由於現在家用電腦所使用的操作系統多數為WinXP 和Win2000 pro(建議還在使用98的朋友換換系統,連_blank>微軟都放棄了的系統你還用它幹嘛?)所以後面我將主要講一下關於這兩個操作系統的安全防範。
個人電腦一般的被入侵方式
談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:
(1) 被他人盜取密碼;
(2) 系統被_blank>木馬攻擊;
(3) 瀏覽網頁時被惡意的java scrpit程序攻擊;
(4) QQ被攻擊或洩漏訊息;
(5) 病毒感染;
(6) 系統存在漏洞使他人攻擊自己。
(7) _blank>黑客的惡意攻擊。
下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。
查本機共享資源
移除共享
移除ipc$空連接
帳號密碼的安全原則
關閉自己的139連接阜
445連接阜的關閉
3389的關閉
4899的防範
一般連接阜的介紹
如何檢視本地機開啟的連接阜和過濾
禁用服務
本機原則
本機安全原則
用戶權限分配原則
終端服務組態
用戶和群組原則
防止rpc漏洞
自己動手DIY在本機原則的安全性選項
工具介紹
避免被惡意程式碼 木馬等病毒攻擊
1.檢視本機共享資源
執行CMD輸入net share,如果看到有異常的共享,那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
2.移除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續移除)
3.移除ipc$空連接
在執行內輸入regedit,在_blank>註冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名稱RestrictAnonymous的數值資料由0改為1。
4.關閉自己的139連接阜,ipc和RPC漏洞存在於此。
關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」「WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139連接阜。
5.防止rpc漏洞
開啟系統管理工具——服務——找到RPC(Remote Procedure Call (RPC) Locator)服務——將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設定為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445連接阜的關閉
修改註冊表,增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為REG_DWORD檔案類型鍵值為0這樣就ok了。
7.3389的關閉
XP:我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。
Win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網路上有很多文章說在Win2000pro 開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。
8.4899的防範
網路上有許多關於3389和4899的入侵方法。4899其實是一個遠端控制軟體所開啟的服務端連接阜,由於這些控制軟體功能強大,所以經常被黑客用來控制自己的目標物,而且這類軟體一般不會被殺毒軟體查殺,比後門還要安全。
4899不像3389那樣,是系統原有的的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦並執行服務,才能達到控制的目的。
所以只要你的電腦做了基本的安全組態,黑客是很難通過4899來控制你的。
9、禁用服務
若PC沒有特殊用途,關於安全考慮,開啟控制台,進入系統管理工具——服務,關閉以下服務:
1.Alerter[通知選定的用戶和電腦管理警報]
2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共享]
3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠端電腦無法訪問共享
4.Distributed Link Tracking Server[適用區域網路分佈式連接]
6.Indexing Service[提供本機或遠端電腦上文件的索引內容和內容,洩露訊息]
7.Messenger[警報]
8.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶訊息收集]
9.Network DDE[為在同一台電腦或不同電腦上執行的程序提供動態資料交換]
10.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
11.Remote Desktop Help Session Manager[管理並控制遠端協助]
12.Remote Registry[使遠端電腦用戶修改本機註冊表]
