闪电联盟 - Powered by phpwind

离线frontside

UID: 9469

*

发帖: *

今日发帖

最后登录: 1970-01-01

只看楼主倒序阅读使用道具楼主发表于: 2009-07-06 20:37:04

自助获取论坛邀请码

个人计算机安全总结!

【一、禁止默认共享和常见端口的关闭  tcp/ip的过滤】
一般的系统当中是存在默认的共享的,我们需要手动关闭他
1.先察看本地共享资源
运行-cmd-输入net share
这是我现在电脑上的共享,我们还可以在图形界面查看

下面是删除共享,需要使用DOS命令
2.删除共享(每次输入一个）
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）
这样就可以删除了,依次把所有的删除就OK了

还有就是删除IPC$共享了,大家可以在注册表中完成,也可以使用注册表的导入功能,进行导入.

3.删除ipc$空连接
在运行内输入regedit  这是进来注册表的命令,也可以在SYSTEM32文件夹中找到
在注册表中找到  HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA
项里数值名称RestrictAnonymous的数值数据由0改为1.  我的电脑刚才已经是1了,如果说是0的话就需要改成1
退出就行了
以上也可以使用批处理现实或者使用注册表导入(附件中带有工具)

下面讲到的是一般常见端口的关闭
关闭本机不用的端口，这是防范木马的第一道防线。默认情况下Windows有很多
端口是开放的，在你上网的时候，木马、病毒和黑客就可以通过这些端口连上你的电脑，为了保护你的系统，应该封闭这些端口，
  主要有：TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口以及远程服务访问端口3389。
  其中137、138、139、445端口都是为共享而开的，是NetBios协议的应用，
你应该禁止别人共享你的机器，所以要把这些端口全部关闭
4.关闭自己的139端口,ipc和RPC漏洞存在于此.

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”

属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关

闭了139端口,禁止RPC漏洞.
这样就可以了
一般现在的XP以上操作系统已经不存在这个漏洞了~~~

5.445端口的关闭

   修改注册表，添加一个键值
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0这样就ok了。

6．3389的关闭

   XP：我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。
这样就可以了
   Win2000server 开始-->程序-->管理工具--/>服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）


7．4899的防范

   网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

   4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

8、常见端口的介绍
　　　　　　　　　　　　
　　TCP
　　21　　 FTP
　　22　　 SSH
　　23　　 TELNET
　　25　　 TCP SMTP
　　53　　 TCP DNS
　　80　　 HTTP
　　135　　epmap
　　138　　[冲击波]
　　139　　smb
　　445
　　1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
　　1026 DCE/12345778-1234-abcd-ef00-0123456789ac
　　1433 TCP SQL SERVER
　　5631 TCP PCANYWHERE
　　5632 UDP PCANYWHERE
　　3389　　 Terminal Services
　　4444[冲击波]
　
　　UDP
　

   关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080，那么，我们只运行本机使用4000这几个端口就行了
9、另外介绍一下如何查看本机打开的端口和tcp/ip端口的过滤

   开始－－运行－－cmd
刚才输入的查看关于netstat命令的所有参数,关于这些参数是可以组合起来使用的,比如A和N就可以一起

输入命令netstat -a
还有就是根据自己的实际情况组合不同的参数使用了

   会看到例如（这是我的机器开放的端口）
  TCP qxp:epmap             qxp:0                LISTENING
TCP qxp:30606             qxp:0                LISTENING
TCP qxp:30606             localhost:2191       TIME_WAIT
TCP qxp:30606             localhost:2194       TIME_WAIT
TCP qxp:2196             60.191.178.99:http TIME_WAIT
TCP qxp:2197             60.191.178.99:http FIN_WAIT_1
TCP qxp:2198             60.191.178.99:http TIME_WAIT
TCP qxp:2199             60.191.178.99:http TIME_WAIT
TCP qxp:2200             60.191.178.99:http TIME_WAIT
TCP qxp:2201             60.191.178.99:http TIME_WAIT
TCP qxp:2202             89.202.157.215:http TIME_WAIT
UDP qxp:isakmp          *:*
UDP qxp:1025             *:*
UDP qxp:1026             *:*
UDP qxp:1027             *:*
UDP qxp:1028             *:*
UDP qxp:1029             *:*
UDP qxp:1030             *:*
UDP qxp:4500             *:*
UDP qxp:5354             *:*
UDP qxp:5357             *:*
UDP qxp:1900             *:*
UDP qxp:2068             *:*
UDP qxp:1900             *:*
  9.基于Windows的tcp/ip的过滤

   控制面板——网络和拨号连接——本地连接——INTERNET协议（tcp/ip)--属性－－高级－－－选项－tcp/ip筛选－－属性!!

