網絡層安全服務與攻擊分析
[ 2007-03-25 03:51:11 | 作者: sun ]
在網絡層實現安全服務有很多的優點。首先,由于多種傳送協議和應用程序可以共享由網絡層提供的密鑰管理架構,密鑰協商的開銷被大大地削減了。其次,若安全服務在較低層實現,那么需要改動的程序就要少很多。但是在這樣的情況下仍會有新的安全問題。本文將對此作出闡述。
目前公認的網絡攻擊三種原型是竊聽 、篡改、偽造、拒絕服務攻擊等。
IPSec 針對攻擊原型的安全措施
IPsec提供三項主要的功能:認證功能(AH),認證和機密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實性包括數據源認證和可選的抗重傳服務;ESP分為兩部分,其中ESP頭提供數據機密性和有限抗流量分析服務,在ESP尾中可選地提供無連接完整性、數據源認證和抗重傳服務。
IPSec提供了一種標準的、健壯的以及包容廣泛的機制,可用它為IP及上層協議(如UDP和TCP)提供安全保證。它定義了一套默認的、強制實施的算法,以確保不同的實施方案相互間可以共通。而且很方便擴展。IPSec可保障主機之間、安全網關(如路由器或防火墻)之間或主機與安全網關之間的數據包的安全。IPSec是一個工業標準網絡安全協議,為IP網絡通信提供透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,可以有效抵御網絡攻擊,同時保持易用性。IPSec有兩個基本目標:保護IP數據包安全;為抵御網絡攻擊提供防護措施。IPSec結合密碼保護服務、安全協議組和動態密鑰管理,三者共同實現上述兩個目標,IPSec基于一種端對端的安全模式。這種模式有一個基本前提假設,就是假定數據通信的傳輸媒介是不安全的,因此通信數據必須經過加密,而掌握加解密方法的只有數據流的發送端和接收端,兩者各自負責相應的數據加解密處理,而網絡中其他只負責轉發數據的路由器或主機無須支持IPSec。
IPSec提供三種不同的形式來保護通過公有或私有IP網絡來傳送的私有數據。
(1)驗證:通過認證可以確定所接受的數據與所發送的數據是一致的,同時可以確定申請發送者在實際上是真實發送者,而不是偽裝的。
(2)數據完整驗證:通過驗證保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
(3)保密:使相應的接收者能獲取發送的真正內容,而無關的接收者無法獲知數據的真正內容。
IPv6下對網絡安全的威脅
針對密碼攻擊的分析
基于密碼的攻擊很具有生命力,在IPv6環境下同樣面臨著這樣的威脅。雖然在網絡IPv6下IPsec是強制實施的,但是在這種情況下,用戶使用的操作系統與其他訪問控制的共同之處就是基于密碼進行訪問控制。對計算機與網絡資源的訪問都是由用戶名與密碼決定的。對那些版本較老的操作系統,有些組件不是在通過網絡傳輸標識信息進行驗證時就對該信息加以保護,這樣竊聽者能夠獲取有效的用戶名與密碼,就擁有了與實際用戶同樣的權限。攻擊者就可以進入到機器內部進行惡意破壞。
針對泄漏密鑰攻擊的分析
IPv6下IPsec工作的兩種模式(傳輸模式和隧道模式)都需要密鑰交換這樣的過程,因此對密鑰的攻擊仍然具有威脅。盡管對于攻擊者來說確定密鑰是一件艱難而消耗資源的過程,但是這種可能性實實在在存在。當攻擊者確定密鑰之后,攻擊者使用泄露密鑰便可獲取對于安全通信的訪問權,而發送者或接收者卻全然沒有察覺攻擊,后面所進行的數據傳輸等等遭到沒有抵抗的攻擊。進而,攻擊者使用泄露密鑰即可解密或修改其他需要的數據。同樣攻擊者還會試圖使用泄露密鑰計算其它密鑰,從而使其獲取對其它安全通信的訪問權。
針對應用層服務攻擊
應用程序層攻擊的目標是應用程序服務器,即導致服務器的操作系統或應用程序出錯。這會使攻擊者有能力繞過正常訪問控制。攻擊者利用這一點便可控制應用程序、系統或網絡,并可進行下列任意操作:讀取、添加、刪除或修改數據或操作系統 ;引入病毒,即使用計算機與軟件應用程序將病毒復制到整個網絡;引入竊探器來分析網絡與獲取信息,并最終使用這些信息導致網絡停止響應或崩潰;異常關閉數據應用程序或操作系統;禁用其它安全控制以備日后攻擊。
由于IPsec在網絡層進行數據包加密,在網絡傳輸過程中防火墻無法有效地將加密的帶有病毒的數據包進行有效的監測,這樣就對接收端的主機或路由器構成了威脅。
可能發生的拒絕服務攻擊
密鑰管理分為手工密鑰管理和自動密鑰管理。Internet密鑰管理協議被定位在應用程序的層次,IETF規定了Internet安全協議和密鑰管理協議ISAKMP(Internet Security Association and Key Management Protocol) 來實現IPSec的密鑰管理需求, 為身份驗證的SA 設置以及密鑰交換技術定義了一個通用的結構, 可以使用不同的密鑰交換技術;IETF還設計了OA KL EY密鑰確定協議(Key Determination Protocol) 來實施ISAKMP的具體功能, 其主要目的是使需要保密通信的雙方能夠通過這個協議證明自己的身份、認證對方的身份、確定采用的加密算法和通信密鑰, 從而建立起安全的通信連接。
對IPsec最主要的難應用性在于它們所強化的系統的復雜性和缺乏清晰性。IPsec中包含太多的選項和太多的靈活性。對于相同的或者類似的情況常常有多種做法。
IKE的協議容易受到拒絕服務攻擊。攻擊者可以在因特網初始化許多連接請求就可以做到,這時服務器將會維護這些惡意的“小甜餅”。
加密是有代價的。進行模數乘冪運算,或計算兩個非常大的質數的乘積,甚至對單個數據包進行解密和完整性查驗,都會占用cpu的時間。發起攻擊的代價遠遠小于被攻擊對象響應這種攻擊所付出的代價。例如,甲想進行一次Diffie-Hellman密鑰交換,但mallory向她發送了幾千個虛假的Diffie-Hellman公共值,其中全部填充偽造的返回地址。這樣乙被動地進入這種虛假的交換。顯然會造成cpu的大量浪費。
IPsec對相應的攻擊提出了相應的對策。但它并不是通過抵擋服務否認攻擊來進行主動防御,只是增大了發送這種垃圾包的代價及復雜度,來進行一種被動防御。
但是攻擊者仍然可以利用IKE協議的漏洞從而使服務中斷。
以下是基于簽名的IKE階段1主模式的認證失敗(如圖4所示)。
(Malice 對I使用他的真實身份信息,而對R則冒充I)
1. I到Malice:HDRI,SAI;
1’Malice(“I”)到R:HDRI,SAI;
2’R到Malice(“I”):HDRR,SAR;
2.Malice到I:HDRR,SAR;
3.I到Malice:HDRI,gx,NI;
3’Malice(“I”)到R:HDRI,gx,NI;
4’R到Malice(“I”):HDRR,gy,NR;
4.Malice到I:HDRR,gy,NR;
5.I到Malice:HDRI,{IDI,CertI,SigI}gxy?;
5’Malice(“I”)到R:HDRI,{IDI,CertI,SigI}gxy;
6’R到Malice(“I”):HDRR,{IDR,CertR,SigR}gxy;
6. Dropped。
這樣,R認為剛才和他對話并和他共享會話密鑰的是I,而I卻認為剛才是和Malice進行了一次不成功的通信。R根本不會被通知存在任何異常,并且也許會拒絕來自I的服務;實際上R進入了這樣一種狀態,只接受來自I的服務請求(也許直到“超時”后,R才會脫離這樣的狀態。)
面對越來越多的網絡安全問題,唯有各種安全協議有效地結合起來使用才會降低攻擊的可能性。由于IPsec是IPv6下強制使用的,加上網絡層加密的特殊優點,把工作于IP層的IPsec和其他的安全協議(SSL等)結合起來可以將網絡安全的質量提高到更高的一個水平。但是同時道高一尺,魔高一丈,新的安全問題會接踵而至,對于協議的漏洞,要先知先覺,這樣才會未雨綢繆,防患于未然。
目前公認的網絡攻擊三種原型是竊聽 、篡改、偽造、拒絕服務攻擊等。
IPSec 針對攻擊原型的安全措施
IPsec提供三項主要的功能:認證功能(AH),認證和機密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實性包括數據源認證和可選的抗重傳服務;ESP分為兩部分,其中ESP頭提供數據機密性和有限抗流量分析服務,在ESP尾中可選地提供無連接完整性、數據源認證和抗重傳服務。
IPSec提供了一種標準的、健壯的以及包容廣泛的機制,可用它為IP及上層協議(如UDP和TCP)提供安全保證。它定義了一套默認的、強制實施的算法,以確保不同的實施方案相互間可以共通。而且很方便擴展。IPSec可保障主機之間、安全網關(如路由器或防火墻)之間或主機與安全網關之間的數據包的安全。IPSec是一個工業標準網絡安全協議,為IP網絡通信提供透明的安全服務,保護TCP/IP通信免遭竊聽和篡改,可以有效抵御網絡攻擊,同時保持易用性。IPSec有兩個基本目標:保護IP數據包安全;為抵御網絡攻擊提供防護措施。IPSec結合密碼保護服務、安全協議組和動態密鑰管理,三者共同實現上述兩個目標,IPSec基于一種端對端的安全模式。這種模式有一個基本前提假設,就是假定數據通信的傳輸媒介是不安全的,因此通信數據必須經過加密,而掌握加解密方法的只有數據流的發送端和接收端,兩者各自負責相應的數據加解密處理,而網絡中其他只負責轉發數據的路由器或主機無須支持IPSec。
IPSec提供三種不同的形式來保護通過公有或私有IP網絡來傳送的私有數據。
(1)驗證:通過認證可以確定所接受的數據與所發送的數據是一致的,同時可以確定申請發送者在實際上是真實發送者,而不是偽裝的。
(2)數據完整驗證:通過驗證保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
(3)保密:使相應的接收者能獲取發送的真正內容,而無關的接收者無法獲知數據的真正內容。
IPv6下對網絡安全的威脅
針對密碼攻擊的分析
基于密碼的攻擊很具有生命力,在IPv6環境下同樣面臨著這樣的威脅。雖然在網絡IPv6下IPsec是強制實施的,但是在這種情況下,用戶使用的操作系統與其他訪問控制的共同之處就是基于密碼進行訪問控制。對計算機與網絡資源的訪問都是由用戶名與密碼決定的。對那些版本較老的操作系統,有些組件不是在通過網絡傳輸標識信息進行驗證時就對該信息加以保護,這樣竊聽者能夠獲取有效的用戶名與密碼,就擁有了與實際用戶同樣的權限。攻擊者就可以進入到機器內部進行惡意破壞。
針對泄漏密鑰攻擊的分析
IPv6下IPsec工作的兩種模式(傳輸模式和隧道模式)都需要密鑰交換這樣的過程,因此對密鑰的攻擊仍然具有威脅。盡管對于攻擊者來說確定密鑰是一件艱難而消耗資源的過程,但是這種可能性實實在在存在。當攻擊者確定密鑰之后,攻擊者使用泄露密鑰便可獲取對于安全通信的訪問權,而發送者或接收者卻全然沒有察覺攻擊,后面所進行的數據傳輸等等遭到沒有抵抗的攻擊。進而,攻擊者使用泄露密鑰即可解密或修改其他需要的數據。同樣攻擊者還會試圖使用泄露密鑰計算其它密鑰,從而使其獲取對其它安全通信的訪問權。
針對應用層服務攻擊
應用程序層攻擊的目標是應用程序服務器,即導致服務器的操作系統或應用程序出錯。這會使攻擊者有能力繞過正常訪問控制。攻擊者利用這一點便可控制應用程序、系統或網絡,并可進行下列任意操作:讀取、添加、刪除或修改數據或操作系統 ;引入病毒,即使用計算機與軟件應用程序將病毒復制到整個網絡;引入竊探器來分析網絡與獲取信息,并最終使用這些信息導致網絡停止響應或崩潰;異常關閉數據應用程序或操作系統;禁用其它安全控制以備日后攻擊。
由于IPsec在網絡層進行數據包加密,在網絡傳輸過程中防火墻無法有效地將加密的帶有病毒的數據包進行有效的監測,這樣就對接收端的主機或路由器構成了威脅。
可能發生的拒絕服務攻擊
密鑰管理分為手工密鑰管理和自動密鑰管理。Internet密鑰管理協議被定位在應用程序的層次,IETF規定了Internet安全協議和密鑰管理協議ISAKMP(Internet Security Association and Key Management Protocol) 來實現IPSec的密鑰管理需求, 為身份驗證的SA 設置以及密鑰交換技術定義了一個通用的結構, 可以使用不同的密鑰交換技術;IETF還設計了OA KL EY密鑰確定協議(Key Determination Protocol) 來實施ISAKMP的具體功能, 其主要目的是使需要保密通信的雙方能夠通過這個協議證明自己的身份、認證對方的身份、確定采用的加密算法和通信密鑰, 從而建立起安全的通信連接。
