安全攻略 打造100%絕對安全個人電腦

細想一下，現在大多數人的電腦這隻未必安全，真好閑暇無事，特發此帖，希望對大家有所幫助！！！

    由於現在家用電腦所使用的操作系統多數為WinXP 和Win2000 pro（建議還在使用98的朋友換換系統，連_blank/>微軟都放棄了的系統你還用它幹嘛？）所以後面我將主要講一下基於這兩個操作系統的安全防範。


    個人電腦常見的被入侵方式


    談到個人上網時的安全，還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種：


    (1) 被他人盜取密碼；


    (2) 系統被_blank/>木馬攻擊；


    (3) 瀏覽網頁時被惡意的java scrpit程序攻擊；


    (4) QQ被攻擊或泄漏信息；


    (5) 病毒感染；


    (6) 系統存在漏洞使他人攻擊自己。


    (7) _blank/>黑客的惡意攻擊。


    下面我們就來看看通過什麼樣的手段來更有效的防範攻擊。


    查本地共享資源

    刪除共享

    刪除ipc$空連接

    賬號密碼的安全原則

    關閉自己的139埠

    445埠的關閉

    3389的關閉

    4899的防範

    常見埠的介紹

    如何查看本機打開的埠和過濾

    禁用服務

    本地策略

    本地安全策略

    用戶許可權分配策略

    終端服務配置

    用戶和組策略

    防止rpc漏洞

    自己動手DIY在本地策略的安全選項

    工具介紹

    避免被惡意代碼 木馬等病毒攻擊


    1.查看本地共享資源


    運行CMD輸入net share，如果看到有異常的共享，那麼應該關閉。但是有時你關閉共享下次開機的時候又出現了，那麼你應該考慮一下，你的機器是否已經被黑客所控制了，或者中了病毒。


    2.刪除共享(每次輸入一個）


    net share admin$ /delete

    net share c$ /delete

    net share d$ /delete（如果有e，f，……可以繼續刪除）


    3.刪除ipc$空連接


    在運行內輸入regedit，在_blank/>註冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項里數值名稱RestrictAnonymous的數值數據由0改為1。


    4.關閉自己的139埠，ipc和RPC漏洞存在於此。


    關閉139埠的方法是在「網路和撥號連接」中「本地連接」中選取「Internet協議(TCP/IP)」屬性，進入「高級TCP/IP設置」「WinS設置」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139埠。


    5．防止rpc漏洞


    打開管理工具——服務——找到RPC(Remote Procedure Call (RPC) Locator)服務——將故障恢復中的第一次失敗，第二次失敗，後續失敗，都設置為不操作。


    XP SP2和2000 pro sp4，均不存在該漏洞。


    6．445埠的關閉


    修改註冊表，添加一個鍵值

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 為REG_DWORD類型鍵值為0這樣就ok了。


    7．3389的關閉


    XP：我的電腦上點右鍵選屬性--/>遠程，將裡面的遠程協助和遠程桌面兩個選項框里的勾去掉。


    Win2000server 開始--/>程序--/>管理工具--/>服務里找到Terminal Services服務項，選中屬性選項將啟動類型改成手動，並停止該服務。（該方法在XP同樣適用）


    使用2000 pro的朋友注意，網路上有很多文章說在Win2000pro 開始--/>設置--/>控制面板--/>管理工具--/>服務里找到Terminal Services服務項，選中屬性選項將啟動類型改成手動，並停止該服務，可以關閉3389，其實在2000pro 中根本不存在Terminal Services。


    8．4899的防範


    網路上有許多關於3389和4899的入侵方法。4899其實是一個遠程控制軟體所開啟的服務端埠，由於這些控制軟體功能強大，所以經常被黑客用來控制自己的肉雞，而且這類軟體一般不會被殺毒軟體查殺，比後門還要安全。


