Windows安全攻防技巧

腾逸风 收藏 4 383
近期热点 换一换



随着木马,病毒,流氓软件等越来越猖狂,现在上网真可谓“险恶丛生”,稍不留意便中招了,装上大量的杀毒软件,防火墙等机子还是依旧中招。不仅仅如此,现在的病毒,木马的编写者真可谓用心良苦,木马病毒等技术手段越来越高明,也越来越残忍了,以前用Ghost备份系统,安装还原类软件,装齐各类杀软,防火墙等,机子便几乎可以放心使用,自由冲浪了,如今病毒木马等破坏系统备份,破坏杀软,留下众多后门,相信很多人中了病毒木马等重装或恢复后依然不行,痛下决心格盘重装了事......其实大多数都是用户自己安全意识不够才导致中招的。


病毒木马等进入一台电脑途径无非是两种:一是病毒木马黑客等利用用户电脑漏洞侵入电脑的,一是利用种种伪装欺骗的手段让用户自己下载执行的。所以避免中招就要从病毒木马感染的途径来防范。下面主要针对个人用户电脑作说明。Windows的默认设置可谓漏洞百出,所以自己手动一番设置是有必要的。

①关闭默认共享

你也许不知道是否开了默认共享没有,在“运行”里输入“Cmd”,然后在命令行界面输入“net share”后回车,看下图



可见我的电脑开放了IPC$共享服务,有的还有C$,D$等,这就是你机子上的隐藏默认共享,木马病毒很容易就会通过此共享感染入侵电脑。如何防范呢?操作如下:

1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)

首先运行regedit,找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的键值改为:00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC$共享

说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

2、禁止默认共享

在CMD里对于所有列举出来的共享用下面命令删除之(每次输入一个):

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete(如果有e,f,……可以继续删除)

修改注册表删除共享:

运行-regedit

找到如下主键:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer(DWORD)的键值改为0000000。

如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。

3、停止server服务

永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务

控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用。

②关掉危险服务

除了以上的Sever是个危险服务以外,下面几个服务也比较危险,一般个人用户用不着这些服务功能,故禁止它们也可加强安全性:

打开“控制面板”-“管理工具”-“服务”,可看见系统中服务列表

找到以下几个服务:

Messenger

Remote Registry

Server(呵呵,重复了)

Telnet

Terminal Services

Task Scheduler

以上除了Task Scheduler(计划任务相关的服务)可能要用到外,其它几个一律在其上双击,在弹出的对话框将其改为“禁用”。这几个服务都是比较令人担忧的服务,所以还是禁用为好。

③设置好用户帐户密码

很多人为了图方便,机子的帐号密码都是默认的也懒得改,所以也难怪机子被人入侵留下后门了。还是打开 “管理工具”,打开“计算机管理”,在里面有帐户和用户组,把"Administrator"改名(右键-重命名)和更改密码(双击后在弹出对话框里改),同时找到其它一些帐户如"GUEST","SUPPORT_3889","HelpAssistant"等都禁用了,当然删掉多余的帐号更好,在"运行"-"CMD"里用如下命令即可删掉不用的帐户:

net user 用户名 /delete

net LocalGroup 用户组 用户名 /delete

上面一个命令是直接删除某个帐户,下面的是用于删除某个用户组里的帐户。例如删除"GUEST"帐户:net user guest /delete

当然,你也可在这里新建用户组和用户名

④启用Windows自带的防火墙

在控制面板里找到“Windows防火墙”,打开后设为“启用”即可

⑤禁止磁盘自动运行

呵呵,这个算不上一个漏洞,我们常常用到它。比如,当你插上一个U盘的时候,你机子会弹出一个自动运行的对话框来,或者你打开“我的电脑”-“工具”-“文件夹选项”-“查看”,把“隐藏受保护的操作系统文件”和“显示所有文件和文件夹”都选上,并把“隐藏已知文件类型的扩展名”勾去掉,确定后,在你机子上各个盘里看看有没有Autorun.inf等文件,如果有就要小心点了。我们机子常常要用U盘传东西,殊不知U盘常常是病毒传染的一大途径。更改此项你操作时不会带来任何的故障等,却大大增加了机子安全性。

呵呵,修改注册表麻烦了点,这里推荐一个工具,直接修改吧

Tweak UI,如图所示(大家可到我的E盘里去下载)

我这里设的只允许光盘自动运行,其它的一律都禁止自动运行了,呵呵,所以经常别人把带毒的U盘插上来时,我的机子也安然无恙。

⑥防止文件关联

"运行"-"regedit",打开后找到并展开这项"HKEY_CLASSES_ROOT\exefile\shell\open\command",点右键选择"权限",

如下图所示

点“高级”后“添加”后弹出“选择用户或组”,点击“高级”后点右上的“立即查找”,马上会自动列出机子上所有的用户和用户组,选择"EveryOne"后点"确定"-"确定",会弹出一个权限设置的对话框,在"设置数值","创建子项","删除"等几项的"拒绝"都打上勾,确定即可。这样便可以防止木马病毒修改注册表对exe文件进行关联了。同样可以把".rar",".bat",".com",".txt",".htm",".doc",".cmd",".chm",".zip",".cpl",".lnk"等常用的文件后缀名项都作同样的设置即可,可有效地防止文件关联被木马病毒修改利用。

⑦防止木马病毒加载自启动项

木马病毒跑到机子上后必然会想办法使自己能够自动启动,也就是下次开机时木马病毒会自动运行起来。怎么防范呢,可以通过修改注册表相关启动项权限来禁止木马病毒的加载:

把以下几个项目按⑥的设置进行,设置注册表这几项的Everyone组只可读,不可写或不可更改数值即可。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