對IPsec最主要的難應用性在于它們所強化的系統的復雜性和缺乏清晰性。IPsec中包含太多的選項和太多的靈活性。對于相同的或者類似的情況常常有多種做法。
IKE的協議容易受到拒絕服務攻擊。攻擊者可以在因特網初始化許多連接請求就可以做到,這時服務器將會維護這些惡意的“小甜餅”。
加密是有代價的。進行模數乘冪運算,或計算兩個非常大的質數的乘積,甚至對單個數據包進行解密和完整性查驗,都會占用cpu的時間。發起攻擊的代價遠遠小于被攻擊對象響應這種攻擊所付出的代價。例如,甲想進行一次Diffie-Hellman密鑰交換,但mallory向她發送了幾千個虛假的Diffie-Hellman公共值,其中全部填充偽造的返回地址。這樣乙被動地進入這種虛假的交換。顯然會造成cpu的大量浪費。
IPsec對相應的攻擊提出了相應的對策。但它并不是通過抵擋服務否認攻擊來進行主動防御,只是增大了發送這種垃圾包的代價及復雜度,來進行一種被動防御。
但是攻擊者仍然可以利用IKE協議的漏洞從而使服務中斷。
以下是基于簽名的IKE階段1主模式的認證失敗(如圖4所示)。
(Malice 對I使用他的真實身份信息,而對R則冒充I)
1. I到Malice:HDRI,SAI;
1’Malice(“I”)到R:HDRI,SAI;
2’R到Malice(“I”):HDRR,SAR;
2.Malice到I:HDRR,SAR;
3.I到Malice:HDRI,gx,NI;
3’Malice(“I”)到R:HDRI,gx,NI;
4’R到Malice(“I”):HDRR,gy,NR;
4.Malice到I:HDRR,gy,NR;
5.I到Malice:HDRI,{IDI,CertI,SigI}gxy?;
5’Malice(“I”)到R:HDRI,{IDI,CertI,SigI}gxy;
6’R到Malice(“I”):HDRR,{IDR,CertR,SigR}gxy;
6. Dropped。
這樣,R認為剛才和他對話并和他共享會話密鑰的是I,而I卻認為剛才是和Malice進行了一次不成功的通信。R根本不會被通知存在任何異常,并且也許會拒絕來自I的服務;實際上R進入了這樣一種狀態,只接受來自I的服務請求(也許直到“超時”后,R才會脫離這樣的狀態。)
面對越來越多的網絡安全問題,唯有各種安全協議有效地結合起來使用才會降低攻擊的可能性。由于IPsec是IPv6下強制使用的,加上網絡層加密的特殊優點,把工作于IP層的IPsec和其他的安全協議(SSL等)結合起來可以將網絡安全的質量提高到更高的一個水平。但是同時道高一尺,魔高一丈,新的安全問題會接踵而至,對于協議的漏洞,要先知先覺,這樣才會未雨綢繆,防患于未然。
網絡高手眼中的網絡安全 日常防護尤為必要
[ 2007-03-25 03:50:59 | 作者: sun ]
近期讀了一些關于網絡入侵的文章,感覺到增強網絡安全是一項日常性的工作,并不是說網絡設備、服務器配置好了就絕對安全了,操作系統和一些軟件的漏洞是不斷被發現的,比如沖擊波、震蕩波病毒就是利用系統漏洞,同樣利用這些漏洞可以溢出得到系統管理員權限, server-U的提升權限漏洞也可以被利用。在這些漏洞未被發現前,我們覺得系統是安全的,其實還是不安全的,也許漏洞在未公布前已經被部分hacker 所知,也就是說系統和應用軟件我們不知道還會存在什么漏洞,那么日常性的防護就顯得尤為必要。
一、做好基礎性的防護工作,服務器安裝干凈的操作系統,不需要的服務一律不裝,多一項就多一種被入侵的可能性,打齊所有補丁,微軟的操作系統當然推薦WIN2K3,性能和安全性比WIN2K都有所增強,選擇一款優秀的殺毒軟件,至少能對付大多數木馬和病毒 的,安裝好殺毒軟件,設置好時間段自動上網升級,設置好帳號和權限,設置的用戶盡可能的少,對用戶的權限盡可能的小,密碼設置要足夠強壯。對于MSSQL,也要設置分配好權限,按照最小原則分配。最好禁用xp_cmdshell。有的網絡有硬件防火墻,當 然好,但僅僅依靠硬件防火墻,并不能阻擋hacker的攻擊,利用反向連接型的木馬和其他的辦法還是可以突破硬件防火墻的阻擋。WIN2K3系統自帶的防火墻功能還不夠強大,建議打開,但還需要安裝一款優秀的軟件防火墻保護系統,我一般習慣用ZA,論壇有 很多教程了。對于對互聯網提供服務的服務器,軟件防火墻的安全級別設置為最高,然后僅僅開放提供服務的端口,其他一律關閉,對于服務器上所有要訪問網絡的程序,現在防火墻都會給予提示是否允許訪問,根據情況對于系統升級,殺毒軟件自動升級等有必要訪問外網 的程序加到防火墻允許訪問列表。那么那些反向連接型的木馬就會被防火墻阻止,這樣至少系統多了一些安全性的保障,給hacker入侵就多一些阻礙。網絡上有很多基礎型的防護資料,大家可以查查相關服務器安全配置方面的資料。
二、修補所有已知的漏洞,未知的就沒法修補了,所以要養成良好的習慣,就是要經常去關注。了解自己的系統,知彼知己,百戰百勝。所有補丁是否打齊,比如mssql,server-U,論壇程序是否還有漏洞,每一個漏洞幾乎都是致命的,系統開了哪些服務,開了哪些端口,目前開的這些服務中有沒有漏洞可以被黑客應用,經常性的了解當前黑客攻擊的手法和可以被利用的漏洞,檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞,很多網站 都是因為這個服務器被入侵,如果我們作為網站或者服務器的管理者,我們就應該經常去關注這些技術,自己經常可以用一些安全性掃描工具檢測檢測,比如X- scan,snamp, nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞,這得針對自己的系統開的服務去檢測,發現漏洞及時修補。網絡管理人員不可能對每一方面都很精通,可以請精通的人員幫助檢測,當然對于公司來說,如果 系統非常重要,應該請專業的安全機構來檢測,畢竟他們比較專業。
三、服務器的遠程管理,相信很多人都喜歡用server自帶的遠程終端,我也喜歡,簡潔速度快。但對于外網開放的服務器來說,就要謹慎了,要想到自己能用,那么這個端口就對外開放了,黑客也可以用,所以也要做一些防護了。一就是用證書策略來限制訪問者,給 TS配置安全證書,客戶端訪問需要安全證書。二就是限制能夠訪問服務器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389端口改一下。當然也可以用其他的遠程管理軟件pcanywhere也不錯。
四、另外一個容易忽視的環節是網絡容易被薄弱的環節所攻破,服務器配置安全了,但網絡存在其他不安全的機器,還是容易被攻破,“千里之堤,潰于蟻穴 ”。利用被控制的網絡中的一臺機器做跳板,可以對整個網絡進行滲透攻擊,所以安全的配置網絡中的機器也很必要。說到跳板攻擊,水平稍高一點的hacker攻擊一般都會隱藏其真實IP,所以說如果被入侵了,再去追查的話是很難成功的。Hacker利用控制的肉雞,肉雞一般都是有漏洞被完全控制的計算機,安裝了一些代理程序或者黑客軟件,比如DDOS攻擊軟件,跳板程序等,這些肉雞就成為黑客的跳板,從而隱藏了真實IP。
五、最后想說的是即使大家經過層層防護,系統也未必就絕對安全了,但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80端口, 如果服務方面存在漏洞的話,水平高的hacker還是可以鉆進去,所以最關鍵的一點我認為還是關注最新漏洞,發現就要及時修補。“攻就是防,防就是攻” ,這個觀點我比較贊同,我說的意思并不是要去攻擊別人的網站,而是要了解別人的攻擊手法,更好的做好防護。比如不知道什么叫克隆管理員賬號,也許你的機器已經被入侵并被克隆了賬號,可能你還不知道呢?如果知道有這種手法,也許就會更注意這方面。自己的網站 如果真的做得無漏洞可鉆,hacker也就無可奈何了。
希望大家有好的思路和經驗能夠多探討探討,要做好網絡安全還有很多細節需要注意,一個微小的疏忽都可能導致功虧一簣
.
一、做好基礎性的防護工作,服務器安裝干凈的操作系統,不需要的服務一律不裝,多一項就多一種被入侵的可能性,打齊所有補丁,微軟的操作系統當然推薦WIN2K3,性能和安全性比WIN2K都有所增強,選擇一款優秀的殺毒軟件,至少能對付大多數木馬和病毒 的,安裝好殺毒軟件,設置好時間段自動上網升級,設置好帳號和權限,設置的用戶盡可能的少,對用戶的權限盡可能的小,密碼設置要足夠強壯。對于MSSQL,也要設置分配好權限,按照最小原則分配。最好禁用xp_cmdshell。有的網絡有硬件防火墻,當 然好,但僅僅依靠硬件防火墻,并不能阻擋hacker的攻擊,利用反向連接型的木馬和其他的辦法還是可以突破硬件防火墻的阻擋。WIN2K3系統自帶的防火墻功能還不夠強大,建議打開,但還需要安裝一款優秀的軟件防火墻保護系統,我一般習慣用ZA,論壇有 很多教程了。對于對互聯網提供服務的服務器,軟件防火墻的安全級別設置為最高,然后僅僅開放提供服務的端口,其他一律關閉,對于服務器上所有要訪問網絡的程序,現在防火墻都會給予提示是否允許訪問,根據情況對于系統升級,殺毒軟件自動升級等有必要訪問外網 的程序加到防火墻允許訪問列表。那么那些反向連接型的木馬就會被防火墻阻止,這樣至少系統多了一些安全性的保障,給hacker入侵就多一些阻礙。網絡上有很多基礎型的防護資料,大家可以查查相關服務器安全配置方面的資料。
二、修補所有已知的漏洞,未知的就沒法修補了,所以要養成良好的習慣,就是要經常去關注。了解自己的系統,知彼知己,百戰百勝。所有補丁是否打齊,比如mssql,server-U,論壇程序是否還有漏洞,每一個漏洞幾乎都是致命的,系統開了哪些服務,開了哪些端口,目前開的這些服務中有沒有漏洞可以被黑客應用,經常性的了解當前黑客攻擊的手法和可以被利用的漏洞,檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞,很多網站 都是因為這個服務器被入侵,如果我們作為網站或者服務器的管理者,我們就應該經常去關注這些技術,自己經常可以用一些安全性掃描工具檢測檢測,比如X- scan,snamp, nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞,這得針對自己的系統開的服務去檢測,發現漏洞及時修補。網絡管理人員不可能對每一方面都很精通,可以請精通的人員幫助檢測,當然對于公司來說,如果 系統非常重要,應該請專業的安全機構來檢測,畢竟他們比較專業。
三、服務器的遠程管理,相信很多人都喜歡用server自帶的遠程終端,我也喜歡,簡潔速度快。但對于外網開放的服務器來說,就要謹慎了,要想到自己能用,那么這個端口就對外開放了,黑客也可以用,所以也要做一些防護了。一就是用證書策略來限制訪問者,給 TS配置安全證書,客戶端訪問需要安全證書。二就是限制能夠訪問服務器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389端口改一下。當然也可以用其他的遠程管理軟件pcanywhere也不錯。
四、另外一個容易忽視的環節是網絡容易被薄弱的環節所攻破,服務器配置安全了,但網絡存在其他不安全的機器,還是容易被攻破,“千里之堤,潰于蟻穴 ”。利用被控制的網絡中的一臺機器做跳板,可以對整個網絡進行滲透攻擊,所以安全的配置網絡中的機器也很必要。說到跳板攻擊,水平稍高一點的hacker攻擊一般都會隱藏其真實IP,所以說如果被入侵了,再去追查的話是很難成功的。Hacker利用控制的肉雞,肉雞一般都是有漏洞被完全控制的計算機,安裝了一些代理程序或者黑客軟件,比如DDOS攻擊軟件,跳板程序等,這些肉雞就成為黑客的跳板,從而隱藏了真實IP。
五、最后想說的是即使大家經過層層防護,系統也未必就絕對安全了,但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80端口, 如果服務方面存在漏洞的話,水平高的hacker還是可以鉆進去,所以最關鍵的一點我認為還是關注最新漏洞,發現就要及時修補。“攻就是防,防就是攻” ,這個觀點我比較贊同,我說的意思并不是要去攻擊別人的網站,而是要了解別人的攻擊手法,更好的做好防護。比如不知道什么叫克隆管理員賬號,也許你的機器已經被入侵并被克隆了賬號,可能你還不知道呢?如果知道有這種手法,也許就會更注意這方面。自己的網站 如果真的做得無漏洞可鉆,hacker也就無可奈何了。
希望大家有好的思路和經驗能夠多探討探討,要做好網絡安全還有很多細節需要注意,一個微小的疏忽都可能導致功虧一簣
.
