗,都設定為不操作。

  XP SP2和2000 pro sp4,均不存在該漏洞。

  6.445連接阜的關閉

  修改註冊表,增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Net

BT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為

REG_DWORD檔案類型鍵值為 0這樣就ok了

  7.3389的關閉

  XP:我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠

程桌面兩個選擇項裡的勾去掉。

  Win2000server 開始-->程序-->系統管理工具-->服務裡找到

Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並

停止該服務。(該方法在XP同樣適用)

  使用2000 pro的朋友注意,網路上有很多文章說在Win2000pro

開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal

Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服

務,可以關閉3389,其實在2000pro 中根本不存在Terminal

Services。

  8.4899的防範

  網路上有許多關於3389和4899的入侵方法。4899其實是一個遠

程控制軟體所開啟的服務端連接阜,由於這些控制軟體功能強大,所

以經常被黑客用來控制自己的目標物,而且這類軟體一般不會被殺毒

軟體查殺,比後門還要安全。

  4899不像3389那樣,是系統原有的的服務。需要自己安裝,而且

需要將服務端上傳到入侵的電腦並執行服務,才能達到控制的目的



  所以只要你的電腦做了基本的安全組態,黑客是很難通過4899

來控制你的。

  9、禁用服務

  開啟控制台,進入系統管理工具——服務,關閉以下服務

  1.Alerter[通知選定的用戶和電腦管理警報]
  2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共

享]
  3.Distributed File System[將分散的文件共享合併成一個邏

輯名稱,共享出去,關閉後遠端電腦無法訪問共享
  4.Distributed Link Tracking Server[適用區域網路分佈式鏈

接? 倏突朔馷
  5.Human Interface Device Access[啟用對人體學接頭設備

(HID)的通用輸入訪問]
  6.IMAPI CD-Burning COM Service[管理 CD 錄製]
  7.Indexing Service[提供本機或遠端電腦上文件的索引內

容和內容,洩露訊息]
  8.Kerberos Key Distribution Center[使用權傳輸協定登入網路]
  9.License Logging[監視IIS和SQL如果你沒安裝IIS和SQL的話

就停止]
  10.Messenger[警報]
  11.NetMeeting Remote Desktop Sharing[netmeeting公司留

下的客戶訊息收集]
  12.Network DDE[為在同一台電腦或不同電腦上執行的程序

提供動態資料交換]
  13.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
  14.Print Spooler[列印機服務,沒有列印機就禁止吧]
  15.Remote Desktop Help& nbsp;Session Manager[管理並控

制遠端協助]
  16.Remote Registry[使遠端電腦用戶修改本機註冊表]
  17.Routing and Remote Access[在區域網路和廣域往提供路由

服務.黑客理由路由服務刺探註冊訊息]
  18.Server[支持此電腦通過網路的文件、列印、和命名管道

共享]
  19.Special Administration Console Helper[允許管理員使

用緊急管理服務遠端訪問指令行提示號]
  20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS

和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件




、列印和登入到網路]
  21.Telnet[允許遠端用戶登入到此電腦並執行程序]
  22.Terminal Services[允許用戶以交互方式連線到遠端計算

機]
  23.Window s Image Acquisition (WIA)[照相服務,套用與數

碼攝像機]

  如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服

務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序

的服務端。

  10、帳號密碼的安全原則

  首先禁用guest帳號,將系統內建的administrator帳號改名~

~(改的越複雜越好,最好改成中文的),而且要設定一個密碼,

最好是8位以上字母數位符號組合。 (讓那些該死的黑客慢慢猜去吧

~)

