|
【一、禁止默認(rèn)共享 】
1.先察看本地共享資源
運(yùn)行-cmd-輸入net share
2.刪除共享(每次輸入一個(gè))
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續(xù)刪除)
3.刪除ipc$空連接
在運(yùn)行內(nèi)輸入regedit
在注冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
項(xiàng)里數(shù)值名稱RestrictAnonymous的數(shù)值數(shù)據(jù)由0改為1.
4.關(guān)閉自己的139端口,ipc和RPC漏洞存在于此.
關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”
屬性,進(jìn)入“高級TCP/IP設(shè)置”“WINS設(shè)置”里面有一項(xiàng)“禁用TCP/IP的NETBIOS”�����,打勾就關(guān)
閉了139端口,禁止RPC漏洞.
----------------------------------------
【二����、設(shè)置服務(wù)項(xiàng),做好內(nèi)部防御】
-------------------
A計(jì)劃.服務(wù)策略:
控制面板→管理工具→服務(wù)
關(guān)閉以下服務(wù):
1.Alerter[通知選定的用戶和計(jì)算機(jī)管理警報(bào)]
2.ClipBook[啟用“剪貼簿查看器”儲存信息并與遠(yuǎn)程計(jì)算機(jī)共享]
3.Distributed File System[將分散的文件共享合并成一個(gè)邏輯名稱,共享出去����,關(guān)閉后遠(yuǎn)程計(jì)算機(jī)無法訪問共享
4.Distributed Link Tracking Server[適用局域網(wǎng)分布式鏈接跟蹤客戶端服務(wù)]
5.Human Interface Device Access[啟用對人體學(xué)接口設(shè)備(HID)的通用輸入訪問]
6.IMAPI CD-Burning COM Service[管理 CD 錄制]
7.Indexing Service[提供本地或遠(yuǎn)程計(jì)算機(jī)上文件的索引內(nèi)容和屬性,泄露信息]
8.Kerberos Key Distribution Center[授權(quán)協(xié)議登錄網(wǎng)絡(luò)]
9.License Logging[監(jiān)視IIS和SQL如果你沒安裝IIS和SQL的話就停止]
10.Messenger[警報(bào)]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
12.Network DDE[為在同一臺計(jì)算機(jī)或不同計(jì)算機(jī)上運(yùn)行的程序提供動態(tài)數(shù)據(jù)交換]
13.Network DDE DSDM[管理動態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享]
14.Print Spooler[打印機(jī)服務(wù)��,沒有打印機(jī)就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制遠(yuǎn)程協(xié)助]
16.Remote Registry[使遠(yuǎn)程計(jì)算機(jī)用戶修改本地注冊表]
17.Routing and Remote Access[在局域網(wǎng)和廣域往提供路由服務(wù).黑客理由路由服務(wù)刺探注冊信息]
18.Server[支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件��、打印�、和命名管道共享]
19.Special Administration Console Helper[允許管理員使用緊急管理服務(wù)遠(yuǎn)程訪問命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持
而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)]
21.Telnet[允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序]
22.Terminal Services[允許用戶以交互方式連接到遠(yuǎn)程計(jì)算機(jī)]
23.Windows Image Acquisition (WIA)[照相服務(wù)�,應(yīng)用與數(shù)碼攝象機(jī)]
-------------------