你的網絡安全嗎?需要澄清的五個誤解
[ 2007-03-25 03:50:46 | 作者: sun ]
目前,黑客攻擊已成為一個很嚴重的網絡問題。許多黑客甚至可以突破SSL加密和各種防火墻,攻入Web網站的內部,竊取信息。黑客可以僅憑借瀏覽器和幾個技巧,即套取Web網站的客戶信用卡資料和其它保密信息。
隨著防火墻和補丁管理已逐漸走向規范化,各類網絡設施應該是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客們已開始直接在應用層面
對Web網站下手。市場研究公司Gartner的分析師指出,目前有70%的黑客襲擊事件都發生在應用程序方面。要增強Web網站的安全性,首先要澄清五個誤解。
一、“Web網站使用了SSL加密,所以很安全”
單靠SSL加密無法保障網站的安全。網站啟用SSL加密后,表明該網站發送和接收的信息都經過了加密處理,但是SSL無法保障存儲在網站里的信息的安全。許多網站采用了128位SSL加密,但還是被黑客攻破。此外,SSL也無法保護網站訪問者的隱私信息。這些隱私信息直接存在網站服務器里面,這是SSL所無法保護的。
二、“Web網站使用了防火墻,所以很安全”
防火墻有訪問過濾機制,但還是無法應對許多惡意行為。許多網上商店、拍賣網站和BBS都安裝了防火墻,但依然脆弱。防火墻通過設置“訪客名單”,可以把惡意訪問排除在外,只允許善意的訪問者進來。但是,如何鑒別善意訪問和惡意訪問是一個問題。訪問一旦被允許,后續的安全問題就不是防火墻能應對了。
三、“漏洞掃描工具沒發現任何問題,所以很安全”
自1990年代初以來,漏洞掃描工具已經被廣泛使用,以查找一些明顯的網絡安全漏洞。但是,這種工具無法對網站應用程序進行檢測,無法查找程序中的漏洞。
漏洞掃描工具生成一些特殊的訪問請求,發送給Web網站,在獲取網站的響應信息后進行分析。該工具將響應信息與一些漏洞進行對比,一旦發現可疑之處即報出安全漏洞。目前,新版本的漏洞掃描工具一般能發現網站90%以上的常見安全問題,但這種工具對網站應用程序也有很多無能為力的地方。
四、“網站應用程序的安全問題是程序員造成的”
程序員確實造成了一些問題,但有些問題程序員無法掌控。
比如說,應用程序的源代碼可能最初從其它地方獲得,這是公司內部程序開發人員所不能控制的。或者,公司可能會請一些離岸的開發商作一些定制開發,與原有程序整合,這其中也可能會出現問題。或者,一些程序員會拿來一些免費代碼做修改,這也隱藏著安全問題。再舉一個極端的例子,可能有兩個程序員來共同開發一個程序項目,他們分別開發的代碼都沒有問題,安全性很好,但整合在一起則可能出現安全漏洞。
很現實地講,軟件總是有漏洞的,這種事每天都在發生。安全漏洞只是眾多漏洞中的一種。加強員工的培訓,確實可以在一定程度上改進代碼的質量。但需要注意,任何人都會犯錯誤,漏洞無可避免。有些漏洞可能要經過許多年后才會被發現。
五、“我們每年會對Web網站進行安全評估,所以很安全”
一般而言,網站應用程序的代碼變動很快。對Web網站進行一年一度的安全評估非常必要,但評估時的情況可能與當前情況有很大不同。網站應用程序只要有任何改動,都會出現安全問題的隱患。
網站喜歡選在節假日對應用程序進行升級,圣誕節就是很典型的一個旺季。網站往往會增加許多新功能,但卻忽略了安全上的考慮。如果網站不增加新功能,這又會對經營業績產生影響。網站應該在程序開發的各個階段都安排專業的安全人員。
一、中毒的一些表現
我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣,總會有一些明顯的癥狀表現出來。例如機器運行十分緩慢、上不了網、殺毒軟件生不了級、word文檔打不開,電腦不能正常啟動、硬盤分區找不到了、數據丟失等等,就是中毒的一些征兆。
二、中毒診斷
1、按Ctrl+Shift+Ese鍵(同時按此三鍵),調出windows任務管理器查看系統運行的進程,找出不熟悉進程并記下其名稱(這需要經驗),如果這些進程是病毒的話,以便于后面的清除。暫時不要結束這些進程,因為有的病毒或非法的進程可能在此沒法結束。點擊性能查看CPU和內存的當前狀態,如果CPU的利用率接近100%或內存的占用值居高不下,此時電腦中毒的可能性是95%。
2、查看windows當前啟動的服務項,由“控制面板”的“管理工具”里打開“服務”。看右欄狀態為“啟動”啟動類別為“自動”項的行;一般而言,正常的windows服務,基本上是有描述內容的(少數被駭客或蠕蟲病毒偽造的除外),此時雙擊打開認為有問題的服務項查看其屬性里的可執行文件的路徑和名稱,假如其名稱和路徑為C:winntsystem32explored.exe,計算機中招。有一種情況是“控制面板”打不開或者是所有里面的圖標跑到左邊,中間有一縱向的滾動條,而右邊為空白,再雙擊添加/刪除程序或管理工具,窗體內是空的,這是病毒文件winhlpp32.exe發作的特性。
3、運行注冊表編輯器,命令為regedit或regedt32,查看都有那些程序與windows一起啟動。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面幾個RunOnce等,查看窗體右側的項值,看是否有非法的啟動項。WindowsXp運行msconfig也起相同的作用。隨著經驗的積累,你可以輕易的判斷病毒的啟動項。
4、用瀏覽器上網判斷。前一陣發作的Gaobot病毒,可以上yahoo.com,sony.com等網站,但是不能訪問諸如www.symantec.com,www.ca.com這樣著名的安全廠商的網站,安裝了symantecNorton2004的殺毒軟件不能上網升級。
5、取消隱藏屬性,查看系統文件夾winnt(windows)system32,如果打開后文件夾為空,表明電腦已經中毒;打開system32后,可以對圖標按類型排序,看有沒有流行病毒的執行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執行文件就藏身于此;driversetc下的文件hosts是病毒喜歡篡改的對象,它本來只有700字節左右,被篡改后就成了1Kb以上,這是造成一般網站能訪問而安全廠商網站不能訪問、著名殺毒軟件不能升級的原因所在。
6、由殺毒軟件判斷是否中毒,如果中毒,殺毒軟件會被病毒程序自動終止,并且手動升級失敗。
三、滅毒
1、在注冊表里刪除隨系統啟動的非法程序,然后在注冊表中搜索所有該鍵值,刪除之。當成系統服務啟動的病毒程序,會在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消滅。
2、停止有問題的服務,改自動為禁止。
3、如果文件system32driversetchosts被篡改,恢復它,即只剩下一行有效值“127.0.0.1localhost”,其余的行刪除。再把host設置成只讀。
4、重啟電腦,摁F8進“帶網絡的安全模式”。目的是不讓病毒程序啟動,又可以對Windows升級打補丁和對殺毒軟件升級。
5、搜索病毒的執行文件,手動消滅之。
6、對Windows升級打補丁和對殺毒軟件升級。
7、關閉不必要的系統服務,如remoteregistryservice。
8、第6步完成后用殺毒軟件對系統進行全面的掃描,剿滅漏網之魚。
9、上步完成后,重啟計算機,完成所有操作。
還有另一種查毒的方法:
啟動好后 什也不要打開 在“開始——運行——cmd——netstat -a -n -o ”,看看有什么進程在通信 那個進程90%就是病毒或木馬了
我們怎樣知道電腦中病毒了呢?其實電腦中毒跟人生病一樣,總會有一些明顯的癥狀表現出來。例如機器運行十分緩慢、上不了網、殺毒軟件生不了級、word文檔打不開,電腦不能正常啟動、硬盤分區找不到了、數據丟失等等,就是中毒的一些征兆。
二、中毒診斷
1、按Ctrl+Shift+Ese鍵(同時按此三鍵),調出windows任務管理器查看系統運行的進程,找出不熟悉進程并記下其名稱(這需要經驗),如果這些進程是病毒的話,以便于后面的清除。暫時不要結束這些進程,因為有的病毒或非法的進程可能在此沒法結束。點擊性能查看CPU和內存的當前狀態,如果CPU的利用率接近100%或內存的占用值居高不下,此時電腦中毒的可能性是95%。
2、查看windows當前啟動的服務項,由“控制面板”的“管理工具”里打開“服務”。看右欄狀態為“啟動”啟動類別為“自動”項的行;一般而言,正常的windows服務,基本上是有描述內容的(少數被駭客或蠕蟲病毒偽造的除外),此時雙擊打開認為有問題的服務項查看其屬性里的可執行文件的路徑和名稱,假如其名稱和路徑為C:winntsystem32explored.exe,計算機中招。有一種情況是“控制面板”打不開或者是所有里面的圖標跑到左邊,中間有一縱向的滾動條,而右邊為空白,再雙擊添加/刪除程序或管理工具,窗體內是空的,這是病毒文件winhlpp32.exe發作的特性。
3、運行注冊表編輯器,命令為regedit或regedt32,查看都有那些程序與windows一起啟動。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面幾個RunOnce等,查看窗體右側的項值,看是否有非法的啟動項。WindowsXp運行msconfig也起相同的作用。隨著經驗的積累,你可以輕易的判斷病毒的啟動項。
4、用瀏覽器上網判斷。前一陣發作的Gaobot病毒,可以上yahoo.com,sony.com等網站,但是不能訪問諸如www.symantec.com,www.ca.com這樣著名的安全廠商的網站,安裝了symantecNorton2004的殺毒軟件不能上網升級。
5、取消隱藏屬性,查看系統文件夾winnt(windows)system32,如果打開后文件夾為空,表明電腦已經中毒;打開system32后,可以對圖標按類型排序,看有沒有流行病毒的執行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執行文件就藏身于此;driversetc下的文件hosts是病毒喜歡篡改的對象,它本來只有700字節左右,被篡改后就成了1Kb以上,這是造成一般網站能訪問而安全廠商網站不能訪問、著名殺毒軟件不能升級的原因所在。
6、由殺毒軟件判斷是否中毒,如果中毒,殺毒軟件會被病毒程序自動終止,并且手動升級失敗。
三、滅毒
1、在注冊表里刪除隨系統啟動的非法程序,然后在注冊表中搜索所有該鍵值,刪除之。當成系統服務啟動的病毒程序,會在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消滅。
2、停止有問題的服務,改自動為禁止。
3、如果文件system32driversetchosts被篡改,恢復它,即只剩下一行有效值“127.0.0.1localhost”,其余的行刪除。再把host設置成只讀。
4、重啟電腦,摁F8進“帶網絡的安全模式”。目的是不讓病毒程序啟動,又可以對Windows升級打補丁和對殺毒軟件升級。
5、搜索病毒的執行文件,手動消滅之。
6、對Windows升級打補丁和對殺毒軟件升級。
7、關閉不必要的系統服務,如remoteregistryservice。
8、第6步完成后用殺毒軟件對系統進行全面的掃描,剿滅漏網之魚。
9、上步完成后,重啟計算機,完成所有操作。
還有另一種查毒的方法:
啟動好后 什也不要打開 在“開始——運行——cmd——netstat -a -n -o ”,看看有什么進程在通信 那個進程90%就是病毒或木馬了
一系統安裝多殺毒軟件
[ 2007-03-25 03:50:20 | 作者: sun ]
本來、打算做教程了,一想做教程不好發表,所以就寫了這個,希望對大家有幫助
前幾天為了做免殺的需要,所以得安幾個殺毒軟件
目前比較流行的也就是江民,瑞星,金山,卡巴,這四個,其他的感覺都不怎么
地,所以不考慮了,不過在安裝的時候出現了一個問題,就是都裝上重起電腦之后
江民的語言選擇里面沒有簡體中文了,這個挺郁悶的,不過最郁悶的還在后面,撥
號上網后,QQ上不去,網頁打不開,PING也不通,用netstat命令查看網絡狀態一
看,竟然所有端口的連接都不正常,這可郁悶壞我了,重新做一次系統,多個心眼
用GHOST做個備份(以前的也有備份,不過系統里裝的東西過時了```)然后試了撥
號,一切都正常,呵呵,這回先到網上查查看有沒有相關的資料,當然是百度了,
不過什么也沒有找到,沒這方面的問題介紹,郁悶中……
沒辦法,自己琢磨了,我們GO ON吧,這回一個一個裝,裝了江民,沒問題,
又裝了卡巴,也沒問題,又裝金山,暈,出問題了````,還是老問題,上不去網了
沒辦法,用GHOST恢復系統吧,接下來試的就別提了,試了3個多小時,最后下定了
結論,是金山的問題,思考一下,到底是什么問題呢,莫非系統文件沖突,那么就
少裝一些項目,裝的時候少選幾項試試,又用了1個多小時,問題終于找到了`````
原來是金山網標的問題,一想想,肯定是金山網標與其他的殺毒軟件防火墻有沖突
問題找到了,這回可以好好裝了,恢復系統,裝殺毒軟件,終于行了~~~太興奮了`
終于成功了```下面就給大家寫一下關與安裝多個殺毒軟件的方法吧,首先必須
說明的是,安裝完一個殺毒軟件之后必須設置開機禁止啟動,因為如果電腦開機啟
動多個殺毒軟件會很卡的,而且有時候反應很慢,更嚴重的是會引起系統藍屏或崩潰
建議大家最后裝卡巴,為什么?自己試試就知道了````。
江民的設置:打開主程序(KV2006),點操作臺切換,恢復窗口,工具→設置→
實時監控,把所有開機啟動的項目全部去掉,確定。
瑞星的設置:打開主程序(瑞星殺毒軟件),設置→詳細設置→瑞星監控中心,
把所有開機啟動的項目去掉,確定。
金山的設置:打開主程序(金山毒霸2006),工具→綜合設置→防毒設置→用戶
自定義→文件實時防毒/郵件監控/網頁安全掃描(把啟動的項目的鉤去掉)確定。
在這里要說明一點,在文件實時防毒的頁面,把發現病毒時的處理方式改為禁止訪問
該文件,否則你的黑軟會一下子全沒了```我以前就知道,不過我朋友前一段時間就
忘了,結果可想而知了```害得他整整郁悶了一個星期~。
卡巴的設置:打開主程序(版本很多,主程序名我也不好說),設置→接下來的
自己找吧,版本太多了,每個都不一樣```我也說不清楚。
當然你要想機器平時用的方便,設置更多了,比如江民,瑞星,金山都有自帶的
小精靈,小護士,助手什么的,最好別讓他們工作,很討厭(這個詞不光女孩子能用
哦,嘿嘿~)。
接下來要提醒大家,如果是搞黑客技術的,最好用GHOST多做幾個備份(什么?
