【一、禁止默认共享和常见端口的关闭 tcp/ip的过滤 】
一般的系统当中是存在默认的共享的,我们需要手动关闭他
1.先察看本地共享资源
运行-cmd-输入net share
这是我现在电脑上的共享,我们还可以在图形界面查看
下面是删除共享,需要使用DOS命令
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
这样就可以删除了,依次把所有的删除就OK了
还有就是删除IPC$共享了,大家可以在注册表中完成,也可以使用注册表的导入功能,进行导入.
3.删除ipc$空连接
在运行内输入regedit 这是进来注册表的命令,也可以在SYSTEM32文件夹中找到
在注册表中找到 HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA
项里数值名称RestrictAnonymous的数值数据由0改为1. 我的电脑刚才已经是1了,如果说是0的话就需要改成1
退出就行了
以上也可以使用批处理现实或者使用注册表导入(附件中带有工具)
下面讲到的是一般常见端口的关闭
关闭本机不用的端口,这是防范木马的第一道防线。默认情况下Windows有很多
端口是开放的,在你上网的时候,木马、病毒和黑客就可以通过这些端口连上你的电脑,为了保护你的系统,应该封闭这些端口,
主要有:TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口以及远程服务访问端口3389。
其中137、138、139、445端口都是为共享而开的,是NetBios协议的应用,
你应该禁止别人共享你的机器,所以要把这些端口全部关闭
4.关闭自己的139端口,ipc和RPC漏洞存在于此.
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”
属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关
闭了139端口,禁止RPC漏洞.
这样就可以了
一般现在的XP以上操作系统已经不存在这个漏洞了~~~
5.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0这样就ok了。
6.3389的关闭
XP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
这样就可以了
Win20xxserver 开始-->程序-->管理工具--/>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
7.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
8、常见端口的介绍
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[冲击波]
UDP
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了
9、另外介绍一下如何查看本机打开的端口和tcp/ip端口的过滤
开始--运行--cmd
刚才输入的查看关于netstat命令的所有参数,关于这些参数是可以组合起来使用的,比如A和N就可以一起
输入命令netstat -a
还有就是根据自己的实际情况组合不同的参数使用了
会看到例如(这是我的机器开放的端口)
TCP qxp:epmap qxp:0 LISTENING
TCP qxp:30606 qxp:0 LISTENING
TCP qxp:30606 localhost:2191 TIME_WAIT
TCP qxp:30606 localhost:2194 TIME_WAIT
TCP qxp:2196 60.191.178.99:http TIME_WAIT
TCP qxp:2197 60.191.178.99:http FIN_WAIT_1
TCP qxp:2198 60.191.178.99:http TIME_WAIT
TCP qxp:2199 60.191.178.99:http TIME_WAIT
TCP qxp:2200 60.191.178.99:http TIME_WAIT
TCP qxp:2201 60.191.178.99:http TIME_WAIT
TCP qxp:2202 89.202.157.215:http TIME_WAIT
UDP qxp:isakmp *:*
UDP qxp:1025 *:*
UDP qxp:1026 *:*
UDP qxp:1027 *:*
UDP qxp:1028 *:*
UDP qxp:1029 *:*
UDP qxp:1030 *:*
UDP qxp:4500 *:*
UDP qxp:5354 *:*
UDP qxp:5357 *:*
UDP qxp:1900 *:*
UDP qxp:2068 *:*
UDP qxp:1900 *:*
9.基于Windows的tcp/ip的过滤
控制面板——网络和拨号连接——本地连接——INTERNET协议(tcp/ip)--属性--高级---选项-tcp/ip筛选--属性!!
然后添加需要的tcp 和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
比如要添加23端口`~也就是telnet的~~这里是需要重新启动一次的
【二、设置服务项,和注册的远程连接】
1..服务策略:
控制面板→管理工具→服务
关闭以下服务:
也可以在DOS命令下完成~~~
大家可以根据自己的需要关闭不同的服务
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持 而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]
这里我也是使用批处理来达到目标
2.注册表
注册表的远程连接
注册表假如可以通过远程连接的话也是很麻烦的一件事,所以我们必须把注册表的远程连接关闭
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg]
"RemoteRegAccess"=dword:00000001
直接使用注册表导入
-------------------
修改注册表防御D.D.O.S
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...
这是从网上直接要来的,我也没有使用过`~~
【三、帐号、密码策略】
1..帐号策略:
一.打开管理工具.安全设置. 账户策略 密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是10,也就是你系统密码的最少位数
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
2.本地策略:
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
然后再到管理工具找到
事件查看器
应用程序 右键 属性 设置日志大小上限 我设置了5120xxKB 选择不改写事件
安全性 右键 属性 设置日志大小上限 我也是设置了5120xxKB 选择不改写事件
系统 右键 属性 设置日志大小上限 我都是设置了5120xxKB 选择不改写事件
把三个都设置好就行了
-------------------
3.安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
9.帐户.重命名系统管理员帐户[建议取中文名]
4.用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过终端允许登陆 删除Remote Desktop Users
5.计划.用户和组策略
打开管理工具
计算机管理.本地用户和组.用户
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不分了(不管他.默认设置)
6..DIY策略[根据个人需要]
这都是在组策略里面进行设置的,大家可以查找相关的选项进行了设置~~~
1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3.对匿名连接的额外限制
4.禁止按 alt+crtl+del
5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6.只有本地登陆用户才能访问cd-rom
7.只有本地登陆用户才能访问软驱
8.取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9.禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“
(Administrative Templates)-> ”系统“(System),在右边窗口双击
“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),
点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 20xx的关机窗口
【四、修改权限防止病毒或木马等破坏系统\文件加密[NTFS格式]】
winxp、windows20xx以上版本适合本方法.