B計(jì)劃.賬號策略:
一.打開管理工具.本地安全設(shè)置.密碼策略
1.密碼必須符合復(fù)雜要求性.啟用
2.密碼最小值.我設(shè)置的是10
3.密碼最長使用期限.我是默認(rèn)設(shè)置42天
4.密碼最短使用期限0天
5.強(qiáng)制密碼歷史 記住0個(gè)密碼
6.用可還原的加密來存儲密碼 禁用
-------------------
C計(jì)劃.本地策略:
打開管理工具
找到本地安全設(shè)置.本地策略.審核策略
1.審核策略更改 成功失敗
2.審核登陸事件 成功失敗
3.審核對象訪問 失敗
4.審核跟蹤過程 無審核
5.審核目錄服務(wù)訪問 失敗
6.審核特權(quán)使用 失敗
7.審核系統(tǒng)事件 成功失敗
8.審核帳戶登陸時(shí)間 成功失敗
9.審核帳戶管理 成功失敗
然后再到管理工具找到
事件查看器
應(yīng)用程序 右鍵 屬性 設(shè)置日志大小上限 我設(shè)置了512000KB 選擇不覆蓋事件
安全性 右鍵 屬性 設(shè)置日志大小上限 我也是設(shè)置了512000KB 選擇不覆蓋事件
系統(tǒng) 右鍵 屬性 設(shè)置日志大小上限 我都是設(shè)置了512000KB 選擇不覆蓋事件
-------------------
D計(jì)劃.安全策略:
打開管理工具
找到本地安全設(shè)置.本地策略.安全選項(xiàng)
1.交互式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據(jù)個(gè)人需要,啟用比較好,但是我個(gè)人是不需要直接輸入密碼登陸的]
2.網(wǎng)絡(luò)訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網(wǎng)絡(luò)訪問.可匿名的共享 將后面的值刪除
4.網(wǎng)絡(luò)訪問.可匿名的命名管道 將后面的值刪除
5.網(wǎng)絡(luò)訪問.可遠(yuǎn)程訪問的注冊表路徑 將后面的值刪除
6.網(wǎng)絡(luò)訪問.可遠(yuǎn)程訪問的注冊表的子路徑 將后面的值刪除
7.網(wǎng)絡(luò)訪問.限制匿名訪問命名管道和共享
8.帳戶.重命名來賓帳戶guest [最好寫一個(gè)自己能記住中文名]讓黑客去猜解guest吧,而且還得刪除這個(gè)帳戶,后面有詳細(xì)解釋]
9.帳戶.重命名系統(tǒng)管理員帳戶[建議取中文名]
-------------------
E計(jì)劃.用戶權(quán)限分配策略:
打開管理工具
找到本地安全設(shè)置.本地策略.用戶權(quán)限分配
1.從網(wǎng)絡(luò)訪問計(jì)算機(jī) 里面一般默認(rèn)有5個(gè)用戶,除Admin外我們刪除4個(gè),當(dāng)然,等下我們還得建一個(gè)屬于自己的ID
2.從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī),Admin帳戶也刪除,一個(gè)都不留
3.拒絕從網(wǎng)絡(luò)訪問這臺計(jì)算機(jī) 將ID刪除
4.從網(wǎng)絡(luò)訪問此計(jì)算機(jī),Admin也可刪除,如果你不使用類似3389服務(wù)
5.通過終端允許登陸 刪除Remote Desktop Users
---------------------
F計(jì)劃.終端服務(wù)配置
打開管理工具
終端服務(wù)配置
1.打開后,點(diǎn)連接,右鍵,屬性,遠(yuǎn)程控制,點(diǎn)不允許遠(yuǎn)程控制
2.常規(guī),加密級別,高,在使用標(biāo)準(zhǔn)windows驗(yàn)證上點(diǎn)√!
3.網(wǎng)卡,將最多連接數(shù)上設(shè)置為0
4.高級,將里面的權(quán)限也刪除.[我沒設(shè)置]
再點(diǎn)服務(wù)器設(shè)置,在Active Desktop上,設(shè)置禁用,且限制每個(gè)使用一個(gè)會話
---------------------
G計(jì)劃.用戶和組策略
打開管理工具
計(jì)算機(jī)管理.本地用戶和組.用戶
刪除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權(quán)限
計(jì)算機(jī)管理.本地用戶和組.組
組.我們就不組了.分經(jīng)驗(yàn)的(不管他.默認(rèn)設(shè)置)
---------------------
X計(jì)劃.DIY策略[根據(jù)個(gè)人需要]
1.當(dāng)?shù)顷憰r(shí)間用完時(shí)自動注銷用戶(本地) 防止黑客密碼滲透.