不會用GHOST?往下看吧),因為用的軟件多了裝的太多機器肯定很卡的,這點大家
應該有同感~
至于GHOST的用法(最好自己去網上查,說的比較詳細),如果大家不會用DOS,
那就用矮人DOS工具箱5.0,傻瓜化的,適合對DOS不太了解的人`
這里說明大家安裝江民后出現的一個嚴重問題,就是每次開機都掃描硬盤,我看
過網上對這方面的介紹,都不全,而且有一點沒有說到,在這里說一下,解決方法是
打開江民的設置選項→掃描選項→其他動作,把四個項目的鉤都去掉(每個選項的作
用大家都能讀明白吧,我就不詳細說了),然后確定,之后打開注冊表(單擊“開始
→運行”,在“運行”對話框中輸入“regedit”打開注冊表編輯器)依次選擇
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”然
后在右側窗口中找到“BootExecute”鍵值項,右鍵選擇修改,里面數值是
autocheck autochk *
KvNative.exe
把KvNative.exe去掉然后點確定,F5刷新就可以了,以后就不會啟動江民自帶的開機
掃描了。
大家知道電腦非正常關機的情況下重起電腦以后也會開機掃描,這是很正常的,如果
以后永遠不想讓電腦開機掃描就把里面的數值全部清空,確定,F5刷新,就可以了
不過建議大家先備份一下注冊表再清空里面的數據(因為如果電腦經常非正常關機而
且不開機掃描硬盤,那么會造成硬盤數據破壞后無法刪除!),不過清空了也沒關系
我們可以用chkdsk命令來強迫電腦開機掃描硬盤,至于chkdsk命令的用法大家就到網
上自己查吧。
最后就是免費升級殺毒軟件了
江民:通行證帳號:sphack 密碼:sphack 密碼改了我也能找回來,因為我知道
用的人多了,升級次數多了,自然就不能升級了,建議大家2天升級一次吧,還有就是
我會陸續更新新的江民通行證,請留意http://www.sphack.cn,謝謝大家支持。
瑞星:序列號: T1BULQ-70AWDE-9P90SF-7TD200?用戶ID:RB2NA22T
注意大家千萬別點自動升級,因為點自動升級之后就不能用了,大家用瑞星升級保姆
吧,這個保姆是隨時更新的,保證用戶可以免費升級~下載地址請關注天天殺毒網
http://www.sdday.com,這里有你想要的東東,看了絕對不后悔~
金山:天天殺毒網有破解版的金山2006,如果想用正版的,需要通行證和密碼,
不過由于本通行證不隨便對外公開,所以暫時不提供。
卡巴:這個好弄,網上到處都有下載,而且有序列號,不過建議大家到天天殺毒網
去下載,因為那里保證下載的東東沒問題(現在網絡可不安全,危險隨時都在),聲明
啊,我可不是給天天殺毒網做廣告,他可不給我任何好處,只是感覺這個網站有用的東
西太多了。。。
最后給計算機/網絡技術初學者一句話,就是遇到問題的時候別總想著去問別人,
自己養成用搜索引擎找答案的習慣,曾經我記得黑客基地的一個VIP會員說過,百度是
你最好的老師~每當我遇到問題的時候,總會想起這句話。
好了,就寫這么多吧,打字打的手都酸了,GOOD LUCK !
前幾天為了做免殺的需要,所以得安幾個殺毒軟件
目前比較流行的也就是江民,瑞星,金山,卡巴,這四個,其他的感覺都不怎么
地,所以不考慮了,不過在安裝的時候出現了一個問題,就是都裝上重起電腦之后
江民的語言選擇里面沒有簡體中文了,這個挺郁悶的,不過最郁悶的還在后面,撥
號上網后,QQ上不去,網頁打不開,PING也不通,用netstat命令查看網絡狀態一
看,竟然所有端口的連接都不正常,這可郁悶壞我了,重新做一次系統,多個心眼
用GHOST做個備份(以前的也有備份,不過系統里裝的東西過時了```)然后試了撥
號,一切都正常,呵呵,這回先到網上查查看有沒有相關的資料,當然是百度了,
不過什么也沒有找到,沒這方面的問題介紹,郁悶中……
沒辦法,自己琢磨了,我們GO ON吧,這回一個一個裝,裝了江民,沒問題,
又裝了卡巴,也沒問題,又裝金山,暈,出問題了````,還是老問題,上不去網了
沒辦法,用GHOST恢復系統吧,接下來試的就別提了,試了3個多小時,最后下定了
結論,是金山的問題,思考一下,到底是什么問題呢,莫非系統文件沖突,那么就
少裝一些項目,裝的時候少選幾項試試,又用了1個多小時,問題終于找到了`````
原來是金山網標的問題,一想想,肯定是金山網標與其他的殺毒軟件防火墻有沖突
問題找到了,這回可以好好裝了,恢復系統,裝殺毒軟件,終于行了~~~太興奮了`
終于成功了```下面就給大家寫一下關與安裝多個殺毒軟件的方法吧,首先必須
說明的是,安裝完一個殺毒軟件之后必須設置開機禁止啟動,因為如果電腦開機啟
動多個殺毒軟件會很卡的,而且有時候反應很慢,更嚴重的是會引起系統藍屏或崩潰
建議大家最后裝卡巴,為什么?自己試試就知道了````。
江民的設置:打開主程序(KV2006),點操作臺切換,恢復窗口,工具→設置→
實時監控,把所有開機啟動的項目全部去掉,確定。
瑞星的設置:打開主程序(瑞星殺毒軟件),設置→詳細設置→瑞星監控中心,
把所有開機啟動的項目去掉,確定。
金山的設置:打開主程序(金山毒霸2006),工具→綜合設置→防毒設置→用戶
自定義→文件實時防毒/郵件監控/網頁安全掃描(把啟動的項目的鉤去掉)確定。
在這里要說明一點,在文件實時防毒的頁面,把發現病毒時的處理方式改為禁止訪問
該文件,否則你的黑軟會一下子全沒了```我以前就知道,不過我朋友前一段時間就
忘了,結果可想而知了```害得他整整郁悶了一個星期~。
卡巴的設置:打開主程序(版本很多,主程序名我也不好說),設置→接下來的
自己找吧,版本太多了,每個都不一樣```我也說不清楚。
當然你要想機器平時用的方便,設置更多了,比如江民,瑞星,金山都有自帶的
小精靈,小護士,助手什么的,最好別讓他們工作,很討厭(這個詞不光女孩子能用
哦,嘿嘿~)。
接下來要提醒大家,如果是搞黑客技術的,最好用GHOST多做幾個備份(什么?
不會用GHOST?往下看吧),因為用的軟件多了裝的太多機器肯定很卡的,這點大家
應該有同感~
至于GHOST的用法(最好自己去網上查,說的比較詳細),如果大家不會用DOS,
那就用矮人DOS工具箱5.0,傻瓜化的,適合對DOS不太了解的人`
這里說明大家安裝江民后出現的一個嚴重問題,就是每次開機都掃描硬盤,我看
過網上對這方面的介紹,都不全,而且有一點沒有說到,在這里說一下,解決方法是
打開江民的設置選項→掃描選項→其他動作,把四個項目的鉤都去掉(每個選項的作
用大家都能讀明白吧,我就不詳細說了),然后確定,之后打開注冊表(單擊“開始
→運行”,在“運行”對話框中輸入“regedit”打開注冊表編輯器)依次選擇
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager”然
后在右側窗口中找到“BootExecute”鍵值項,右鍵選擇修改,里面數值是
autocheck autochk *
KvNative.exe
把KvNative.exe去掉然后點確定,F5刷新就可以了,以后就不會啟動江民自帶的開機
掃描了。
大家知道電腦非正常關機的情況下重起電腦以后也會開機掃描,這是很正常的,如果
以后永遠不想讓電腦開機掃描就把里面的數值全部清空,確定,F5刷新,就可以了
不過建議大家先備份一下注冊表再清空里面的數據(因為如果電腦經常非正常關機而
且不開機掃描硬盤,那么會造成硬盤數據破壞后無法刪除!),不過清空了也沒關系
我們可以用chkdsk命令來強迫電腦開機掃描硬盤,至于chkdsk命令的用法大家就到網
上自己查吧。
最后就是免費升級殺毒軟件了
江民:通行證帳號:sphack 密碼:sphack 密碼改了我也能找回來,因為我知道
用的人多了,升級次數多了,自然就不能升級了,建議大家2天升級一次吧,還有就是
我會陸續更新新的江民通行證,請留意http://www.sphack.cn,謝謝大家支持。
瑞星:序列號: T1BULQ-70AWDE-9P90SF-7TD200?用戶ID:RB2NA22T
注意大家千萬別點自動升級,因為點自動升級之后就不能用了,大家用瑞星升級保姆
吧,這個保姆是隨時更新的,保證用戶可以免費升級~下載地址請關注天天殺毒網
http://www.sdday.com,這里有你想要的東東,看了絕對不后悔~
金山:天天殺毒網有破解版的金山2006,如果想用正版的,需要通行證和密碼,
不過由于本通行證不隨便對外公開,所以暫時不提供。
卡巴:這個好弄,網上到處都有下載,而且有序列號,不過建議大家到天天殺毒網
去下載,因為那里保證下載的東東沒問題(現在網絡可不安全,危險隨時都在),聲明
啊,我可不是給天天殺毒網做廣告,他可不給我任何好處,只是感覺這個網站有用的東
西太多了。。。
最后給計算機/網絡技術初學者一句話,就是遇到問題的時候別總想著去問別人,
自己養成用搜索引擎找答案的習慣,曾經我記得黑客基地的一個VIP會員說過,百度是
你最好的老師~每當我遇到問題的時候,總會想起這句話。
好了,就寫這么多吧,打字打的手都酸了,GOOD LUCK !
舉凡一般企業當中,除了一些提供網絡服務的服務器外,更多數的是一般工作站或可移動的筆記型計算機,亦因其數量遠遠多過于服務器主機,IT人員可以考慮制定標準的工作站安全政策,利用一些安全設定與保護機制來管理這些有潛在風險的工作站。
我們因著過去的一些經驗,提供了一些方向給IT人員參考。
實體的安全
設定使用者授權機制:在企業的網絡環境里,可以設定唯有授權的使用者,方可使用企業內部的工作站主機,另外,亦提醒使用者可以啟動屏幕保護程序限制未被授權的人無法使用,以保護工作站中所存放的數據。
設定適當的存取控制權限:對于計算機中機密或重要的檔案/目錄進行權限控制,非授權的使用者無法讀取重要的檔案,或者亦可考慮利用密碼保護功能進行控制。
制定計算機硬件的安裝機制:可移動式的儲存設備愈來愈普遍化,但隨著愈方便地使用亦愈容易成為漏洞的所在,IT人員可以考慮制定硬件管理的機制。
系統的安全設定
重視軟件相關的安全修補程序:注意軟件開發廠商提供的修補程序,并確實執行修補作業。
安裝防毒軟件并定期更新病毒碼及引擊:利用防毒軟件進行病毒的防護機制,并確實更新程序,以達到有效的預防。
遠程管理的安全性:遠程管理工具提供給IT人員一個便利的管道來管理企業中的計算機,但可能一不小心便成為黑客的后門,IT人員需特別注意。
減少不必要的應用程序:這點是老生常談了,在工作站上只要有不必要的應用程序,就將它移除或停止啟動。
數據的保護
定期執行備份工作:工作站上重要的檔案需定期執行備份或者將檔案備份到企業的檔案伺服主機。
知識的傳達
提升使用者對安全的認知:因為并非每個使用者都有IT人員的專業資安概念,所以,IT人員可善用一些機會,給予一般使用者信息安全的認知與概念。
善用工作站管理程序,統一管理企業計算機軟硬件:對于IT人員,可以善用管理程序來管理企業內部的軟硬件,找出是否有工作站安裝了未經授權的軟件,或執行不安全的軟件。
不隨意下載或執行來源不明的檔案或程序:提醒每個使用者不要執行來路不明的程序,減少一些資安上的風險。
透過 DragonSoft Secure Scanner(DSS) 檢查您企業中的工作站是否安裝或啟動哪些未經授權的軟件。
進行一個安全檢測,并采用"一般檢測"政策,檢測目標選擇您欲檢查的主機,您可以分不同部門來進行檢測作業,屆時針對不同部門給予建議等。
按下工具列上的開始按鈕進行檢測。
檢測完成后,按下工具列上的報表按鈕,進行報表產生。
報表產生后,其中一部份就是記錄著被檢測主機上的服務信息,依著報告您即可提醒公司內部人員,進行修正,以符合公司所訂定的安全政策。
我們因著過去的一些經驗,提供了一些方向給IT人員參考。
實體的安全
設定使用者授權機制:在企業的網絡環境里,可以設定唯有授權的使用者,方可使用企業內部的工作站主機,另外,亦提醒使用者可以啟動屏幕保護程序限制未被授權的人無法使用,以保護工作站中所存放的數據。
設定適當的存取控制權限:對于計算機中機密或重要的檔案/目錄進行權限控制,非授權的使用者無法讀取重要的檔案,或者亦可考慮利用密碼保護功能進行控制。
制定計算機硬件的安裝機制:可移動式的儲存設備愈來愈普遍化,但隨著愈方便地使用亦愈容易成為漏洞的所在,IT人員可以考慮制定硬件管理的機制。
系統的安全設定
重視軟件相關的安全修補程序:注意軟件開發廠商提供的修補程序,并確實執行修補作業。
安裝防毒軟件并定期更新病毒碼及引擊:利用防毒軟件進行病毒的防護機制,并確實更新程序,以達到有效的預防。
遠程管理的安全性:遠程管理工具提供給IT人員一個便利的管道來管理企業中的計算機,但可能一不小心便成為黑客的后門,IT人員需特別注意。
減少不必要的應用程序:這點是老生常談了,在工作站上只要有不必要的應用程序,就將它移除或停止啟動。
數據的保護
定期執行備份工作:工作站上重要的檔案需定期執行備份或者將檔案備份到企業的檔案伺服主機。
知識的傳達
提升使用者對安全的認知:因為并非每個使用者都有IT人員的專業資安概念,所以,IT人員可善用一些機會,給予一般使用者信息安全的認知與概念。
善用工作站管理程序,統一管理企業計算機軟硬件:對于IT人員,可以善用管理程序來管理企業內部的軟硬件,找出是否有工作站安裝了未經授權的軟件,或執行不安全的軟件。
不隨意下載或執行來源不明的檔案或程序:提醒每個使用者不要執行來路不明的程序,減少一些資安上的風險。
透過 DragonSoft Secure Scanner(DSS) 檢查您企業中的工作站是否安裝或啟動哪些未經授權的軟件。
進行一個安全檢測,并采用"一般檢測"政策,檢測目標選擇您欲檢查的主機,您可以分不同部門來進行檢測作業,屆時針對不同部門給予建議等。
按下工具列上的開始按鈕進行檢測。
檢測完成后,按下工具列上的報表按鈕,進行報表產生。
報表產生后,其中一部份就是記錄著被檢測主機上的服務信息,依著報告您即可提醒公司內部人員,進行修正,以符合公司所訂定的安全政策。
新云網站管理系統文件注入漏洞
[ 2007-03-25 03:49:51 | 作者: sun ]
關于新云
新云網絡成立于2002年,是一家提供現代網絡服務、軟件開發的網絡公司,主要從事網絡應用軟件開發、電子商務系統開發,程序訂制、網站開發、網站策劃、域名注冊、空間租用等多項業務,為企業打造卓越的網絡應用平臺。
漏洞原理
利用各種方法實現入侵,如COOKIES、抓包、注入檢測等。
1.過濾未全
user\articlepost.asp 文件第333行
Quote
SQL = "select ArticleID,title,content,ColorMode,FontMode,Author,ComeFrom,
WriteTime,username from NC_Article where ChannelID=" & ChannelID & " And
username=’" & Newasp.MemberName & "’
And ArticleID=" & Request("ArticleID")
沒有任何過濾,只有用戶是否有權限發文章的檢查。綜合代碼原理可構造URL語句:
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%
201,2,3,4,5,username,password,8,9%20from%20nc_admin
注冊后直接在瀏覽器上輸入,就可以爆出管理員的表和代碼。
2.新云2.1SQL版注入漏洞
漏洞描述:
動畫頻道的“動畫管理”和“審核管理”,錯誤類型:
Quote
Microsoft OLE DB Provider for SQL Server (0x80040E14)
未能找到存儲過程 ’NC_FlashAdminList’。
/admin/admin_Flash.asp, 第 233 行
可以利用SQL注入方法,手工&工具,這個就不用我教了吧。如:
articlepost.asp?ChannelID=1&action=view&ArticleID=1;--
3.COOKIES欺騙獲取管理賬號
攻擊者只需使用WSockExpert等工具抓包修改資料時的信息,編輯用戶名及ID信息后用NC提交即可修改指定的用戶信息。
新云網絡成立于2002年,是一家提供現代網絡服務、軟件開發的網絡公司,主要從事網絡應用軟件開發、電子商務系統開發,程序訂制、網站開發、網站策劃、域名注冊、空間租用等多項業務,為企業打造卓越的網絡應用平臺。
漏洞原理
利用各種方法實現入侵,如COOKIES、抓包、注入檢測等。
1.過濾未全
user\articlepost.asp 文件第333行
Quote
SQL = "select ArticleID,title,content,ColorMode,FontMode,Author,ComeFrom,
WriteTime,username from NC_Article where ChannelID=" & ChannelID & " And
username=’" & Newasp.MemberName & "’
And ArticleID=" & Request("ArticleID")
沒有任何過濾,只有用戶是否有權限發文章的檢查。綜合代碼原理可構造URL語句:
articlepost.asp?ChannelID=1&action=view&ArticleID=1%20union%20select%
201,2,3,4,5,username,password,8,9%20from%20nc_admin
注冊后直接在瀏覽器上輸入,就可以爆出管理員的表和代碼。
2.新云2.1SQL版注入漏洞
漏洞描述:
動畫頻道的“動畫管理”和“審核管理”,錯誤類型:
Quote
Microsoft OLE DB Provider for SQL Server (0x80040E14)
未能找到存儲過程 ’NC_FlashAdminList’。
/admin/admin_Flash.asp, 第 233 行
可以利用SQL注入方法,手工&工具,這個就不用我教了吧。如:
articlepost.asp?ChannelID=1&action=view&ArticleID=1;--
3.COOKIES欺騙獲取管理賬號
攻擊者只需使用WSockExpert等工具抓包修改資料時的信息,編輯用戶名及ID信息后用NC提交即可修改指定的用戶信息。
避免網絡IP地址被非法修改
[ 2007-03-25 03:49:39 | 作者: sun ]
局域網中各工作站的TCP/IP參數被隨意修改后,很容易造成IP地址的沖突,這會給管理工作帶來不小的麻煩。那么,有沒有辦法保護好自己的網絡,不讓別人非法修改IP地址呢?