13.Routing and Remote Access[在區域網路和廣域往提供路由服務.黑客理由路由服務刺探註冊訊息]
14.Server[支持此電腦通過網路的文件、列印、和命名管道共享]
15.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、列印和登入到網路]
16.Telnet[允許遠端用戶登入到此電腦並執行程序]
17.Terminal Services[允許用戶以交互方式連線到遠端電腦]
18.Window s Image Acquisition (WIA)[照相服務,套用與數碼攝像機]
如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序的服務端。
10、帳號密碼的安全原則
首先禁用guest帳號,將系統內建的administrator帳號改名∼∼(改的越複雜越好,最好改成中文的),然後設定一個密碼,最好是8位以上字母數位符號組合。 (讓那些該死的黑客慢慢猜去吧∼)
如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設定一個足夠安全的密碼,同上如果你設定adminstrator的密碼時,最好在安全模式下設定,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登入下的adminitrator帳號,因為即使有了這個帳號,同樣可以登入安全模式,將sam文件移除,從而更改系統的administrator的密碼!而在安全模式下設定的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼原則:用戶可以根據自己的習慣設定密碼,下面是我建議的設定(關於密碼安全性設定,我上面已經講了,這裡不再囉嗦了。
開啟系統管理工具.本機安全性設定.密碼原則
1.密碼必須符合複雜要求性.啟用
2.密碼最小值.我設定的是8
3.密碼最長使用期限.我是預設設定42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的_blank>加密來儲存於密碼 禁用
11、本機原則:
這個很重要,可以說明 我們發現那些心存叵測的人的一舉一動,還可以說明 我們將來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)
開啟系統管理工具
找到本機安全性設定.本機原則.稽核原則
1.稽核原則更改 成功失敗
2.稽核登入事件 成功失敗
3.稽核對像訪問 失敗
4.稽核跟蹤程序 無稽核
5.稽核目錄服務訪問 失敗
6.稽核特權使用 失敗
7.稽核系統事件 成功失敗
8.稽核帳戶登入時間 成功失敗
9.稽核帳戶管理 成功失敗
&nb sp;然後再到系統管理工具找到
事件檢視器
應用程式:右鍵>內容>設定日誌大小上限,我設定了50mb,選項不覆蓋事件
安全性:右鍵>內容>設定日誌大小上限,我也是設定了50mb,選項不覆蓋事件
系統:右鍵>內容>設定日誌大小上限,我都是設定了50mb,選項不覆蓋事件
12、本機安全原則:
開啟系統管理工具
找到本機安全性設定.本機原則.安全性選項
1.交互式登入.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登入的]
2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網路訪問.可匿名的共享 將後面的值移除
4.網路訪問.可匿名的命名管道 將後面的值移除
5.網路訪問.可遠端訪問的註冊表路徑 將後面的值移除
6.網路訪問.可遠端訪問的註冊表的子路徑 將後面的值移除
7.網路訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經詳細講過拉 )
13、用戶權限分配原則:
開啟系統管理工具
找到本機安全性設定.本機原則.用戶權限分配
1.從網路訪問電腦 裡面一般預設有5個用戶,除Admin外我們移除4個,當然,等下我們還得建一個屬於自己的ID
2.從遠端系統強制關機,Admin帳戶也移除,一個都不留
3.拒絕從網路訪問這台電腦 將ID移除
4.從網路訪問此電腦,Admin也可移除,如果你不使用類似3389服務
5.通過遠端強制關機。刪掉
14、終端服務組態
開啟系統管理工具
終端服務組態
1.開啟後,點連接,右鍵,內容,遠端控制,點不允許遠端控制
2.一般,加密等級,高,在使用標準Windows驗證上點√!
3.網路卡,將最多連接數上設定為0
4.進階,將裡面的權限也移除.[我沒設定]
再點伺服器設定,在Active Desktop上,設定禁用,且限制每個使用一個會話
15、用戶和群組原則
開啟系統管理工具
電腦管理.本機用戶和組.用戶;
移除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權限
電腦管理.本機用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本機原則的安全性選項
1)當登入時間用完時自動註銷用戶(本機) 防止黑客密碼滲透.