    4899不象3389那樣，是系統自帶的服務。需要自己安裝，而且需要將服務端上傳到入侵的電腦並運行服務，才能達到控制的目的。


    所以只要你的電腦做了基本的安全配置，黑客是很難通過4899來控制你的。

    9、禁用服務


    若PC沒有特殊用途，基於安全考慮，打開控制面板，進入管理工具——服務，關閉以下服務：


    1.Alerter[通知選定的用戶和計算機管理警報]

    2.ClipBook[啟用「剪貼簿查看器」儲存信息並與遠程計算機共享]

    3.Distributed File System[將分散的文件共享合併成一個邏輯名稱，共享出去，關閉后遠程計算機無法訪問共享

    4.Distributed Link Tracking Server[適用區域網分散式鏈接]

    5.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性，泄露信息]

    6.Messenger[警報]

    7.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]

    8.Network DDE[為在同一台計算機或不同計算機上運行的程序提供動態數據交換]

    9.Network DDE DSDM[管理動態數據交換 (DDE) 網路共享]

    10.Remote Desktop Help Session Manager[管理並控制遠程協助]

    11.Remote Registry[使遠程計算機用戶修改本地註冊表]

    12.Routing and Remote Access[在區域網和廣域往提供路由服務.黑客理由路由服務刺探註冊信息]

    13.Server[支持此計算機通過網路的文件、列印、和命名管道共享]

    14.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、列印和登錄到網路]

    15.Telnet[允許遠程用戶登錄到此計算機並運行程序]

    16.Terminal Services[允許用戶以交互方式連接到遠程計算機]

    17.Window s Image Acquisition (WIA)[照相服務，應用與數碼攝象機]


    如果發現機器開啟了一些很奇怪的服務，如r_server這樣的服務，必須馬上停止該服務，因為這完全有可能是黑客使用控制程序的服務端。


    10、賬號密碼的安全原則


    首先禁用guest帳號，將系統內建的administrator帳號改名～～（改的越複雜越好，最好改成中文的），然後設置一個密碼，最好是8位以上字母數字元號組合。 (讓那些該死的黑客慢慢猜去吧～）


    如果你使用的是其他帳號，最好不要將其加進administrators，如果加入administrators組，一定也要設置一個足夠安全的密碼，同上如果你設置adminstrator的密碼時，最好在安全模式下設置，因為經我研究發現，在系統中擁有最高許可權的帳號，不是正常登陸下的adminitrator帳號，因為即使有了這個帳號，同樣可以登陸安全模式，將sam文件刪除，從而更改系統的administrator的密碼！而在安全模式下設置的administrator則不會出現這種情況，因為不知道這個administrator密碼是無法進入安全模式。許可權達到最大這個是密碼策略：用戶可以根據自己的習慣設置密碼，下面是我建議的設置（關於密碼安全設置，我上面已經講了，這裡不再羅嗦了。

　　

    打開管理工具.本地安全設置.密碼策略


    1.密碼必須符合複雜要求性.啟用

    2.密碼最小值.我設置的是8

    3.密碼最長使用期限.我是默認設置42天

    4.密碼最短使用期限0天

    5.強制密碼歷史 記住0個密碼

    6.用可還原的_blank/>加密來存儲密碼 禁用

　　

    11、本地策略:


    這個很重要，可以幫助我們發現那些心存叵測的人的一舉一動，還可以幫助我們將來追查黑客。


    (雖然一般黑客都會在走時會清除他在你電腦中留下的痕迹，不過也有一些不小心的)


    打開管理工具

　　

