XP防止成为“肉鸡”的技术与管理措施
一、防止主机成为肉鸡的安全技术措施
1、利用操作系统自身功能加固系统
通常按默认方式安装的操作系统,如果不做任何安全加固,那么其安全性难以保证。攻击者稍加利用便可使其成为肉鸡。因此,防止主机成为肉鸡的第一步,便是系统加固。
注意:本文所有内容都基于Windows XP。
(1)加强系统登录帐户和密码的安全
系统设置的密码应当符合复杂性和最小长度的要求,不仅要包括常用英文字母、数字、字母大小写,最好还可以加入特殊字符(如@等),而且密码的字符数不应该小于8位。
另外,为了防止黑客通过默认帐户登录系统,我们建议为管理员帐号设置密码并禁用guest账户。
(2)取消远程协助和远程桌面连接
用鼠标右击桌面上的“我的电脑”图标,选择“属性”,在“系统属性”中选择“远程”选项卡,然后取消“远程协助”和“远程桌面连接”复选框中的钩。
(3)禁用危险的系统服务
在Windows XP系统中,一些端口与相应的系统服务是相关联的,有的服务还与系统中的特定端口相关联,例如Terminal Services服务与3389端口关联。因此,禁用一些不需要的服务,不仅能降低系统资源消耗,而且能增强系统安全性。
在“开始”——“运行”框中输入“services.msc”,按回车后进入“服务”管理界面。禁用以下服务:
NetMeeting Remote Desktop Sharing
Remote Desktop Help Session Manager
Remote Registry
Routing and Remote Access
Server
TCP/IP NetBIOS Helper
Telnet
Terminal Services
(4)关闭137、138、139和445端口
用鼠标右击桌面中的“网上邻居”,选择“属性”。在“本地连接”界面,打开“Internet协议(TCP/IP)” 的属性对话框。在此对话框中,单击“高级”按钮,选择“WINS”选项,然后选择“禁用TCP/IP上的NetBIOS”,这样就关闭了137、138和 139端口。同时,通过取消“本地连接”属性中的“Microsoft 打印机和文件共享”可以关闭445端口。
(5)启动系统审核策略
“开始”——“运行”框中输入“gpedit.msc”进入组策略编辑器,在计算机配置——Windows设置——安全设置——本地策略——审核策略中,将审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件启用成功方式的审核。
(6)用户权利指派
同样在组策略编辑器,在计算机配置——Windows设置——安全设置——本地策略——用户权利指派中,将“从网络访问此计算机”策略中的所用用户都删除,在“拒绝从网络访问此计算机”策略中确保已有“everyone”帐户,然后再删除“通过终端服务允许登录”策略中的所有用户,并确保在“通过终端服务拒绝登录”策略中有“everyone”帐户。
(7)禁用系统默认共享
在组策略编辑器中,计算机配置——Windows设置——安全设置——安全选项,将“网络访问:不允许SAM帐户的匿名枚举”及“网络访问:不允许SAM帐户和共享的匿名枚举”全部启用;将“网络访问:可匿名访问的共享”、“可匿名访问的管道”及“可远程访问的注册表路径”中的内容全部删除。
打开注册表编辑器,进入 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 项,在其右边新建一个键值名为“Autoshareserver”,键值为0的DWORD值,这样就可以禁止系统C$、D$、E$等方式的共享;为了能禁止admin$共享,还应当在此注册表项中新建一个键值名为“Autosharewks”,键值为0的DWORD值。
最后,打开“资源管理器”,选择“工具”菜单中的“文件夹选项”,在出现的文件夹选项界面中的“高级设置框中,取消“使用简单文件共享”的多项选择项。
2、使用安全软件加固操作系统
对加固操作系统安全性而言,我们还可以通过安装相应的安全软件来进一步增强系统的安全性能。
(1)安装杀毒软件
在系统中安装杀毒软件主要用来防止黑客通过木马来控制我们的主机。当我们安装好杀毒软件后,一定要立即更新病毒库到最新状态,如有必要,还应当设置每天按时自动更新病毒库。
(2)安装防火墙
黑客的**活动通常是从扫描系统中是否开放有高危端口开始的,因此,禁用高危端口(如135、137、138、139、445、3389等)十分必要。虽然前面介绍了如何
通过手工的方式关闭系统高位端口,这里借助安全软件同样可以起到加固作用。同时,我们还应当限制系统中能够与互联网通信的进程和应用程序,以减少网络应用程序本身漏洞带来的安全风险。
