an

------------------------------------------------------------------------------------------------------------------------------------------

 

本博客马上就要更新了
-------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------------------------
电脑的端口封和开的方法
ahaonet 发表于 - 2008-3-1 13:12:00
做好个人的计算机安全是最基本的!
很多人要我发点基础的东西,我想这个应该是每个人必须会的!!希望你们能做好自己的计算机安全!!


察看本地共享资源
  删除共享
  删除ipc$空连接
  账号密码的安全原则
  关闭自己的139端口
  445端口的关闭
  3389的关闭
  4899的防范
  禁用服务
  本地策略
  本地安全策略
  用户权限分配策略
  工具介绍
  避免被恶意代码 木马等病毒攻击
  常用安全防护软件下载







1.察看本地共享资源   


  点击“开始菜单”-“运行”-输入“CMD”回车,输入“net share”,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。

2.删除共享(每次输入一个)     

  使用Windows 2000/XP的用户都会碰到一个问题,那就是默认的管理共享。虽然用户并没有设置共享,但每个盘符都被Windows自动设置了共享,其共享名为盘符后面加一个符号$。一般来说,除了每个硬盘都被共享外,还存在Admin、IPC这两个共享(分别为远程管理共享与远程网络连接)。这样,局域网内同一工作组内的计算机,只要知道被访问主机的管理员密码,就可以通过在浏览器的地址栏中输入“计算机名盘符$”来访问你的文件。这些共享默认设置本来是方便用户的,但是却让黑客利用了它,窃取您电脑里的宝贵资料。我们可以利用命令提示符来删除默认的共享。点击“开始菜单”-“运行”-输入“CMD”回车,再输入命令:

  net share admin$ /delete
  net share c$ /delete
  net share d$ /delete(如果有e,f,……等磁盘,可以继续删除)

  即使是这样删除之后,下一次你重新开机,共享还是会再次出现,我们总不能每次开机都删除共享吧?所以这不是彻底解决的办法。

  彻底的解决办法是通过修改注册表。在“运行”内输入“regedit”,打开注册表编辑器:

    (A):禁止C$ D$等共享

  展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\services\Tcpip\Paramers]分支新建一个名为EnablelCMPRedirects的键值项将其设置为0,(0是不响应)。

  (B):禁止ADMIN$共享

  展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Services\LanmanServer\Parameters]分支,新建名为AutoShareWks的键值,将其设置为0的键值项,将其设置为0
3:禁止IPC$共享   

  Windows XP在默认安装后允许任何用户通过空用户连接(IPC$)得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能,查找系统的用户列表,并使用一些字典工具,对系统进行攻击。这就是网上较流行的IPC攻击。 要防范IPC攻击就应该从系统的默认配置下手,可以通过修改注册表弥补漏洞:

  第一步:展开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlset\Control\Lsa]分支,新建名为restrictanonymous的键值将其设置为0或者1或者设置2。(设置0为缺省;1为匿名无法列举本机用户列表;2为匿名用户无法连接。我们可以设置为“1”,这样就能禁止空用户连接。)

  第二步:打开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]选项。注意:不是展开parameters的下面,而是单击选中parameters!然后建立两个双字节值(也就是DWORD)的键名,分别是:“AutoShareServer”和“AutoShareWks”。然后键值设置成0,就OK了!
  
  对于服务器,添加键值“AutoShareServer”,类型为“REG_DWORD”,值为“0”。

  对于个人用户,添加键值“AutoShareWks”,类型为“REG_DWORD”,值为“0”。


  如果您在建立某个键值的时候,系统提示该键值已经存在,您只要找到该键值,双击该键值,在弹出的窗口中修改其数值就可以了。

  如果您不会编辑注册表,可以使用以下的方法。

  首先打开记事本,将下面的内容拷贝到记事本中:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000

  保存成txt文件,然后把后缀名改为reg。

  同样的,建立AutoShareServer

  打开记事本,将下面的内容拷贝到记事本中:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000

  保存成txt文件,把后缀名改为reg。执行这两个reg文件。重新启动电脑即可。

  如果您实在不会操作这一步(即建立“AutoShareServer”和“AutoShareWks”这两个键值),我这里有已经做好的注册表文件(已经建立好这两个命令),您下载之后,解压缩,再双击导入即可。