    找到本地安全設置.本地策略.審核策略


    1.審核策略更改 成功失敗

    2.審核登陸事件 成功失敗

    3.審核對象訪問 失敗

    4.審核跟蹤過程 無審核

    5.審核目錄服務訪問 失敗

    6.審核特權使用 失敗

    7.審核系統事件 成功失敗

    8.審核帳戶登陸時間 成功失敗

    9.審核帳戶管理 成功失敗

    &nb sp;然後再到管理工具找到

    事件查看器

    應用程序：右鍵/>屬性/>設置日誌大小上限，我設置了50mb，選擇不覆蓋事件

    安全性：右鍵/>屬性/>設置日誌大小上限，我也是設置了50mb，選擇不覆蓋事件

    系統：右鍵/>屬性/>設置日誌大小上限，我都是設置了50mb，選擇不覆蓋事件

    12、本地安全策略:


    打開管理工具

　　

    找到本地安全設置.本地策略.安全選項

　　　　

    1.互動式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要，? 但是我個人是不需要直接輸入密碼登陸的]

    2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用

    3.網路訪問.可匿名的共享 將後面的值刪除

    4.網路訪問.可匿名的命名管道 將後面的值刪除

    5.網路訪問.可遠程訪問的註冊表路徑 將後面的值刪除

    6.網路訪問.可遠程訪問的註冊表的子路徑 將後面的值刪除

    7.網路訪問.限制匿名訪問命名管道和共享

    8.帳戶.（前面已經詳細講過拉 ）


    13、用戶許可權分配策略:


    打開管理工具

　　

    找到本地安全設置.本地策略.用戶許可權分配

　　　　

    1.從網路訪問計算機 裡面一般默認有5個用戶，除Admin外我們刪除4個，當然，等下我們還得建一個屬於自己的ID

    2.從遠程系統強制關機，Admin帳戶也刪除，一個都不留　　　　

    3.拒絕從網路訪問這台計算機 將ID刪除

    4.從網路訪問此計算機，Admin也可刪除，如果你不使用類似3389服務

    5.通過遠端強制關機。刪掉


    14、終端服務配置


    打開管理工具

　　

    終端服務配置


    1.打開后，點連接，右鍵，屬性，遠程控制，點不允許遠程控制

    2.常規，加密級別，高，在使用標準Windows驗證上點√!

    3.網卡，將最多連接數上設置為0

    4.高級，將裡面的許可權也刪除.[我沒設置]

    再點伺服器設置，在Active Desktop上，設置禁用，且限制每個使用一個會話


    15、用戶和組策略


    打開管理工具


    計算機管理.本地用戶和組.用戶;


    刪除Support_388945a0用戶等等


    只留下你更改好名字的adminisrator許可權　　


    計算機管理.本地用戶和組.組

　　　　

    組.我們就不分組了，每必要把


    16、自己動手DIY在本地策略的安全選項

　　　　

    1）當登陸時間用完時自動註銷用戶(本地) 防止黑客密碼滲透.

    2）登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務，別人登陸時，就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.

    3）對匿名連接的額外限制

    4）禁止按 alt+CRTl +del(沒必要）

    5）允許在未登陸前關機[防止遠程關機/啟動、強制關機/啟動]

    6）只有本地登陸用戶才能訪問CD-ROM

    7）只有本地登陸用戶才能訪問軟碟機

    8）取消關機原因的提示


    A、打開控制面板窗口，雙擊「電源選項」圖標，在隨後出現的電源屬性窗口中，進入到「高級」標籤頁面；

    B、在該頁面的「電源按鈕」設置項處，將「在按下計算機電源按鈕時」設置為「關機」，單擊「確定」按鈕，來退出設置框；

    C、以後需要關機時，可以直接按下電源按鍵，就能直接關閉計算機了。當然，我們也能啟用休眠功能鍵，來實現快速關機和開機；

    D、要是系統中沒有啟用休眠模式的話，可以在控制面板窗口中，打開電源選項，進入到休眠標籤頁面，並在其中將「啟用休眠」選項選中就可以了。


    9）禁止關機事件跟蹤

開始「Start -/>」運行「 Run -/>輸入」gpedit.msc 「，在出現的窗口的左邊部分，選擇 」計算機配置「（Computer Configuration ）-/> 」管理模板「（Administrative Templates）-/> 」系統「（System），在右邊窗口雙擊「Shutdown Event Tracker」 在出現的對話框中選擇「禁止」（Disabled），點擊然後「確定」（OK）保存後退出這樣，你將看到類似於Windows 2000的關機窗口