因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令
---------------------
A命令
cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录
大家可以禁止自己有需要的相应目录
cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录
呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全,
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行
---------------------
B命令
cacls C: /G administrator:R 禁止修改、写入C盘
cacls C: /G administrator:F 恢复修改、写入C盘
这是要NTFS才可以的,我的现在是FAT32所以无法使用来禁止C盘
这个方法防止病毒,
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^
---------------------
X命令
以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe
----------------------------------------
重要文件名加密[NTFS格式]
此命令的用途可加密windows的密码档,QQ密码档等等^.^
命令行方式
加密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名(或文件夹名)”。
解密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名(或文件夹名)”。
这里大家改动一下就可以了,我就不进行操作了,都是直接运行命令
----------------------------------------
【五、第三方软件的帮助和打补丁]】
安装杀软与防火墙,
杀毒软件要看实力,绝对不能看广告。
1:国产杀软:
费尔是免费的,具备特征码杀毒的技术,但在实时监控方面还不足,主要是稳定性上存在问题。
金山一直用的是购买的引擎,它在杀毒方面表现还不错,脱壳方面很一般,在自我保护方面就不行了。
江民在脱壳方面很不错,具备一定的防未知病毒的能力,杀毒上表现也过得去,自我保护仍嫌不足。
瑞星不太好评价,销量绝对老大,病毒库也出风头,实时防御看起来也很周到,但是在脱壳方面还是很差,于是它打了一张“虚拟机脱壳”的牌,看起来挺好,实际上是不是有这功能还得打个问号,反正我是没发现过它成功脱过几个强壳的。自我保护同样弱。
总的来说,我的推荐是江民。
2:国外杀软:百家争鸣!
Kapersky:这款俄国的杀软在国内极度火热,其拥有世界第一的毒库,毒库3小时一升级,对系统提供最完善的保护。
McAfee:美国杀软,柔和而强劲的保护,适合有点资历的用户。规则指定得当,百毒不侵。
Norton: 唉!老了老了,对国内木马简直是白痴。本不想说它,可是又是国际三大杀软之一,唉!
NOD32:占资源超小,杀毒超快,监控灵敏,只是毒库似乎有些不全。
BitDefender:罗马尼亚不错的杀软,能力平衡。
GData AntiVirusKit:真正的强悍!它用Kapersky+BitDefender的双引擎,而且经优化处理,系统不会很卡。
建议:一般配置的安装NOD32,可以的话搭配一款国产的,根据个人需要可能使用不同的来进行搭配使用,一般个人感觉两款杀毒软件一起搭配使用比较好一点.不过大家可以根据自己的实际情况,比较电脑配置低的话就不需要这样了,因为占用内存太多了,影响其他的操作和使用
防火墙,系统的最后一道防线。即使杀软再强大,一些最新变种的木马仍能见缝插针。没有防火墙,你的机器很可能成为Haker的代理服务器,呵呵。还有,如果你的系统有漏洞,Haker也会轻而易举的Contral Your PC.强大的防火墙推荐:Look 'n' Stop :世界测评第一。占内存超小。启动超迅速。
ZoneAlarm :性力强大,功能很多,全面且稳定。
Tiny :这是一款专业到恐怖的防火墙,能力绝对强悍!适合较专业者使用。
天网:国内最强的了,只是和国外的比……
我现在使用的就是开网的~~,其他防火墙里面的很多参数我们都是可以修改的,比如有时出现一些常见的端口漏洞之类的都可以手动进行操作`~
木马专杀的东西几乎没用,因为那些根本没有什么先进的引擎。如果一定要,就用ewido(国外的)或者360(国产的,很多人使用,最近一段时间还推出了免费的360杀毒,我试过一下,还是不错的一款杀毒软件)吧,这还可以。
还有就是要打系统的补丁了~~第一时间修补所有系统漏洞[打补丁]
很多网民一装了系统,就安装杀毒软件、防火墙、各类专杀工具,就是没有打补丁;还有就是什么都不安装,现代人时尚称为“裸机”[注明:裸机真正的含义是:以前没有真正的操作系统,类似于只有硬件的计算机那才是真正的裸机]。病毒主要是根据系统服务漏洞,从而感染,再传播的方式。
这里可以使用其他的软件进行检测帮助升级(360\瑞星安全小卫士\金山等都有这个功能)也可以在系统中升级,这就是连接到官方的升级,但是大家一般使用的XP都是~~~所以大家在连接到官方升级的时候,一定要到网上去找一个认自己的系统ID可以进行升级的,不过一般GHOST的版本都是已经做了这个功能的~~
因篇幅问题不能全部显示,请点此查看更多更全内容