4.关闭自己的139端口,IPC和RPC漏洞存在于此。   


  139端口是NetBIOS Session端口,用于文件和打印共享。通过139端口入侵是网络攻击中常见的一种攻击手段。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。需要说明的是,一旦关闭后,你将无法在局域网**享自己或别人的文件和打印机,但对其他功能没有影响。

5.防止RPC漏洞
   
  打开“管理工具”-->“服务”-->找到“RPC(Remote Procedure Call (RPC) Locator)服务”-->将“故障恢复”中的第一次失败,第二次失败,后续失败,都设置为“不操作”。(注:WindowsXP SP2和Windows2000 pro sp4,已经不存在该漏洞。)

6.445端口的关闭   

  我们经常会被445端口攻击,所以如果不小心的话,黑客也有可能通过这个端口来攻击。

  修改注册表,打开[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters]在右面的窗口建立一个键值“SMBDeviceEnabled”,类型为“REG_DWORD”,键值为0,这样就ok了!
7.3389端口的关闭
   
  这个端口我想我不用多说了,危险性很高,而且很多人根本没有注意到自己的电脑里有这个漏洞。要是你的电脑开了3389端口,那么你成为别人的肉鸡只是时间问题了,哈哈~~不是吓你哦!大家要特别的防范。

  首先说明3389端口是Windows的远程管理终端所开的端口,它并不是一个木马程序,请先确定该服务是否是你自己开放的。如果不是必须的,建议关闭该服务。

  WindowsXP系统:在“我的电脑”上点右键,选“属性”-->“远程”,将里面的“远程协助”和“远程桌面”两个选项框里的勾去掉。

  Windows 2000系统中的远程终端服务是一项功能非常强大的服务,同时也成了入侵者长驻主机的通道,入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面,我们来看看如何通过修改默认端口,防范黑客入侵。

  Windows2000 Server系统:点击“开始”-->“程序”-->“管理工具”-->“服务”里找到“Terminal Services”服务项,选中“属性”选项将启动类型改成“手动”,并停止该服务。(该方法在XP同样适用,XP用户可参照这个方法设置。)

  使用Windows2000 Pro的朋友注意,网络上有很多文章说在Windows2000 Pro “开始”-->“设置”-->“控制面板”-->“管理工具”-->“服务”里找到“Terminal Services”服务项,选中“属性”选项将启动类型改成“手动”,并停止该服务,可以关闭3389。其实在Windows2000 Pro 中根本不存在Terminal Services。

  如果您确实需要用到远程控制,而又不想让您的电脑受到黑客的骚扰,可以更改3389端口。操作步骤:

  点击“开始菜单”-->“运行”,输入“regedit”,打开注册表,进入以下路径:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如6111。

  再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp],将PortNumber的值(默认是3389)修改成端口6111。如果[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里还其他类似的子键,一样的改它的值。

  修改完毕,重新启动电脑,以后远程登录的时候使用端口6111就可以了。

8.4899的防范
   
  网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。

  4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。

  所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。

9.防止注册表被匿名访问   

  一般默认的权限不限制对注册表默认的访问,只有管理员才能有权限对远程的计算机进行访问。如果想对这个进行限制的话可以修改注册表。

  展开[HKEY_LOCAL_MACHINE\System\CurrentControSet\Control\SecurePipeServers\Winreg]分支,选中名为Winreg,单击鼠标的右键,在出现的菜单选项中选“权限”,将管理员设置为“完全控制”,确保不会列出其他用户或组,然后确认。

10.禁止空连接
   
  默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。为了防止黑客进行空连接,可以通过以下两种方法禁止建立空连接:

   (A):展开 [HKEY_LOCAL_MACHINE\System\CurrentControSet\Control\LSA]分支,新建一个名为RestrictAnonymous的键值项,将他设置成1,设置以后重起就可以了。

  (B):修改Windows 2000 的本地安全策略。
设置“本地安全策略”→“本地策略”→“选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
  • 标签:技术 电脑网络 
  • 发表评论:
    博客托管于 梦想博客 Copyright 2006-2009. All rights reserved.