20招安全设置防止黑客攻击入侵.docx
《20招安全设置防止黑客攻击入侵.docx》由会员分享,可在线阅读,更多相关《20招安全设置防止黑客攻击入侵.docx(26页珍藏版)》请在冰豆网上搜索。
20招安全设置防止黑客攻击入侵
20招安全设置防止黑客攻击入侵.txt“恋”是个很强悍的字。
它的上半部取自“变态”的“变”,下半部取自“变态”的“态”。
14招安全设置防止黑客攻击入侵
1、禁止IPC空连接
Cracker可以利用netuse命令建立空连接,进而入侵,还有netview,nbtstat这些都是基于空连接的,禁止空连接就好了。
打开注册表,找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous把这个值改成”1”即可。
2、禁止At命令
Cracker往往给你个木马然后让它运行,这时他就需要at命令了。
打开管理工具-服务,禁用taskscheduler服务即可。
3、关闭超级终端服务
如果你开了的话,这个漏洞都烂了。
4、关闭SSDPDiscoverService服务
这个服务主要用于启动家庭网络设备上的UPnP设备,服务同时会启动5000端口。
可能造成DDOS攻击,让CPU使用达到100%,从而使计算机崩溃。
照理说没人会对个人机器费力去做DDOS,但这个使用过程中也非常的占用带宽,它会不断的向外界发送数据包,影响网络传输速率,所以还是关了好。
5、关闭RemoteRegistry服务
看看就知道了,允许远程修改注册表?
!
6、禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。
这样Cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
7、关闭DCOM服务
这就是135端口了,除了被用做查询服务外,它还可能引起直接的攻击,关闭方法是:
在运行里输入dcomcnfg,在弹出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。
8、把共享文件的权限从“everyone”组改成“授权用户”
“everyone”在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。
任何时候都不要把共享文件的用户设置成“everyone”组。
包括打印共享,默认的属性就是“everyone”组的,一定不要忘了改。
9、取消其他不必要的服务
请根据自己需要自行决定,下面给出HTTP/FTP服务器需要最少的服务作为参考:
EventLog
LicenseLoggingService
WindowsNTLMSecuritySupportProvider
RemoteProcedureCall(RPC)Service
WindowsNTServerorWindowsNTWorkstation
IISAdminService
MSDTC
WorldWideWebPublishingService
ProtectedStorage
10、更改TTL值
Cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip
Parameters:
DefaultTTLREG_DWORD0-0xff(0-255十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。
11、账户安全
首先禁止一切账户,除了你自己,呵呵。
然后把Administrator改名。
我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧!
破完了才发现是个低级账户,看你崩溃不?
12、取消显示最后登录用户
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon:
DontDisplayLastUserName把值改为1。
13、删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer
Parameters:
AutoShareServer类型是REG_DWORD把值改为0即可。
14、禁用LanManager身份验证
WindowsNTServersServicePack4和后续的版本都支持三种不同的身份验证方法:
LanManager(LM)身份验证;WindowsNT(也叫NTLM)身份验证;WindowsNTVersion2.0(也叫NTLM2)身份验证;
默认的情况下,当一个客户尝试连接一台同时支持LM和NTLM身份验证方法的服务器时,LM身份验证会优先被使用。
所以建议禁止LM身份验证方法。
1.打开注册表编辑器;
2.定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa;
3.选择菜单“编辑”,“添加数值”;
4.数值名称中输入:
LMCompatibilityLevel,数值类型为:
DWORD,单击确定;
5.双击新建的数据,并根据具体情况设置以下值:
0-发送LM和NTLM响应;
1-发送LM和NTLM响应;
2-仅发送NTLM响应;
3-仅发送NTLMv2响应;(Windows2000有效)
