网络时代的到来,使得计算机软件的作用发挥得淋漓尽致。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。然后添加需要的tcp和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
【一、禁止默认共享和常见端口的关闭tcp/ip的过滤】
一般的系统当中是存在默认的共享的,我们需要手动关闭他
1.先察看本地共享资源
运行-cmd-输入netshare
这是我现在电脑上的共享,我们还可以在图形界面查看
下面是删除共享,需要使用DOS命令
2.删除共享(每次输入一个)
netshareadmin$/delete
netsharec$/delete
netshared$/delete(如果有e,f,……可以继续删除)
这样就可以删除了,依次把所有的删除就OK了
还有就是删除IPC$共享了,大家可以在注册表中完成,也可以使用注册表的导入功能,进行导入.
3.删除ipc$空连接
在运行内输入regedit这是进来注册表的命令,也可以在SYSTEM32文件夹中找到
在注册表中找到HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA
项里数值名称RestrictAnonymous的数值数据由0改为1.我的电脑刚才已经是1了,如果说是0的话就需要改成1
退出就行了
以上也可以使用批处理现实或者使用注册表导入(附件中带有工具)
下面讲到的是一般常见端口的关闭
关闭本机不用的端口,这是防范木马的第一道防线。默认情况下Windows有很多
端口是开放的,在你上网的时候,木马、病毒和黑客就可以通过这些端口连上你的电脑,为了保护你的系统,应该封闭这些端口,
主要有:TCP139、445、593、1025端口和UDP123、137、138、445、1900端口以及远程服务访问端口3389。
其中137、138、139、445端口都是为共享而开的,是NetBios协议的应用,
你应该禁止别人共享你的机器,所以要把这些端口全部关闭
.关闭自己的139端口,ipc和RPC漏洞存在于此.
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”
属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关
闭了139端口,禁止RPC漏洞.
这样就可以了
一般现在的XP以上操作系统已经不存在这个漏洞了~~~
5.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled为REG_DWORD类型键值为0这样就ok了。
6.3389的关闭
XP:我的电脑上点右键选属性--远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
这样就可以了
Win2000server开始--程序--管理工具--/服务里找到TerminalServices服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
7.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
8、常见端口的介绍
TCP
21FTP
22SSH
23TELNET
25TCPSMTP
53TCPDNS
80HTTP
135epmap
138[冲击波]
139smb
45
1025DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026DCE/12345778-1234-abcd-ef00-0123456789ac
1433TCPSQLSERVER
5631TCPPCANYWHERE
5632UDPPCANYWHERE
3389TerminalServices
444[冲击波]
UDP
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运行本机使用4000这几个端口就行了
9、另外介绍一下如何查看本机打开的端口和tcp/ip端口的过滤
开始--运行--cmd
刚才输入的查看关于netstat命令的所有参数,关于这些参数是可以组合起来使用的,比如A和N就可以一起
输入命令netstat-a
还有就是根据自己的实际情况组合不同的参数使用了
会看到例如(这是我的机器开放的端口)
TCPqxp:epmapqxp:0LISTENING
TCPqxp:30606qxp:0LISTENING
TCPqxp:30606localhost:2191TIME_WAIT
TCPqxp:30606localhost:2194TIME_WAIT
TCPqxp:219660.191.178.99:httpTIME_WAIT
TCPqxp:219760.191.178.99:httpFIN_WAIT_1
TCPqxp:219860.191.178.99:httpTIME_WAIT
TCPqxp:219960.191.178.99:httpTIME_WAIT
TCPqxp:220060.191.178.99:httpTIME_WAIT
TCPqxp:220160.191.178.99:httpTIME_WAIT
TCPqxp:220289.202.157.215:httpTIME_WAIT
UDPqxp:isakmp*:*
UDPqxp:1025*:*
UDPqxp:1026*:*
UDPqxp:1027*:*
UDPqxp:1028*:*
UDPqxp:1029*:*
UDPqxp:1030*:*
UDPqxp:4500*:*
UDPqxp:5354*:*
UDPqxp:5357*:*
UDPqxp:1900*:*
UDPqxp:2068*:*
UDPqxp:1900*:*
9.基于Windows的tcp/ip的过滤
控制面板——网络和拨号连接——本地连接——INTERNET协议(tcp/ip)--属性--高级---选项-tcp/ip筛选--属性!!