其實,很簡單,你只要參照下面的步驟,就能輕松避免IP地址被非法修改的麻煩!
注冊表設置法
首先,需要將桌面上的“網上鄰居”圖標隱藏起來,讓其他人無法通過“網上鄰居”屬性窗口,進入到TCP/IP參數設置界面。依次展開注冊表編輯窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子鍵,然后在“Explorer”子鍵下面,創建一名為“NoNetHood”雙字節值,并將它設置為“1”,就可以了。
其次,再將控制面板窗口中的“網絡”圖標,隱藏起來,那么其他人根本就打不開TCP/IP參數設置界面了。只要你打開“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]處,輸入一行形如“netcpl.cpl=no”的代碼,重新保存后,“網絡”圖標就從控制面板窗口中消失了。
到了這里,所有可以修改IP的途徑都被“切斷”了,這樣其他人即使想修改IP地址,也無處下手了。當然,這種方法只能蒙蒙菜鳥網民,對于“大蝦”級的網民來說,幾乎就是聾子的耳朵——擺設。因為網民一旦找到“netcpl.cpl”文件,還是有辦法恢復“網絡”或“網上鄰居”圖標的,為此,你還需要進行下面的工作,才能真正意義上“切斷”IP的修改通道:
依次展開注冊表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子鍵,然后在“Network”子鍵下面,創建一個名為“NoNetSetup”的雙字節值,并將它設置為“1”;之后,你再想打開“網上鄰居”或“網絡”屬性窗口時,將會得到無權訪問的提示。
局域網中各工作站的TCP/IP參數被隨意修改后,很容易造成IP地址的沖突,這會給管理工作帶來不小的麻煩。那么,有沒有辦法保護好自己的網絡,不讓別人非法修改IP地址呢?
其實,很簡單,你只要參照下面的步驟,就能輕松避免IP地址被非法修改的麻煩!
注冊表設置法
首先,需要將桌面上的“網上鄰居”圖標隱藏起來,讓其他人無法通過“網上鄰居”屬性窗口,進入到TCP/IP參數設置界面。依次展開注冊表編輯窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子鍵,然后在“Explorer”子鍵下面,創建一名為“NoNetHood”雙字節值,并將它設置為“1”,就可以了。
其次,再將控制面板窗口中的“網絡”圖標,隱藏起來,那么其他人根本就打不開TCP/IP參數設置界面了。只要你打開“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]處,輸入一行形如“netcpl.cpl=no”的代碼,重新保存后,“網絡”圖標就從控制面板窗口中消失了。
到了這里,所有可以修改IP的途徑都被“切斷”了,這樣其他人即使想修改IP地址,也無處下手了。當然,這種方法只能蒙蒙菜鳥網民,對于“大蝦”級的網民來說,幾乎就是聾子的耳朵——擺設。因為網民一旦找到“netcpl.cpl”文件,還是有辦法恢復“網絡”或“網上鄰居”圖標的,為此,你還需要進行下面的工作,才能真正意義上“切斷”IP的修改通道:
依次展開注冊表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子鍵,然后在“Network”子鍵下面,創建一個名為“NoNetSetup”的雙字節值,并將它設置為“1”;之后,你再想打開“網上鄰居”或“網絡”屬性窗口時,將會得到無權訪問的提示。
地址綁定法
除了通過切斷修改IP的“通道”,來禁止其他人非法修改IP地址外,你也可以直接對指定IP地址,進行限制,讓其他人即使修改了地址,也無法進行網絡連接。在限制IP地址時,可以用地址綁定法來實現:
首先將系統切換到DOS命令行狀態下,執行“ipconfig /all”命令,在彈出的窗口中,將網卡的MAC地址、IP地址記錄下來;
下面在代理服務器端,將指定IP地址與對應的MAC地址,綁定在一起,以后即使有人在你的計算機中,修改了IP地址,他也無法通過代理服務器,進行網絡連接。例如,在綁定前面的IP地址時,可以在DOS命令行中,執行“arp -s 10.168.160.10 00-30-6E-36-5A-EF”命令,就能將靜態IP地址“10.168.160.10”和網卡的MAC地址“00-30-6E-36-5A-EF”綁定在一起了。
在局域網中,使用代理服務器上網的工作站,都能通過上述方法,來限制修改靜態IP地址。要是日后需要為IP地址“松綁”的話,只要執行“arp -d 10.168.160.10 00-30-6E-36-5A-EF”命令就可以了。
要是你的局域網,使用的是三層交換機來連接各個工作站的話,那么你只需要在每一個交換端口處,對IP地址進行一下限定,讓其他人即使修改了IP地址,也無法通過交換機上網。
其實,很簡單,你只要參照下面的步驟,就能輕松避免IP地址被非法修改的麻煩!
注冊表設置法
首先,需要將桌面上的“網上鄰居”圖標隱藏起來,讓其他人無法通過“網上鄰居”屬性窗口,進入到TCP/IP參數設置界面。依次展開注冊表編輯窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子鍵,然后在“Explorer”子鍵下面,創建一名為“NoNetHood”雙字節值,并將它設置為“1”,就可以了。
其次,再將控制面板窗口中的“網絡”圖標,隱藏起來,那么其他人根本就打不開TCP/IP參數設置界面了。只要你打開“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]處,輸入一行形如“netcpl.cpl=no”的代碼,重新保存后,“網絡”圖標就從控制面板窗口中消失了。
到了這里,所有可以修改IP的途徑都被“切斷”了,這樣其他人即使想修改IP地址,也無處下手了。當然,這種方法只能蒙蒙菜鳥網民,對于“大蝦”級的網民來說,幾乎就是聾子的耳朵——擺設。因為網民一旦找到“netcpl.cpl”文件,還是有辦法恢復“網絡”或“網上鄰居”圖標的,為此,你還需要進行下面的工作,才能真正意義上“切斷”IP的修改通道:
依次展開注冊表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子鍵,然后在“Network”子鍵下面,創建一個名為“NoNetSetup”的雙字節值,并將它設置為“1”;之后,你再想打開“網上鄰居”或“網絡”屬性窗口時,將會得到無權訪問的提示。
局域網中各工作站的TCP/IP參數被隨意修改后,很容易造成IP地址的沖突,這會給管理工作帶來不小的麻煩。那么,有沒有辦法保護好自己的網絡,不讓別人非法修改IP地址呢?
其實,很簡單,你只要參照下面的步驟,就能輕松避免IP地址被非法修改的麻煩!