4-仅发送NTLMv2响应,拒绝LM;(Windows2000有效)
5-仅发送NTLMv2响应,拒绝LM和NTLM;(Windows2000有效)
6.关闭注册表编辑器;
7.重新启动机器。
****************************************************************
安全设置你的WindowsXP操作系统
WindowsXP以其稳定性、强大的个人和网络功能为大家所推崇,而它的“NT内核”,让我们不得不加强安全防护。
1.常规的安全防护
所谓“常规的安全防护”即施行同Windows98一样的安装防病毒软件、升级系统、禁止Ping三种安全方式。
要强调的是WindowsXP和它的前辈Windows2000一样,漏洞层出不穷,对于系统的升级不能像对Windows98般马虎,除了要安装Microsoft针对“冲击波”的漏洞补丁外,建议将WindowsXP升级为最新的ServicePack1(升级后会提高资源占有,不过安全性、稳定性有所提高)。
2.禁止远程协助,屏蔽闲置的端口
在WindowsXP上有一项名为“远程协助”的功能,它允许用户在使用计算机发生困难时,向MSN上的好友发出远程协助邀请,来帮助自己解决问题。
而这个“远程协助”功能正是“冲击波”病毒所要攻击的RPC(RemoteProcedureCall)服务在WindowsXP上的表现形式。
建议用户不要使用该功能,使用前也应该安装Microsoft提供的RPC漏洞工具和“冲击波”免疫程序。
禁止“远程协助”的方法是:
打开系统属性对话框(右键“我的电脑”、“属性”),在“远程”项里去掉“允许从这台计算机发送远程协助邀请”前面的“√”。
使用系统自带的“TCP/IP筛选服务”就能够限制端口。
方法如下:
在“网络连接”上单击右键,选择“属性”,打开“网络连接属性”对话框,在“常规”项里选中里面的“Internet协议(TCP/IP)”然后单击下面的[属性]按钮,在“Internet协议(TCP/IP)属性”窗口里,单击下面的[高级]按钮,在弹出的“高级TCP/IP设置”窗口里选择“选项”项,再单击下面的[属性]按钮,最后弹出“TCP/IP筛选”窗口,通过窗口里的“只允许”单选框,分别添加“TCP”、“UDP”、“IP”等网络协议允许的端口,未提供各种服务的情况,可以屏蔽掉所有的端口。
这是最佳的安全防范形式。
3.禁止终端服务远程控制
“终端服务”是WindowsXP在Windows2000系统(Windows2000利用此服务实现远程的服务器托管)上遗留下来的一种服务形式。
用户利用终端可以实现远程控制。
“终端服务”和“远程协助”是有一定区别的,虽然都实现的是远程控制,终端服务更注重用户的登录管理权限,它的每次连接都需要当前系统的一个具体登录ID,且相互隔离,“终端服务”独立于当前计算机用户的邀请,可以独立、自由登录远程计算机。
在WindowsXP系统下,“终端服务”是被默认打开的,(Windows2000系统需要安装相应的组件,才可以开启和使用终端服务)也就是说,如果有人知道你计算机上的一个用户登录ID,并且知道计算机的IP,它就可以完全控制你的计算机。
在WindowsXP系统里关闭“终端服务”的方法如下:
右键选择“我的电脑”、“属性”,选择“远程”项,去掉“允许用户远程连接到这台计算机”前面的“√”即可。
4.关闭Messenger服务
Messenger服务是Microsoft集成在WindowsXP系统里的一个通讯组件,它默认情况下也是被打开的。
利用它发送信息时,只要知道对方的IP,然后输入文字,对方的桌面上就会弹出相应的文字信息窗口,且在未关闭掉Messenger服务的情况下强行接受。
很多用户不知道怎么关闭它,而饱受信息的骚扰。
其实方法很简单,进入“控制面板”,选择“管理工具”,启动里面的“服务”项,然后在Messenger项上单击右键,选择“停止”即可。
5.防范IPC默认共享
WindowsXP在默认安装后允许任何用户通过空用户连接(IPC$)得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。
黑客就利用这项功能,查找系统的用户列表,并使用一些字典工具,对系统进行攻击。
这就是网上较流行的IPC攻击。
要防范IPC攻击就应该从系统的默认配置下手,可以通过修改注册表弥补漏洞:
第一步:
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous项设置为“1”,就能禁止空用户连接。
第二步:
打开注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项。
对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。
于客户机,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。
6.合理管理Administrator
Windows2000/XP系统,系统安装后都会默认创建一个Administrator用户,它拥有计算机的最高管理权限。
而有的用户在安装时,根本没有给Administrator用户设置密码。
