学习网络安全总结(经验)
个人电脑被黑的常见方式。
说到上网时的人身安全,我们先把大家可能遇到的问题分门别类。我们遇到的入侵方式大概包括以下几种:
(1)密码被他人盗用。
(2)系统是_blank/>特洛伊马遇袭。
(3)浏览网页时被恶意java scrpit程序攻击。
(4)QQ被攻击或信息泄露。
(5)病毒感染。
(6)制度有漏洞,让别人攻击自己。
(7)黑客的恶意攻击。
让我们来看看有哪些手段可以更有效地防止攻击。
查看当地资源* * *
删除* * *享受
删除ipc$空连接
账户密码的安全原则
关闭自己的端口139。
关闭端口445
3389收盘
4899的预防
常用端口介绍
如何查看本机开放的端口和过滤器?
禁用服务
本地策略
本地安全策略
用户权限分配策略
终端服务配置
用户和组策略
防止rpc漏洞
本地策略中的自助DIY安全选项
工具介绍
避免被恶意代码木马等病毒攻击。
1.查看当地* * *资源。
运行CMD并输入net share。如果看到异常享受,就应该关闭。但是有时候当你把* * *关了,下次再开的时候又乐在其中,那么你就要考虑你的机器是不是已经被黑客控制了,或者感染了病毒。
2.删除* * *享受(一次输入一个)
净份额管理费用/删除
净份额c美元/删除
净份额d $/删除(如果有E,F,...您可以继续删除)
3.删除ipc$空连接
在运行中输入regedit,在注册表中从0到1找到HKEY-local _ machine system current controla中数值名RestrictAnonymous的数值数据。
4.关闭自己的端口139,这里存在ipc和RPC漏洞。
关闭端口139的方法是在网络和拨号连接中的本地连接中选择互联网协议(TCP/IP)属性,进入高级TCP/IP设置和WinS设置,其中有一项“禁用TCP/IP的NETBIOS”,然后勾选关闭端口139。
5.防止rpc漏洞
打开管理工具-服务-找到RPC(远程过程调用(RPC)定位器)服务-将故障恢复中的第一次故障、第二次故障和后续故障设置为无操作。
Windows XP SP2和Windows 2000 pro sp4没有此漏洞。
6.445端口关闭
修改注册表,添加一个键值HKEY _本地_机器\系统\当前控制集\服务\ netbt \参数,在右边窗口创建一个SMBDeviceEnabled,类型为REG_DWORD,键值为0。仅此而已。
7.3389关闭
Windows XP:右键单击我的电脑,选择属性-/>远程,选中远程协助和远程桌面框。
Windows 2000 Server开始-/>程序-/>管理工具-/>终端服务服务项目可在服务中找到。选择属性选项将启动类型更改为手动并停止服务。(这个方法也适用于Windows XP。)
使用Windows 2000 pro的朋友们注意了,网上有很多文章说从Windows 2000 pro开始-/>设置-/>控制面板-/>管理工具-/>在服务中找到终端服务服务项,选择属性选项将启动类型改为手动,停止服务。可以关闭3389,但是2000pro没有终端服务。
8.4899预防
网络上有很多关于3389和4899的入侵方式。4899其实是远程控制软件打开的服务器端口。由于这些控制软件功能强大,经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门安全。
与3389不同,4899是系统自带的服务。需要自己安装,需要把服务器上传到入侵的电脑上,运行服务,达到控制的目的。
所以只要你的电脑配置了基本的安全,黑客很难通过4899控制你。
9.禁用该服务
如果PC没有特殊用途,出于安全原因,请打开控制面板,进入管理工具-服务,然后关闭以下服务:
(1)警报器[通知选定的用户和计算机管理警报]。
(2)剪贴簿[使剪贴簿查看器能够存储信息并与远程计算机共享]。
(3)分布式文件系统【将分散的文件组合成一个逻辑名,可以由* * * *共享,关闭后不能被远程计算机访问。
(4)分布式链路跟踪服务器[用于局域网分布式链路]。
(5)索引服务【提供本地或远程计算机上文件的索引内容和属性,泄露信息】。
(6)信使【警报】。
(7) NetMeeting远程桌面共享【NetMeeting公司留下的客户资料收集】。
(8)网络DDE[为运行在同一台计算机或不同计算机上的程序提供动态数据交换]。
(9)网络DDE DSDM[管理动态数据交换(DDE)网络* * *享受]。
(10)远程桌面帮助会话管理器。