   然后添加需要的tcp 和UDP端口就可以了～如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。
比如要添加23端口`~也就是telnet的~~这里是需要重新启动一次的

  【二、设置服务项,和注册的远程连接】

1..服务策略：
  控制面板→管理工具→服务
关闭以下服务：
也可以在DOS命令下完成~~~
大家可以根据自己的需要关闭不同的服务

1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去，关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
  10.Messenger[警报]
  11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
  12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
  13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
  14.Print Spooler[打印机服务，没有打印机就禁止吧]
  15.Remote Desktop Help Session Manager[管理并控制远程协助]
  16.Remote Registry[使远程计算机用户修改本地注册表]
  17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
  18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
  19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
  20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
  21.Telnet[允许远程用户登录到此计算机并运行程序]
  22.Terminal Services[允许用户以交互方式连接到远程计算机]
  23.Windows Image Acquisition (WIA)[照相服务，应用与数码摄象机]

这里我也是使用批处理来达到目标

2.注册表
注册表的远程连接
注册表假如可以通过远程连接的话也是很麻烦的一件事,所以我们必须把注册表的远程连接关闭
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg]

"RemoteRegAccess"=dword:00000001

直接使用注册表导入
-------------------

修改注册表防御D.D.O.S

在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...
这是从网上直接要来的,我也没有使用过`~~

【三、帐号、密码策略】

1．.帐号策略：

一.打开管理工具.安全设置. 账户策略  密码策略

      1.密码必须符合复杂要求性.启用
      2.密码最小值.我设置的是10,也就是你系统密码的最少位数
      3.密码最长使用期限.我是默认设置42天
      4.密码最短使用期限0天
      5.强制密码历史记住0个密码
      6.用可还原的加密来存储密码禁用

2．本地策略:

打开管理工具

找到本地安全设置.本地策略.审核策略

      1.审核策略更改成功失败
      2.审核登陆事件成功失败
      3.审核对象访问失败
      4.审核跟踪过程无审核
      5.审核目录服务访问失败
      6.审核特权使用失败
      7.审核系统事件成功失败
      8.审核帐户登陆时间成功失败
      9.审核帐户管理成功失败
         然后再到管理工具找到
  事件查看器

      应用程序右键属性设置日志大小上限我设置了512000KB  选择不改写事件
      安全性右键属性设置日志大小上限我也是设置了512000KB 选择不改写事件
      系统右键属性设置日志大小上限我都是设置了512000KB  选择不改写事件
把三个都设置好就行了
-------------------

3．安全策略:

打开管理工具

找到本地安全设置.本地策略.安全选项

      1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
      2.网络访问.不允许SAM帐户的匿名枚举  启用
      3.网络访问.可匿名的共享将后面的值删除
      4.网络访问.可匿名的命名管道将后面的值删除
      5.网络访问.可远程访问的注册表路径将后面的值删除
      6.网络访问.可远程访问的注册表的子路径将后面的值删除
      7.网络访问.限制匿名访问命名管道和共享
      8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
      9.帐户.重命名系统管理员帐户[建议取中文名]

4．用户权限分配策略:

打开管理工具

找到本地安全设置.本地策略.用户权限分配

      1.从网络访问计算机里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
      2.从远程系统强制关机,Admin帐户也删除,一个都不留
      3.拒绝从网络访问这台计算机将ID删除
      4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
      5.通过终端允许登陆删除Remote Desktop Users


5．计划.用户和组策略

打开管理工具

计算机管理.本地用户和组.用户

      删除Support_388945a0用户等等
      只留下你更改好名字的adminisrator权限

计算机管理.本地用户和组.组

      组.我们就不分了(不管他.默认设置)

6．.DIY策略[根据个人需要]
      这都是在组策略里面进行设置的,大家可以查找相关的选项进行了设置~~~

      1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
      2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
      3.对匿名连接的额外限制
      4.禁止按 alt+crtl+del
      5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
      6.只有本地登陆用户才能访问cd-rom
      7.只有本地登陆用户才能访问软驱
      8.取消关机原因的提示
      1、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面；
      2、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框；
      3、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机；
      4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。
      9.禁止关机事件跟踪
            开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，
            选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“
            （Administrative Templates）-> ”系统“（System）,在右边窗口双击
            “Shutdown Event Tracker”  在出现的对话框中选择“禁止”（Disabled），
            点击然后“确定”（OK）保存后退出这样，你将看到类似于windows 2000的关机窗口

【四、修改权限防止病毒或木马等破坏系统\文件加密[NTFS格式]】

winxp、windows2003以上版本适合本方法.

