15高招打造一道超级电脑防火墙

网络安全中谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种： 　　
[#pf$|+VQ
2hC{}({ 　　(1) 被他人盗取密码； /w{2p%A#rd-hK^_ [

~+_dI[d?'J 　　(2) 系统被木马攻击； O0].AA.T*UM9S

N9SR?A*j,ST'V 　　(3) 浏览网页时被恶意的java scrpit程序攻击；
Yp+Ga9V 5e#@'o*W ?0}sn/i
　　(4) QQ被攻击或泄漏信息； X6@N:yON

B"Mv bD!Pt@'T 　　(5) 病毒感染； [3q{;v~$eo@N6k

&dO0u3Q4nq&Ri q 　　(6) 系统存在漏洞使他人攻击自己。 ~3l[2N@1X2Ii

*i6Wpa;`:u/? 　　(7) 骇客的恶意攻击。 QMY#Xil;s%U
!I!Ef0V `WH|w
　　下面我们就来看看通过什么样的手段来更有效的防范攻击。
$[$F@KA2n^
%@z-PZg qM'| 　　1.察看本地共享资源 4X/H6W rP(@!vu

1U;e N`*kB)XVr F 　　运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。 7t'u:fv+zi:v|@

f4t3KCz}s 　　2.删除共享(每次输入一个） 　　 X+P AYq)e
lq

$B/i,c
q:s8Q 　　net share admin$ /delete "o;n)[6q \B"H
/HG:z+q7@M(e
　　net share c$ /delete
"[/p!Z2@
C
E8Xe
/v0hf'Rt|v5q 　　net share d$ /delete（如果有e，f，……可以继续删除）
Z&xOO@9Eyx)H)H
+o'q5Mp4N Cn 因为系统重启动后,自动恢复.可以保存为*.bat文件 在组策略设置开机登陆时 自动运行该脚本文件 就不用手动来删除这些默认共享了/{ua mzWk
Ph)[ZaO}"s
　　3.删除ipc$空连接
2sAM$R5J @d(qo$CI5`'C
　　在运行内输入regedit，在注册表中找到 HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
#i:Jzvs0NC|8M3|
;b*@S*X;XH 　　4.关闭自己的139端口，Ipc和RPC漏洞存在于此
)q)X#G EG
,^)oRG\ 　　关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
:v1ew9J
Kt^MI+g
"Hx Ex NIR;M,nQ 　　5．防止Rpc漏洞
R)C8b(fX!K^F 6\R._A6IJi6K
　　打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。 E;y$TYN{/GI

r!W1f/NGupCd,h
　　Windwos XP SP2和Windows2000 Pro Sp4，均不存在该漏洞。
SuV8?-\?
mM4]0? -W:oz*H?
　　6．445端口的关闭 *kB ]V\w$bYJE
k2I nX |8w3t
　　修改注册表，添加一个键值HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\NetBT\\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
JDng4w8sXG q j+}(Y
9ZP1`amad?H 　　7．3389的关闭
JD'Z? tE8Ep
D#SyE1pP 　　WindowsXP：我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。 %hYr8`+k9g
nZ2WSj
　　Win2000server 开始--程序--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）
x\ z9AGR*Eu
f"Y$uN@V*x q 　　使用Windows2000 Pro的朋友注意，网络上有很多文章说在Win2000pro 开始--设置--控制面板--管理工具--服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。
\yu t9[:b$L#k N`zj S}7hbbN
　　8．4899的防范 jQAZ T&bt%N X

0B`X|j C K!K9f*H 　　网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。
Kig
ls D;m? j:D&c4xvcDoF&f
　　4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。 h/TUb ~oX
)SXs.r9S/vO9r:Rzo
　　所以只要你的电脑做了基本的安全配置，骇客是很难通过4899来控制你的。

9、禁用服务 (说明一下，并不是你 的xp 拥有以下所有的服务，有的是在2003下的，如3，4 )
,@Sv#}l4A|!zN 'RO-x]*i
　　打开控制面板，进入管理工具——服务，关闭以下服务：]-w I1Av%wi9OW&|
8D_,^3o,J2Nia
　　1.Alerter[通知选定的用户和计算机管理警报]9ME{ n
d!t?Fu