注冊表設置法
首先,需要將桌面上的“網上鄰居”圖標隱藏起來,讓其他人無法通過“網上鄰居”屬性窗口,進入到TCP/IP參數設置界面。依次展開注冊表編輯窗口中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“ Windows”、“CurrentVersion”、“Policies”、“Explorer”子鍵,然后在“Explorer”子鍵下面,創建一名為“NoNetHood”雙字節值,并將它設置為“1”,就可以了。
其次,再將控制面板窗口中的“網絡”圖標,隱藏起來,那么其他人根本就打不開TCP/IP參數設置界面了。只要你打開“Windows/Sys_tem(去掉"_")/netcpl.cpl”文件,然后在[don"t load]處,輸入一行形如“netcpl.cpl=no”的代碼,重新保存后,“網絡”圖標就從控制面板窗口中消失了。
到了這里,所有可以修改IP的途徑都被“切斷”了,這樣其他人即使想修改IP地址,也無處下手了。當然,這種方法只能蒙蒙菜鳥網民,對于“大蝦”級的網民來說,幾乎就是聾子的耳朵——擺設。因為網民一旦找到“netcpl.cpl”文件,還是有辦法恢復“網絡”或“網上鄰居”圖標的,為此,你還需要進行下面的工作,才能真正意義上“切斷”IP的修改通道:
依次展開注冊表中的“HKEY_CURRENT_USER”、“Software”、“Microsoft”、“Windows”、“CurrentVersion”、“Policies”、“Network”子鍵,然后在“Network”子鍵下面,創建一個名為“NoNetSetup”的雙字節值,并將它設置為“1”;之后,你再想打開“網上鄰居”或“網絡”屬性窗口時,將會得到無權訪問的提示。
地址綁定法
除了通過切斷修改IP的“通道”,來禁止其他人非法修改IP地址外,你也可以直接對指定IP地址,進行限制,讓其他人即使修改了地址,也無法進行網絡連接。在限制IP地址時,可以用地址綁定法來實現:
首先將系統切換到DOS命令行狀態下,執行“ipconfig /all”命令,在彈出的窗口中,將網卡的MAC地址、IP地址記錄下來;
下面在代理服務器端,將指定IP地址與對應的MAC地址,綁定在一起,以后即使有人在你的計算機中,修改了IP地址,他也無法通過代理服務器,進行網絡連接。例如,在綁定前面的IP地址時,可以在DOS命令行中,執行“arp -s 10.168.160.10 00-30-6E-36-5A-EF”命令,就能將靜態IP地址“10.168.160.10”和網卡的MAC地址“00-30-6E-36-5A-EF”綁定在一起了。
在局域網中,使用代理服務器上網的工作站,都能通過上述方法,來限制修改靜態IP地址。要是日后需要為IP地址“松綁”的話,只要執行“arp -d 10.168.160.10 00-30-6E-36-5A-EF”命令就可以了。
要是你的局域網,使用的是三層交換機來連接各個工作站的話,那么你只需要在每一個交換端口處,對IP地址進行一下限定,讓其他人即使修改了IP地址,也無法通過交換機上網。
系統安全防范之Windows日志與入侵檢測
[ 2007-03-25 03:49:28 | 作者: sun ]
一、日志文件的特殊性
要了解日志文件,首先就要從它的特殊性講起,說它特殊是因為這個文件由系統管理,并加以保護,一般情況下普通用戶不能隨意更改。我們不能用針對普通TXT文件的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等,都奈何它不得。我們甚至不能對它進行“重命名”或“刪除”、“移動”操作,否則系統就會很不客氣告訴你:訪問被拒絕。當然,在純DOS的狀態下,可以對它進行一些常規操作(例如Win98狀態下),但是你很快就會發現,你的修改根本就無濟于事,當重新啟動Windows 98時,系統將會自動檢查這個特殊的文本文件,若不存在就會自動產生一個;若存在的話,將向該文本追加日志記錄。
二、黑客為什么會對日志文件感興趣
黑客們在獲得服務器的系統管理員權限之后就可以隨意破壞系統上的文件了,包括日志文件。但是這一切都將被系統日志所記錄下來,所以黑客們想要隱藏自己的入侵蹤跡,就必須對日志進行修改。最簡單的方法就是刪除系統日志文件,但這樣做一般都是初級黑客所為,真正的高級黑客們總是用修改日志的方法來防止系統管理員追蹤到自己,網絡上有很多專門進行此類功能的程序,例如Zap、Wipe等。
三、Windows系列日志系統簡介
1.Windows 98的日志文件
因目前絕大多數的用戶還是使用的操作系統是Windows 98,所以本節先從Windows 98的日志文件講起。Windows 98下的普通用戶無需使用系統日志,除非有特殊用途,例如,利用Windows 98建立個人Web服務器時,就會需要啟用系統日志來作為服務器安全方面的參考,當已利用Windows 98建立個人Web服務器的用戶,可以進行下列操作來啟用日志功能。
(1)在“控制面板”中雙擊“個人Web服務器”圖標;(必須已經在配置好相關的網絡協議,并添加“個人Web服務器”的情況下)。
(2)在“管理”選項卡中單擊“管理”按鈕;
(3)在“Internet服務管理員”頁中單擊“WWW管理”;
(4)在“WWW管理”頁中單擊“日志”選項卡;
(5)選中“啟用日志”復選框,并根據需要進行更改。 將日志文件命名為“Inetserver_event.log”。如果“日志”選項卡中沒有指定日志文件的目錄,則文件將被保存在Windows文件夾中。
普通用戶可以在Windows 98的系統文件夾中找到日志文件schedlog.txt。我們可以通過以下幾種方法找到它。在“開始”/“查找”中查找到它,或是啟動“任務計劃程序”,在“高級”菜單中單擊“查看日志”來查看到它。Windows 98的普通用戶的日志文件很簡單,只是記錄了一些預先設定的任務運行過程,相對于作為服務器的NT操作系統,真正的黑客們很少對Windows 98發生興趣。所以Windows 98下的日志不為人們所重視。
2.Windows NT下的日志系統
Windows NT是目前受到攻擊較多的操作系統,在Windows NT中,日志文件幾乎對系統中的每一項事務都要做一定程度上的審計。Windows NT的日志文件一般分為三類:
系統日志 :跟蹤各種各樣的系統事件,記錄由 Windows NT 的系統組件產生的事件。例如,在啟動過程加載驅動程序錯誤或其它系統組件的失敗記錄在系統日志中。
應用程序日志:記錄由應用程序或系統程序產生的事件,比如應用程序產生的裝載dll(動態鏈接庫)失敗的信息將出現在日志中。
安全日志 :記錄登錄上網、下網、改變訪問權限以及系統啟動和關閉等事件以及與創建、打開或刪除文件等資源使用相關聯的事件。利用系統的“事件管理器”可以指定在安全日志中記錄需要記錄的事件,安全日志的默認狀態是關閉的。
Windows NT的日志系統通常放在下面的位置,根據操作系統的不同略有變化。
C:\systemroot\system32\config\sysevent.evt
C:\systemroot\system32\config\secevent.evt
C:\systemroot\system32\config\appevent.evt
Windows NT使用了一種特殊的格式存放它的日志文件,這種格式的文件可以被事件查看器讀取,事件查看器可以在“控制面板”中找到,系統管理員可以使用事件查看器選擇要查看的日志條目,查看條件包括類別、用戶和消息類型。
3.Windows 2000的日志系統
與Windows NT一樣,Windows 2000中也一樣使用“事件查看器”來管理日志系統,也同樣需要用系統管理員身份進入系統后方可進行操作,如圖7-1所示。
在Windows 2000中,日志文件的類型比較多,通常有應用程序日志,安全日志、系統日志、DNS服務器日志、FTP日志、WWW日志等等,可能會根據服務器所開啟的服務不同而略有變化。啟動Windows 2000時,事件日志服務會自動啟動,所有用戶都可以查看“應用程序日志”,但是只有系統管理員才能訪問“安全日志”和“系統日志”。系統默認的情況下會關閉“安全日志”,但我們可以使用“組策略”來啟用“安全日志”開始記錄。安全日志一旦開啟,就會無限制的記錄下去,直到裝滿時停止運行。
Windows 2000日志文件默認位置:
應用程序日志、安全日志、系統日志、DNS日志默認位置:%systemroot%\sys tem32\config,默認文件大小512KB,但有經驗的系統管理員往往都會改變這個默認大小。
安全日志文件:c:\sys temroot\sys tem32\config\SecEvent.EVT
系統日志文件:c:\sys temroot\sys tem32\config\SysEvent.EVT
應用程序日志文件:c:\sys temroot\sys tem32\config\AppEvent.EVT
Internet信息服務FTP日志默認位置:c:\systemroot\sys tem32\logfiles\msftpsvc1\。
Internet信息服務WWW日志默認位置:c:\systemroot\sys tem32\logfiles\w3svc1\。
Scheduler服務器日志默認位置:c:\systemroot\schedlgu.txt 。該日志記錄了訪問者的IP,訪問的時間及請求訪問的內容。
因Windows2000延續了NT的日志文件,并在其基礎上又增加了FTP和WWW日志,故本節對FTP日志和WWW日志作一個簡單的講述。FTP日志以文本形式的文件詳細地記錄了以FTP方式上傳文件的文件、來源、文件名等等。不過由于該日志太明顯,所以高級黑客們根本不會用這種方法來傳文件,取而代之的是使用RCP。FTP日志文件和WWW日志文件產生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目錄下,默認是每天一個日志文件,
FTP和WWW日志可以刪除,但是FTP日志所記錄的一切還是會在系統日志和安全日志里記錄下來,如果用戶需要嘗試刪除這些文件,通過一些并不算太復雜的方法,例如首先停止某些服務,然后就可以將該日志文件刪除。具體方法本節略。
Windows 2000中提供了一個叫做安全日志分析器(CyberSafe Log Analyst,CLA)的工具,有很強的日志管理功能,它可以使用戶不必在讓人眼花繚亂的日志中慢慢尋找某條記錄,而是通過分類的方式將各種事件整理好,讓用戶能迅速找到所需要的條目。它的另一個突出特點是能夠對整個網絡環境中多個系統的各種活動同時進行分析,避免了一個個單獨去分析的麻煩。
4.Windows XP日志文件
說Windows XP的日志文件,就要先說說Internet連接防火墻(ICF)的日志,ICF的日志可以分為兩類:一類是ICF審核通過的IP數據包,而一類是ICF拋棄的IP數據包。日志一般存于Windows目錄之下,文件名是pfirewall.log。其文件格式符合W3C擴展日志文件格式(W3C Extended Log File Format),分為兩部分,分別是文件頭(Head Information)和文件主體(Body Information)。文件頭主要是關于Pfirewall.log這個文件的說明,需要注意的主要是文件主體部分。文件主體部分記錄有每一個成功通過ICF審核或者被ICF所拋棄的IP數據包的信息,包括源地址、目的地址、端口、時間、協議以及其他一些信息。理解這些信息需要較多的TCP/IP協議的知識。ICF生成安全日志時使用的格式是W3C擴展日志文件格式,這與在常用日志分析工具中使用的格式類似。 當我們在WindowsXP的“控制面板”中,打開事件查看器.
就可以看到WindowsXP中同樣也有著系統日志、安全日志和應用日志三種常見的日志文件,當你單擊其中任一文件時,就可以看見日志文件中的一些記錄.
若要啟用對不成功的連接嘗試的記錄,請選中“記錄丟棄的數據包”復選框,否則禁用。另外,我們還可以用金山網鏢等工具軟件將“安全日志”導出和被刪除。
5.日志分析
當日志每天都忠實的為用戶記錄著系統所發生的一切的時候,用戶同樣也需要經常規范管理日志,但是龐大的日志記錄卻又令用戶茫然失措,此時,我們就會需要使用工具對日志進行分析、匯總,日志分析可以幫助用戶從日志記錄中獲取有用的信息,以便用戶可以針對不同的情況采取必要的措施。
6.系統日志的刪除
因操作系統的不同,所以日志的刪除方法也略有變化,本文從Windows 98和Windows 2000兩種有明顯區別的操作系統來講述日志的刪除。
7.Windows 98下的日志刪除
在純DOS下啟動計算機,用一些常用的修改或刪除命令就可以消除Windows 98日志記錄。當重新啟動Windows98后,系統會檢查日志文件的存在,如果發現日志文件不存在,系統將自動重建一個,但原有的日志文件將全部被消除。
8.Windows 2000的日志刪除
Windows 2000的日志可就比Windows 98復雜得多了,我們知道,日志是由系統來管理、保護的,一般情況下是禁止刪除或修改,而且它還與注冊表密切相關。在Windows 2000中刪除日志首先要取得系統管理員權限,因為安全日志和系統日志必須由系統管理員方可查看,然后才可以刪除它們。
我們將針對應用程序日志,安全日志、系統日志、DNS服務器日志、FTP日志、WWW日志的刪除做一個簡單的講解。要刪除日志文件,就必須停止系統對日志文件的保護功能。我們可以使用命令語句來刪除除了安全日志和系統日志外的日志文件,但安全日志就必須要使用系統中的“事件查看器”來控制它,打開“控制面板”的“管理工具”中的“事件查看器”。在菜單的“操作”項有一個名為“連接到另一臺計算機”的菜單.
輸入遠程計算機的IP,然后需要等待,選擇遠程計算機的安全性日志,點擊屬性里的“清除日志”按鈕即可。
9.發現入侵蹤跡
如何當入侵者企圖或已經進行系統的時候,及時有效的發現蹤跡是目前防范入侵的熱門話題之一。發現入侵蹤跡的前題就是應該有一個入侵特征數據庫,我們一般使用系統日志、防火墻、檢查IP報頭(IP header)的來源地址、檢測Email的安全性以及使用入侵檢測系統(IDS)等來判斷是否有入侵跡象。
我們先來學習一下如何利用端口的常識來判斷是否有入侵跡象:
電腦在安裝以后,如果不加以調整,其默認開放的端口號是139,如果不開放其它端口的話,黑客正常情況下是無法進入系統的。如果平常系統經常進行病毒檢查的話,而突然間電腦上網的時候會感到有反應緩慢、鼠標不聽使喚、藍屏、系統死機及其它種種不正常的情況,我們就可以判斷有黑客利用電子信件或其它方法在系統中植入的特洛伊木馬。此時,我們就可以采取一些方法來清除它,具體方法在本書的相關章節可以查閱。
10.遭受入侵時的跡象
入侵總是按照一定的步驟在進行,有經驗的系統管理員完全可以通過觀察到系統是否出現異常現象來判斷入侵的程度。
11.掃描跡象
當系統收到連續、反復的端口連接請求時,就可能意味著入侵者正在使用端口掃描器對系統進行外部掃描。高級黑客們可能會用秘密掃描工具來躲避檢測,但實際上有經驗的系統管理員還是可以通過多種跡象來判斷一切。
12.利用攻擊
當入侵者使用各種程序對系統進行入侵時,系統可能報告出一些異常情況,并給出相關文件(IDS常用的處理方法),當入侵者入侵成功后,系統總會留下或多或少的破壞和非正常訪問跡象,這時就應該發現系統可能已遭遇入侵。
打造100%絕對安全的個人電腦
[ 2007-03-25 03:49:03 | 作者: sun ]
細想一下,現在大多數人的電腦這只未必安全,真好閑暇無事,特發此帖,希望對大家有所幫助!!!
