個人電腦被黑的常見方式。
說到上網時的人身安全,我們先把大家可能遇到的問題分門別類。我們遇到的入侵方式大概包括以下幾種:
(1)密碼被他人盜用。
(2)系統是_blank/>特洛伊馬遇襲。
(3)瀏覽網頁時被惡意java scrpit程序攻擊。
(4)QQ被攻擊或信息泄露。
(5)病毒感染。
(6)制度有漏洞,讓別人攻擊自己。
(7)黑客的惡意攻擊。
讓我們來看看有哪些手段可以更有效地防止攻擊。
查看當地資源* * *
刪除* * *享受
刪除ipc$空連接
賬戶密碼的安全原則
關閉自己的端口139。
關閉端口445
3389收盤
4899的預防
常用端口介紹
如何查看本機開放的端口和過濾器?
禁用服務
本地策略
本地安全策略
用戶權限分配策略
終端服務配置
用戶和組策略
防止rpc漏洞
本地策略中的自助DIY安全選項
工具介紹
避免被惡意代碼木馬等病毒攻擊。
1.查看當地* * *資源。
運行CMD並輸入net share。如果看到異常享受,就應該關閉。但是有時候當妳把* * *關了,下次再開的時候又樂在其中,那麽妳就要考慮妳的機器是不是已經被黑客控制了,或者感染了病毒。
2.刪除* * *享受(壹次輸入壹個)
凈份額管理費用/刪除
凈份額c美元/刪除
凈份額d $/刪除(如果有E,F,...您可以繼續刪除)
3.刪除ipc$空連接
在運行中輸入regedit,在註冊表中從0到1找到HKEY-local _ machine system current controla中數值名RestrictAnonymous的數值數據。
4.關閉自己的端口139,這裏存在ipc和RPC漏洞。
關閉端口139的方法是在網絡和撥號連接中的本地連接中選擇互聯網協議(TCP/IP)屬性,進入高級TCP/IP設置和WinS設置,其中有壹項“禁用TCP/IP的NETBIOS”,然後勾選關閉端口139。
5.防止rpc漏洞
打開管理工具-服務-找到RPC(遠程過程調用(RPC)定位器)服務-將故障恢復中的第壹次故障、第二次故障和後續故障設置為無操作。
Windows XP SP2和Windows 2000 pro sp4沒有此漏洞。
6.445端口關閉
修改註冊表,添加壹個鍵值HKEY _本地_機器\系統\當前控制集\服務\ netbt \參數,在右邊窗口創建壹個SMBDeviceEnabled,類型為REG_DWORD,鍵值為0。僅此而已。
7.3389關閉
Windows XP:右鍵單擊我的電腦,選擇屬性-/>遠程,選中遠程協助和遠程桌面框。
Windows 2000 Server開始-/>程序-/>管理工具-/>終端服務服務項目可在服務中找到。選擇屬性選項將啟動類型更改為手動並停止服務。(這個方法也適用於Windows XP。)
使用Windows 2000 pro的朋友們註意了,網上有很多文章說從Windows 2000 pro開始-/>設置-/>控制面板-/>管理工具-/>在服務中找到終端服務服務項,選擇屬性選項將啟動類型改為手動,停止服務。可以關閉3389,但是2000pro沒有終端服務。
8.4899預防
網絡上有很多關於3389和4899的入侵方式。4899其實是遠程控制軟件打開的服務器端口。由於這些控制軟件功能強大,經常被黑客用來控制自己的肉雞,而且這類軟件壹般不會被殺毒軟件查殺,比後門安全。
與3389不同,4899是系統自帶的服務。需要自己安裝,需要把服務器上傳到入侵的電腦上,運行服務,達到控制的目的。
所以只要妳的電腦配置了基本的安全,黑客很難通過4899控制妳。
9.禁用該服務
如果PC沒有特殊用途,出於安全原因,請打開控制面板,進入管理工具-服務,然後關閉以下服務:
(1)警報器[通知選定的用戶和計算機管理警報]。
(2)剪貼簿[使剪貼簿查看器能夠存儲信息並與遠程計算機共享]。
(3)分布式文件系統【將分散的文件組合成壹個邏輯名,可以由* * * *共享,關閉後不能被遠程計算機訪問。
(4)分布式鏈路跟蹤服務器[用於局域網分布式鏈路]。
(5)索引服務【提供本地或遠程計算機上文件的索引內容和屬性,泄露信息】。
(6)信使【警報】。
(7) NetMeeting遠程桌面共享【NetMeeting公司留下的客戶資料收集】。
(8)網絡DDE[為運行在同壹臺計算機或不同計算機上的程序提供動態數據交換]。
(9)網絡DDE DSDM[管理動態數據交換(DDE)網絡* * *享受]。
(10)遠程桌面幫助會話管理器。
(11)遠程註冊表[允許遠程計算機用戶修改本地註冊表]。