2)登入螢幕上不顯示上次登入名(遠端)如果開放3389服務,別人登入時,就不會殘留有你登入的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登入前關機[防止遠端關機/啟動、強制關機/啟動]
6)只有本機登入用戶才能訪問cd-rom
7)只有本機登入用戶才能訪問軟式磁碟機
8)取消關機原因的提示
A、開啟控制台視窗,雙按「電源選項」圖示,在隨後出現的電源內容視窗中,進入到「進階」標籤頁面;
B、在該頁面的「電源按鈕」設定項處,將「在按下電腦電源按鈕時」設定為「關機」,按下「確定」按鈕,來結束設定框;
C、以後需要關機時,可以直接按下電源按鍵,就能直接電腦關機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機;
D、要是系統中沒有啟用休眠模式的話,可以在控制台視窗中,開啟電源選項,進入到休眠標籤頁面,並在其中將「啟用休眠」選項選就可以了。
9)禁止關機事件跟蹤
開始「Start ->」執行「 Run ->輸入」gpedit.msc 「,在出現的視窗的左邊部分,選項 」電腦設定「(Computer Configuration )-> 」管理範本「(Administrative Templates)-> 」系統「(System),在右邊視窗雙按「Shutdown Event Tracker」 在出現的對話視窗中選項「禁止」(Disabled),點擊然後「確定」(OK)儲存後結束這樣,你將看到類似於Windows 2000的關機視窗
17、一般連接阜的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [衝擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[衝擊波]
彝DP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
藏鰫軂DP一般只有騰訊QQ會開啟4000或者是8000連接阜或者8080,那麼,我們只運 行本地機使用4000這幾個連接阜就行了
18、另外介紹一下如何檢視本地機開啟的連接阜和tcp\ip連接阜的過濾
開始--執行--cmd
輸入指令netstat -a
會看到例如(這是我的機器開放的連接阜)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025 yf001:0 LISTE
TCP (用戶名):1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
現在講講關於Windows的tcp/ip的過濾
控制台——網路和撥號連接——本機連接——INTERNET傳輸協定(tcp/ip)--內容--進階---選項-tcp/ip篩選--內容!!
然後增加需要的tcp 和UDP連接阜就可以了∼如果對連接阜不是很瞭解的話,不要輕易進行過濾,不然可能會導致一些程序無法使用。
19、關於瀏覽器
IE瀏覽器(或關於IE內核的瀏覽器)存在隱私問題,index.dat文件裡記錄著你上網的訊息。所以我推薦大家換一款其他內核瀏覽器。
現在炒的很熱的FireFox,就很不錯,如果你想打造一款屬於自己的個性化瀏覽器,那FireFox是首選。它有強大的增強設定功能!
還有傳說中那款最快的瀏覽器 Opera ,速度驚人,界面華麗,筆者正在使用。(就在3個小時前,OPERA公司10年慶祝送正式註冊碼,筆者申請了兩個,^_^)
當然,由於國內一些網頁並不是用WC3組織認證的標準HTML語言編寫,所以IE還是不能丟,留作備用。
處理IE隱私可以用:Webroot WindowWasher -- www.hanzify.org 上有正式版+漢化修正檔
Ccleaner -- GOOGLE一下,官方佔上有,多國語言的。
RAMDISK 用記憶體虛擬出一塊硬碟,將快取文件寫進去,不僅解決了隱私問題,理論上還能提高網速。(建議記憶體>=512M者使用)
20、最後一招,也是最關鍵的一招:安裝殺毒軟體與防火牆
殺毒軟體要看實力,絕對不能看廣告。筆者在霏凡的病毒區混了半年,把殺毒軟體幾乎也裝了個遍,以下是個人心得:
1:國產殺毒軟體:江民一出,誰與爭峰?KV的敗筆就是當年那個硬碟炸彈吧,哈哈。其實論實力,江民在國內絕對是一支獨秀。先進的殺毒引擎,較完整的病毒庫,
清除活體病毒能力強,殺殼能力強,可殺連環DLL,監控靈敏,占系統記憶體小。--宣告:我不是KV的槍手,因為國內的殺毒軟體公司普遍只會打廣告,應該BS一下。
DB2005都到了2005了才殺兩個殼?Rising的誤報天下第一,可是隨便下個毒包基本上沒有它報的(不信的去霏凡病毒區試試:bbs.crsky.com);費爾還不錯,
可是與KV比還有差距;光華雖然是主動昇級,但毒庫也不是很全。
2:國外殺毒軟體:百家爭鳴!
Kapersky:這款俄國的殺毒軟體在國內極度火熱,其擁有世界第一的毒庫,毒庫3小時一昇級,對系統提供最完善的保護。
McAfee:美國殺毒軟體,柔和而強勁的保護,適合有點資歷的用戶。規則指定得當,百毒不侵。
Norton: 唉!老了老了,對國內木馬簡直是白癡。本不想說它,可是又是國際三大殺毒軟體之一,唉!
