一、防止主機成爲肉雞的安全 技術措施
1、利用操作系統自身功能加固系統
通常按默認方式安裝的操作系統,如果不做任何安全加固,那麼其安全性難以保證。***者稍加利用便可使其成爲肉雞。因此,防止主機成爲肉雞的第一步,便是系統加固。
鑑於目前大部分用戶仍然使用Windows XP,因此,本文所有內容都基於Windows XP。
(1)加強系統登錄帳戶和密碼的安全
系統設置的密碼應當符合複雜性和最小長度的要求,不僅要包括常用英文字母、數字、字母大小寫,最好還可以加入特殊字符(如@等),而且密碼的字符數不應該小於8位。
另外,爲了防止***通過默認帳戶登錄系統,我們建議爲管理員帳號設置密碼並禁用guest賬戶。
(2)取消遠程協助和遠程桌面連接
用鼠標右擊桌面上的“我的電腦”圖標,選擇“屬性”,在“系統屬性”中選擇“遠程”選項卡,然後取消“遠程協助”和“遠程桌面連接”複選框中的鉤。
(3)禁用危險的系統服務
在Windows XP系統中,一些端口與相應的系統服務是相關聯的,有的服務還與系統中的特定端口相關聯,例如Terminal Services服務與3389端口關聯。因此,禁用一些不需要的服務,不僅能降低系統資源消耗,而且能增強系統安全性。
在“開始”——“運行”框中輸入“services.msc”,按回車後進入“服務”管理界面。禁用以下服務:
NetMeeting Remote Desktop Sharing
Remote Desktop Help Session Manager
Remote Registry
Routing and Remote Access
Server
TCP/IP NetBIOS Helper
Telnet
Terminal Services
(4)關閉137、138、139和445端口
用鼠標右擊桌面中的“網上鄰居”,選擇“屬性”。在“本地連接”界面,打開“Internet協議(TCP/IP)”的屬性對話框。在此對話框中,單擊“高級”按鈕,選擇“WINS”選項,然後選擇“禁用TCP/IP上的NetBIOS”,這樣就關閉了137、138和139端口。同時,通過取消“本地連接”屬性中的“Microsoft 打印機和文件共享”可以關閉445端口。
(5)啓動系統審覈策略
“開始”——“運行”框中輸入“gpedit.msc”進入組策略編輯器,在計算機配置——Windows設置——安全設置——本地策略——審覈策略中,將審覈登錄事件、審覈對象訪問、審覈系統事件和審覈帳戶登錄事件啓用成功方式的審覈。
(6)用戶權利指派
同樣在組策略編輯器,在計算機配置——Windows設置——安全設置——本地策略——用戶權利指派中,將“從網絡訪問此計算機”策略中的所用用戶都刪除,在“拒絕從網絡訪問此計算機”策略中確保已有“everyone”帳戶,然後再刪除“通過終端服務允許登錄”策略中的所有用戶,並確保在“通過終端服務拒絕登錄”策略中有“everyone”帳戶。
(7)禁用系統默認共享
在組策略編輯器中,計算機配置——Windows設置——安全設置——安全選項,將“網絡訪問:不允許SAM帳戶的匿名枚舉”及“網絡訪問:不允許SAM帳戶和共享的匿名枚舉”全部啓用;將“網絡訪問:可匿名訪問的共享”、“可匿名訪問的管道”及“可遠程訪問的註冊表路徑”中的內容全部刪除。打開註冊表編輯器,進入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters項,在其右邊新建一個鍵值名爲“Autoshareserver”,鍵值爲0的DWORD值,這樣就可以禁止系統C$、D$、E$等方式的共享;爲了能禁止admin$共享,還應當在此註冊表項中新建一個鍵值名爲“Autosharewks”,鍵值爲0的DWORD值。