然后添加需要的tcp和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
比如要添加23端口`~也就是telnet的~~这里是需要重新启动一次的
【二、设置服务项,和注册的远程连接】
1..服务策略:
控制面板→管理工具→服务
关闭以下服务:
也可以在DOS命令下完成~~~
大家可以根据自己的需要关闭不同的服务
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.DistributedFileSystem[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
.DistributedLinkTrackingServer[适用局域网分布式链接跟踪客户端服务]
5.HumanInterfaceDeviceAccess[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPICD-BurningCOMService[管理CD录制]
7.IndexingService[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.KerberosKeyDistributionCenter[授权协议登录网络]
9.LicenseLogging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeetingRemoteDesktopSharing[netmeeting公司留下的客户信息收集]
12.NetworkDDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.NetworkDDEDSDM[管理动态数据交换(DDE)网络共享]
14.PrintSpooler[打印机服务,没有打印机就禁止吧]
15.RemoteDesktopHelpSessionManager[管理并控制远程协助]
16.RemoteRegistry[使远程计算机用户修改本地注册表]
17.RoutingandRemoteAccess[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.SpecialAdministrationConsoleHelper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOSHelper[提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.TerminalServices[允许用户以交互方式连接到远程计算机]
23.WindowsImageAcquisition(WIA)[照相服务,应用与数码摄象机]
这里我也是使用批处理来达到目标
2.注册表
注册表的远程连接
注册表假如可以通过远程连接的话也是很麻烦的一件事,所以我们必须把注册表的远程连接关闭
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg]
"RemoteRegAccess"=dword:00000001
直接使用注册表导入
-------------------
修改注册表防御D.D.O.S
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtectREG_DWORD2
EnablePMTUDiscoveryREG_DWORD0
NoNameReleaseOnDemandREG_DWORD1
EnableDeadGWDetectREG_DWORD0
KeepAliveTimeREG_DWORD300,000
PerformRouterDiscoveryREG_DWORD0
EnableICMPRedirectsREG_DWORD0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验......
这是从网上直接要来的,我也没有使用过`~~
【三、帐号、密码策略】
1..帐号策略:
一.打开管理工具.安全设置.账户策略密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是10,也就是你系统密码的最少位数
3.密码最长使用期限.我是默认设置42天
.密码最短使用期限0天
5.强制密码历史记住0个密码
6.用可还原的加密来存储密码禁用
2.本地策略:
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改成功失败
2.审核登陆事件成功失败
3.审核对象访问失败
.审核跟踪过程无审核
5.审核目录服务访问失败
6.审核特权使用失败
7.审核系统事件成功失败
8.审核帐户登陆时间成功失败
9.审核帐户管理成功失败
然后再到管理工具找到
事件查看器
应用程序右键属性设置日志大小上限我设置了512000KB选择不改写事件
安全性右键属性设置日志大小上限我也是设置了512000KB选择不改写事件
系统右键属性设置日志大小上限我都是设置了512000KB选择不改写事件
把三个都设置好就行了
-------------------
3.安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按Ctrl+Alt+Del启用[根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举启用
3.网络访问.可匿名的共享将后面的值删除
.网络访问.可匿名的命名管道将后面的值删除
5.网络访问.可远程访问的注册表路径将后面的值删除
6.网络访问.可远程访问的注册表的子路径将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.重命名来宾帐户guest[最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
9.帐户.重命名系统管理员帐户[建议取中文名]
.用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机将ID删除
.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过终端允许登陆删除RemoteDesktopUsers
5.计划.用户和组策略
打开管理工具
计算机管理.本地用户和组.用户
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不分了(不管他.默认设置)
6..DIY策略[根据个人需要]
这都是在组策略里面进行设置的,大家可以查找相关的选项进行了设置~~~
1.当登陆时间用完时自动注销用户(本地)防止黑客密码渗透.
2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3.对匿名连接的额外限制
.禁止按alt+crtl+del
5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6.只有本地登陆用户才能访问cd-rom
7.只有本地登陆用户才能访问软驱
8.取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9.禁止关机事件跟踪
开始“Start-”运行“Run-输入”gpedit.msc“,在出现的窗口的左边部分,
选择”计算机配置“(ComputerConfiguration)-”管理模板“
(AdministrativeTemplates)-”系统“(System),在右边窗口双击
“ShutdownEventTracker”在出现的对话框中选择“禁止”(Disabled),
点击然后“确定”(OK)保存后退出这样,你将看到类似于windows2000的关机窗口
【四、修改权限防止病毒或木马等破坏系统\文件加密[NTFS格式]】
winxp、windows2003以上版本适合本方法.
