载入中....................... | |
载入中....................... | |
载入中....................... | |
载入中....................... | |
载入中....................... | |
载入中.......................
载入中....................... | |
| | |
|
【一、禁止默认共享和常见端口的关闭 tcp/ip的过滤 】 一般的系统当中是存在默认的共享的,我们需要手动关闭他 1.先察看本地共享资源 运行-cmd-输入net share 这是我现在电脑上的共享,我们还可以在图形界面查看
下面是删除共享,需要使用DOS命令 2.删除共享(每次输入一个) net share admin$ /delete net share c$ /delete net share d$ /delete(如果有e,f,……可以继续删除) 这样就可以删除了,依次把所有的删除就OK了
还有就是删除IPC$共享了,大家可以在注册表中完成,也可以使用注册表的导入功能,进行导入.
3.删除ipc$空连接 在运行内输入regedit 这是进来注册表的命令,也可以在SYSTEM32文件夹中找到 在注册表中找到 HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA 项里数值名称RestrictAnonymous的数值数据由0改为1. 我的电脑刚才已经是1了,如果说是0的话就需要改成1 退出就行了 以上也可以使用批处理现实或者使用注册表导入(附件中带有工具)
下面讲到的是一般常见端口的关闭 关闭本机不用的端口,这是防范木马的第一道防线。默认情况下Windows有很多 端口是开放的,在你上网的时候,木马、病毒和黑客就可以通过这些端口连上你的电脑,为了保护你的系统,应该封闭这些端口, 主要有:TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口以及远程服务访问端口3389。 其中137、138、139、445端口都是为共享而开的,是NetBios协议的应用, 你应该禁止别人共享你的机器,所以要把这些端口全部关闭 4.关闭自己的139端口,ipc和RPC漏洞存在于此.
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”
属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关
闭了139端口,禁止RPC漏洞. 这样就可以了 一般现在的XP以上cao作系统已经不存在这个漏洞了~~~
5.445端口的关闭
修改注册表,添加一个键值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为0这样就ok了。
6.3389的关闭
XP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。 这样就可以了 Win2000server 开始-->程序-->管理工具--/>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
7.4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
8、常见端口的介绍 TCP 21 FTP 22 SSH 23 TELNET 25 TCP SMTP 53 TCP DNS 80 HTTP 135 epmap 138 [冲击波] 139 smb 445 1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b 1026 DCE/12345778-1234-abcd-ef00-0123456789ac 1433 TCP SQL SERVER 5631 TCP PCANYWHERE 5632 UDP PCANYWHERE 3389 Terminal Services 4444[冲击波] UDP
关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080,那么,我们只运 行本机使用4000这几个端口就行了 9、另外介绍一下如何查看本机打开的端口和tcp/ip端口的过滤
开始--运行--cmd 刚才输入的查看关于netstat命令的所有参数,关于这些参数是可以组合起来使用的,比如A和N就可以一起 输入命令netstat -a 还有就是根据自己的实际情况组合不同的参数使用了
会看到例如(这是我的机器开放的端口) TCP qxp:epmap qxp:0 LISTENING TCP qxp:30606 qxp:0 LISTENING TCP qxp:30606 localhost:2191 TIME_WAIT TCP qxp:30606 localhost:2194 TIME_WAIT TCP qxp:2196 60.191.178.99:http TIME_WAIT TCP qxp:2197 60.191.178.99:http FIN_WAIT_1 TCP qxp:2198 60.191.178.99:http TIME_WAIT TCP qxp:2199 60.191.178.99:http TIME_WAIT TCP qxp:2200 60.191.178.99:http TIME_WAIT TCP qxp:2201 60.191.178.99:http TIME_WAIT TCP qxp:2202 89.202.157.215:http TIME_WAIT UDP qxp:isakmp *:* UDP qxp:1025 *:* UDP qxp:1026 *:* UDP qxp:1027 *:* UDP qxp:1028 *:* UDP qxp:1029 *:* UDP qxp:1030 *:* UDP qxp:4500 *:* UDP qxp:5354 *:* UDP qxp:5357 *:* UDP qxp:1900 *:* UDP qxp:2068 *:* UDP qxp:1900 *:* 9.基于Windows的tcp/ip的过滤
控制面板——网络和拨号连接——本地连接——INTERNET协议(tcp/ip)--属性--高级---选项-tcp/ip筛选--属性!!