------------------------------------保证机子登录正常或上网正常再更改权限---------------------------------------

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

-------------------------------------修改前安装好常用软件等再更改权限---------------------------------------------


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

--------------------修改前系统服务和驱动安装好且正常时再更改这个权限----------------------------------------

当然,还有一个“启动”文件夹,找出其中隐藏文件删除也无妨,呵呵

⑧文件夹权限设置

呵呵,系统盘是NTFS格式的可以进行,不过是FAT32格式的也没关系,只需一个Windows自带的命令即可转换,不会破坏系统的任何设置,不过转换前想清楚哦,NTFS不支持纯DOS的访问的,如果是在纯DOS下或dos启动盘不支持NTFS格式的而又要在其下用GHOST恢复系统的就不要改了,另外机子自带有一键恢复功能的同志们如果是在FAT32格式下备份的转换到NTFS格式后也要重新备份一下的。当然,现在也有DOS能够访问NTFS格式分区的,大家可到网上找一下。

在CMD里输入:Convert/?

即可看到命令的用法帮助,例如转换系统盘C:为NTFS格式(本来就是的就不用转换了,在盘符右键菜单属性里可看到):

Convert C: /FS:NTFS

命令成功后重启系统便会自动转换了。

转换成功后在NTFS格式磁盘里文件夹或文件右键菜单里有“安全”一选项卡(有的没有可能要激活一下),里面便可以对文件及文件夹进行权限设置了。

对于一些重要的文件夹可以设定不同的权限,大家可以把系统盘里的C:\Documents and Settings\你的用户名\Local Settings\Temp文件夹权限设定Everyone组为拒绝“遍历文件夹\运行文件”(具体设置方法同⑥中所介绍的),这样可以防范浏览网页中木马了,呵呵。另外,把windows\system32目录下的"Cmd.exe","net.exe","net1.exe","format.exe","ftp.exe","tftp.exe","cacls.exe","IPconfig.exe","Command.com"等设置为Everyone组禁止访问或运行,并删掉windows\system32\dllcache\目录下所有的文件(呵呵,删去这个文件夹里的文件系统不会出问题的)。把一些重要文件如"explorer.exe","regedit.exe","regedit32.exe","notepad.exe","regsvr32.exe","taskmgr.exe"等权限设置只允许管理员帐号可读,其它帐户一律拒绝访问即可。这样大大减少了黑客或病毒利用系统漏洞入侵或感染电脑的几率。注意有些文件乱设权限会出问题,例如Command.com文件,SvChost.exe文件,Rundll32.exe等,如果要设置则保证系统正常运行后在确定修改。当然,你要防止木马病毒在你的哪个文件夹里生成某个文件的话,建一个同名文件夹,设为只读。例如,在C:\Program Files目录里建立一个文件夹“3721”,权限设为拒绝everyone组任何的权限,则以后难以安装3721网络实名插件了,呵呵。

⑨备份重要资料或文件

若怕系统注册表遭恶意修改或某些文件被病毒感染无法恢复的话,则可使用这一招来备份:

打开“运行”,键入“cmd",打开后便可输入:md D:\bak..\ 就会在D:\下生成一个bak.文件夹,这个文件夹既访问不了也删不了,要访问的话可在“运行”里键入D:\bak..\即可进去,可把一些重要备份文件复制粘贴到这个文件夹里,要想删去这个文件夹先把文件夹里所有文件清空,然后在cmd里输入rd D:\bak..\即可。这个文件夹里的文件都运行不了,要运行必须复制出来再运行。当然,病毒木马对这个文件夹里的资料也是无可奈何的。把重要的文件都复制一份放在这个特殊的文件夹里,嘿嘿,以后就不怕这些文件没有备份了,你可以把注册表,驱动,收藏夹,系统必备安装文件等都放进去。则这些文件就会受到特殊保护待遇,呵呵。

⑩经常打补丁

大家都知道微软的windows补丁就是多,所以要经常打打补丁,这样就可以避免一些当前流行的病毒或者黑客的入侵了。比经常升级杀毒软件强多了,呵呵。

要升级打补丁有专门的工具,这里推荐用360度安全卫士,可到www.360safe.com,教育网用户上不了可用代理上去下载一个,这里给出IP下载地址大家下下看:http://220.181.34.241/setup.exe

这个工具可以自动扫描机子上所有漏洞,你只要选择要下载的补丁即可。

小小提示:有些盗版的WindowsXp系统安装某些补丁后会反弹,即要求重新激活,呵呵,这里我没遇到这种情况,所以不好说得太死了。

⑾最最重要的:安全意识+安全常识

别问我这些东东,自己在baidu或google里找吧,好的安全意识比最牛的杀毒软件强一百倍,充实的安全常识抵得上最强的防火墙,呵呵。


补充一点:运用组策略维护系统安全

组策略只有在WindowsXP Professinal版本上有,打开“运行”,输入"GPEDIT.MSC"确定后即可。充分运用组策略可以有效的保障机子的安全性,具体的我就不一一敖述了,因为Windows自带的帮助文件就非常详细了。大家仔细看看组策略里的软件限制策略,IP安全策略,公钥策略等设置设置方法,运用这些策略可以非常有效地发挥WindowsXp的安全性能的,大家自己研究就明白了。另外组策略里的安全模板则是系统的一些常用设置,用不着东找西下一些软件来设置了,呵呵。

0
回复主贴

相关推荐

聚焦 国际 历史 社会 军事 精选
4条评论
点击加载更多

发表评论

更多精彩内容

热门话题

更多

经典聚焦

更多
发帖 向上 向下