因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令
---------------------
A命令
caclsC:windowssystem32/Gadministrator:R禁止修改、写入C:windowssystem32目录
大家可以禁止自己有需要的相应目录
caclsC:windowssystem32/Gadministrator:F恢复修改、写入C:windowssystem32目录
呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全,
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行
---------------------
B命令
caclsC:/Gadministrator:R禁止修改、写入C盘
caclsC:/Gadministrator:F恢复修改、写入C盘
这是要NTFS才可以的,我的现在是FAT32所以无法使用来禁止C盘
这个方法防止病毒,
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^
---------------------
X命令
以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]
cacls%SystemRoot%system32cmd.exe/E/DIUSR_ComSpec禁止网络用户、本地用户在命令行和gui下使用cmd
cacls%SystemRoot%system32cmd.exe/E/DIUSR_Lsa恢复网络用户、本地用户在命令行和gui下使用cmd
cacls%SystemRoot%system32tftp.exe/E/DIUSR_Lsa禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls%SystemRoot%system32tftp.exe/E/DIUSR_Lsa恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls%SystemRoot%system32tftp32.exe/E/DIUSR_Lsa禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls%SystemRoot%system32tftp32.exe/E/DIUSR_Lsa恢复网络用户、本地用户在命令行和gui下使用tftp32.exe
----------------------------------------
重要文件名加密[NTFS格式]
此命令的用途可加密windows的密码档,QQ密码档等等^.^
命令行方式
加密:在DOS窗口或“开始”|“运行”的命令行中输入“cipher/e文件名(或文件夹名)”。
解密:在DOS窗口或“开始”|“运行”的命令行中输入“cipher/d文件名(或文件夹名)”。
这里大家改动一下就可以了,我就不进行操作了,都是直接运行命令
----------------------------------------
【五、第三方软件的帮助和打补丁]】
安装杀软与防火墙,
杀毒软件要看实力,绝对不能看广告。
1:国产杀软:
费尔是免费的,具备特征码杀毒的技术,但在实时监控方面还不足,主要是稳定性上存在问题。
金山一直用的是购买的引擎,它在杀毒方面表现还不错,脱壳方面很一般,在自我保护方面就不行了。
江民在脱壳方面很不错,具备一定的防未知病毒的能力,杀毒上表现也过得去,自我保护仍嫌不足。
瑞星不太好评价,销量绝对老大,病毒库也出风头,实时防御看起来也很周到,但是在脱壳方面还是很差,于是它打了一张“虚拟机脱壳”的牌,看起来挺好,实际上是不是有这功能还得打个问号,反正我是没发现过它成功脱过几个强壳的。自我保护同样弱。
总的来说,我的推荐是江民。
2:国外杀软:百家争鸣!
Kapersky:这款俄国的杀软在国内极度火热,其拥有世界第一的毒库,毒库3小时一升级,对系统提供最完善的保护。
McAfee:美国杀软,柔和而强劲的保护,适合有点资历的用户。规则指定得当,百毒不侵。
Norton:唉!老了老了,对国内木马简直是白痴。本不想说它,可是又是国际三大杀软之一,唉!
NOD32:占资源超小,杀毒超快,监控灵敏,只是毒库似乎有些不全。
BitDefender:罗马尼亚不错的杀软,能力平衡。
GDataAntiVirusKit:真正的强悍!它用Kapersky+BitDefender的双引擎,而且经优化处理,系统不会很卡。
建议:一般配置的安装NOD32,可以的话搭配一款国产的,根据个人需要可能使用不同的来进行搭配使用,一般个人感觉两款杀毒软件一起搭配使用比较好一点.不过大家可以根据自己的实际情况,比较电脑配置低的话就不需要这样了,因为占用内存太多了,影响其他的操作和使用
防火墙,系统的最后一道防线。即使杀软再强大,一些最新变种的木马仍能见缝插针。没有防火墙,你的机器很可能成为Haker的代理服务器,呵呵。还有,如果你的系统有漏洞,Haker也会轻而易举的ContralYourPC.强大的防火墙推荐:Look'n'Stop:世界测评第一。占内存超小。启动超迅速。
ZoneAlarm:性力强大,功能很多,全面且稳定。
Tiny:这是一款专业到恐怖的防火墙,能力绝对强悍!适合较专业者使用。
天网:国内最强的了,只是和国外的比……
我现在使用的就是开网的~~,其他防火墙里面的很多参数我们都是可以修改的,比如有时出现一些常见的端口漏洞之类的都可以手动进行操作`~
木马专杀的东西几乎没用,因为那些根本没有什么先进的引擎。如果一定要,就用ewido(国外的)或者360(国产的,很多人使用,最近一段时间还推出了免费的360杀毒,我试过一下,还是不错的一款杀毒软件)吧,这还可以。
还有就是要打系统的补丁了~~第一时间修补所有系统漏洞[打补丁]
很多网民一装了系统,就安装杀毒软件、防火墙、各类专杀工具,就是没有打补丁;还有就是什么都不安装,现代人时尚称为“裸机”[注明:裸机真正的含义是:以前没有真正的操作系统,类似于只有硬件的计算机那才是真正的裸机]。病毒主要是根据系统服务漏洞,从而感染,再传播的方式。
这里可以使用其他的软件进行检测帮助升级(360\瑞星安全小卫士\金山等都有这个功能)也可以在系统中升级,这就是连接到官方的升级,但是大家一般使用的XP都是~~~所以大家在连接到官方升级的时候,一定要到网上去找一个认自己的系统ID可以进行升级的,不过一般GHOST的版本都是已经做了这个功能的~~