虽然Windows XP系统本身带有一个“Internet 防火墙”,但它远远不能满足日益增长的安全防范需求,因此,我们通过安装第三方防火墙软件来解决这些问题。
现在市面上存在的防火墙不仅具有包过滤和应用程序跟踪的基本防火墙功能,它们还具有属于自己的独特功能。例如,Tiny Firewall防火墙。它不仅具有普通应用层防火墙的功能,还具有IDS、文件完整性检测和主动防御的功能。并且还为用户提供了一个实时网络连接监控功能,可以让用户随时掌握当前的网络连接情况,了解连接的网络应用程序都使用了哪些端口,连接到了什么目标上,并直接显示出对方的IP地址。图1就是它的网络连接监控界面。
(3)使用代理服务器
黑客要想扫描计算机,就必需先知道计算机连网公网IP地址。如果能够隐藏这个公网IP地址,将为黑客的攻击行为增加难度。隐藏IP地址最好的方式就是使用代理服务器。对于普通的网络用户来说,可以通过使用HTTP代理和在计算机上安装简单的代理软件来达到隐藏IP地址的目的。
使用HTTP代理非常简单,进入提供此功能的网站,例如https://blog.xxgzs.org/。在“开始浏览”按钮前的文本框中填入要访问的站点,就可以通过隐藏IP的方式浏览想访问的网站了。
但是,使用HTTP代理只能防止由于浏览网页而泄漏IP地址的风险,要想隐藏其它网络活动时的IP地址,例如进行的QQ聊天和玩网络游戏等网络应用,就必需通过在系统中安装代理服务器软件的方法来解决。
输入注帐户和密码后登录。此时,右击Windows任务栏中的绿色“W”图标,在此菜单中的“运行程序”菜单项中,可以由我们选择代理的各种方式。
二、防止主机成为肉鸡的安全管理措施
就算我们对系统的安全技术措施做得再好,如果不能对系统进行有效的安全管理和对自己的网络行为进行有效的控制,那么,这些已经实施了的安全技术措施,就成为了一种没有实际作用的摆设而已。
对系统实施安全管理措施可以分成两个部分来执行:其一为系统安全管理,其二就是用户网络操作行为管理。
1、系统安全管理
一个全面的系统安全管理应当包括下列所示的内容:
(1)操作系统漏洞补丁管理。为系统打补丁是一件非常重要的工作,我们可以通过360安全卫士的“修复系统漏洞”功能来完成。
(2)网络应用程序版本更新。我们应当及时升级QQ、MSN及网络浏览器等应用程序到最新版本。
(3)杀毒软件病毒库和防火墙规则审查。虽然杀毒软件都可以通过自动更新方式更新病毒库,我还是建议你养成按时手动更新病.
1、利用操作系统自身功能加固系统
通常按默认方式安装的操作系统,如果不做任何安全加固,那么其安全性难以保证。攻击者稍加利用便可使其成为肉鸡。因此,防止主机成为肉鸡的第一步,便是系统加固。
注意:本文所有内容都基于Windows XP。
(1)加强系统登录帐户和密码的安全
系统设置的密码应当符合复杂性和最小长度的要求,不仅要包括常用英文字母、数字、字母大小写,最好还可以加入特殊字符(如@等),而且密码的字符数不应该小于8位。
另外,为了防止黑客通过默认帐户登录系统,我们建议为管理员帐号设置密码并禁用guest账户。
(2)取消远程协助和远程桌面连接
用鼠标右击桌面上的“我的电脑”图标,选择“属性”,在“系统属性”中选择“远程”选项卡,然后取消“远程协助”和“远程桌面连接”复选框中的钩。
(3)禁用危险的系统服务
在Windows XP系统中,一些端口与相应的系统服务是相关联的,有的服务还与系统中的特定端口相关联,例如Terminal Services服务与3389端口关联。因此,禁用一些不需要的服务,不仅能降低系统资源消耗,而且能增强系统安全性。
在“开始”——“运行”框中输入“services.msc”,按回车后进入“服务”管理界面。禁用以下服务:
NetMeeting Remote Desktop Sharing
Remote Desktop Help Session Manager
Remote Registry
Routing and Remote Access
Server
TCP/IP NetBIOS Helper
Telnet
Terminal Services
(4)关闭137、138、139和445端口
用鼠标右击桌面中的“网上邻居”,选择“属性”。在“本地连接”界面,打开“Internet协议(TCP/IP)” 的属性对话框。在此对话框中,单击“高级”按钮,选择“WINS”选项,然后选择“禁用TCP/IP上的NetBIOS”,这样就关闭了137、138和 139端口。同时,通过取消“本地连接”属性中的“Microsoft 打印机和文件共享”可以关闭445端口。
(5)启动系统审核策略
“开始”——“运行”框中输入“gpedit.msc”进入组策略编辑器,在计算机配置——Windows设置——安全设置——本地策略——审核策略中,将审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件启用成功方式的审核。