最後,打開“資源管理器”,選擇“工具”菜單中的“文件夾選項”,在出現的文件夾選項界面中的“高級設置”框中,取消“使用簡單文件共享”的多項選擇項。
2、使用安全軟件加固操作系統
對加固操作系統安全性而言,我們還可以通過安裝相應的安全軟件來進一步增強系統的安全性能。
(1)安裝殺毒軟件
在系統中安裝殺毒軟件主要用來防止***通過***來控制我們的主機。當我們安裝好殺毒軟件後,一定要立即更新病毒庫到最新狀態,如有必要,還應當設置每天按時自動更新病毒庫。
(2)安裝防火牆
***的***活動通常是從掃描系統中是否開放有高危端口開始的,因此,禁用高危端口(如135、137、138、139、445、3389等)十分必要。雖然前面介紹瞭如何通過手工的方式關閉系統高位端口,這裏藉助安全軟件同樣可以起到加固作用。同時,我們還應當限制系統中能夠與互聯網通信的進程和應用程序,以減少網絡應用程序本身漏洞帶來的安全風險。
雖然Windows XP系統本身帶有一個“Internet防火牆”,但它遠遠不能滿足日益增長的安全防範需求,因此,我們通過安裝第三方防火牆軟件來解決這些問題。
現在市面上存在的防火牆不僅具有包過濾和應用程序跟蹤的基本防火牆功能,它們還具有屬於自己的獨特功能。例如,Tiny Firewall防火牆。它不僅具有普通應用層防火牆的功能,還具有IDS、文件完整性檢測和主動防禦的功能。並且還爲用戶提供了一個實時網絡連接監控功能,可以讓用戶隨時掌握當前的網絡連接情況,瞭解連接的網絡應用程序都使用了哪些端口,連接到了什麼目標上,並直接顯示出對方的IP地址。圖1就是它的網絡連接監控界面。
(3)使用代理服務器
***要想掃描計算機,就必需先知道計算機連網公網IP地址。如果能夠隱藏這個公網IP地址,將爲***的***行爲增加難度。隱藏IP地址最好的方式就是使用代理服務器。對於普通的網絡用戶來說,可以通過使用HTTP代理和在計算機上安裝簡單的代理軟件來達到隱藏IP地址的目的。
使用HTTP代理非常簡單,進入提供此功能的網站,例如http://www.web4proxy.com/,如圖2所示。在“開始瀏覽”按鈕前的文本框中填入要訪問的站點,就可以通過隱藏IP的方式瀏覽想訪問的網站了。
![]()
但是,使用HTTP代理只能防止由於瀏覽網頁而泄漏IP地址的風險,要想隱藏其它網絡活動時的IP地址,例如進行的QQ聊天和玩網絡遊戲等網絡應用,就必需通過在系統中安裝代理服務器軟件的方法來解決。
Waysonline是一個不需要安裝的代理服務器軟件,在使用前,要先免費註冊。
![]()
輸入注帳戶和密碼後登錄。此時,右擊Windows任務欄中的綠色“W”圖標,在此菜單中的“運行程序”菜單項中,可以由我們選擇代理的各種方式。
二、防止主機成爲肉雞的安全管理措施
就算我們對系統的安全技術措施做得再好,如果不能對系統進行有效的安全管理和對自己的網絡行爲進行有效的控制,那麼,這些已經實施了的安全技術措施,就成爲了一種沒有實際作用的擺設而已。
對系統實施安全管理措施可以分成兩個部分來執行:其一爲系統安全管理,其二就是用戶網絡操作行爲管理。
1、系統安全管理
一個全面的系統安全管理應當包括下列所示的內容:
(1)操作系統漏洞補丁管理。爲系統打補丁是一件非常重要的工作,我們可以通過360安全衛士的“修復系統漏洞”功能來完成。