然后添加需要的tcp 和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。 比如要添加23端口`~也就是telnet的~~这里是需要重新启动一次的
【二、设置服务项,和注册的远程连接】
1..服务策略: 控制面板→管理工具→服务 关闭以下服务: 也可以在DOS命令下完成~~~ 大家可以根据自己的需要关闭不同的服务
1.Alerter[通知选定的用户和计算机管理警报] 2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务] 5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 6.IMAPI CD-Burning COM Service[管理 CD 录制] 7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息] 8.Kerberos Key Distribution Center[授权协议登录网络] 9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止] 10.Messenger[警报] 11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集] 12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换] 13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享] 14.Print Spooler[打印机服务,没有打印机就禁止吧] 15.Remote Desktop Help Session Manager[管理并控制远程协助] 16.Remote Registry[使远程计算机用户修改本地注册表] 17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息] 18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符] 20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持 而使用户能够共享文件、打印和登录到网络] 21.Telnet[允许远程用户登录到此计算机并运行程序] 22.Terminal Services[允许用户以交互方式连接到远程计算机] 23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]
这里我也是使用批处理来达到目标
2.注册表 注册表的远程连接 注册表假如可以通过远程连接的话也是很麻烦的一件事,所以我们必须把注册表的远程连接关闭 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg]
"RemoteRegAccess"=dword:00000001
直接使用注册表导入 ------------------- 修改注册表防御D.D.O.S
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 更多新的防御技巧请搜索其他信息, 由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ... 这是从网上直接要来的,我也没有使用过`~~
【三、帐号、密码策略】
1..帐号策略: 一.打开管理工具.安全设置. 账户策略 密码策略
1.密码必须符合复杂要求性.启用 2.密码最小值.我设置的是10,也就是你系统密码的最少位数 3.密码最长使用期限.我是默认设置42天 4.密码最短使用期限0天 5.强制密码历史 记住0个密码 6.用可还原的加密来存储密码 禁用
2.本地策略:
打开管理工具 找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败 2.审核登陆事件 成功失败 3.审核对象访问 失败 4.审核跟踪过程 无审核 5.审核目录服务访问 失败 6.审核特权使用 失败 7.审核系统事件 成功失败 8.审核帐户登陆时间 成功失败 9.审核帐户管理 成功失败 然后再到管理工具找到 事件查看器
应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不改写事件 安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不改写事件 系统 右键 属性 设置日志大小上限 我都是设置了512000KB 选择不改写事件 把三个都设置好就行了 -------------------
3.安全策略:
打开管理工具 找到本地安全设置.本地策略.安全选项 1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的] 2.网络访问.不允许SAM帐户的匿名枚举 启用 3.网络访问.可匿名的共享 将后面的值删除 4.网络访问.可匿名的命名管道 将后面的值删除 5.网络访问.可远程访问的注册表路径 将后面的值删除 6.网络访问.可远程访问的注册表的子路径 将后面的值删除 7.网络访问.限制匿名访问命名管道和共享 8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释] 9.帐户.重命名系统管理员帐户[建议取中文名]
4.用户权限分配策略:
打开管理工具 找到本地安全设置.本地策略.用户权限分配 1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID 2.从远程系统强制关机,Admin帐户也删除,一个都不留 3.拒绝从网络访问这台计算机 将ID删除 4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务 5.通过终端允许登陆 删除Remote Desktop Users
5.计划.用户和组策略
打开管理工具
计算机管理.本地用户和组.用户 删除Support_388945a0用户等等 只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组 组.我们就不分了(不管他.默认设置)
6..DIY策略[根据个人需要] 这都是在组策略里面进行设置的,大家可以查找相关的选项进行了设置~~~
1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透. 2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧. 3.对匿名连接的额外限制 4.禁止按 alt+crtl+del 5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动] 6.只有本地登陆用户才能访问cd-rom 7.只有本地登陆用户才能访问软驱 8.取消关机原因的提示 1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面; 2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框; 3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机; 4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。 9.禁止关机事件跟踪 开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分, 选择 ”计算机配置“(Computer Configuration )-> ”管理模板“ (Administrative Templates)-> ”系统“(System),在右边窗口双击 “Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled), 点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口
【四、修改权限防止病毒或木马等破坏系统\文件加密[NTFS格式]】
winxp、windows2003以上版本适合本方法.