(11)远程注册表[允许远程计算机用户修改本地注册表]。
(12)路由和远程访问[在局域网和广域网中提供路由服务。黑客窥探路由服务的注册信息】。
(13)服务器【支持本电脑通过网络享受文件、打印、命名管道】。
(14)TCP/IPNetBIOS Helper[在网络上的TCP/IP服务和客户端上提供NetBIOS名称解析支持,以便用户* * *享受文件、打印和登录网络]。
(15)Telnet[允许远程用户登录到此计算机并运行程序]。
(16)终端服务[允许用户以交互方式连接到远程计算机]。
(17) Window s图像采集(WIA)[摄影服务、应用程序和数码相机]。
如果发现机器启动了一些奇怪的服务,比如r_server,一定要马上停止服务,因为这完全有可能是黑客利用控制程序的服务器。
10,账户密码的安全原则
首先,禁用guest帐户,重命名系统内置的administrator帐户(越复杂越好),然后设置密码,最好是8个或更多字母数字符号的组合。
如果使用其他账号,最好不要添加到管理员。如果您加入管理员组,您还必须设置安全密码。同上,如果设置administrator的密码,最好设置为安全模式,因为经过我的研究发现,系统中权限最高的账号,并不是正常登录下的administrator账号,因为即使有这个账号,也可以登录安全模式,删除sam文件,从而更改系统管理员的密码!但是,这种情况不会发生在设置为安全模式的管理员身上,因为不知道这个管理员密码是不可能进入安全模式的。这就是密码策略:用户可以根据自己的习惯设置密码。以下是我建议的设置。
打开管理工具-本地安全设置-密码策略。
(1)密码必须满足复杂要求。启用。
(2)最小密码。我把它设置为8。
(3)密码的最大使用寿命。我的默认设置是42天。
(4)密码最短使用期限为0天。
(5)强制密码历史记忆0密码。
(6)使用可恢复加密来存储密码禁用。
11,当地政策
这个很重要,可以帮助我们发现那些别有用心的人的一举一动,也可以帮助我们以后追查黑客。(虽然大部分黑客离开的时候都会清除他在你电脑上留下的痕迹,但是也有一些粗心大意的。)
打开管理工具,找到本地安全设置-本地策略-审核策略。
(1)审计策略更改失败。
(2)审核登录事件失败。
(3)访问审计对象失败。
(4)审计跟踪过程中没有审计。
(5)审核目录服务访问失败。
(6)审计权限使用失败。
(7)审核系统事件失败成功。
(8)审核账户登录时间失败。
(9)审计账户管理失败。
然后转到管理工具,在这里找到事件查看器。
应用程序:右键单击/>;attribute/>;设置最大日志大小。我将其设置为50mb,并选择不覆盖该事件。
安全:右键单击/>;attribute/>;设置最大日志大小。我还设置了50mb,并选择不覆盖事件。
系统:右键单击/>;attribute/>;设置最大日志大小。我将其设置为50mb,并选择不覆盖该事件。
12,本地安全策略
打开管理工具,找到本地安全设置-本地策略-安全选项。
(1)互动登录。不需要按Ctrl+Alt+Del才能启用【根据个人需要,但我个人不需要直接输入密码登录】。
(2)网络接入。不允许启用SAM帐户的匿名枚举。
(3)网络接入。以下值可以匿名删除。
(4)网络接入。匿名命名管道可以删除下列值。
(5)网络接入。可远程访问的注册表路径将删除下列值。
(6)网络接入。可远程访问的注册表的子路径将删除下列值。
(7)网络接入。限制匿名访问命名管道和访问* * *。
(8)账户。(我已经详细讲过了)。
13,用户权限分配策略
打开管理工具,找到本地安全设置-本地策略-用户权限分配。
(1)一般默认有5个用户从网络访问电脑,我们删除除Admin以外的4个用户。当然,我们以后还要建立自己的ID。
(2)如果远程系统被强制关闭,Admin帐户也将被删除,一个也不剩。
(3)拒绝从网络访问该计算机,并删除ID。
(4)从网络上访问这台电脑,Admin也可以删除,如果不使用类似的3389服务。
(5)通过远程强制关机,删除。
14,终端服务配置,打开管理工具,终端服务配置
(1)打开后,点连接,右键,属性,远程控制不允许。
(2)一般,加密级别,高,点击√ on使用标准Windows身份验证!。
(3)网卡,设置最大连接数为0。
(4)高级,删除里面的权限。【不是我设置的】。
再次单击服务器设置。在Active Desktop上,将其设置为禁用和限制每个会话。
15,用户和组策略
打开管理工具,计算机管理-本地用户和组-用户;