  如果你使用的是其他帳號,最好不要將其加進administrators

,如果加入administrators組,一定也要設定一個足夠安全的密碼

,同上如果你設定adminstrator的密碼時,最好在安全模式下設定

,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登

陸下的adminitrator帳號,因為即使有了這個帳號,同樣可以登入

安全模式,將sam文件移除,從而更改系統的administrator的密碼

!而在安全模式下設定的administrator則不會出現這種情況,因為

不知道這個administrator密碼是無法進入安全模式。權限達到最大

這個是密碼原則:用戶可以根據自己的習慣設定密碼,下面是我建

議的設定(關於密碼安全性設定,我上面已經講了,這裡不再囉嗦了


  
  開啟系統管理工具.本機安全性設定.密碼原則

     1.密碼必須符合複雜要求性.啟用
     2.密碼最小值.我設定的是8
     3.密碼最長使用期限.我是預設值設定42天
     4.密碼最短使用期限0天
     5.強制密碼歷史 記住0個密碼
     6.用可還原的加密來儲存於密碼 禁用
  
  11、本機原則:

  這個很重要,可以說明 我們發現那些心存叵測的人的一舉一動

,還可以說明 我們將來追查黑客。

  (雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,

不過也有一些不小心的)

  開啟系統管理工具
  
  找到本機安全性設定.本機原則.稽核原則

     1.稽核原則更改 成功失敗
     2.稽核登入事件 成功失敗
     3.稽核對像訪問 失敗
     4.稽核跟蹤程序 無稽核
     5.稽核目錄服務訪問 失敗
     6.稽核特權使用 失敗
     7.稽核系統事件 成功失敗
     8.稽核帳戶登入時間 成功失敗
     9.稽核帳戶管理 成功失敗
     &nb sp;然後再到系統管理工具找到
     事件檢視器
     應用程式:右鍵>內容>設定日誌大小上限,我設定了50mb

,選項不覆蓋事件
     安全性:右鍵>內容>設定日誌大小上限,我也是設定了

50mb,選項不覆蓋事件
     系統:右鍵>內容>設定日誌大小上限,我都是設定了50mb

,選項不覆蓋事件
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-05-13, 01:06 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

一步一步教你禁止連接阜

即使你對原則一點不懂也可以按照下面一步一步地完成禁用連接阜。
以139為例  
1.開始->控制台(或者管理)->系統管理工具->本機安全原則
2.右擊"Ip安全原則,在 本機電腦", 選項 "管理 IP 篩選器表和篩選器操作",
<就可以啟動管理 IP 篩選器表和篩選器操作對話視窗>
3.在"管理 IP 篩選器表"中,按"增加"按鈕 <開啟了 IP篩選器列表>
4.
1 在名稱(N) 下面新增"禁止139連接阜" <任何名字都行,只要你知道就行>描述(D) 也寫上"禁止139連接阜"
2增加按扭 <進入 ip篩選嚮導 >
3點擊下一步 <進入篩選嚮導>
4在源位址(s): 出選項 下拉裡的第二項"任何 ip 位址" 下一步
5在目標位址(D): 選上"我的 ip 位址" 下一步
6選項傳輸協定檔案類型(S): 把"任意"選改為"tcp" 下一步
7設定ip傳輸協定斷口: <可以看到很相似的兩組選項>選項 到連接阜(O)<注意不是從連接阜?> 新增你要禁止的連接阜"139" 下一步
8 完成
5 <止此 回到了 篩選列表視窗,可以看到 篩選器(S)視窗有了訊息>
看完了嗎? 按確定按扭 哈哈..<將回到了 "管理 IP 篩選器表和篩選器操作"視窗>
6 點擊 "管理篩選器操作" 同4 中的123<將進入:"篩選器操作"視窗
7 哈哈當然是選項第二個"阻止"了 "下一步"--> "完成"
8 <回到了"管理 IP 篩選器表和篩選器操作"視窗>點擊 "關閉"按扭  
9 <回到了本機安全性設定視窗>右擊"Ip安全原則,在 本機電腦", 選項 "新增ip安全原則"同4 中的123進入"為此安全規則設定初始身份驗證方法管他<使用預設值項 "Active Directory 預設值(Kerberos V5 傳輸協定)>
下一步
10 出現一個警告視窗."只有當這個規則在一台為域成員的電腦上 Kerberos 才有效。這台電腦不是一個域成員。您想繼續並保留這些規則的內容嗎?"當然"是"拉
11 點擊"完成"按扭<進入編輯內容視窗>
12 "一般" 和 "規則" 點擊 "規則" 點擊"增加"按扭<進入 安全規則嚮導">
13 點擊下一步 一直下一步 出現一個同樣的警告 yes
14 從ip篩選器列表(I)筐中點上第一個:"禁止139連接阜"前面的○成為⊙
15 同14選項 下一步 同7出現"完成"按扭 點擊
16 確定
17 關閉 內容筐<回到了本機安全原則>
18 右鍵 右面視窗的 "禁止139連接阜連接" --=>指派


