|
1.把不必要的服务全关了.如NetMeeting Remote Desktop Sharing,Remote Desktop Help Session Manager,Remote Registry,Routing and Remote Access,SSDP Discovery Service,telnet,Universal Plug and Play Device Host。打开“控制面板”→“管理工具”→“服务”,可以看到有关这些服务的说明和运行状态。要关闭一个服务,只需右键点击服务名称并选择“属性”菜单,在“常规”选项卡中把“启动类型”改成“手动”,再点击“停止”按钮。
2.关闭不需要的端口.以135端口为例.如果我们手头暂时没有防火墙工具的话,那么可以利用Windows服务器自身的IP安全策略功能,来自定义一个拦截135端口的安全策略。下面就是具体的自定义步骤:
首先打开本地安全设置窗口,用鼠标右键单击“IP安全策略,在本地机器”选项,执行快捷菜单中的“管理IP筛选器表和筛选器操作”命令,在随后的“管理IP筛选器表”标签页面中,单击“添加”按钮,然后将新建的IP筛选器名称设置为“拦截135端口”,继续单击“添加”按钮,根据屏幕提示单击“下一步”按钮;
在接下来的“IP通信源”向导窗口中,将“源地址”设置为“任何IP地址”,再将“目标地址”选为“我的IP地址”,同时将IP协议类型设置为“TCP”;在随后弹出的IP协议端口设置窗口中,选中“到此端口”选项,同时将“135”端口号正确输入;最后单击“完成”按钮,这样我们就能发现在IP筛选器列表中,包含有“拦截135端口”选项了。
接着进入到“管理筛选器操作”标签页面,单击“添加”按钮,然后根据屏幕向导提示,输入筛选器的具体操作名称,例如这里的名称可以设置为“拒绝135端口”,在随后弹出的“筛选器操作常规选项”设置窗口中,选中“阻止”选项,再单击“完成”按钮;
下面用鼠标右键单击本地安全设置窗口中的“IP安全策略,在本地机器”选项,执行快捷菜单中的“创建IP安全策略”命令,并将IP安全策略的名称设置为“禁用135端口”,在接着打开的“安全通信请求”向导窗口中,取消“激活默认响应规则”的选中状态,再单击“完成”按钮;
再将前面创建好的“禁用135端口”策略选中,然后单击“添加”按钮,在随后出现的“隧道终结点”设置窗口中,选中“此规则不指定隧道”选项,在“网络类型”设置窗口中,选中“所有网络连接”,在“身份验证方法”设置窗口中,选中“windows 2000默认值(Kerberos V5 协议)”选项,在“IP筛选器列表”设置窗口中,选中前面创建好的“拦截135端口”筛选器(如图5所示),在“筛选器操作”设置窗口中,选中前面创建好的“拒绝135端口”选项,再单击“完成”按钮;到了这里“禁用135端口”的安全策略就自定义好了。
3.防止别人用ips$和默认共享入侵.A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。
1,先把已有的删除
net share ipc$ /del
net share admin$ /del
net share c$ /del
…………(有几个删几个)
2,禁止建立空连接
首先运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值改为:00000001。
3,禁止自动打开默认共享
对于server版,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。
对于pro版,则是[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建一个再改键值。
B、另一种是关闭ipc$和默认共享依赖的服务(不推荐)
net stop lanmanserver
可能会有提示说,XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。
C、最简单的办法是设置复杂密码,防止通过ipc$穷举密码。但如果你有其他漏洞,ipc$将为进一步入侵提供方便。
D、还有一个办法就是装防火墙,或者端口过滤。防火墙的方法就不说了,端口过滤看这里:
过配置本地策略来禁止139/445端口的连接
4.把操作系统的补丁全打.
5.查账户.攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用"net user+用户名"查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用"net user用户名/del"来删掉这个用户吧!
这是防御的方法.一般被入侵时你电脑运行会变慢,硬盘.单击“开始→运行”命令,在弹出的系统运行框中,运行“cmd”命令;再在DOS命令行中输入netstat -an查看你打开的端口,如果不是常见的很可能是木马.一般有经验的你的日志会修改的. |