由于現在家用電腦所使用的操作系統多數為WinXP 和Win2000 pro(建議還在使用98的朋友換換系統,連_blank/>微軟都放棄了的系統你還用它干嘛?)所以后面我將主要講一下基于這兩個操作系統的安全防范。
個人電腦常見的被入侵方式
談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:
(1) 被他人盜取密碼;
(2) 系統被_blank/>木馬攻擊;
(3) 瀏覽網頁時被惡意的java scrpit程序攻擊;
(4) QQ被攻擊或泄漏信息;
(5) 病毒感染;
(6) 系統存在漏洞使他人攻擊自己。
(7) _blank/>黑客的惡意攻擊。
下面我們就來看看通過什么樣的手段來更有效的防范攻擊。
查本地共享資源
刪除共享
刪除ipc$空連接
賬號密碼的安全原則
關閉自己的139端口
445端口的關閉
3389的關閉
4899的防范
常見端口的介紹
如何查看本機打開的端口和過濾
禁用服務
本地策略
本地安全策略
用戶權限分配策略
終端服務配置
用戶和組策略
防止rpc漏洞
自己動手DIY在本地策略的安全選項
工具介紹
避免被惡意代碼 木馬等病毒攻擊
1.查看本地共享資源
運行CMD輸入net share,如果看到有異常的共享,那么應該關閉。但是有時你關閉共享下次開機的時候又出現了,那么你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
2.刪除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續刪除)
3.刪除ipc$空連接
在運行內輸入regedit,在_blank/>注冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項里數值名稱RestrictAnonymous的數值數據由0改為1。
4.關閉自己的139端口,ipc和RPC漏洞存在于此。
關閉139端口的方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WinS設置”里面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。
5.防止rpc漏洞
打開管理工具——服務——找到RPC(Remote Procedure Call (RPC) Locator)服務——將故障恢復中的第一次失敗,第二次失敗,后續失敗,都設置為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445端口的關閉
修改注冊表,添加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 為REG_DWORD類型鍵值為0這樣就ok了。
7.3389的關閉
XP:我的電腦上點右鍵選屬性--/>遠程,將里面的遠程協助和遠程桌面兩個選項框里的勾去掉。
Win2000server 開始--/>程序--/>管理工具--/>服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,并停止該服務。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網絡上有很多文章說在Win2000pro 開始--/>設置--/>控制面板--/>管理工具--/>服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,并停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。
8.4899的防范
網絡上有許多關于3389和4899的入侵方法。4899其實是一個遠程控制軟件所開啟的服務端端口,由于這些控制軟件功能強大,所以經常被黑客用來控制自己的肉雞,而且這類軟件一般不會被殺毒軟件查殺,比后門還要安全。
4899不象3389那樣,是系統自帶的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦并運行服務,才能達到控制的目的。
所以只要你的電腦做了基本的安全配置,黑客是很難通過4899來控制你的。
9、禁用服務
若PC沒有特殊用途,基于安全考慮,打開控制面板,進入管理工具——服務,關閉以下服務:
1.Alerter[通知選定的用戶和計算機管理警報]
2.ClipBook[啟用“剪貼簿查看器”儲存信息并與遠程計算機共享]
3.Distributed File System[將分散的文件共享合并成一個邏輯名稱,共享出去,關閉后遠程計算機無法訪問共享
4.Distributed Link Tracking Server[適用局域網分布式鏈接]
5.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性,泄露信息]
6.Messenger[警報]
7.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
8.Network DDE[為在同一臺計算機或不同計算機上運行的程序提供動態數據交換]
9.Network DDE DSDM[管理動態數據交換 (DDE) 網絡共享]
10.Remote Desktop Help Session Manager[管理并控制遠程協助]
11.Remote Registry[使遠程計算機用戶修改本地注冊表]
12.Routing and Remote Access[在局域網和廣域往提供路由服務.黑客理由路由服務刺探注冊信息]
13.Server[支持此計算機通過網絡的文件、打印、和命名管道共享]
14.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網絡]
15.Telnet[允許遠程用戶登錄到此計算機并運行程序]
16.Terminal Services[允許用戶以交互方式連接到遠程計算機]
17.Window s Image Acquisition (WIA)[照相服務,應用與數碼攝象機]
如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序的服務端。
10、賬號密碼的安全原則
首先禁用guest帳號,將系統內建的administrator帳號改名~~(改的越復雜越好,最好改成中文的),然后設置一個密碼,最好是8位以上字母數字符號組合。 (讓那些該死的黑客慢慢猜去吧~)
如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設置一個足夠安全的密碼,同上如果你設置adminstrator的密碼時,最好在安全模式下設置,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登陸下的adminitrator帳號,因為即使有了這個帳號,同樣可以登陸安全模式,將sam文件刪除,從而更改系統的administrator的密碼!而在安全模式下設置的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼策略:用戶可以根據自己的習慣設置密碼,下面是我建議的設置(關于密碼安全設置,我上面已經講了,這里不再羅嗦了。
打開管理工具.本地安全設置.密碼策略
1.密碼必須符合復雜要求性.啟用
2.密碼最小值.我設置的是8
3.密碼最長使用期限.我是默認設置42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的_blank/>加密來存儲密碼 禁用
11、本地策略:
這個很重要,可以幫助我們發現那些心存叵測的人的一舉一動,還可以幫助我們將來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)
打開管理工具
找到本地安全設置.本地策略.審核策略
1.審核策略更改 成功失敗
2.審核登陸事件 成功失敗
3.審核對象訪問 失敗
4.審核跟蹤過程 無審核
5.審核目錄服務訪問 失敗
6.審核特權使用 失敗
7.審核系統事件 成功失敗
8.審核帳戶登陸時間 成功失敗
9.審核帳戶管理 成功失敗
&nb sp;然后再到管理工具找到
事件查看器
應用程序:右鍵/>屬性/>設置日志大小上限,我設置了50mb,選擇不覆蓋事件
安全性:右鍵/>屬性/>設置日志大小上限,我也是設置了50mb,選擇不覆蓋事件
系統:右鍵/>屬性/>設置日志大小上限,我都是設置了50mb,選擇不覆蓋事件
12、本地安全策略:
打開管理工具
找到本地安全設置.本地策略.安全選項
1.交互式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登陸的]
2.網絡訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網絡訪問.可匿名的共享 將后面的值刪除
4.網絡訪問.可匿名的命名管道 將后面的值刪除
5.網絡訪問.可遠程訪問的注冊表路徑 將后面的值刪除
6.網絡訪問.可遠程訪問的注冊表的子路徑 將后面的值刪除
7.網絡訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經詳細講過拉 )
13、用戶權限分配策略:
打開管理工具
找到本地安全設置.本地策略.用戶權限分配
1.從網絡訪問計算機 里面一般默認有5個用戶,除Admin外我們刪除4個,當然,等下我們還得建一個屬于自己的ID
2.從遠程系統強制關機,Admin帳戶也刪除,一個都不留
3.拒絕從網絡訪問這臺計算機 將ID刪除
4.從網絡訪問此計算機,Admin也可刪除,如果你不使用類似3389服務
5.通過遠端強制關機。刪掉
14、終端服務配置
打開管理工具
終端服務配置
1.打開后,點連接,右鍵,屬性,遠程控制,點不允許遠程控制
2.常規,加密級別,高,在使用標準Windows驗證上點√!
3.網卡,將最多連接數上設置為0
4.高級,將里面的權限也刪除.[我沒設置]
再點服務器設置,在Active Desktop上,設置禁用,且限制每個使用一個會話
15、用戶和組策略
打開管理工具
計算機管理.本地用戶和組.用戶;
刪除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權限
計算機管理.本地用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本地策略的安全選項
1)當登陸時間用完時自動注銷用戶(本地) 防止黑客密碼滲透.
2)登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務,別人登陸時,就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登陸前關機[防止遠程關機/啟動、強制關機/啟動]
6)只有本地登陸用戶才能訪問cd-rom
7)只有本地登陸用戶才能訪問軟驅
8)取消關機原因的提示
A、打開控制面板窗口,雙擊“電源選項”圖標,在隨后出現的電源屬性窗口中,進入到“高級”標簽頁面;
B、在該頁面的“電源按鈕”設置項處,將“在按下計算機電源按鈕時”設置為“關機”,單擊“確定”按鈕,來退出設置框;
C、以后需要關機時,可以直接按下電源按鍵,就能直接關閉計算機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機;
D、要是系統中沒有啟用休眠模式的話,可以在控制面板窗口中,打開電源選項,進入到休眠標簽頁面,并在其中將“啟用休眠”選項選中就可以了。
9)禁止關機事件跟蹤
開始“Start -/>”運行“ Run -/>輸入”gpedit.msc “,在出現的窗口的左邊部分,選擇 ”計算機配置“(Computer Configuration )-/> ”管理模板“(Administrative Templates)-/> ”系統“(System),在右邊窗口雙擊“Shutdown Event Tracker” 在出現的對話框中選擇“禁止”(Disabled),點擊然后“確定”(OK)保存后退出這樣,你將看到類似于Windows 2000的關機窗口
17、常見端口的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [沖擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWhere
5632 UDP PCANYWhere
3389 Terminal Services
4444[沖擊波]
UDP
67[沖擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
關于UDP一般只有騰訊QQ會打開4000或者是8000端口或者8080,那么,我們只運 行本機使用4000這幾個端口就行了
18、另外介紹一下如何查看本機打開的端口和tcp\ip端口的過濾
開始--運行--cmd
輸入命令netstat -a
會看到例如(這是我的機器開放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025 yf001:0 LISTE
TCP (用戶名):1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
現在講講基于Windows的tcp/ip的過濾
控制面板——網絡和撥號連接——本地連接——INTERNET協議(tcp/ip)--屬性--高級---選項-tcp/ip篩選--屬性!!
然后添加需要的tcp 和UDP端口就可以了~如果對端口不是很了解的話,不要輕易進行過濾,不然可能會導致一些程序無法使用。
19、關于瀏覽器
IE瀏覽器(或基于IE內核的瀏覽器)存在隱私問題,index.dat文件里記錄著你上網的信息。所以我推薦大家換一款其他內核瀏覽器。
現在炒的很熱的FireFox,就很不錯,如果你想打造一款屬于自己的個性化瀏覽器,那FireFox是首選。它有強大的擴展定制功能!
還有傳說中那款最快的瀏覽器 Opera ,速度驚人,界面華麗,筆者正在使用。(就在3個小時前,OPERA公司10年慶祝送正式注冊碼,筆者申請了兩個,^_^)
當然,由于國內一些網頁并不是用WC3組織認證的標準HTML語言編寫,所以IE還是不能丟,留作備用。
處理IE隱私可以用:Webroot WindowWasher -- www.hanzify.org 上有正式版+漢化補丁
Ccleaner -- GOOGLE一下,官方占上有,多國語言的。
RAMDISK 用內存虛擬出一塊硬盤,將緩存文件寫進去,不僅解決了隱私問題,理論上還能提高網速。(建議內存/>=512M者使用)
20、最后一招,也是最關鍵的一招:安裝殺軟與防火墻
殺毒軟件要看實力,絕對不能看廣告。筆者在霏凡的病毒區混了半年,把殺軟幾乎也裝了個遍,以下是個人心得:
1:國產殺軟:江民一出,誰與爭峰?KV的敗筆就是當年那個硬盤炸彈吧,呵呵。其實論實力,江民在國內絕對是一支獨秀。先進的殺毒引擎,較完整的病毒庫,
清除活體病毒能力強,殺殼能力強,可殺連環DLL,監控靈敏,占系統內存小。--聲明:我不是KV的槍手,因為國內的殺軟公司普遍只會打廣告,應該BS一下。
DB2005都到了2005了才殺兩個殼?Rising的誤報天下第一,可是隨便下個毒包基本上沒有它報的(不信的去霏凡病毒區試試:bbs.crsky.com);費爾還不錯,
可是與KV比還有差距;光華雖然是主動升級,但毒庫也不是很全。
2:國外殺軟:百家爭鳴!
Kapersky:這款俄國的殺軟在國內極度火熱,其擁有世界第一的毒庫,毒庫3小時一升級,對系統提供最完善的保護。
McAfee:美國殺軟,柔和而強勁的保護,適合有點資歷的用戶。規則指定得當,百毒不侵。
Norton: 唉!老了老了,對國內木馬簡直是白癡。本不想說它,可是又是國際三大殺軟之一,唉!
NOD32:占資源超小,殺毒超快,監控靈敏,只是毒庫似乎有些不全。
BitDefender:羅馬尼亞不錯的殺軟,能力平衡。
GData AntiVirusKit:真正的強悍!它用Kapersky+BitDefender的雙引擎,而且經優化處理,系統不會很卡。
F-Scure:竟然夸張到4引擎!不過除了Kapersky4.0的引擎,其他的很一般。雖然保護是很周到,但用它筆者覺得不如AVK(上一個)。
筆者建議:一般配置 KV2005 or McAfee or Kapersky or GData AntiVirusKit;-配置稍好的可以用以上任一款(除KV2005)+ KV2004
老爺機配置 KV2004 or NOD32
較好的機器 GData AntiVirusKit+KV2005 or Kapersky+KV2005 or McAfee+KV2005
防火墻,系統的最后一道防線。即使殺軟再強大,一些最新變種的木馬仍能見縫插針。沒有防火墻,你的機器很可能成為Haker的代理服務器,呵呵。還有,如果你的
系統有漏洞,Haker也會輕而易舉的Contral Your PC.
強大的防火墻推薦:Look 'n' Stop :世界測評第一。占內存超小。啟動超迅速。
ZoneAlarm :性力強大,功能很多,全面且穩定。
Tiny :這是一款專業到恐怖的防火墻,能力絕對強悍!適合較專業者使用。
天網:國內最強的了,只是和國外的比......
