巧妙电脑安全设置,防止网上安全“骚扰”共3篇
下面是范文网小编整理的巧妙电脑安全设置,防止网上安全“骚扰”共3篇,欢迎参阅。
1、禁止IPC空连接
Cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了,打开注册表,找到Local_MachineSystem
CurrentControlSetControl
LSA-RestrictAnonymous 把这个值改成”1”即可。
2、禁止At命令
Cracker往往给你个木马然后让它运行,这时他就需要at命令了。打开管理工具-服务,禁用task scheduler服务即可。
3、关闭超级终端服务
如果你开了的话,这个漏洞都烂了,我不说了。
4、关闭SSDP Discover Service服务
这个服务主要用于启动家庭网络设备上的UPnP设备,服务同时会启动5000端口。可能造成DDOS攻击,让CPU使用达到100%,从而使计算机崩溃。照理说没人会对个人机器费力去做DDOS,但这个使用过程中也非常的占用带宽,它会不断的向外界发送数据包,影响网络传输速率,所以还是关了好。
5、关闭Remote Regisry服务
看看就知道了,允许远程修改注册表?除非你真的脑子进水了。
6、禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样Cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
7、关闭DCOM服务
这就是135端口了,除了被用做查询服务外,它还可能引起直接的攻击,关闭方法是:在运行里输入dcomcnfg,在弹出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。
8、把共享文件的权限从“everyone”组改成“授权用户”
“everyone” 在win中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成“everyone”组。包括打印共享,默认的属性就是“everyone”组的,一定不要忘了改。
9、取消其他不必要的服务
请根据自己需要自行决定,下面给出HTTP/FTP服务器需要最少的服务作为参考:
L Event Log
L License Logging Service
L Windows NTLM Security Support Provider
L Remote Procedure Call (RPC) Service
L Windows NT Server or Windows NT Workstation
L IIS Admin Service
L MSDTC
L World Wide Web Publishing Service
L Protected Storage
10、更改TTL值
Cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
.
实际上你可以自己更改的:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip
Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦,
11、账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧!破完了才发现是个低级账户,看你崩溃不?
12、取消显示最后登录用户
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrent Version
Winlogon:DontDisplayLastUserName把值改为1。
13、删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer
Parameters:AutoShareServer类型是REG_DWORD把值改为0即可。
14、禁用LanManager 身份验证
Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证方法: LanManager (LM) 身份验证;Windows NT(也叫NTLM)身份验证;Windows NT Version 2.0 (也叫NTLM2) 身份验证;
默认的情况下,当一个客户尝试连接一台同时支持LM 和 NTLM 身份验证方法的服务器时,LM 身份验证会优先被使用。所以建议禁止LM 身份验证方法。
1. 打开注册表编辑器;
2. 定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa;
3. 选择菜单“编辑”,“添加数值”;
4. 数值名称中输入:LMCompatibilityLevel ,数值类型为:DWORD,单击 确定;
5. 双击新建的数据,并根据具体情况设置以下值:
0 - 发送 LM 和 NTLM响应;
1 - 发送 LM 和 NTLM响应;
2 - 仅发送 NTLM响应;
3 - 仅发送 NTLMv2响应;(Windows 2000有效)
4 - 仅发送 NTLMv2响应,拒绝 LM;(Windows 2000有效)
5 - 仅发送 NTLMv2响应,拒绝 LM 和 NTLM;(Windows 2000有效)
6. 关闭注册表编辑器;
7. 重新启动机器.
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一,一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可 以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁 ICMP ping请求
Ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script. kiddies),
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使 更难对你的网络实施穷举攻击。封锁 31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和 10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
Internet网络中既有明媚阳光,也有潜流暗壑,在该网络中尽情冲浪时,稍微不留神可能会遭遇到各式各样的“骚扰”,例如垃圾广告了、网络病毒了、恶意程序了等等,这些“骚扰”既影响上网冲浪的心情,也会拖累上网访问的效率,更有可能引来安全威胁,既然知道上网冲浪有可能会遭遇这么多“骚扰”,那么我们为什么在冲浪之前不采取安全应对措施,来让上网冲浪少受安全“骚扰”呢?那好,现在我们就通过设置Windows系统,来让上网冲浪少受安全“骚扰”!