L#eg4vDi_ | I 　　2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]n*jk5|/Hz8l8^
F
i5GbqQJ\\
　　3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无
*JMtgs8t3I
6@ea1@f~'Bf 　　法访问共享
Ih"S*v!D/X5? 2W4^!hW]-O
　　4.Distributed Link Tracking Server[适用局域网分布式链接]*wy%uh*W;~wh
C7[eb
^2U&r$Is0CP
　　5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]]Jn]0|&q

t:Y#lJ/Zm[g4X 　　6.IMAPI CD-Burning COM Service[管理 CD 录制]
tF;f:sSP"HzkIk #J:F(D8OQ~9wS
　　7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息].EQL:z!z;a1j-W
k%pPWc4Q
　　8.Kerberos Key Distribution Center[授权协议登录网络]7[h$r
Jl{&\

!wZh0zOu 　　9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
,O5R B.g2N9_,r7Is 9z.Dz&O;l&RH(]{
　　10.Messenger[警报]
/f0j+L1Q?7o_b ?
7?ZZyt^ 　　11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]T5ev|T sQ#j D.T
bTCG{2Q1u
　　12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]5e F&R]5k+mP0o [
*}7lR.L
|y~
　　13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
9PQl+~$[ z 2O2o(Z_+oxs
　　14.Print Spooler[打印机服务，没有打印机就禁止吧]
@q8kp W:D i4@3g+c
-j-k6a]]!z 　　15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]ZZ?7e-gq9`Ah

k a#z/L0@ j` 　　16.Remote Registry[使远程计算机用户修改本地注册表]
d7D@*uK&\
#]+z'tg?$g 　　17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
t W1?:J#}J|g9i\M *~8q(N/G4sH#P2h Y
　　18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]#C|
DY-I6@
*A!BR&pZ;ai8s9@
　　19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
`3M&c w)@ *@1O JX/P4ePt'\B
　　20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支
9[T'L[-A Ok$I
o)I\*o[b0` 　　持而使用户能够共享文件 、打印和登录到网络]g#[p,z8Z!~b
#HHcWF[/av
　　21.Telnet[允许远程用户登录到此计算机并运行程序]
z @ ?"U;u
J3cv0J6c |j&G 　　22.Terminal Services[允许用户以交互方式连接到远程计算机](可以禁用远程桌面 系统属性 远程 允许用户登陆次计算机前不选就好 或者服务选禁用 重启动电脑后就是禁用了)　23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]
xV$X.?2_ jo#W5R
7L.?9fV;R D 　　如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端。$w3W"sg%E|N,[1R%P
4?BB1wjz v
　　10、账号密码的安全原则4TB!eP_xQ
_.HEN5~[R
　　首先禁用guest帐号，将系统内建的administrator帐号改名（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。Q;AvTB&\+hq

!c.QAZ'I#f"E*RN(ays 　　如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置。*B7g2V_Ex/D'?PM|'B
#]/?lv+TS}\8c-{ Y
　　打开管理工具—本地安全设置—密码策略：(QC Dd|


j^s6C0W:g;V 　　1.密码必须符合复杂要求性.启用6^~[.`;|_ V
(ZA&c;g&[$n
　　2.密码最小值.我设置的是8)RQRR*MFe:}
cz)d.f9K
　　3.密码最长使用期限.我是默认设置42天:E@Qo5^'\4i/z
6RC8eE1~.N,?4\)ESW
　　4.密码最短使用期限0天
#a)x6di
Z Z|&mTy,eH
　　5.强制密码历史 记住0个密码r4x@"R-d CR7wAZ
(m]'k;|irA
　　6.用可还原的加密来存储密码 禁用

11、本地策略
v@ L1uYGC
NTO
;bC2G
q6E:F)` d|5@ 　　这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。 2V0fCre5qt1_\+u
0Olp_i o&l"g.E.R
　　(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的) 2[!V C"X5A;M5j!R!g
rP{N:i
　　打开管理工具，找到本地安全设置—本地策略—审核策略： I^ L"V3Vz
{e9~p5efC6~
　　1.审核策略更改 成功失败 :a){S%Xl*]4E-rN

