黑客攻防：系統(tǒng)防入侵全攻略

一、防止主機(jī)成為肉雞的安全技術(shù)措施

    1、利用操作系統(tǒng)自身功能加固系統(tǒng)

    通常按默認(rèn)方式安裝的操作系統(tǒng)， 如果不做任何安全加固， 那么其安全性難以保證。 攻擊者稍加利用便可使其成為肉雞。 因此， 防止主機(jī)成為肉雞的第一步， 便是系統(tǒng)加固。

    鑒于目前大部分用戶(hù)仍然使用Windows XP， 因此， 本文所有內(nèi)容都基于Windows XP.

    （1）加強(qiáng)系統(tǒng)登錄帳戶(hù)和密碼的安全

    系統(tǒng)設(shè)置的密碼應(yīng)當(dāng)符合復(fù)雜性和最小長(zhǎng)度的要求， 不僅要包括常用英文字母、數(shù)字、字母大小寫(xiě)， 最好還可以加入特殊字符（如@等）， 而且密碼的字符數(shù)不應(yīng)該小于8位。

    另外， 為了防止黑客通過(guò)默認(rèn)帳戶(hù)登錄系統(tǒng)， 我們建議為管理員帳號(hào)設(shè)置密碼并禁用guest賬戶(hù)。

    （2）取消遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面連接

    用鼠標(biāo)右擊桌面上的“我的電腦”圖標(biāo)， 選擇“屬性”， 在“系統(tǒng)屬性”中選擇“遠(yuǎn)程”選項(xiàng)卡， 然后取消“遠(yuǎn)程協(xié)助”和“遠(yuǎn)程桌面連接”復(fù)選框中的鉤。

    （3）禁用危險(xiǎn)的系統(tǒng)服務(wù)

    在Windows XP系統(tǒng)中， 一些端口與相應(yīng)的系統(tǒng)服務(wù)是相關(guān)聯(lián)的， 有的服務(wù)還與系統(tǒng)中的特定端口相關(guān)聯(lián)， 例如Terminal Services服務(wù)與3389端口關(guān)聯(lián)。 因此， 禁用一些不需要的服務(wù)， 不僅能降低系統(tǒng)資源消耗， 而且能增強(qiáng)系統(tǒng)安全性。

    在“開(kāi)始”——“運(yùn)行”框中輸入“services.msc”， 按回車(chē)后進(jìn)入“服務(wù)”管理界面。 禁用以下服務(wù)：

    NetMeeting Remote Desktop Sharing

    Remote Desktop Help Session Manager

    Remote Registry

    Routing and Remote Access

    Server

    TCP/IP NetBIOS Helper

    Telnet

    Terminal Services

    （4）關(guān)閉137、138、139和445端口

    用鼠標(biāo)右擊桌面中的“網(wǎng)上鄰居”， 選擇“屬性”。 在“本地連接”界面， 打開(kāi)“Internet協(xié)議（TCP/IP）”的屬性對(duì)話(huà)框。 在此對(duì)話(huà)框中， 單擊“高級(jí)”按鈕， 選擇“WINS”選項(xiàng)， 然后選擇“禁用TCP/IP上的NetBIOS”， 這樣就關(guān)閉了137、138和139端口。 同時(shí)， 通過(guò)取消“本地連接”屬性中的“Microsoft 打印機(jī)和文件共享”可以關(guān)閉445端口。

    （5）啟動(dòng)系統(tǒng)審核策略

    “開(kāi)始”——“運(yùn)行”框中輸入“gpedit.msc”進(jìn)入組策略器， 在計(jì)算機(jī)配置——Windows設(shè)置——安全設(shè)置——本地策略——審核策略中， 將審核登錄事件、審核對(duì)象訪(fǎng)問(wèn)、審核系統(tǒng)事件和審核帳戶(hù)登錄事件啟用成功方式的審核。

    （6）用戶(hù)權(quán)利指派

    同樣在組策略器， 在計(jì)算機(jī)配置——Windows設(shè)置——安全設(shè)置——本地策略——用戶(hù)權(quán)利指派中， 將“從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”策略中的所用用戶(hù)都刪除， 在“拒絕從網(wǎng)絡(luò)訪(fǎng)問(wèn)此計(jì)算機(jī)”策略中確保已有“everyone”帳戶(hù)， 然后再刪除“通過(guò)終端服務(wù)允許登錄”策略中的所有用戶(hù)， 并確保在“通過(guò)終端服務(wù)拒絕登錄”策略中有“everyone”帳戶(hù)。

    （7）禁用系統(tǒng)默認(rèn)共享

    在組策略器中， 計(jì)算機(jī)配置——Windows設(shè)置——安全設(shè)置——安全選項(xiàng)， 將“網(wǎng)絡(luò)訪(fǎng)問(wèn)：不允許SAM帳戶(hù)的匿名枚舉”及“網(wǎng)絡(luò)訪(fǎng)問(wèn)：不允許SAM帳戶(hù)和共享的匿名枚舉”全部啟用；將“網(wǎng)絡(luò)訪(fǎng)問(wèn)：可匿名訪(fǎng)問(wèn)的共享”、“可匿名訪(fǎng)問(wèn)的管道”及“可遠(yuǎn)程訪(fǎng)問(wèn)的注冊(cè)表路徑”中的內(nèi)容全部刪除。

    打開(kāi)注冊(cè)表器， 進(jìn)入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters項(xiàng)， 在其右邊新建一個(gè)鍵值名為“Autoshareserver”， 鍵值為0的DWORD值， 這樣就可以禁止系統(tǒng)C$、D$、E$等方式的共享；為了能禁止admin$共享， 還應(yīng)當(dāng)在此注冊(cè)表項(xiàng)中新建一個(gè)鍵值名為“Autosharewks”， 鍵值為0的DWORD值。