1、远离页面广告“骚扰”
很多时候,尽管我们对IE浏览器进行了比较严格的安全设置,不过在打开一些特殊的站点页面内容时,对应站点中的一些没有控制按钮的垃圾广告页面窗口仍然会强行弹出;对于这种强行弹出式的垃圾广告,我们该采取什么办法让IE浏览器远离这样的“骚扰”呢?其实很简单,我们只要想办法对IE浏览器的核心进程文件进行合适授权,让恶意程序无法随意调用IE浏览器,就可以远离页面广告的“骚扰”了,下面就是该方法的具体实现步骤:
首先依次单击本地系统桌面中的“开始”/“程序”/“附件”/“Windows资源管理器”命令,从中找到IE浏览器所在的磁盘分区,打开该分区的属性设置窗口,检查其是否使用了NTFS分区格式,一旦发现目标磁盘分区不是使用的NTFS分区,我们可以打开对应系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行文本框中输入“convert x:/F:NTFS”字符串命令(其中“x”为目标磁盘分区盘符),单击回车键后,目标磁盘分区的格式就被成功转换成NTFS格式了;
其次逐一展开系统资源管理器窗口中的“Program Files”、“Internet Explorer”文件夹,在目标文件夹窗口中选中IE浏览器启动运行时的核心进程文件―“IEXPLORE.EXE”,同时用鼠标右击该进程文件,再点选右键菜单中的“属性”命令,打开“IEXPLORE.EXE”进程的属性设置对话框;
接着在该设置对话框中点选“安全”选项卡,在选项设置页面,从该页面中选中普通权限的用户所使用的用户账号名称,同时将它的“运行”操作权限调整为“拒绝”,再单击“确定”按钮执行设置保存操作,这么一来恶意程序对IE浏览器就没有访问权限了,此时恶意广告页面也就不会自动出现了,
2、远离自动下载“骚扰”
当我们尝试使用IE浏览器上网访问时,网站上的一些恶意内容可能不经过我们的允许自动“入驻”到本地硬盘中,日后这些恶意内容突然发作时,就容易造成本地系统的隐私信息丢失或发生系统运行不正常的现象。为了让上网冲浪少受自动下载“骚扰”,我们可以按照下面的操作步骤来设置本地计算机系统的相关组策略参数,以便禁止网站上的内容自动下载到本地硬盘中:
首先打开本地计算机系统的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行文本框中,输入字符串命令“gpedit.msc”,单击回车键后,打开对应系统的组策略控制台窗口;
其次在该控制台窗口的左侧位置处,点选“计算机配置”节点选项,从目标节点下面逐一展开“管理模板”、“Windows组件”、“Internet Explorer”、“安全功能”、“限制文件下载”选项,再从“限制文件下载”选项下面找到目标组策略“Internet Explorer进程”,并用鼠标双击该进程选项,打开设置对话框;
选中其中的“已启用”选项,同时单击“确定”按钮,保存好上述设置操作,如此一来我们日后尝试使用IE浏览器上网访问站点内容时,潜藏在对应站点背后的恶意程序就不会自动下载保存到本地计算机硬盘中了,那么本地系统也就不会轻易遭遇恶意程序的攻击了。
如果我们平时上网访问时使用的是其他浏览器时,可以从“限制文件下载”节点选项下面双击“所有进程”选项,在其后出现的选项设置窗口中,选中“已启用”选项,再单击“确定”按钮保存好上述设置操作,如此一来我们日后使用任何类型的浏览器上网时,都不会受到自动下载的“骚扰”。