2.登陸屏幕上不顯示上次登陸名(遠(yuǎn)程)如果開放3389服務(wù),別人登陸時(shí),就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
3.對匿名連接的額外限制
4.禁止按 alt+crtl+del
5.允許在未登陸前關(guān)機(jī)[防止遠(yuǎn)程關(guān)機(jī)/啟動�����、強(qiáng)制關(guān)機(jī)/啟動]
6.只有本地登陸用戶才能訪問cd-rom
7.只有本地登陸用戶才能訪問軟驅(qū)
8.取消關(guān)機(jī)原因的提示
1��、打開控制面板窗口,雙擊“電源選項(xiàng)”圖標(biāo)��,在隨后出現(xiàn)的電源屬性窗口中��,進(jìn)入到“高級”標(biāo)簽頁面�;
2、在該頁面的“電源按鈕”設(shè)置項(xiàng)處����,將“在按下計(jì)算機(jī)電源按鈕時(shí)”設(shè)置為“關(guān)機(jī)”,單擊“確定”按鈕�,來退出設(shè)置框;
3����、以后需要關(guān)機(jī)時(shí),可以直接按下電源按鍵�����,就能直接關(guān)閉計(jì)算機(jī)了�。當(dāng)然,我們也能啟用休眠功能鍵�,來實(shí)現(xiàn)快速關(guān)機(jī)和開機(jī);
4��、要是系統(tǒng)中沒有啟用休眠模式的話,可以在控制面板窗口中��,打開電源選項(xiàng)����,進(jìn)入到休眠標(biāo)簽頁面,并在其中將“啟用休眠”選項(xiàng)選中就可以了��。
9.禁止關(guān)機(jī)事件跟蹤
開始“Start ->”運(yùn)行“ Run ->輸入”gpedit.msc “�,在出現(xiàn)的窗口的左邊部分,
選擇 ”計(jì)算機(jī)配置“(Computer Configuration )-> ”管理模板“
(Administrative Templates)-> ”系統(tǒng)“(System),在右邊窗口雙擊
“Shutdown Event Tracker” 在出現(xiàn)的對話框中選擇“禁止”(Disabled)����,
點(diǎn)擊然后“確定”(OK)保存后退出這樣,你將看到類似于windows 2000的關(guān)機(jī)窗口
----------------------------------------
【三��、修改權(quán)限防止病毒或木馬等破壞系統(tǒng)】
winxp�����、windows2003以上版本適合本方法.
因?yàn)槟壳暗哪抉R抑或是病毒都喜歡駐留在system32目錄下,如果我們用命令限制system32的寫入和修改權(quán)限的話
那么,它們就沒有辦法寫在里面了.看命令
---------------------
A命令
cacls C:windowssystem32 /G administrator:R 禁止修改�、寫入C:windowssystem32目錄
cacls C:windowssystem32 /G administrator:F 恢復(fù)修改�、寫入C:windowssystem32目錄
呵呵,這樣病毒等就進(jìn)不去了�,如果你覺得這個(gè)還不夠安全��,
還可以進(jìn)行修改覺得其他危險(xiǎn)目錄,比如直接修改C盤的權(quán)限��,但修改c修改�����、寫入后����,安裝軟件時(shí)需先把權(quán)限恢復(fù)過來才行
---------------------
B命令
cacls C: /G administrator:R 禁止修改�����、寫入C盤
cacls C: /G administrator:F 恢復(fù)修改�、寫入C盤
這個(gè)方法防止病毒,
如果您覺得一些病毒防火墻消耗內(nèi)存太大的話
此方法稍可解決一點(diǎn)希望大家喜歡這個(gè)方法^_^
---------------------
X命令
以下命令推薦給高級管理員使用[因?yàn)閣in版本不同,請自行修改參數(shù)]
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止網(wǎng)絡(luò)用戶����、本地用戶在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢復(fù)網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止網(wǎng)絡(luò)用戶����、本地用戶在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢復(fù)網(wǎng)絡(luò)用戶、本地用戶在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止網(wǎng)絡(luò)用戶����、本地用戶在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢復(fù)網(wǎng)絡(luò)用戶�����、本地用戶在命令行和gui下使用tftp32.exe
----------------------------------------
【四�����、重要文件名加密[NTFS格式]】
此命令的用途可加密windows的密碼檔,QQ密碼檔等等^.^
命令行方式
加密:在DOS窗口或“開始” | “運(yùn)行”的命令行中輸入“cipher /e 文件名(或文件夾名)”�。
解密:在DOS窗口或“開始” | “運(yùn)行”的命令行中輸入“cipher /d 文件名(或文件夾名)”�����。
----------------------------------------
【五�����、修改注冊表防御D.D.O.S】
在注冊表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以幫助你防御一定強(qiáng)度的DoS攻擊
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧請搜索其他信息,
由于本人不敢拿自己的硬盤開玩笑,所以沒做實(shí)驗(yàn)... ...