(2)網絡應用程序版本更新。我們應當及時升級QQ、MSN及網絡瀏覽器等應用程序到最新版本。
(3)殺毒軟件病毒庫和防火牆規則審查。雖然殺毒軟件都可以通過自動更新方式更新病毒庫,我還是建議你養成按時手動更新病毒庫的習慣,並且,在每次手動殺毒前進行手動更新病毒庫一次。同時,對於防火牆規則,尤其是應用程序規則,我們要經常檢查是否添加了不明規則,以便及時取消。
(4)定期檢查系統審覈日誌。經常檢查這些審覈產生的日誌,能及時發現系統是否已經被***,或者已經受到過某種***行爲的侵擾。
(5)在使用計算機過程中,要養成查看系統運行進程的習慣。通過360安全衛士的“系統全面診斷”就能查看到當前系統中正在運行的進程的詳細信息。
(6)要經常查看目前的網絡連接情況。如果你沒有安裝上面提到的Tiny Firewall防火牆,仍然可以通過360安全衛士“高級”選項卡中的“網絡連接狀態”來了解當前系統的網絡連接狀況。如圖6所示。
![]()
2、用戶網絡操作行爲控制
要控制的網絡行爲方面包括:
(1)使用安全性能高的瀏覽器。只去正規的網站瀏覽新聞,下載MP3、MP4和軟件等。
(2)要養成只在瀏覽器地址欄中輸入URL訪問網站的習慣。例如,一些網上銀行都使用了一種叫做EV-SSL認證的方式來標明網站的真實性,如果用戶發現自己IE8瀏覽器地址欄中的URL地址變成了綠色,那麼就可以肯定這個網站是真實的。再加上不要輕易點擊電子郵件或QQ等即時聊天軟件界面中的網站鏈接,就可以很好地減少被網絡釣魚***的風險。
(3)不要瀏覽色情、賭博等網站。
(4)不要輕易接受QQ或MSN好友發來的下載鏈接,除非你知道它們是安全可靠的。
(5)應當使用安全性能高的網絡應用程序。例如搜索引擎最好使用Google,它能夠將搜索到的可能含有某種安全風險的網站直接標識出來,並且不能進入。使用安全性高的應用程序,能大大減少被***控制的風險。
(7)對於突然接到的某個自稱是電信、計算機銷售商及銀行等企業的服務人員打來的電話,如果你不熟悉這個電話號碼,或者不熟悉對方的聲音,你一定要提高警惕。尤其當他們向你詢問有關係統、電子郵件、網上銀行帳戶等機密信息時,你一定要馬上拒絕。我們只有對與此相似的事件保持高度的懷疑,纔能有效地防止***通過社會工程的方式來***我們。
總而言之,只有網絡用戶認識認真細緻地對系統實施相應的安全技術和安全管理措施,才能在計算機生命週期的各個階段防止自己的計算機成爲***們的肉雞。
1、利用操作系統自身功能加固系統
通常按默認方式安裝的操作系統,如果不做任何
鑑於目前大部分用戶仍然使用
(1)加強系統登錄帳戶和密碼的安全
系統設置的密碼應當符合複雜性和最小長度的要求,不僅要包括常用英文字母、數字、字母大小寫,最好還可以加入特殊字符(如@等),而且密碼的字符數不應該小於8位。
另外,爲了防止***通過默認帳戶登錄系統,我們建議爲管理員帳號設置密碼並禁用guest賬戶。
(2)取消遠程協助和遠程桌面連接
用鼠標右擊桌面上的“我的電腦”圖標,選擇“屬性”,在“系統屬性”中選擇“遠程”選項卡,然後取消“遠程協助”和“遠程桌面連接”複選框中的鉤。
(3)禁用危險的系統服務
在Windows XP系統中,一些端口與相應的系統服務是相關聯的,有的服務還與系統中的特定端口相關聯,例如Terminal Services服務與3389端口關聯。因此,禁用一些不需要的服務,不僅能降低系統資源消耗,而且能增強系統安全性。
在“開始”——“運行”框中輸入“services.msc”,按回車後進入“服務”管理界面。禁用以下服務:
NetMeeting Remote Desktop Sharing
Remote Desktop Help Session Manager
Remote Registry
Routing and Remote Access
Server
TCP/IP NetBIOS Helper
Telnet
Terminal Services
(4)關閉137、138、139和445端口
用鼠標右擊桌面中的“網上鄰居”,選擇“屬性”。在“本地連接”界面,打開“Internet
(5)啓動系統審覈策略
“開始”——“運行”框中輸入“gpedit.msc”進入組策略編輯器,在計算機配置——Windows設置——安全設置——本地策略——審覈策略中,將審覈登錄事件、審覈對象訪問、審覈系統事件和審覈帳戶登錄事件啓用成功方式的審覈。
(6)用戶權利指派
同樣在組策略編輯器,在計算機配置——Windows設置——安全設置——本地策略——用戶權利指派中,將“從網絡訪問此計算機”策略中的所用用戶都刪除,在“拒絕從網絡訪問此計算機”策略中確保已有“everyone”帳戶,然後再刪除“通過終端服務允許登錄”策略中的所有用戶,並確保在“通過終端服務拒絕登錄”策略中有“everyone”帳戶。
(7)禁用系統默認共享
在組策略編輯器中,計算機配置——Windows設置——安全設置——安全選項,將“網絡訪問:不允許SAM帳戶的匿名枚舉”及“網絡訪問:不允許SAM帳戶和共享的匿名枚舉”全部啓用;將“網絡訪問:可匿名訪問的共享”、“可匿名訪問的管道”及“可遠程訪問的註冊表路徑”中的內容全部刪除。打開註冊表編輯器,進入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters項,在其右邊新建一個鍵值名爲“Autoshareserver”,鍵值爲0的DWORD值,這樣就可以禁止系統C$、D$、E$等方式的共享;爲了能禁止admin$共享,還應當在此註冊表項中新建一個鍵值名爲“Autosharewks”,鍵值爲0的DWORD值。
最後,打開“資源管理器”,選擇“工具”菜單中的“文件夾選項”,在出現的文件夾選項界面中的“高級設置”框中,取消“使用簡單文件共享”的多項選擇項。
2、使用安全軟件加固操作系統
對加固操作系統安全性而言,我們還可以通過安裝相應的安全軟件來進一步增強系統的安全性能。
(1)安裝殺毒軟件
在系統中安裝殺毒軟件主要用來防止***通過***來控制我們的主機。當我們安裝好殺毒軟件後,一定要立即更新病毒庫到最新狀態,如有必要,還應當設置每天按時自動更新病毒庫。
(2)安裝
***的***活動通常是從掃描系統中是否開放有高危端口開始的,因此,禁用高危端口(如135、137、138、139、445、3389等)十分必要。雖然前面介紹瞭如何通過手工的方式關閉系統高位端口,這裏藉助安全軟件同樣可以起到加固作用。同時,我們還應當限制系統中能夠與
雖然Windows XP系統本身帶有一個“Internet
現在市面上存在的防火牆不僅具有包過濾和應用程序跟蹤的基本防火牆功能,它們還具有屬於自己的獨特功能。例如,Tiny Firewall防火牆。它不僅具有普通應用層防火牆的功能,還具有IDS、文件完整性檢測和主動防禦的功能。並且還爲用戶提供了一個實時網絡連接監控功能,可以讓用戶隨時掌握當前的網絡連接情況,瞭解連接的網絡應用程序都使用了哪些端口,連接到了什麼目標上,並直接顯示出對方的IP地址。圖1就是它的網絡連接監控界面。
(3)使用代理