因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话 那么,它们就没有办法写在里面了.看命令
---------------------
A命令
cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录 大家可以禁止自己有需要的相应目录 cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录
呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全, 还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行
---------------------
B命令
cacls C: /G administrator:R 禁止修改、写入C盘 cacls C: /G administrator:F 恢复修改、写入C盘 这是要NTFS才可以的,我的现在是FAT32所以无法使用来禁止C盘 这个方法防止病毒,
| |
http://rywhw.lofter.com/post/1e5a84f4_c3d93a5 http://rywhw.lofter.com/post/1e5a84f4_c3d93a4 http://rywhw.lofter.com/post/1e5a84f4_c3d93a3 http://rywhw.lofter.com/post/1e5a84f4_c3d93a2 http://rywhw.lofter.com/post/1e5a84f4_c3d93a1 http://rywhw.lofter.com/post/1e5a84f4_c3d93a0 http://rywhw.lofter.com/post/1e5a84f4_c3d939f http://rywhw.lofter.com/post/1e5a84f4_c3d939e http://rywhw.lofter.com/post/1e5a84f4_c3d939d http://rywhw.lofter.com/post/1e5a84f4_c3d939c | |
原创(游客)发表评论于2016-9-6 17:36:01 ? 个人主页 | 引用 | 返回 | 删除 | 回复 | |
http://bjseoywj.lofter.com/post/1e66bf3e_c711618 http://wztgywj.lofter.com/post/1e65f473_c6ed3d7 http://seogsywj.lofter.com/post/1e634756_c6ddb28 http://bjseoywj.lofter.com/post/1e66bf3e_c70750a http://wztgywj.lofter.com/post/1e65f473_c6ed1f3 http://ywjseo.lofter.com/post/1e634752_c64fd59 http://seogsywj.lofter.com/post/1e634756_c6deace http://seogsywj.lofter.com/post/1e634756_c6ded37 http://seogsywj.lofter.com/post/1e634756_c6dea6f http://wztgywj.lofter.com/post/1e65f473_c6ed4a2 | |
原创(游客)发表评论于2016-9-28 17:07:53 ? 个人主页 | 引用 | 返回 | 删除 | 回复 | |
http://njryw168.lofter.com/post/1e6983e5_c7e8c1f http://rywywj.lofter.com/post/1e6a80c3_c82100e http://rywkdks.lofter.com/post/1e698063_c7f59e9 http://rywkdks.lofter.com/post/1e698063_c7eb426 http://rywydx.lofter.com/post/1e6a68e3_c8153de http://rywywj.lofter.com/post/1e6a80c3_c821082 http://rywywj.lofter.com/post/1e6a80c3_c822a19 http://rywkdks.lofter.com/post/1e698063_c7f72e4 http://rywkdks.lofter.com/post/1e698063_c7f83dd http://rywydx.lofter.com/post/1e6a68e3_c80d01c | |
原创(游客)发表评论于2016-9-30 11:45:52 ? 个人主页 | 引用 | 返回 | 删除 | 回复 | |
|
|