NOD32:占資源超小,殺毒超快,監控靈敏,只是毒庫似乎有些不全。
BitDefender:羅馬尼亞不錯的殺毒軟體,能力平衡。
GData AntiVirusKit:真正的強悍!它用Kapersky+BitDefender的雙引擎,而且經最佳化處理,系統不會很卡。
F-Scure:竟然誇張到4引擎!不過除了Kapersky4.0的引擎,其他的很一般。雖然保護是很週到,但用它筆者覺得不如AVK(上一個)。
筆者建議:一般組態 KV2005 OR McAfee OR Kapersky OR GData AntiVirusKit;-組態稍好的可以用以上任一款(除KV2005)+ KV2004
老爺機組態 KV2004 OR NOD32
較好的機器 GData AntiVirusKit+KV2005 OR Kapersky+KV2005 OR McAfee+KV2005
防火牆,系統的最後一道防線。即使殺毒軟體再強大,一些最新變種的木馬仍能見縫插針。沒有防火牆,你的機器很可能成為Haker的代理伺服器,哈哈。還有,如果你的
系統有漏洞,Haker也會輕而易舉的Contral Your PC.
強大的防火牆推薦:Look 'n' Stop :世界測評第一。占記憶體超小。啟動超迅速。
ZoneAlarm :性力強大,功能很多,全面且穩定。
Tiny :這是一款專業到恐怖的防火牆,能力絕對強悍!適合較專業者使用。
天網:國內最強的了,只是和國外的比......
說一句,木馬專殺的東西幾乎沒用,因為那些根本沒有什麼先進的引擎。如果一定要,就用ewido吧,這個還可以。
個人電腦一般的被入侵方式
談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:
(1) 被他人盜取密碼;
(2) 系統被_blank>木馬攻擊;
(3) 瀏覽網頁時被惡意的java scrpit程序攻擊;
(4) QQ被攻擊或洩漏訊息;
(5) 病毒感染;
(6) 系統存在漏洞使他人攻擊自己。
(7) _blank>黑客的惡意攻擊。
下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。
查本機共享資源
移除共享
移除ipc$空連接
帳號密碼的安全原則
關閉自己的139連接阜
445連接阜的關閉
3389的關閉
4899的防範
一般連接阜的介紹
如何檢視本地機開啟的連接阜和過濾
禁用服務
本機原則
本機安全原則
用戶權限分配原則
終端服務組態
用戶和群組原則
防止rpc漏洞
自己動手DIY在本機原則的安全性選項
工具介紹
避免被惡意程式碼 木馬等病毒攻擊
1.檢視本機共享資源
執行CMD輸入net share,如果看到有異常的共享,那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了,那麼你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
2.移除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續移除)
3.移除ipc$空連接
在執行內輸入regedit,在_blank>註冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項裡數值名稱RestrictAnonymous的數值資料由0改為1。
4.關閉自己的139連接阜,ipc和RPC漏洞存在於此。
關閉139連接阜的方法是在「網路和撥號連接」中「本機連接」中選取「Internet傳輸協定(TCP/IP)」內容,進入「進階TCP/IP設定」「WinS設定」裡面有一項「禁用TCP/IP的NETBIOS」,打勾就關閉了139連接阜。
5.防止rpc漏洞
開啟系統管理工具——服務——找到RPC(Remote Procedure Call (RPC) Locator)服務——將故障恢復中的第一次失敗,第二次失敗,後續失敗,都設定為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445連接阜的關閉
修改註冊表,增加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的視窗建立一個SMBDeviceEnabled 為REG_DWORD檔案類型鍵值為0這樣就ok了。
7.3389的關閉
XP:我的電腦上點右鍵選內容-->遠端,將裡面的遠端協助和遠端桌面兩個選項框裡的勾去掉。
Win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網路上有很多文章說在Win2000pro 開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services服務項,選內容選項將啟動檔案類型改成手動,並停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。
8.4899的防範
網路上有許多關於3389和4899的入侵方法。4899其實是一個遠端控制軟體所開啟的服務端連接阜,由於這些控制軟體功能強大,所以經常被黑客用來控制自己的目標物,而且這類軟體一般不會被殺毒軟體查殺,比後門還要安全。
4899不像3389那樣,是系統原有的的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦並執行服務,才能達到控制的目的。
所以只要你的電腦做了基本的安全組態,黑客是很難通過4899來控制你的。
9、禁用服務
若PC沒有特殊用途,關於安全考慮,開啟控制台,進入系統管理工具——服務,關閉以下服務:
1.Alerter[通知選定的用戶和電腦管理警報]
2.ClipBook[啟用「剪貼簿檢視器」儲存訊息並與遠端電腦共享]
3.Distributed File System[將分散的文件共享合併成一個邏輯名稱,共享出去,關閉後遠端電腦無法訪問共享
4.Distributed Link Tracking Server[適用區域網路分佈式連接]
6.Indexing Service[提供本機或遠端電腦上文件的索引內容和內容,洩露訊息]
7.Messenger[警報]
8.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶訊息收集]
9.Network DDE[為在同一台電腦或不同電腦上執行的程序提供動態資料交換]
10.Network DDE DSDM[管理動態資料交換 (DDE) 網路共享]
11.Remote Desktop Help Session Manager[管理並控制遠端協助]
12.Remote Registry[使遠端電腦用戶修改本機註冊表]
13.Routing and Remote Access[在區域網路和廣域往提供路由服務.黑客理由路由服務刺探註冊訊息]
14.Server[支持此電腦通過網路的文件、列印、和命名管道共享]
15.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、列印和登入到網路]
16.Telnet[允許遠端用戶登入到此電腦並執行程序]
17.Terminal Services[允許用戶以交互方式連線到遠端電腦]
18.Window s Image Acquisition (WIA)[照相服務,套用與數碼攝像機]
如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序的服務端。
10、帳號密碼的安全原則
首先禁用guest帳號,將系統內建的administrator帳號改名∼∼(改的越複雜越好,最好改成中文的),然後設定一個密碼,最好是8位以上字母數位符號組合。 (讓那些該死的黑客慢慢猜去吧∼)
如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設定一個足夠安全的密碼,同上如果你設定adminstrator的密碼時,最好在安全模式下設定,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登入下的adminitrator帳號,因為即使有了這個帳號,同樣可以登入安全模式,將sam文件移除,從而更改系統的administrator的密碼!而在安全模式下設定的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼原則:用戶可以根據自己的習慣設定密碼,下面是我建議的設定(關於密碼安全性設定,我上面已經講了,這裡不再囉嗦了。
開啟系統管理工具.本機安全性設定.密碼原則
1.密碼必須符合複雜要求性.啟用
2.密碼最小值.我設定的是8
3.密碼最長使用期限.我是預設設定42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的_blank>加密來儲存於密碼 禁用
11、本機原則:
這個很重要,可以說明 我們發現那些心存叵測的人的一舉一動,還可以說明 我們將來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)
開啟系統管理工具
找到本機安全性設定.本機原則.稽核原則
1.稽核原則更改 成功失敗
2.稽核登入事件 成功失敗
3.稽核對像訪問 失敗
4.稽核跟蹤程序 無稽核
5.稽核目錄服務訪問 失敗
6.稽核特權使用 失敗
7.稽核系統事件 成功失敗
8.稽核帳戶登入時間 成功失敗
9.稽核帳戶管理 成功失敗
&nb sp;然後再到系統管理工具找到
事件檢視器
應用程式:右鍵>內容>設定日誌大小上限,我設定了50mb,選項不覆蓋事件
安全性:右鍵>內容>設定日誌大小上限,我也是設定了50mb,選項不覆蓋事件
系統:右鍵>內容>設定日誌大小上限,我都是設定了50mb,選項不覆蓋事件
12、本機安全原則:
開啟系統管理工具
找到本機安全性設定.本機原則.安全性選項
1.交互式登入.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登入的]
2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網路訪問.可匿名的共享 將後面的值移除
4.網路訪問.可匿名的命名管道 將後面的值移除
5.網路訪問.可遠端訪問的註冊表路徑 將後面的值移除
6.網路訪問.可遠端訪問的註冊表的子路徑 將後面的值移除
7.網路訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經詳細講過拉 )
13、用戶權限分配原則:
開啟系統管理工具
找到本機安全性設定.本機原則.用戶權限分配
1.從網路訪問電腦 裡面一般預設有5個用戶,除Admin外我們移除4個,當然,等下我們還得建一個屬於自己的ID
2.從遠端系統強制關機,Admin帳戶也移除,一個都不留
3.拒絕從網路訪問這台電腦 將ID移除
4.從網路訪問此電腦,Admin也可移除,如果你不使用類似3389服務
5.通過遠端強制關機。刪掉
14、終端服務組態
開啟系統管理工具
終端服務組態
1.開啟後,點連接,右鍵,內容,遠端控制,點不允許遠端控制
2.一般,加密等級,高,在使用標準Windows驗證上點√!