    最后， 打開(kāi)“資源管理器”， 選擇“工具”菜單中的“文件夾選項(xiàng)”， 在出現(xiàn)的文件夾選項(xiàng)界面中的“高級(jí)設(shè)置”框中， 取消“使用簡(jiǎn)單文件共享”的多項(xiàng)選擇項(xiàng)。

2、使用安全軟件加固操作系統(tǒng)

    對(duì)加固操作系統(tǒng)安全性而言， 我們還可以通過(guò)安裝相應(yīng)的安全軟件來(lái)進(jìn)一步增強(qiáng)系統(tǒng)的安全性能。

    （1）安裝殺毒軟件

    在系統(tǒng)中安裝殺毒軟件主要用來(lái)防止黑客通過(guò)木馬來(lái)控制我們的主機(jī)。 當(dāng)我們安裝好殺毒軟件后， 一定要立即更新病毒庫(kù)到最新?tīng)顟B(tài)， 如有必要， 還應(yīng)當(dāng)設(shè)置每天按時(shí)自動(dòng)更新病毒庫(kù)。

    （2）安裝防火墻

    黑客的入侵活動(dòng)通常是從掃描系統(tǒng)中是否開(kāi)放有高危端口開(kāi)始的， 因此， 禁用高危端口（如135、137、138、139、445、3389等）十分必要。 雖然前面介紹了如何通過(guò)手工的方式關(guān)閉系統(tǒng)高位端口， 這里借助安全軟件同樣可以起到加固作用。 同時(shí)， 我們還應(yīng)當(dāng)限制系統(tǒng)中能夠與互聯(lián)網(wǎng)通信的進(jìn)程和應(yīng)用程序， 以減少網(wǎng)絡(luò)應(yīng)用程序本身漏洞帶來(lái)的安全風(fēng)險(xiǎn)。

    雖然Windows XP系統(tǒng)本身帶有一個(gè)“Internet 防火墻”， 但它遠(yuǎn)遠(yuǎn)不能滿(mǎn)足日益增長(zhǎng)的安全防范需求， 因此， 我們通過(guò)安裝第三方防火墻軟件來(lái)解決這些問(wèn)題。

    現(xiàn)在市面上存在的防火墻不僅具有包過(guò)濾和應(yīng)用程序跟蹤的基本防火墻功能， 它們還具有屬于自己的獨(dú)特功能。 例如， Tiny Firewall防火墻。 它不僅具有普通應(yīng)用層防火墻的功能， 還具有IDS、文件完整性檢測(cè)和主動(dòng)防御的功能。 并且還為用戶(hù)提供了一個(gè)實(shí)時(shí)網(wǎng)絡(luò)連接監(jiān)控功能， 可以讓用戶(hù)隨時(shí)掌握當(dāng)前的網(wǎng)絡(luò)連接情況， 了解連接的網(wǎng)絡(luò)應(yīng)用程序都使用了哪些端口， 連接到了什么目標(biāo)上， 并直接顯示出對(duì)方的IP地址。 圖1就是它的網(wǎng)絡(luò)連接監(jiān)控界面。

    圖1 Tiny Firewall防火墻網(wǎng)絡(luò)連接監(jiān)控界面

    （3）使用代理服務(wù)器

    黑客要想掃描計(jì)算機(jī)， 就必需先知道計(jì)算機(jī)連網(wǎng)公網(wǎng)IP地址。 如果能夠隱藏這個(gè)公網(wǎng)IP地址， 將為黑客的攻擊行為增加難度。 隱藏IP地址最好的方式就是使用代理服務(wù)器。 對(duì)于普通的網(wǎng)絡(luò)用戶(hù)來(lái)說(shuō)， 可以通過(guò)使用HTTP代理和在計(jì)算機(jī)上安裝簡(jiǎn)單的代理軟件來(lái)達(dá)到隱藏IP地址的目的。

    使用HTTP代理非常簡(jiǎn)單， 進(jìn)入提供此功能的網(wǎng)站， 例如http://www.web4proxy.com/， 如圖2所示。 在“開(kāi)始瀏覽”按鈕前的文本框中填入要訪(fǎng)問(wèn)的站點(diǎn)， 就可以通過(guò)隱藏IP的方式瀏覽想訪(fǎng)問(wèn)的網(wǎng)站了。

    圖2 WEB代理界面

    但是， 使用HTTP代理只能防止由于瀏覽網(wǎng)頁(yè)而泄漏IP地址的風(fēng)險(xiǎn)， 要想隱藏其它網(wǎng)絡(luò)活動(dòng)時(shí)的IP地址， 例如進(jìn)行的QQ聊天和玩網(wǎng)絡(luò)游戲等網(wǎng)絡(luò)應(yīng)用， 就必需通過(guò)在系統(tǒng)中安裝代理服務(wù)器軟件的方法來(lái)解決。

    Waysonline是一個(gè)不需要安裝的代理服務(wù)器軟件， 在使用前， 要先免費(fèi)注冊(cè)。

    圖3 Waysonline網(wǎng)頁(yè)登錄界面

    輸入注帳戶(hù)和密碼后登錄。 此時(shí)， 右擊Windows任務(wù)欄中的綠色“W”圖標(biāo)， 在此菜單中的“運(yùn)行程序”菜單項(xiàng)中， 可以由我們選擇代理的各種方式。

上面是電腦上網(wǎng)安全的一些基礎(chǔ)常識(shí)，學(xué)習(xí)了安全知識(shí)，幾乎可以讓你免費(fèi)電腦中毒的煩擾。