黑客就利用这一点,使用高级用户登录对方计算机。
因此,个人用户应该妥善保管“Administrator”用户信息,Windows2000登录时,要求输入Administrator用户的登录密码,而WindowsXP在正常启动后,是看不到Administrator用户的,建议使用WindowsXP的用户进入安全模式,再在“控制面板”的“用户账户”项里为Administrator用户添加密码,或者将其删除掉,以免留下隐患。
***************************************************************
安全设置系统策略及自带防火墙介绍
防火墙与杀毒软件一直是用户计算机中不可缺少的一部分,很多网民的网络安全全靠此两点在支撑,而如何用好杀毒软件、防火墙及策略的安全设置才是关键问题。
虽然普通的杀毒软件只需按默认设置再加入当前的用户安全理念即可开始工作,但是设置一个功能良好的安全策略却不是那么简单,尤其是计算机中自带的软件防火墙,如果不配备有力的策略支持,那么阻敌率只能占到7成左右。
使用现状
很显然在当今计算机木马病毒流行的时代,网络安全尤为重要。
高手对此却不屑一顾,依然在不安装杀软与防火墙的网络中“裸奔”,虽然高手们没有安装杀软与第三方防火墙,但其却用系统中自带的防火墙功能,构建策略将来敌抵御在警戒线之外。
很多门外汉一直以为windows防火墙并不可靠,其实那是因为不了解该防火墙策略是如何配制的,所以才无法让其发挥出因有的特性,以至于四方奔走到处求医问药来保护系统安全。
防火墙整体设置
对于普通网民与服务器管理人员来说,配置系统自带的防火墙安全策略与杀毒软件同等重要。
打开控制面板,在防火墙的普通设置中,用户可根据例外列表中的数据,对当前通往外界的程序是否于是放行,作出勾选,并可以在其中进行相应的编辑与添加程序和端口。
在高级选项中用户可以指定windows防火墙日志的配置,是否记录数据包的丢弃与成功连接并指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。
而由于icmp消息用于诊断、报告错误情况和配置的作用,用户可以在其设置项中自行设置,以达启用和禁用windows防火墙允许在高级选项卡上选择的所有连接传入的icmp消息的类型,而在默认情况下,该列表中不允许任何icmp消息。
设置好了以上项目后,即可启用该自带防火墙进行日常工作,并在其后建立下列软件策略。
软件限制策略
设置好此点可以保证在计算机中所运行软件的安全性。
首先在开始运行菜单中输入gpedit.msc调出组策略配置窗口,在其下的:
计算机安全配置-windows设置-安全设置-软件限制策略中的其它设置内,用户可以看到这里以配的四条软件策略,(小提示:
如果以前未设置过安全策略,那么在软件限制策略上右键新建策略后将会出现菜单)而这4条规则是正是为了保证Windows运行所必须的程序不会被禁用而配置的。
一、环境变量与优先级
随后用户可以在其它规则上右击,新建新路径规则,常用通配符有:
“*”和“?
”,*表示任意个字符,?
表示一个字符。
常见文件夹环境变量有(以下以XP默认装在C盘例举):
%SYSTEMDRIVE%表示C:
%ProgramFiles%表示C:
\ProgramFiles
%SYSTEMROOT%和%WINDIR%表示C:
\WINDOWS
%USERPROFILE%表示C:
\DocumentsandSettings\当前用户名
%ALLUSERSPROFILE%表示C:
\DocumentsandSettings\AllUsers
%APPDATA%表示C:
\DocumentsandSettings\当前用户名\ApplicationData
%TEMP%和%TMP%表示C:
\DocumentsandSettings\当前用户名\LocalSettings\Temp
用户在这里也可以指定要禁止运行的程序名,但要注意优先级问题,微软规定为:
绝对路径>使用通配符的路径>文件名。
以禁止病毒模仿系统文件svchost.exe运行为例,由于该系统文件位于system32文件夹下,是系统文件所以病毒不可能替换它。
伪装后的病毒文件将位于windows其他位目录下,此时可以通过建立两条策略即:
svchost.exe不允许的,%windir%\system32\svchost.exe不受限的,来禁止运行。
该配置是利用优先级中第二条使用绝对路径的规则优先级高于第一条基于文件名的路径关系,来达到让真正的系统文件运行,而病毒文件无法运行的效果。
二、禁止双扩展名与U盘运行文件
由于多数用户都使用XP的默认设置,包含系统隐藏已知扩展名的。
为了不被病毒多扩展名迷惑用户,这里需建立*.jpg.exe不允许和*.txt.exe不允许策略。
然后加入h:
\*.exe不允许,h\*.com不允许的两条,让U盘中的可执行文件无法启动。
(注:
这里笔者的U盘盘符为h盘)
三、禁止四地运行
目前潜入用户计算机中的病毒木马很多都会自行隐蔽行踪,从而躲开管理人员的目光。
这里要建立策略,防止木马从回收站、SystemVolumeInformation(系统还原文件夹)、C:
\WINDOWS\system文件夹、C:
\WINDOWS\system32\Drivers文件夹四地启动。
如下:
?