    17、常見埠的介紹

　　　　　　　　　　　　

　　TCP

　　21　　 FTP

　　22　　 SSH

　　23　　 TELNET

　　25　　 TCP SMTP

　　53　　 TCP DNS

　　80　　 HTTP

　　135　　epmap

　　138　　[衝擊波]

　　139　　smb

　　445

　　1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b

　　1026 DCE/12345778-1234-abcd-ef00-0123456789ac

　　1433 TCP SQL SERVER

　　5631 TCP PCANYWHERE

　　5632 UDP PCANYWHERE

　　3389　　 Terminal Services

　　4444[衝擊波]

　

　　UDP

　　67[衝擊波]

　　137 netbios-ns

　　161 An SNMP Agent is running/ Default community names of the SNMP Agent


    關於UDP一般只有騰訊QQ會打開4000或者是8000埠或者8080，那麼，我們只運 行本機使用4000這幾個埠就行了

   18、另外介紹一下如何查看本機打開的埠和tcp\ip埠的過濾


    開始－－運行－－cmd


    輸入命令netstat -a


    會看到例如（這是我的機器開放的埠）


Proto Local Address　　　　Foreign Address　　　　State

TCP　　yf001:epmap yf001:0　　　　 LISTE

TCP　　yf001:1025 yf001:0 LISTE

TCP　　(用戶名）:1035　 yf001:0 LISTE

TCP　　yf001:netbios-ssn yf001:0　　　　 　 LISTE

UDP　　yf001:1129　　　　　　*:*

UDP　　yf001:1183　　　　　　*:*

UDP　　yf001:1396　　　　　　*:*

UDP　　yf001:1464　　　　　　*:*

UDP　　yf001:1466　　　　　　*:*

UDP　　yf001:4000　　　　　　*:*

UDP　　yf001:4002　　　　　　*:*

UDP　　yf001:6000　　　　　　*:*

UDP　　yf001:6001　　　　　　*:*

UDP　　yf001:6002　　　　　　*:*

UDP　　yf001:6003　　　　　　*:*

UDP　　yf001:6004　　　　　　*:*

UDP　　yf001:6005　　　　　　*:*

UDP　　yf001:6006　　　　　　*:*

UDP　　yf001:6007　　　　　　*:*

UDP　　yf001:1030　　　　　　*:*

UDP　　yf001:1048　　　　　　*:*

UDP　　yf001:1144　　　　　　*:*

UDP　　yf001:1226　　　　　　*:*

UDP　　yf001:1390　　　　　　*:*

UDP　　yf001:netbios-ns *:*

UDP　　yf001:netbios-dgm *:*

UDP　　yf001:isakmp *:*


    現在講講基於Windows的tcp/ip的過濾


    控制面板——網路和撥號連接——本地連接——INTERNET協議（tcp/ip)--屬性－－高級－－－選項－tcp/ip篩選－－屬性!!