3.網路卡,將最多連接數上設定為0
4.進階,將裡面的權限也移除.[我沒設定]
再點伺服器設定,在Active Desktop上,設定禁用,且限制每個使用一個會話
15、用戶和群組原則
開啟系統管理工具
電腦管理.本機用戶和組.用戶;
移除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權限
電腦管理.本機用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本機原則的安全性選項
1)當登入時間用完時自動註銷用戶(本機) 防止黑客密碼滲透.
2)登入螢幕上不顯示上次登入名(遠端)如果開放3389服務,別人登入時,就不會殘留有你登入的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登入前關機[防止遠端關機/啟動、強制關機/啟動]
6)只有本機登入用戶才能訪問cd-rom
7)只有本機登入用戶才能訪問軟式磁碟機
8)取消關機原因的提示
A、開啟控制台視窗,雙按「電源選項」圖示,在隨後出現的電源內容視窗中,進入到「進階」標籤頁面;
B、在該頁面的「電源按鈕」設定項處,將「在按下電腦電源按鈕時」設定為「關機」,按下「確定」按鈕,來結束設定框;
C、以後需要關機時,可以直接按下電源按鍵,就能直接電腦關機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機;
D、要是系統中沒有啟用休眠模式的話,可以在控制台視窗中,開啟電源選項,進入到休眠標籤頁面,並在其中將「啟用休眠」選項選就可以了。
9)禁止關機事件跟蹤
開始「Start ->」執行「 Run ->輸入」gpedit.msc 「,在出現的視窗的左邊部分,選項 」電腦設定「(Computer Configuration )-> 」管理範本「(Administrative Templates)-> 」系統「(System),在右邊視窗雙按「Shutdown Event Tracker」 在出現的對話視窗中選項「禁止」(Disabled),點擊然後「確定」(OK)儲存後結束這樣,你將看到類似於Windows 2000的關機視窗
17、一般連接阜的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [衝擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[衝擊波]
彝DP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
藏鰫軂DP一般只有騰訊QQ會開啟4000或者是8000連接阜或者8080,那麼,我們只運 行本地機使用4000這幾個連接阜就行了
18、另外介紹一下如何檢視本地機開啟的連接阜和tcp\ip連接阜的過濾
開始--執行--cmd
輸入指令netstat -a
會看到例如(這是我的機器開放的連接阜)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025 yf001:0 LISTE
TCP (用戶名):1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
現在講講關於Windows的tcp/ip的過濾
控制台——網路和撥號連接——本機連接——INTERNET傳輸協定(tcp/ip)--內容--進階---選項-tcp/ip篩選--內容!!
然後增加需要的tcp 和UDP連接阜就可以了∼如果對連接阜不是很瞭解的話,不要輕易進行過濾,不然可能會導致一些程序無法使用。
19、關於瀏覽器
IE瀏覽器(或關於IE內核的瀏覽器)存在隱私問題,index.dat文件裡記錄著你上網的訊息。所以我推薦大家換一款其他內核瀏覽器。
現在炒的很熱的FireFox,就很不錯,如果你想打造一款屬於自己的個性化瀏覽器,那FireFox是首選。它有強大的增強設定功能!