:
\Recycled\*.*不允许的
%windir%\system\*.*不允许的
%windir%\system32\Drivers\*.*不允许的
?
:
\SystemVolumeInformation\*.*不允许的
注:
使用*.*格式时不会屏蔽掉可执行程序以外的的程序,如:
txt、jpg等。
四、禁止伪装进程
随着病毒会自行将文件名改为与系统进程接近的名称时,如:
explorer.exe、sp00lsv.exe等,其大小写及O与0的问题让用户无法识别,所以这里需建立如下策略让其无法启动。
*.pif不允许
sp0olsv.exe不充许
spo0lsv.exe不充许
sp00lsv.exe不充许
svch0st.exe不充许
expl0rer.exe不允许
不允许
注:
有些病毒会用pif后缀,即explorer.pif.pif和exe、com,都属于可执行文件,并且在XP系统中默认的com的优先级要高于exe可执行程序,其后缀具有极强的隐蔽性。
如果用户在开启显视文件扩展名的情况下无法看到程序后缀时,即可以通过WinRAR或第三方浏览器进行查看。
端口组策略
当软件策略完成后,用户即可进入到最后一关,计算机端口策略的配置。
众所皆知,设置好端口策略很大程序中可以对入侵攻击及木马病毒常用端口起到阻止作用,设置过程也很简单,只分四步走如下:
第一步、依次打开:
控制面板-管理工具-本地安全策略-IP安全策略,在向导中下一步,填写安全策略名-安全通信请求,并将激活默认相应规则的钩去掉,点完成创建新的IP安全策略。
第二步、右击该IP安全策略,在属性对话框中,将使用添加向导左边的钩去掉,然后单击添加加入新规则,并在弹出的新规则属性对话框点击添加,在随后弹出的IP筛选器列表窗口中,把使用添加向导左边的钩去掉,然后添加新的筛选器。
第三步、进入筛选器属性对话框,在源地址中选择任何IP地址,目标地址选我的IP地址,点协议选项,在选择协议类型下拉表中选TCP,然后在到此端口下文本框中输入“XXXX”(XXXX为要关闭的端口号,如3389、139等),确定退出即可。
(注:
详细的关闭端口设置方案请用户根据端口列表大全及自身需求量身而定,端口列表可以各大搜索引擎中自行查找)
第四步、随后在新规则属性对话框中,选新IP筛选器列表,激活后点筛选器操作选项,将使用添加向导左边钩去掉,添加阻止操作,在新筛选器操作属性的安全措施选项里选阻止,确定即可回到新IP安全策略属性”对话框,在新的IP筛选器列表左边打钩,确定。
在本地安全策略窗口中右击鼠标指派刚才建立的IP安全策略即可。
***************************************************************
检查电脑是否被安装木马三个命令
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:
netstat-an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、localaddress(本地连接地址)、foreignaddress(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
二、禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。
但是别急,可以通过“netstart”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入“netstart”来查看服务,再用“netstopserver”来禁止服务。
三、轻松检查账户
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。
他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。
恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入netuser,查看计算机上有些什么用户,然后再使用“netuser+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!
如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。
快使用“netuser用户名/del”来删掉这个用户吧!
联网状态下的客户端。
对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。
不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下。
********************************************************
安全技巧:
找到电脑中隐藏的入侵黑手
平时使用电脑的时候也许会遇到这样的情况:
计算机突然死机,有时又自动重新启动,无端端的少了些文件,发现桌面刷新慢,没有运行什么大的程序,硬盘却在拼命的读写,系统也莫明其妙地对软驱进行搜索,杀毒软件和防火墙报警,发现系统的速度越来越慢,这时候你就要小心了。
第一时间反应(养成一个好的习惯往碗可以减少所受的损失):
用CTRL+ALT+DEL调出任务表,查看有什么程序在运行,如发现陌生的程序就要多加注意,一般来说,凡是在任务管理器上的程序都不会对系统的基本运行照成负面影响(注意:
这里说的是基本运行,先和大家说明白,关于这条我是在网络上关于这个研究的结果),所以大家可以关闭一些可疑的程序来看看,发现一些不正常的情况恢复了正常,那么就可以初步确定是中了木马了,发现有多个名字相同的程序在运行,而且可能会随时
升级会员 