    然後添加需要的tcp 和UDP埠就可以了～如果對埠不是很了解的話，不要輕易進行過濾，不然可能會導致一些程序無法使用。


    19、關於瀏覽器


    IE瀏覽器（或基於IE內核的瀏覽器）存在隱私問題，index.dat文件里記錄著你上網的信息。所以我推薦大家換一款其他內核瀏覽器。

    現在炒的很熱的FireFox，就很不錯，如果你想打造一款屬於自己的個性化瀏覽器，那FireFox是首選。它有強大的擴展定製功能！

    還有傳說中那款最快的瀏覽器 Opera ，速度驚人，界面華麗，筆者正在使用。（就在3個小時前，OPERA公司10年慶祝送正式註冊碼，筆者申請了兩個，^_^）


    當然，由於國內一些網頁並不是用WC3組織認證的標準HTML語言編寫，所以IE還是不能丟，留作備用。


    處理IE隱私可以用：Webroot WindowWasher -- www.hanzify.org 上有正式版+漢化補丁

    Ccleaner -- GOOGLE一下，官方占上有，多國語言的。

    RAMDISK 用內存虛擬出一塊硬碟，將緩存文件寫進去，不僅解決了隱私問題，理論上還能提高網速。（建議內存/>=512M者使用）


    20、最後一招，也是最關鍵的一招：安裝殺軟與防火牆

　　

    殺毒軟體要看實力，絕對不能看廣告。筆者在霏凡的病毒區混了半年，把殺軟幾乎也裝了個遍，以下是個人心得：


    1：國產殺軟：江民一出，誰與爭峰？KV的敗筆就是當年那個硬碟炸彈吧，呵呵。其實論實力，江民在國內絕對是一支獨秀。先進的殺毒引擎，較完整的病毒庫，

    清除活體病毒能力強，殺殼能力強，可殺連環DLL，監控靈敏，占系統內存小。－－聲明：我不是KV的槍手，因為國內的殺軟公司普遍只會打廣告，應該BS一下。

    DB2005都到了2005了才殺兩個殼？Rising的誤報天下第一，可是隨便下個毒包基本上沒有它報的（不信的去霏凡病毒區試試：bbs.crsky.com）；費爾還不錯，

    可是與KV比還有差距；光華雖然是主動升級，但毒庫也不是很全。


    2：國外殺軟：百家爭鳴！

    Kapersky：這款俄國的殺軟在國內極度火熱，其擁有世界第一的毒庫，毒庫3小時一升級，對系統提供最完善的保護。

McAfee：美國殺軟，柔和而強勁的保護，適合有點資歷的用戶。規則指定得當，百毒不侵。

Norton: 唉！老了老了，對國內木馬簡直是白痴。本不想說它，可是又是國際三大殺軟之一，唉！

NOD32：佔資源超小，殺毒超快，監控靈敏，只是毒庫似乎有些不全。

BitDefender：羅馬尼亞不錯的殺軟，能力平衡。

GData AntiVirusKit：真正的強悍！它用Kapersky+BitDefender的雙引擎，而且經優化處理，系統不會很卡。

F-Scure：竟然誇張到4引擎！不過除了Kapersky4.0的引擎，其他的很一般。雖然保護是很周到，但用它筆者覺得不如AVK（上一個）。


    筆者建議：一般配置 KV2005 OR McAfee OR Kapersky OR GData AntiVirusKit；－配置稍好的可以用以上任一款（除KV2005）+ KV2004

    老爺機配置 KV2004 OR NOD32

    較好的機器 GData AntiVirusKit+KV2005 OR Kapersky+KV2005 OR McAfee+KV2005


    防火牆，系統的最後一道防線。即使殺軟再強大，一些最新變種的木馬仍能見縫插針。沒有防火牆，你的機器很可能成為Haker的代理伺服器，呵呵。還有，如果你的

    系統有漏洞，Haker也會輕而易舉的Contral Your PC.

    強大的防火牆推薦：Look 'n' Stop ：世界測評第一。占內存超小。啟動超迅速。

    ZoneAlarm ：性力強大，功能很多，全面且穩定。

    Tiny ：這是一款專業到恐怖的防火牆，能力絕對強悍！適合較專業者使用。

    天網：國內最強的了，只是和國外的比......


    說一句，木馬專殺的東西幾乎沒用，因為那些根本沒有什麼先進的引擎。如果一定要，就用ewido吧，這個還可以。

介紹的很詳細,感謝樓主,我收下了

謝謝

學習了，介紹的很詳細。

頂！

感謝了

thanks

很實用

謝謝，

謝謝分享.

thanks