說一句,木馬專殺的東西幾乎沒用,因為那些根本沒有什么先進的引擎。如果一定要,就用ewido吧,這個還可以。
由于現在家用電腦所使用的操作系統多數為WinXP 和Win2000 pro(建議還在使用98的朋友換換系統,連_blank/>微軟都放棄了的系統你還用它干嘛?)所以后面我將主要講一下基于這兩個操作系統的安全防范。
個人電腦常見的被入侵方式
談到個人上網時的安全,還是先把大家可能會遇到的問題歸個類吧。我們遇到的入侵方式大概包括了以下幾種:
(1) 被他人盜取密碼;
(2) 系統被_blank/>木馬攻擊;
(3) 瀏覽網頁時被惡意的java scrpit程序攻擊;
(4) QQ被攻擊或泄漏信息;
(5) 病毒感染;
(6) 系統存在漏洞使他人攻擊自己。
(7) _blank/>黑客的惡意攻擊。
下面我們就來看看通過什么樣的手段來更有效的防范攻擊。
查本地共享資源
刪除共享
刪除ipc$空連接
賬號密碼的安全原則
關閉自己的139端口
445端口的關閉
3389的關閉
4899的防范
常見端口的介紹
如何查看本機打開的端口和過濾
禁用服務
本地策略
本地安全策略
用戶權限分配策略
終端服務配置
用戶和組策略
防止rpc漏洞
自己動手DIY在本地策略的安全選項
工具介紹
避免被惡意代碼 木馬等病毒攻擊
1.查看本地共享資源
運行CMD輸入net share,如果看到有異常的共享,那么應該關閉。但是有時你關閉共享下次開機的時候又出現了,那么你應該考慮一下,你的機器是否已經被黑客所控制了,或者中了病毒。
2.刪除共享(每次輸入一個)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續刪除)
3.刪除ipc$空連接
在運行內輸入regedit,在_blank/>注冊表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA 項里數值名稱RestrictAnonymous的數值數據由0改為1。
4.關閉自己的139端口,ipc和RPC漏洞存在于此。
關閉139端口的方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WinS設置”里面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。
5.防止rpc漏洞
打開管理工具——服務——找到RPC(Remote Procedure Call (RPC) Locator)服務——將故障恢復中的第一次失敗,第二次失敗,后續失敗,都設置為不操作。
XP SP2和2000 pro sp4,均不存在該漏洞。
6.445端口的關閉
修改注冊表,添加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 為REG_DWORD類型鍵值為0這樣就ok了。
7.3389的關閉
XP:我的電腦上點右鍵選屬性--/>遠程,將里面的遠程協助和遠程桌面兩個選項框里的勾去掉。
Win2000server 開始--/>程序--/>管理工具--/>服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,并停止該服務。(該方法在XP同樣適用)
使用2000 pro的朋友注意,網絡上有很多文章說在Win2000pro 開始--/>設置--/>控制面板--/>管理工具--/>服務里找到Terminal Services服務項,選中屬性選項將啟動類型改成手動,并停止該服務,可以關閉3389,其實在2000pro 中根本不存在Terminal Services。
8.4899的防范
網絡上有許多關于3389和4899的入侵方法。4899其實是一個遠程控制軟件所開啟的服務端端口,由于這些控制軟件功能強大,所以經常被黑客用來控制自己的肉雞,而且這類軟件一般不會被殺毒軟件查殺,比后門還要安全。
4899不象3389那樣,是系統自帶的服務。需要自己安裝,而且需要將服務端上傳到入侵的電腦并運行服務,才能達到控制的目的。
所以只要你的電腦做了基本的安全配置,黑客是很難通過4899來控制你的。
9、禁用服務
若PC沒有特殊用途,基于安全考慮,打開控制面板,進入管理工具——服務,關閉以下服務:
1.Alerter[通知選定的用戶和計算機管理警報]
2.ClipBook[啟用“剪貼簿查看器”儲存信息并與遠程計算機共享]
3.Distributed File System[將分散的文件共享合并成一個邏輯名稱,共享出去,關閉后遠程計算機無法訪問共享
4.Distributed Link Tracking Server[適用局域網分布式鏈接]
5.Indexing Service[提供本地或遠程計算機上文件的索引內容和屬性,泄露信息]
6.Messenger[警報]
7.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]
8.Network DDE[為在同一臺計算機或不同計算機上運行的程序提供動態數據交換]
9.Network DDE DSDM[管理動態數據交換 (DDE) 網絡共享]
10.Remote Desktop Help Session Manager[管理并控制遠程協助]
11.Remote Registry[使遠程計算機用戶修改本地注冊表]
12.Routing and Remote Access[在局域網和廣域往提供路由服務.黑客理由路由服務刺探注冊信息]
13.Server[支持此計算機通過網絡的文件、打印、和命名管道共享]
14.TCP/IPNetBIOS Helper[提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網絡]
15.Telnet[允許遠程用戶登錄到此計算機并運行程序]
16.Terminal Services[允許用戶以交互方式連接到遠程計算機]
17.Window s Image Acquisition (WIA)[照相服務,應用與數碼攝象機]
如果發現機器開啟了一些很奇怪的服務,如r_server這樣的服務,必須馬上停止該服務,因為這完全有可能是黑客使用控制程序的服務端。
10、賬號密碼的安全原則
首先禁用guest帳號,將系統內建的administrator帳號改名~~(改的越復雜越好,最好改成中文的),然后設置一個密碼,最好是8位以上字母數字符號組合。 (讓那些該死的黑客慢慢猜去吧~)
如果你使用的是其他帳號,最好不要將其加進administrators,如果加入administrators組,一定也要設置一個足夠安全的密碼,同上如果你設置adminstrator的密碼時,最好在安全模式下設置,因為經我研究發現,在系統中擁有最高權限的帳號,不是正常登陸下的adminitrator帳號,因為即使有了這個帳號,同樣可以登陸安全模式,將sam文件刪除,從而更改系統的administrator的密碼!而在安全模式下設置的administrator則不會出現這種情況,因為不知道這個administrator密碼是無法進入安全模式。權限達到最大這個是密碼策略:用戶可以根據自己的習慣設置密碼,下面是我建議的設置(關于密碼安全設置,我上面已經講了,這里不再羅嗦了。
打開管理工具.本地安全設置.密碼策略
1.密碼必須符合復雜要求性.啟用
2.密碼最小值.我設置的是8
3.密碼最長使用期限.我是默認設置42天
4.密碼最短使用期限0天
5.強制密碼歷史 記住0個密碼
6.用可還原的_blank/>加密來存儲密碼 禁用
11、本地策略:
這個很重要,可以幫助我們發現那些心存叵測的人的一舉一動,還可以幫助我們將來追查黑客。
(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡,不過也有一些不小心的)
打開管理工具
找到本地安全設置.本地策略.審核策略
1.審核策略更改 成功失敗
2.審核登陸事件 成功失敗
3.審核對象訪問 失敗
4.審核跟蹤過程 無審核
5.審核目錄服務訪問 失敗
6.審核特權使用 失敗
7.審核系統事件 成功失敗
8.審核帳戶登陸時間 成功失敗
9.審核帳戶管理 成功失敗
&nb sp;然后再到管理工具找到
事件查看器
應用程序:右鍵/>屬性/>設置日志大小上限,我設置了50mb,選擇不覆蓋事件
安全性:右鍵/>屬性/>設置日志大小上限,我也是設置了50mb,選擇不覆蓋事件
系統:右鍵/>屬性/>設置日志大小上限,我都是設置了50mb,選擇不覆蓋事件
12、本地安全策略:
打開管理工具
找到本地安全設置.本地策略.安全選項
1.交互式登陸.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登陸的]
2.網絡訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網絡訪問.可匿名的共享 將后面的值刪除
4.網絡訪問.可匿名的命名管道 將后面的值刪除
5.網絡訪問.可遠程訪問的注冊表路徑 將后面的值刪除
6.網絡訪問.可遠程訪問的注冊表的子路徑 將后面的值刪除
7.網絡訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經詳細講過拉 )
13、用戶權限分配策略:
打開管理工具
找到本地安全設置.本地策略.用戶權限分配
1.從網絡訪問計算機 里面一般默認有5個用戶,除Admin外我們刪除4個,當然,等下我們還得建一個屬于自己的ID
2.從遠程系統強制關機,Admin帳戶也刪除,一個都不留
3.拒絕從網絡訪問這臺計算機 將ID刪除
4.從網絡訪問此計算機,Admin也可刪除,如果你不使用類似3389服務
5.通過遠端強制關機。刪掉
14、終端服務配置
打開管理工具
終端服務配置
1.打開后,點連接,右鍵,屬性,遠程控制,點不允許遠程控制
2.常規,加密級別,高,在使用標準Windows驗證上點√!
3.網卡,將最多連接數上設置為0
4.高級,將里面的權限也刪除.[我沒設置]
再點服務器設置,在Active Desktop上,設置禁用,且限制每個使用一個會話
15、用戶和組策略
打開管理工具
計算機管理.本地用戶和組.用戶;
刪除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權限
計算機管理.本地用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本地策略的安全選項
1)當登陸時間用完時自動注銷用戶(本地) 防止黑客密碼滲透.
2)登陸屏幕上不顯示上次登陸名(遠程)如果開放3389服務,別人登陸時,就不會殘留有你登陸的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按 alt+crtl +del(沒必要)
5)允許在未登陸前關機[防止遠程關機/啟動、強制關機/啟動]
6)只有本地登陸用戶才能訪問cd-rom
7)只有本地登陸用戶才能訪問軟驅
8)取消關機原因的提示
A、打開控制面板窗口,雙擊“電源選項”圖標,在隨后出現的電源屬性窗口中,進入到“高級”標簽頁面;
B、在該頁面的“電源按鈕”設置項處,將“在按下計算機電源按鈕時”設置為“關機”,單擊“確定”按鈕,來退出設置框;
C、以后需要關機時,可以直接按下電源按鍵,就能直接關閉計算機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機;
D、要是系統中沒有啟用休眠模式的話,可以在控制面板窗口中,打開電源選項,進入到休眠標簽頁面,并在其中將“啟用休眠”選項選中就可以了。
9)禁止關機事件跟蹤
開始“Start -/>”運行“ Run -/>輸入”gpedit.msc “,在出現的窗口的左邊部分,選擇 ”計算機配置“(Computer Configuration )-/> ”管理模板“(Administrative Templates)-/> ”系統“(System),在右邊窗口雙擊“Shutdown Event Tracker” 在出現的對話框中選擇“禁止”(Disabled),點擊然后“確定”(OK)保存后退出這樣,你將看到類似于Windows 2000的關機窗口
17、常見端口的介紹
TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [沖擊波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWhere
5632 UDP PCANYWhere
3389 Terminal Services
4444[沖擊波]
UDP
67[沖擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
關于UDP一般只有騰訊QQ會打開4000或者是8000端口或者8080,那么,我們只運 行本機使用4000這幾個端口就行了
18、另外介紹一下如何查看本機打開的端口和tcp\ip端口的過濾
開始--運行--cmd
輸入命令netstat -a
會看到例如(這是我的機器開放的端口)
Proto Local Address Foreign Address State
TCP yf001:epmap yf001:0 LISTE
TCP yf001:1025 yf001:0 LISTE
TCP (用戶名):1035 yf001:0 LISTE
TCP yf001:netbios-ssn yf001:0 LISTE
UDP yf001:1129 *:*
UDP yf001:1183 *:*
UDP yf001:1396 *:*
UDP yf001:1464 *:*
UDP yf001:1466 *:*
UDP yf001:4000 *:*
UDP yf001:4002 *:*
UDP yf001:6000 *:*
UDP yf001:6001 *:*
UDP yf001:6002 *:*
UDP yf001:6003 *:*
UDP yf001:6004 *:*
UDP yf001:6005 *:*
UDP yf001:6006 *:*
UDP yf001:6007 *:*
UDP yf001:1030 *:*
UDP yf001:1048 *:*
UDP yf001:1144 *:*
UDP yf001:1226 *:*
UDP yf001:1390 *:*
UDP yf001:netbios-ns *:*
UDP yf001:netbios-dgm *:*
UDP yf001:isakmp *:*
現在講講基于Windows的tcp/ip的過濾
控制面板——網絡和撥號連接——本地連接——INTERNET協議(tcp/ip)--屬性--高級---選項-tcp/ip篩選--屬性!!
然后添加需要的tcp 和UDP端口就可以了~如果對端口不是很了解的話,不要輕易進行過濾,不然可能會導致一些程序無法使用。
19、關于瀏覽器
IE瀏覽器(或基于IE內核的瀏覽器)存在隱私問題,index.dat文件里記錄著你上網的信息。所以我推薦大家換一款其他內核瀏覽器。
現在炒的很熱的FireFox,就很不錯,如果你想打造一款屬于自己的個性化瀏覽器,那FireFox是首選。它有強大的擴展定制功能!
還有傳說中那款最快的瀏覽器 Opera ,速度驚人,界面華麗,筆者正在使用。(就在3個小時前,OPERA公司10年慶祝送正式注冊碼,筆者申請了兩個,^_^)
當然,由于國內一些網頁并不是用WC3組織認證的標準HTML語言編寫,所以IE還是不能丟,留作備用。
處理IE隱私可以用:Webroot WindowWasher -- www.hanzify.org 上有正式版+漢化補丁
Ccleaner -- GOOGLE一下,官方占上有,多國語言的。
RAMDISK 用內存虛擬出一塊硬盤,將緩存文件寫進去,不僅解決了隱私問題,理論上還能提高網速。(建議內存/>=512M者使用)
20、最后一招,也是最關鍵的一招:安裝殺軟與防火墻
殺毒軟件要看實力,絕對不能看廣告。筆者在霏凡的病毒區混了半年,把殺軟幾乎也裝了個遍,以下是個人心得:
1:國產殺軟:江民一出,誰與爭峰?KV的敗筆就是當年那個硬盤炸彈吧,呵呵。其實論實力,江民在國內絕對是一支獨秀。先進的殺毒引擎,較完整的病毒庫,
清除活體病毒能力強,殺殼能力強,可殺連環DLL,監控靈敏,占系統內存小。--聲明:我不是KV的槍手,因為國內的殺軟公司普遍只會打廣告,應該BS一下。
DB2005都到了2005了才殺兩個殼?Rising的誤報天下第一,可是隨便下個毒包基本上沒有它報的(不信的去霏凡病毒區試試:bbs.crsky.com);費爾還不錯,
可是與KV比還有差距;光華雖然是主動升級,但毒庫也不是很全。
2:國外殺軟:百家爭鳴!
Kapersky:這款俄國的殺軟在國內極度火熱,其擁有世界第一的毒庫,毒庫3小時一升級,對系統提供最完善的保護。
McAfee:美國殺軟,柔和而強勁的保護,適合有點資歷的用戶。規則指定得當,百毒不侵。
Norton: 唉!老了老了,對國內木馬簡直是白癡。本不想說它,可是又是國際三大殺軟之一,唉!
NOD32:占資源超小,殺毒超快,監控靈敏,只是毒庫似乎有些不全。
BitDefender:羅馬尼亞不錯的殺軟,能力平衡。
GData AntiVirusKit:真正的強悍!它用Kapersky+BitDefender的雙引擎,而且經優化處理,系統不會很卡。
F-Scure:竟然夸張到4引擎!不過除了Kapersky4.0的引擎,其他的很一般。雖然保護是很周到,但用它筆者覺得不如AVK(上一個)。
筆者建議:一般配置 KV2005 or McAfee or Kapersky or GData AntiVirusKit;-配置稍好的可以用以上任一款(除KV2005)+ KV2004
老爺機配置 KV2004 or NOD32
較好的機器 GData AntiVirusKit+KV2005 or Kapersky+KV2005 or McAfee+KV2005
防火墻,系統的最后一道防線。即使殺軟再強大,一些最新變種的木馬仍能見縫插針。沒有防火墻,你的機器很可能成為Haker的代理服務器,呵呵。還有,如果你的
系統有漏洞,Haker也會輕而易舉的Contral Your PC.
強大的防火墻推薦:Look 'n' Stop :世界測評第一。占內存超小。啟動超迅速。
ZoneAlarm :性力強大,功能很多,全面且穩定。
Tiny :這是一款專業到恐怖的防火墻,能力絕對強悍!適合較專業者使用。
天網:國內最強的了,只是和國外的比......
說一句,木馬專殺的東西幾乎沒用,因為那些根本沒有什么先進的引擎。如果一定要,就用ewido吧,這個還可以。