因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令

---------------------

A命令

cacls C:windowssystem32 /G administrator:R  禁止修改、写入C:windowssystem32目录
大家可以禁止自己有需要的相应目录
cacls C:windowssystem32 /G administrator:F  恢复修改、写入C:windowssystem32目录

呵呵，这样病毒等就进不去了，如果你觉得这个还不够安全，
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限，但修改c修改、写入后，安装软件时需先把权限恢复过来才行

---------------------

B命令

cacls C: /G administrator:R  禁止修改、写入C盘
cacls C: /G administrator:F  恢复修改、写入C盘
这是要NTFS才可以的,我的现在是FAT32所以无法使用来禁止C盘
这个方法防止病毒，
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^

---------------------

X命令

  以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]

cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec  禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa  恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa  禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa  恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa  禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa  恢复网络用户、本地用户在命令行和gui下使用tftp32.exe

----------------------------------------

重要文件名加密[NTFS格式]
此命令的用途可加密windows的密码档,QQ密码档等等^.^

命令行方式
加密：在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名（或文件夹名）”。
解密：在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名（或文件夹名）”。
这里大家改动一下就可以了,我就不进行操作了,都是直接运行命令

----------------------------------------




【五、第三方软件的帮助和打补丁]】

安装杀软与防火墙,
杀毒软件要看实力，绝对不能看广告。
1：国产杀软：
费尔是免费的，具备特征码杀毒的技术，但在实时监控方面还不足，主要是稳定性上存在问题。

金山一直用的是购买的引擎，它在杀毒方面表现还不错，脱壳方面很一般，在自我保护方面就不行了。

江民在脱壳方面很不错，具备一定的防未知病毒的能力，杀毒上表现也过得去，自我保护仍嫌不足。

瑞星不太好评价，销量绝对老大，病毒库也出风头，实时防御看起来也很周到，但是在脱壳方面还是很差，于是它打了一张“虚拟机脱壳”的牌，看起来挺好，实际上是不是有这功能还得打个问号，反正我是没发现过它成功脱过几个强壳的。自我保护同样弱。

总的来说，我的推荐是江民。
2：国外杀软：百家争鸣！
Kapersky：这款俄国的杀软在国内极度火热，其拥有世界第一的毒库，毒库3小时一升级，对系统提供最完善的保护。
McAfee：美国杀软，柔和而强劲的保护，适合有点资历的用户。规则指定得当，百毒不侵。
Norton：唉！老了老了，对国内木马简直是白痴。本不想说它，可是又是国际三大杀软之一，唉！
NOD32：占资源超小，杀毒超快，监控灵敏，只是毒库似乎有些不全。
BitDefender：罗马尼亚不错的杀软，能力平衡。
GData AntiVirusKit：真正的强悍！它用Kapersky+BitDefender的双引擎，而且经优化处理，系统不会很卡。
   建议：一般配置的安装NOD32,可以的话搭配一款国产的,根据个人需要可能使用不同的来进行搭配使用,一般个人感觉两款杀毒软件一起搭配使用比较好一点.不过大家可以根据自己的实际情况,比较电脑配置低的话就不需要这样了,因为占用内存太多了,影响其他的操作和使用
防火墙，系统的最后一道防线。即使杀软再强大，一些最新变种的木马仍能见缝插针。没有防火墙，你的机器很可能成为Haker的代理服务器，呵呵。还有，如果你的系统有漏洞，Haker也会轻而易举的Contral Your PC.强大的防火墙推荐：Look 'n' Stop ：世界测评第一。占内存超小。启动超迅速。
ZoneAlarm ：性力强大，功能很多，全面且稳定。
Tiny ：这是一款专业到恐怖的防火墙，能力绝对强悍！适合较专业者使用。
天网：国内最强的了，只是和国外的比……
我现在使用的就是开网的~~,其他防火墙里面的很多参数我们都是可以修改的,比如有时出现一些常见的端口漏洞之类的都可以手动进行操作`~
  木马专杀的东西几乎没用，因为那些根本没有什么先进的引擎。如果一定要，就用ewido(国外的)或者360(国产的,很多人使用,最近一段时间还推出了免费的360杀毒,我试过一下,还是不错的一款杀毒软件)吧，这还可以。

还有就是要打系统的补丁了~~第一时间修补所有系统漏洞[打补丁]
很多网民一装了系统，就安装杀毒软件、防火墙、各类专杀工具，就是没有打补丁；还有就是什么都不安装，现代人时尚称为“裸机”[注明：裸机真正的含义是：以前没有真正的操作系统，类似于只有硬件的计算机那才是真正的裸机]。病毒主要是根据系统服务漏洞，从而感染，再传播的方式。
这里可以使用其他的软件进行检测帮助升级(360\瑞星安全小卫士\金山等都有这个功能)也可以在系统中升级,这就是连接到官方的升级,但是大家一般使用的XP都是~~~所以大家在连接到官方升级的时候,一定要到网上去找一个认自己的系统ID可以进行升级的,不过一般GHOST的版本都是已经做了这个功能的~~

共1条评分

惊鸿一剑

电魂 +5

继续努力,期待您的下篇杰作

2009-07-06