附:
  預設值情況下,Windows有很多連接阜是開放的,在你上網的時候,網路病毒和黑客可以通過這些連接阜連上你的電腦。為了讓你的系統變為銅牆鐵壁,應該封閉這些連接阜,主要有:TCP 135、139、445、593、1025 連接阜和 UDP 135、137、138、445 連接阜,一些流行病毒的後門連接阜(如 TCP 2745、3127、6129 連接阜),以及遠端服務訪問連接阜3389。下面介紹如何在WinXP/2000/2003下關閉這些網路連接阜:

  第一步,點擊「開始」表單/設定/控制台/系統管理工具,雙按開啟「本機安全原則」,選「IP 安全原則,在本機電腦」,在右邊視窗的空白位置右擊滑鼠,彈出快捷表單,選項「新增 IP 安全原則」(如右圖),於是彈出一個嚮導。在嚮導中點擊「下一步」按鈕,為新的安全原則命名;再按「下一步」,則顯示「安全通信請求」畫面,在畫面上把「啟動預設值相應規則」左邊的鉤去掉,點擊「完成」按鈕就新增了一個新的IP 安全原則。

  第二步,右擊該IP安全原則,在「內容」對話視窗中,把「使用增加嚮導」左邊的鉤去掉,然後按下「增加」按鈕增加新的規則,隨後彈出「新規則內容」對話視窗,在畫面上點擊「增加」按鈕,彈出IP篩選器列表視窗;在列表中,首先把「使用增加嚮導」左邊的鉤去掉,然後再點擊右邊的「增加」按鈕增加新的篩選器。

  第三步,進入「篩選器內容」對話視窗,首先看到的是尋址,源位址選「任何 IP 位址」,目標位址選「我的 IP 位址」;點擊「傳輸協定」選擇項,在「選項傳輸協定檔案類型」的下拉列表中選項「TCP」,然後在「到此連接阜」下的文本項中輸入「135」,點擊「確定」按鈕(如左圖),這樣就增加了一個遮閉 TCP 135(RPC)連接阜的篩選器,它可以防止外界通過135連接阜連上你的電腦。

  點擊「確定」後回到篩選器列表的對話視窗,可以看到已經增加了一條原則,重複以上步驟繼續增加 TCP 137、139、445、593 連接阜和 UDP 135、139、445 連接阜,為它們建立相應的篩選器。

  重複以上步驟增加TCP 1025、2745、3127、6129、3389 連接阜的遮閉原則,建立好上述連接阜的篩選器,最後點擊「確定」按鈕。

  第四步,在「新規則內容」對話視窗中,選項「新 IP 篩選器列表」,然後點擊其左邊的圓圈上加一個點,表示已經啟動,最後點擊「篩選器操作」選擇項。在「篩選器操作」選擇項中,把「使用增加嚮導」左邊的鉤去掉,點擊「增加」按鈕,增加「阻止」操作(右圖):在「新篩選器操作內容」的「安全措施」選擇項中,選項「阻止」,然後點擊「確定」按鈕。

  第五步、進入「新規則內容」對話視窗,點擊「新篩選器操作」,其左邊的圓圈會加了一個點,表示已經啟動,點擊「關閉」按鈕,關閉對話視窗;最後回到「新IP安全原則內容」對話視窗,在「新的IP篩選器列表」左邊打鉤,按「確定」按鈕關閉對話視窗。在「本機安全原則」視窗,用滑鼠右擊新增加的 IP 安全原則,然後選項「指派」。

  於是重新啟動後,電腦中上述網路連接阜就被關閉了,病毒和黑客再也不能連上這些連接阜,從而保護了你的電腦。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 11:48 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1