删除Support_388945a0用户等等,只留下管理员权限来更改您的姓名。
计算机管理-本地用户和组-组
团体。我们不会被分组,没有必要。
16,本地策略中的DIY安全选项
(1)登录时间用完自动注销用户(本地),防止黑客密码渗透。
(2)最后的登录名称不显示在登录屏幕上(远程)。如果你开通了3389服务,别人登录的时候,你的登录用户名不会保留。让他猜猜你的用户名。
(3)对匿名连接的附加限制。
(4)禁止按alt+crtl +del(不必要)。
(5)允许在登录前关机【防止远程关机/启动和强制关机/启动】。
(6)只有本地登录用户才能访问光盘。
(7)只有本地登录用户才能访问软盘驱动器。
(8)取消关机原因提示。
A.打开控制面板窗口,双击“电源选项”图标,在随后的电源属性窗口中进入“高级”标签页;
b、在该页面“电源按钮”的设置项中,将“按下电脑电源按钮时”设置为“关机”,点击“确定”退出设置框;
C.以后需要关机的时候,可以直接按电源键关机。当然,我们也可以启用睡眠功能键,实现快速关机和启动;
D.如果系统中没有启用休眠模式,可以打开控制面板窗口中的电源选项,进入休眠选项卡页面,在这里可以选择“启用休眠”选项。
(9)禁止跟踪停机事件。
开始"开始-/> "运行"运行-/>;输入“gpedit.msc ”,然后在出现的窗口左侧选择“电脑配置”-/>。管理模板”(管理模板)-/>“系统,双击右边窗口的关机事件跟踪器,在出现的对话框中选择禁用,点击确定,保存并退出,会看到一个类似Windows 2000的关机窗口。
17,通用端口介绍
传输控制协议(Transmission Control Protocol)
21 FTP
22嘘
23远程登录
25 TCP SMTP
53 TCP DNS
80 HTTP
135电子地图
138[冲击波]
139中小企业
445
1025 DCE/1ff 70682-0a 51-30e 8-076d-740 be 8ce 98 b
1026 DCE/12345778-1234-ABCD-ef00-0123456789 AC
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389终端服务
4444[冲击波]
用户数据报协议(User Datagram Protocol)
67【冲击波】
137 netbios-ns
161 SNMP代理正在运行/SNMP代理的默认团体名称
关于UDP,只有腾讯QQ会开4000或者8000或者8080,所以我们只需要运行这台机器,使用4000端口。
18.另外,介绍一下如何检查本机开放的端口以及TCP\IP端口的过滤。
开始-运行-cmd,输入命令netstat -a,你会看到,比如(这是我机器的开放端口)。
原始本地地址外部地址状态
TCP YF 001:epmap YF 001:0 LISTE
TCP YF 001:1025 YF 001:0列表
TCP(用户名):1035 yf001:0 LISTE
TCP YF 001:NetBIOS-SSN YF 001:0 LISTE
UDP YF 001:1129 *:*
UDP YF 001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP YF 001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
现在来说说基于Windows的TCP/IP的过滤。
控制面板-网络和拨号连接-本地连接-互联网协议(TCP/IP)-属性-高级-选项-TCP/IP过滤-属性。然后添加所需的tcp和UDP端口。如果不是很了解端口,就不要轻易过滤,否则有些程序可能无法使用。
19,关于浏览器
IE浏览器(或者基于IE内核的浏览器)存在隐私问题,index.dat文件记录了你上网的信息。所以我建议你换一个内核浏览器。现在很流行的火狐很好。如果你想打造一款属于自己的个性化浏览器,火狐是首选。它具有强大的扩展定制功能!还有传说中最快的浏览器Opera,速度惊人,界面华丽。
当然,因为国内有些网页不是用WC3组织认证的标准HTML语言编写的,IE不能丢,所以保留。可以用Webroot WindowWasher处理IE隐私。
RAMDISK利用内存创建一个虚拟硬盘,并将缓存文件写入其中,不仅解决了隐私问题,理论上还提高了网速。
20、最后一招,也是最关键的一招:安装软件和防火墙。(编辑:李磊)