(12)路由和遠程訪問[在局域網和廣域網中提供路由服務。黑客窺探路由服務的註冊信息】。
(13)服務器【支持本電腦通過網絡享受文件、打印、命名管道】。
(14)TCP/IPNetBIOS Helper[在網絡上的TCP/IP服務和客戶端上提供NetBIOS名稱解析支持,以便用戶* * *享受文件、打印和登錄網絡]。
(15)Telnet[允許遠程用戶登錄到此計算機並運行程序]。
(16)終端服務[允許用戶以交互方式連接到遠程計算機]。
(17) Window s圖像采集(WIA)[攝影服務、應用程序和數碼相機]。
如果發現機器啟動了壹些奇怪的服務,比如r_server,壹定要馬上停止服務,因為這完全有可能是黑客利用控制程序的服務器。
10,賬戶密碼的安全原則
首先,禁用guest帳戶,重命名系統內置的administrator帳戶(越復雜越好),然後設置密碼,最好是8個或更多字母數字符號的組合。
如果使用其他賬號,最好不要添加到管理員。如果您加入管理員組,您還必須設置安全密碼。同上,如果設置administrator的密碼,最好設置為安全模式,因為經過我的研究發現,系統中權限最高的賬號,並不是正常登錄下的administrator賬號,因為即使有這個賬號,也可以登錄安全模式,刪除sam文件,從而更改系統管理員的密碼!但是,這種情況不會發生在設置為安全模式的管理員身上,因為不知道這個管理員密碼是不可能進入安全模式的。這就是密碼策略:用戶可以根據自己的習慣設置密碼。以下是我建議的設置。
打開管理工具-本地安全設置-密碼策略。
(1)密碼必須滿足復雜要求。啟用。
(2)最小密碼。我把它設置為8。
(3)密碼的最大使用壽命。我的默認設置是42天。
(4)密碼最短使用期限為0天。
(5)強制密碼歷史記憶0密碼。
(6)使用可恢復加密來存儲密碼禁用。
11,當地政策
這個很重要,可以幫助我們發現那些別有用心的人的壹舉壹動,也可以幫助我們以後追查黑客。(雖然大部分黑客離開的時候都會清除他在妳電腦上留下的痕跡,但是也有壹些粗心大意的。)
打開管理工具,找到本地安全設置-本地策略-審核策略。
(1)審計策略更改失敗。
(2)審核登錄事件失敗。
(3)訪問審計對象失敗。
(4)審計跟蹤過程中沒有審計。
(5)審核目錄服務訪問失敗。
(6)審計權限使用失敗。
(7)審核系統事件失敗成功。
(8)審核賬戶登錄時間失敗。
(9)審計賬戶管理失敗。
然後轉到管理工具,在這裏找到事件查看器。
應用程序:右鍵單擊/>;attribute/>;設置最大日誌大小。我將其設置為50mb,並選擇不覆蓋該事件。
安全:右鍵單擊/>;attribute/>;設置最大日誌大小。我還設置了50mb,並選擇不覆蓋事件。
系統:右鍵單擊/>;attribute/>;設置最大日誌大小。我將其設置為50mb,並選擇不覆蓋該事件。
12,本地安全策略
打開管理工具,找到本地安全設置-本地策略-安全選項。
(1)互動登錄。不需要按Ctrl+Alt+Del才能啟用【根據個人需要,但我個人不需要直接輸入密碼登錄】。
(2)網絡接入。不允許啟用SAM帳戶的匿名枚舉。
(3)網絡接入。以下值可以匿名刪除。
(4)網絡接入。匿名命名管道可以刪除下列值。
(5)網絡接入。可遠程訪問的註冊表路徑將刪除下列值。
(6)網絡接入。可遠程訪問的註冊表的子路徑將刪除下列值。
(7)網絡接入。限制匿名訪問命名管道和訪問* * *。
(8)賬戶。(我已經詳細講過了)。
13,用戶權限分配策略
打開管理工具,找到本地安全設置-本地策略-用戶權限分配。
(1)壹般默認有5個用戶從網絡訪問電腦,我們刪除除Admin以外的4個用戶。當然,我們以後還要建立自己的ID。
(2)如果遠程系統被強制關閉,Admin帳戶也將被刪除,壹個也不剩。
(3)拒絕從網絡訪問該計算機,並刪除ID。
(4)從網絡上訪問這臺電腦,Admin也可以刪除,如果不使用類似的3389服務。
(5)通過遠程強制關機,刪除。
14,終端服務配置,打開管理工具,終端服務配置
(1)打開後,點連接,右鍵,屬性,遠程控制不允許。
(2)壹般,加密級別,高,點擊√ on使用標準Windows身份驗證!。
(3)網卡,設置最大連接數為0。
(4)高級,刪除裏面的權限。【不是我設置的】。
再次單擊服務器設置。在Active Desktop上,將其設置為禁用和限制每個會話。
15,用戶和組策略
打開管理工具,計算機管理-本地用戶和組-用戶;