***要想掃描計算機,就必需先知道計算機連網公網IP地址。如果能夠隱藏這個公網IP地址,將爲***的***行爲增加難度。隱藏IP地址最好的方式就是使用代理
使用HTTP代理非常簡單,進入提供此功能的網站,例如
但是,使用HTTP代理只能防止由於瀏覽網頁而泄漏IP地址的風險,要想隱藏其它網絡活動時的IP地址,例如進行的QQ聊天和玩網絡遊戲等網絡應用,就必需通過在系統中安裝代理服務器軟件的方法來解決。
Waysonline是一個不需要安裝的代理服務器軟件,在使用前,要先免費註冊。
輸入注帳戶和密碼後登錄。此時,右擊Windows任務欄中的綠色“W”圖標,在此菜單中的“運行程序”菜單項中,可以由我們選擇代理的各種方式。
就算我們對系統的安全技術措施做得再好,如果不能對系統進行有效的安全管理和對自己的網絡行爲進行有效的控制,那麼,這些已經實施了的安全技術措施,就成爲了一種沒有實際作用的擺設而已。
對系統實施安全管理措施可以分成兩個部分來執行:其一爲系統安全管理,其二就是用戶網絡操作行爲管理。
1、系統安全管理
一個全面的系統安全管理應當包括下列所示的內容:
(1)操作系統漏洞補丁管理。爲系統打補丁是一件非常重要的工作,我們可以通過360安全衛士的“修復系統漏洞”功能來完成。
(2)網絡應用程序版本更新。我們應當及時升級QQ、MSN及網絡瀏覽器等應用程序到最新版本。
(3)殺毒軟件病毒庫和防火牆規則審查。雖然殺毒軟件都可以通過自動更新方式更新病毒庫,我還是建議你養成按時手動更新病毒庫的習慣,並且,在每次手動殺毒前進行手動更新病毒庫一次。同時,對於防火牆規則,尤其是應用程序規則,我們要經常檢查是否添加了不明規則,以便及時取消。
(4)定期檢查系統審覈日誌。經常檢查這些審覈產生的日誌,能及時發現系統是否已經被***,或者已經受到過某種***行爲的侵擾。
(5)在使用計算機過程中,要養成查看系統運行進程的習慣。通過360安全衛士的“系統全面診斷”就能查看到當前系統中正在運行的進程的詳細信息。
(6)要經常查看目前的網絡連接情況。如果你沒有安裝上面提到的Tiny Firewall防火牆,仍然可以通過360安全衛士“高級”選項卡中的“網絡連接狀態”來了解當前系統的網絡連接狀況。如圖6所示。
2、用戶網絡操作行爲控制
要控制的網絡行爲方面包括:
(1)使用安全性能高的瀏覽器。只去正規的網站瀏覽新聞,
(2)要養成只在瀏覽器地址欄中輸入URL訪問網站的習慣。例如,一些網上銀行都使用了一種叫做EV-SSL認證的方式來標明網站的真實性,如果用戶發現自己IE8瀏覽器地址欄中的URL地址變成了綠色,那麼就可以肯定這個網站是真實的。再加上不要輕易點擊電子郵件或QQ等即時聊天軟件界面中的網站鏈接,就可以很好地減少被網絡釣魚***的風險。
(3)不要瀏覽色情、賭博等網站。
(4)不要輕易接受QQ或MSN好友發來的
(5)應當使用安全性能高的網絡應用程序。例如搜索引擎最好使用Google,它能夠將搜索到的可能含有某種安全風險的網站直接標識出來,並且不能進入。使用安全性高的應用程序,能大大減少被***控制的風險。
(7)對於突然接到的某個自稱是電信、計算機銷售商及銀行等企業的服務人員打來的電話,如果你不熟悉這個電話號碼,或者不熟悉對方的聲音,你一定要提高警惕。尤其當他們向你詢問有關係統、電子郵件、網上銀行帳戶等機密信息時,你一定要馬上拒絕。我們只有對與此相似的事件保持高度的懷疑,纔能有效地防止***通過社會工程的方式來***我們。
總而言之,只有網絡用戶認識認真細緻地對系統實施相應的安全技術和安全管理措施,才能在計算機生命週期的各個階段防止自己的計算機成爲***們的肉雞。