+I/lz2S%}'m+SU"D 　　2.审核登陆事件 成功失败 8QIZ|'M
1b0D!fC%W&R:RlRe"Z+]\
　　3.审核对象访问 失败 ,i!e.{Z!o K5c8LB
}
{&NF)_)o#[
　　4.审核跟踪过程 无审核 'Ef WY#h}
@{ w$ie)GO^l
　　5.审核目录服务访问 失败 jCIl$jq,U(HD~
&C#E Ls0HNY^
　　6.审核特权使用 失败 o6{QQn
u6EYK/M
9E+TY)Z)lY^@5u
　　7.审核系统事件 成功失败 oC7kS9g
.J
ng"}|7nx
　　8.审核帐户登陆时间 成功失败
hu/N0J[$iq NZ 6WqA0p#m
_
　　9.审核帐户管理 成功失败
-v JN0f/p 'M$R-ynM
　　&nb sp;然后再到管理工具找到事件查看器：
"Z#U'Su1rb 2Go$y$X w} YCl
　　应用程序：右键>属性>设置日志大小上限，我设置了50mb，选择不改写事件。 n p/ds'I-o hc
?&^&{!cC6B
　　安全性：右键>属性>设置日志大小上限，我也是设置了50mb，选择不改写事件。 ;DR*g;xE

)Th+lGx t S,d/Q 　　系统：右键>属性>设置日志大小上限，我都是设置了50mb，选择不改写事件。

[U)Jb2x r5X
e_ l7pz@3P5}
12、本地安全策略
i)eL]W%X0H;u
|9y!w2u;t!p 　　打开管理工具，找到本地安全设置—本地策略—安全选项： #\N'AU6U*e5Pz
!^c/\MX)\Lj
　　1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登
6q;y.Xb4f6Zr m1e Sv E1JC5nK
　　陆的]。 q[["Vx1VT7f^

e&R@-qb?5_ 　　2.网络访问.不允许SAM帐户的匿名枚举 启用。 "TK:c6@;}4b
/h@,X8zU5J(N!M.q9W.u
　　3.网络访问.可匿名的共享 将后面的值删除。
8@A{$e:]|
X:S/NO2g4w 　　4.网络访问.可匿名的命名管道 将后面的值删除。
jw]7n t5Q/q*Qe
(r#l'W,ncP xe 　　5.网络访问.可远程访问的注册表路径 将后面的值删除。
Z;S@(@h$~1[
R@ 9o
e U+p\)Ij F2B
　　6.网络访问.可远程访问的注册表的子路径 将后面的值删除。
xO-{T.f9hj`M %} h8~N,Yz`*Q
　　7.网络访问.限制匿名访问命名管道和共享。 g;[/b(Bq7s

1lc#j$V/c?)R"q#K 　　8.帐户.（前面已经详细讲过拉 ）。
q*[D:l R5K
r$e3tYv
I*@ 　　13、用户权限分配策略
`pB,Lh"~5Jm+h ,Q2\uf}3Uo
　　打开管理工具，找到本地安全设置—本地策略—用户权限分配： wWk2W6b

V*]WV.vAE 　　1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属
t s%Nn5i ^)K
\xDAR_ 　　于自己的ID。
&y-N$I%za ,q6^N\,m2x`mM
　　2.从远程系统强制关机，Admin帐户也删除，一个都不留　。　　　 jNQZ}.E0?
6`!m*k`9ue;wm
　　3.拒绝从网络访问这台计算机 将ID删除。
I[gn:W1u? S
w1_Vo5s-yZ{n`+|
　　4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务。 ]7u_9[$](jR2GT

D5C+a/w_8o?p:K8M` 　　5.通过远端强制关机。删掉。
jI ^:|Eu#k"| W!cIlb)_:~6q
　　14、终端服务配置 　　(看到有人提出问题 声明一下,此操作在2000或者2003下.xp下没有)
1])P8P"wRvm8c
0@0H#T5uA9`4neS.Znp 　　打开管理工具，终端服务配置： 　　
E8hspr$f't(O Niu v$gi!D9I
　　1.打开后，点连接，右键，属性，远程控制，点不允许远程控制。 3?W#g I0z-m^

:?|G~}
gz$h 　　2.常规，加密级别，高，在使用标准Windows验证上点√! f9{oh!p8Mm
,KS:{P;\3G
　　3.网卡，将最多连接数上设置为0。 (H3h,aA:yRA4K:i

3m4WI TUN_ 　　4.高级，将里面的权限也删除。 k^!{2QY

$f2Dg4q'D+m 　　再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话。 {,k^;nX!~9WS;G]t
Y!i2n-}I(T
　　15、用户和组策略 0Q3Qjo'[w?
c^ _8m#f,Xu
　　打开管理工具，计算机管理—本地用户和组—用户： Q%AA1~ J(^5|
nIZ RN"v6W
　　删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限。 ']?
ga-\&b]7aFB
9|w%_L-d!^o.E
　　计算机管理—本地用户和组—组，组.我们就不分组了。