刪除Support_388945a0用戶等等,只留下管理員權限來更改您的姓名。
計算機管理-本地用戶和組-組
團體。我們不會被分組,沒有必要。
16,本地策略中的DIY安全選項
(1)登錄時間用完自動註銷用戶(本地),防止黑客密碼滲透。
(2)最後的登錄名稱不顯示在登錄屏幕上(遠程)。如果妳開通了3389服務,別人登錄的時候,妳的登錄用戶名不會保留。讓他猜猜妳的用戶名。
(3)對匿名連接的附加限制。
(4)禁止按alt+crtl +del(不必要)。
(5)允許在登錄前關機【防止遠程關機/啟動和強制關機/啟動】。
(6)只有本地登錄用戶才能訪問光盤。
(7)只有本地登錄用戶才能訪問軟盤驅動器。
(8)取消關機原因提示。
A.打開控制面板窗口,雙擊“電源選項”圖標,在隨後的電源屬性窗口中進入“高級”標簽頁;
b、在該頁面“電源按鈕”的設置項中,將“按下電腦電源按鈕時”設置為“關機”,點擊“確定”退出設置框;
C.以後需要關機的時候,可以直接按電源鍵關機。當然,我們也可以啟用睡眠功能鍵,實現快速關機和啟動;
D.如果系統中沒有啟用休眠模式,可以打開控制面板窗口中的電源選項,進入休眠選項卡頁面,在這裏可以選擇“啟用休眠”選項。
(9)禁止跟蹤停機事件。
開始"開始-/> "運行"運行-/>;輸入“gpedit.msc ”,然後在出現的窗口左側選擇“電腦配置”-/>。管理模板”(管理模板)-/>“系統,雙擊右邊窗口的關機事件跟蹤器,在出現的對話框中選擇禁用,點擊確定,保存並退出,會看到壹個類似Windows 2000的關機窗口。
17,通用端口介紹
傳輸控制協議(Transmission Control Protocol)
21 FTP
22噓
23遠程登錄
25 TCP SMTP
53 TCP DNS
80 HTTP
135電子地圖
138[沖擊波]
139中小企業
445
1025 DCE/1ff 70682-0a 51-30e 8-076d-740 be 8ce 98 b
1026 DCE/12345778-1234-ABCD-ef00-0123456789 AC
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389終端服務
4444[沖擊波]
用戶數據報協議(User Datagram Protocol)
67【沖擊波】
137 netbios-ns
161 SNMP代理正在運行/SNMP代理的默認團體名稱
關於UDP,只有騰訊QQ會開4000或者8000或者8080,所以我們只需要運行這臺機器,使用4000端口。
18.另外,介紹壹下如何檢查本機開放的端口以及TCP\IP端口的過濾。
開始-運行-cmd,輸入命令netstat -a,妳會看到,比如(這是我機器的開放端口)。
原始本地地址外部地址狀態
TCP YF 001:epmap YF 001:0 LISTE
TCP YF 001:1025 YF 001:0列表
TCP(用戶名):1035 yf001:0 LISTE
TCP YF 001:NetBIOS-SSN YF 001:0 LISTE
UDP YF 001:1129 *:*
UDP YF 001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP YF 001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
現在來說說基於Windows的TCP/IP的過濾。
控制面板-網絡和撥號連接-本地連接-互聯網協議(TCP/IP)-屬性-高級-選項-TCP/IP過濾-屬性。然後添加所需的tcp和UDP端口。如果不是很了解端口,就不要輕易過濾,否則有些程序可能無法使用。
19,關於瀏覽器
IE瀏覽器(或者基於IE內核的瀏覽器)存在隱私問題,index.dat文件記錄了妳上網的信息。所以我建議妳換壹個內核瀏覽器。現在很流行的火狐很好。如果妳想打造壹款屬於自己的個性化瀏覽器,火狐是首選。它具有強大的擴展定制功能!還有傳說中最快的瀏覽器Opera,速度驚人,界面華麗。
當然,因為國內有些網頁不是用WC3組織認證的標準HTML語言編寫的,IE不能丟,所以保留。可以用Webroot WindowWasher處理IE隱私。
RAMDISK利用內存創建壹個虛擬硬盤,並將緩存文件寫入其中,不僅解決了隱私問題,理論上還提高了網速。
20、最後壹招,也是最關鍵的壹招:安裝軟件和防火墻。(編輯:李磊)