----------------------------------------
【六�����、打造更安全的防火墻】
只開放必要的端口����,關(guān)閉其余端口.因?yàn)樵谙到y(tǒng)安裝好后缺省情況下,一般都有缺省的端口對外開放,
黑客就會利用掃描工具掃描那些端口可以利用��,這對安全是一個(gè)嚴(yán)重威脅����。 本人現(xiàn)將自己所知道的端口公布如下(如果覺得還有危險(xiǎn)需要過濾的,請聯(lián)系本人:OICQ 250875628
端口 協(xié)議 應(yīng)用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP協(xié)議
8(非端口) IP協(xié)議
那么,我們根據(jù)自己的經(jīng)驗(yàn),將下面的端口關(guān)閉
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135 epmap
138 [沖擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[沖擊波]
4489
UDP
67[沖擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
關(guān)于UDP一般只有騰訊OICQ會打開4000或者是8000端口,那么,我們只運(yùn)行本機(jī)使用4000端口就行了
----------------------------------------
【七、保護(hù)個(gè)人隱私】
1�����、TT瀏覽器
選擇用另外一款瀏覽器瀏覽網(wǎng)站.我推薦用TT,使用TT是有道理的.
TT可以識別網(wǎng)頁中的腳本,JAVA程序,可以很好的抵御一些惡意的腳本等等,而且TT即使被感染,你刪除掉又重新安裝一個(gè)就是.[TT就是騰訊的瀏覽器](不過有些人喜歡用MyIE,因?yàn)槲沂褂玫臅r(shí)間和對他的了解不是很深吧,感覺不出他對安全方面有什么優(yōu)勢一_一~,希望支持MyIE的朋友不要揍我,否則我會哭... ...)
2����、移動“我的文檔”
進(jìn)入資源管理器,右擊“我的文檔”�,選擇“屬性”,在“目標(biāo)文件夾”選項(xiàng)卡中點(diǎn)“移動”按鈕��,
選擇目標(biāo)盤后按“確定”即可��。在Windows 2003中“我的文檔”已難覓芳蹤����,桌面、開始等處都看不到了�,
建議經(jīng)常使用的朋友做個(gè)快捷方式放到桌面上��。
3�����、移動IE臨時(shí)文件
進(jìn)入“開始→控制面板→Internet 選項(xiàng)”��,在“常規(guī)”選項(xiàng)卡的“Internet 文件”欄里點(diǎn)“設(shè)置”按鈕�,
在彈出窗體中點(diǎn)“移動文件夾”按鈕��,選擇目標(biāo)文件夾后��,點(diǎn)“確定”����,在彈出對話框中選擇“是”,
系統(tǒng)會自動重新登錄����。點(diǎn)本地連接,高級,安全日志,把日志的目錄更改專門分配日志的目錄,
不建議是C:再重新分配日志存儲值的大小,我是設(shè)置了10000KB
----------------------------------------
【八�����、第三方軟件的幫助】
防火墻:天網(wǎng)防火墻(建議)[二道販子注:winxp以上可以考慮用系統(tǒng)自帶的防火墻,win2000可以考慮用IPSEC,是個(gè)鍛煉的機(jī)會)
殺毒軟件:卡巴斯基
二道販子后注:
現(xiàn)在黑客的攻擊有從傳統(tǒng)的系統(tǒng)漏洞轉(zhuǎn)向了你的瀏覽器,所以要在升級一些傳統(tǒng)漏洞補(bǔ)丁的同時(shí)要注意你的瀏覽器.
----------------------------------------
【聲明】
根據(jù)windows2003的版本不同�����,有時(shí)可以自己調(diào)整一下順序�,已經(jīng)午夜兩點(diǎn)了,希望大家能早點(diǎn)休息�����,畢竟生命的意義不在網(wǎng)絡(luò)����,而是讓網(wǎng)絡(luò)體現(xiàn)出你人生價(jià)值觀!
|