還有傳說中那款最快的瀏覽器 Opera ,速度驚人,界面華麗,筆者正在使用。(就在3個小時前,OPERA公司10年慶祝送正式註冊碼,筆者申請了兩個,^_^)
當然,由於國內一些網頁並不是用WC3組織認證的標準HTML語言編寫,所以IE還是不能丟,留作備用。
處理IE隱私可以用:Webroot WindowWasher -- www.hanzify.org 上有正式版+漢化修正檔
Ccleaner -- GOOGLE一下,官方佔上有,多國語言的。
RAMDISK 用記憶體虛擬出一塊硬碟,將快取文件寫進去,不僅解決了隱私問題,理論上還能提高網速。(建議記憶體>=512M者使用)
20、最後一招,也是最關鍵的一招:安裝殺毒軟體與防火牆
殺毒軟體要看實力,絕對不能看廣告。筆者在霏凡的病毒區混了半年,把殺毒軟體幾乎也裝了個遍,以下是個人心得:
1:國產殺毒軟體:江民一出,誰與爭峰?KV的敗筆就是當年那個硬碟炸彈吧,哈哈。其實論實力,江民在國內絕對是一支獨秀。先進的殺毒引擎,較完整的病毒庫,
清除活體病毒能力強,殺殼能力強,可殺連環DLL,監控靈敏,占系統記憶體小。--宣告:我不是KV的槍手,因為國內的殺毒軟體公司普遍只會打廣告,應該BS一下。
DB2005都到了2005了才殺兩個殼?Rising的誤報天下第一,可是隨便下個毒包基本上沒有它報的(不信的去霏凡病毒區試試:bbs.crsky.com);費爾還不錯,
可是與KV比還有差距;光華雖然是主動昇級,但毒庫也不是很全。
2:國外殺毒軟體:百家爭鳴!
Kapersky:這款俄國的殺毒軟體在國內極度火熱,其擁有世界第一的毒庫,毒庫3小時一昇級,對系統提供最完善的保護。
McAfee:美國殺毒軟體,柔和而強勁的保護,適合有點資歷的用戶。規則指定得當,百毒不侵。
Norton: 唉!老了老了,對國內木馬簡直是白癡。本不想說它,可是又是國際三大殺毒軟體之一,唉!
NOD32:占資源超小,殺毒超快,監控靈敏,只是毒庫似乎有些不全。
BitDefender:羅馬尼亞不錯的殺毒軟體,能力平衡。
GData AntiVirusKit:真正的強悍!它用Kapersky+BitDefender的雙引擎,而且經最佳化處理,系統不會很卡。
F-Scure:竟然誇張到4引擎!不過除了Kapersky4.0的引擎,其他的很一般。雖然保護是很週到,但用它筆者覺得不如AVK(上一個)。
筆者建議:一般組態 KV2005 OR McAfee OR Kapersky OR GData AntiVirusKit;-組態稍好的可以用以上任一款(除KV2005)+ KV2004
老爺機組態 KV2004 OR NOD32
較好的機器 GData AntiVirusKit+KV2005 OR Kapersky+KV2005 OR McAfee+KV2005
防火牆,系統的最後一道防線。即使殺毒軟體再強大,一些最新變種的木馬仍能見縫插針。沒有防火牆,你的機器很可能成為Haker的代理伺服器,哈哈。還有,如果你的
系統有漏洞,Haker也會輕而易舉的Contral Your PC.
強大的防火牆推薦:Look 'n' Stop :世界測評第一。占記憶體超小。啟動超迅速。
ZoneAlarm :性力強大,功能很多,全面且穩定。
Tiny :這是一款專業到恐怖的防火牆,能力絕對強悍!適合較專業者使用。
天網:國內最強的了,只是和國外的比......
說一句,木馬專殺的東西幾乎沒用,因為那些根本沒有什麼先進的引擎。如果一定要,就用ewido吧,這個還可以。