(6)用户权利指派
同样在组策略编辑器,在计算机配置——Windows设置——安全设置——本地策略——用户权利指派中,将“从网络访问此计算机”策略中的所用用户都删除,在“拒绝从网络访问此计算机”策略中确保已有“everyone”帐户,然后再删除“通过终端服务允许登录”策略中的所有用户,并确保在“通过终端服务拒绝登录”策略中有“everyone”帐户。
(7)禁用系统默认共享
在组策略编辑器中,计算机配置——Windows设置——安全设置——安全选项,将“网络访问:不允许SAM帐户的匿名枚举”及“网络访问:不允许SAM帐户和共享的匿名枚举”全部启用;将“网络访问:可匿名访问的共享”、“可匿名访问的管道”及“可远程访问的注册表路径”中的内容全部删除。
打开注册表编辑器,进入 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 项,在其右边新建一个键值名为“Autoshareserver”,键值为0的DWORD值,这样就可以禁止系统C$、D$、E$等方式的共享;为了能禁止admin$共享,还应当在此注册表项中新建一个键值名为“Autosharewks”,键值为0的DWORD值。
最后,打开“资源管理器”,选择“工具”菜单中的“文件夹选项”,在出现的文件夹选项界面中的“高级设置框中,取消“使用简单文件共享”的多项选择项。
2、使用安全软件加固操作系统
对加固操作系统安全性而言,我们还可以通过安装相应的安全软件来进一步增强系统的安全性能。
(1)安装杀毒软件
在系统中安装杀毒软件主要用来防止黑客通过木马来控制我们的主机。当我们安装好杀毒软件后,一定要立即更新病毒库到最新状态,如有必要,还应当设置每天按时自动更新病毒库。
(2)安装防火墙
黑客的**活动通常是从扫描系统中是否开放有高危端口开始的,因此,禁用高危端口(如135、137、138、139、445、3389等)十分必要。虽然前面介绍了如何
通过手工的方式关闭系统高位端口,这里借助安全软件同样可以起到加固作用。同时,我们还应当限制系统中能够与互联网通信的进程和应用程序,以减少网络应用程序本身漏洞带来的安全风险。
虽然Windows XP系统本身带有一个“Internet 防火墙”,但它远远不能满足日益增长的安全防范需求,因此,我们通过安装第三方防火墙软件来解决这些问题。
现在市面上存在的防火墙不仅具有包过滤和应用程序跟踪的基本防火墙功能,它们还具有属于自己的独特功能。例如,Tiny Firewall防火墙。它不仅具有普通应用层防火墙的功能,还具有IDS、文件完整性检测和主动防御的功能。并且还为用户提供了一个实时网络连接监控功能,可以让用户随时掌握当前的网络连接情况,了解连接的网络应用程序都使用了哪些端口,连接到了什么目标上,并直接显示出对方的IP地址。图1就是它的网络连接监控界面。
(3)使用代理服务器
黑客要想扫描计算机,就必需先知道计算机连网公网IP地址。如果能够隐藏这个公网IP地址,将为黑客的攻击行为增加难度。隐藏IP地址最好的方式就是使用代理服务器。对于普通的网络用户来说,可以通过使用HTTP代理和在计算机上安装简单的代理软件来达到隐藏IP地址的目的。
使用HTTP代理非常简单,进入提供此功能的网站,例如https://blog.xxgzs.org/。在“开始浏览”按钮前的文本框中填入要访问的站点,就可以通过隐藏IP的方式浏览想访问的网站了。
但是,使用HTTP代理只能防止由于浏览网页而泄漏IP地址的风险,要想隐藏其它网络活动时的IP地址,例如进行的QQ聊天和玩网络游戏等网络应用,就必需通过在系统中安装代理服务器软件的方法来解决。
输入注帐户和密码后登录。此时,右击Windows任务栏中的绿色“W”图标,在此菜单中的“运行程序”菜单项中,可以由我们选择代理的各种方式。
二、防止主机成为肉鸡的安全管理措施
就算我们对系统的安全技术措施做得再好,如果不能对系统进行有效的安全管理和对自己的网络行为进行有效的控制,那么,这些已经实施了的安全技术措施,就成为了一种没有实际作用的摆设而已。
对系统实施安全管理措施可以分成两个部分来执行:其一为系统安全管理,其二就是用户网络操作行为管理。
1、系统安全管理
一个全面的系统安全管理应当包括下列所示的内容:
(1)操作系统漏洞补丁管理。为系统打补丁是一件非常重要的工作,我们可以通过360安全卫士的“修复系统漏洞”功能来完成。
(2)网络应用程序版本更新。我们应当及时升级QQ、MSN及网络浏览器等应用程序到最新版本。
(3)杀毒软件病毒库和防火墙规则审查。虽然杀毒软件都可以通过自动更新方式更新病毒库,我还是建议你养成按时手动更新病.
苏公网安备32058302003561