个人计算机安全防护第一步(待续)

 个人计算机安全防护第一步
----------------------------------------
察看本地共享资源
　　删除共享
　　删除ipc$空连接
　　账号密码的安全原则
　　关闭自己的139端口
　　445端口的关闭
　　3389的关闭
　　4899的防范
　　禁用服务
　　本地策略
　　本地安全策略
　　用户权限分配策略
　　工具介绍
　　避免被恶意代码 木马等病毒攻击
　　常用安全防护软件下载







1.察看本地共享资源   


　　点击“开始菜单”－“运行”－输入“CMD”回车，输入“net share”，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

2.删除共享(每次输入一个）    

　　使用Windows 2000/XP的用户都会碰到一个问题，那就是默认的管理共享。虽然用户并没有设置共享，但每个盘符都被Windows自动设置了共享，其共享名为盘符后面加一个符号＄。一般来说，除了每个硬盘都被共享外，还存在Admin、IPC这两个共享（分别为远程管理共享与远程网络连接）。这样，局域网内同一工作组内的计算机，只要知道被访问主机的管理员密码，就可以通过在浏览器的地址栏中输入“计算机名盘符＄”来访问你的文件。这些共享默认设置本来是方便用户的，但是却让黑客利用了它，窃取您电脑里的宝贵资料。我们可以利用命令提示符来删除默认的共享。点击“开始菜单”－“运行”－输入“CMD”回车，再输入命令：

　　net share admin$ /delete
　　net share c$ /delete
　　net share d$ /delete（如果有e，f，……等磁盘，可以继续删除）

　　即使是这样删除之后，下一次你重新开机，共享还是会再次出现，我们总不能每次开机都删除共享吧？所以这不是彻底解决的办法。

　　彻底的解决办法是通过修改注册表。在“运行”内输入“regedit”，打开注册表编辑器：

　  　(A)：禁止C$ D$等共享

　　展开[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlset/services/Tcpip/Paramers]分支新建一个名为EnablelCMPRedirects的键值项将其设置为0，（0是不响应）。

　　(B)：禁止ADMIN$共享

　　展开[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlset/Services/LanmanServer/Parameters]分支，新建名为AutoShareWks的键值，将其设置为0的键值项，将其设置为0
3：禁止IPC$共享  

　　Windows XP在默认安装后允许任何用户通过空用户连接(IPC＄)得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能，查找系统的用户列表，并使用一些字典工具，对系统进行攻击。这就是网上较流行的IPC攻击。 要防范IPC攻击就应该从系统的默认配置下手，可以通过修改注册表弥补漏洞：

　　第一步：展开 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlset/Control/Lsa]分支，新建名为restrictanonymous的键值将其设置为0或者1或者设置2。（设置0为缺省；1为匿名无法列举本机用户列表；2为匿名用户无法连接。我们可以设置为“1”，这样就能禁止空用户连接。）

　　第二步：打开 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters]选项。注意：不是展开parameters的下面，而是单击选中parameters！然后建立两个双字节值（也就是DWORD）的键名，分别是：“AutoShareServer”和“AutoShareWks”。然后键值设置成0，就OK了！
 
　　对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。

　　对于个人用户，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。


　　如果您在建立某个键值的时候，系统提示该键值已经存在，您只要找到该键值，双击该键值，在弹出的窗口中修改其数值就可以了。

　　如果您不会编辑注册表，可以使用以下的方法。

　　首先打开记事本，将下面的内容拷贝到记事本中：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]
"AutoShareWks"=dword:00000000

　　保存成txt文件，然后把后缀名改为reg。

　　同样的，建立AutoShareServer

　　打开记事本，将下面的内容拷贝到记事本中：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]
"AutoShareServer"=dword:00000000

　　保存成txt文件，把后缀名改为reg。执行这两个reg文件。重新启动电脑即可。

　　如果您实在不会操作这一步（即建立“AutoShareServer”和“AutoShareWks”这两个键值），我这里有已经做好的注册表文件（已经建立好这两个命令），您下载之后，解压缩，再双击导入即可。


4．关闭自己的139端口，IPC和RPC漏洞存在于此。   


　　139端口是NetBIOS Session端口，用于文件和打印共享。通过139端口入侵是网络攻击中常见的一种攻击手段。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。需要说明的是，一旦关闭后，你将无法在局域网**享自己或别人的文件和打印机，但对其他功能没有影响。

5．防止RPC漏洞
  
　　打开“管理工具”-->“服务”-->找到“RPC(Remote Procedure Call (RPC) Locator)服务”-->将“故障恢复”中的第一次失败，第二次失败，后续失败，都设置为“不操作”。（注：WindowsXP SP2和Windows2000 pro sp4，已经不存在该漏洞。）

6．445端口的关闭   

　　我们经常会被445端口攻击，所以如果不小心的话，黑客也有可能通过这个端口来攻击。

　　修改注册表，打开[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/NetBT/Parameters]在右面的窗口建立一个键值“SMBDeviceEnabled”，类型为“REG_DWORD”，键值为0，这样就ok了！
7．3389端口的关闭
   
　　这个端口我想我不用多说了，危险性很高，而且很多人根本没有注意到自己的电脑里有这个漏洞。要是你的电脑开了3389端口，那么你成为别人的肉鸡只是时间问题了，哈哈~~不是吓你哦！大家要特别的防范。

　　首先说明3389端口是Windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，建议关闭该服务。

　　WindowsXP系统：在“我的电脑”上点右键，选“属性”-->“远程”，将里面的“远程协助”和“远程桌面”两个选项框里的勾去掉。

　　Windows 2000系统中的远程终端服务是一项功能非常强大的服务，同时也成了入侵者长驻主机的通道，入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面，我们来看看如何通过修改默认端口，防范黑客入侵。

　　Windows2000 Server系统：点击“开始”-->“程序”-->“管理工具”-->“服务”里找到“Terminal Services”服务项，选中“属性”选项将启动类型改成“手动”，并停止该服务。（该方法在XP同样适用，XP用户可参照这个方法设置。）

　　使用Windows2000 Pro的朋友注意，网络上有很多文章说在Windows2000 Pro “开始”-->“设置”-->“控制面板”-->“管理工具”-->“服务”里找到“Terminal Services”服务项，选中“属性”选项将启动类型改成“手动”，并停止该服务，可以关闭3389。其实在Windows2000 Pro 中根本不存在Terminal Services。

　　如果您确实需要用到远程控制，而又不想让您的电脑受到黑客的骚扰，可以更改3389端口。操作步骤：

　　点击“开始菜单”-->“运行”，输入“regedit”，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如6111。

　　再打开[HKEY_LOCAL_MACHINE/SYSTEM/CurrentContro1Set/Control/Tenninal Server/WinStations/RDP/Tcp]，将PortNumber的值（默认是3389）修改成端口6111。如果[HKEY_LOCAL_MACHINE/System/currentcontrolset/control/Terminalserver/winstations]分支里还其他类似的子键,一样的改它的值。

　　修改完毕，重新启动电脑，以后远程登录的时候使用端口6111就可以了。

8．4899的防范
   
　　网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

　　4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

　　所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9．防止注册表被匿名访问  

　　一般默认的权限不限制对注册表默认的访问，只有管理员才能有权限对远程的计算机进行访问。如果想对这个进行限制的话可以修改注册表。

　　展开[HKEY_LOCAL_MACHINE/System/CurrentControSet/Control/SecurePipeServers/Winreg]分支，选中名为Winreg，单击鼠标的右键，在出现的菜单选项中选“权限”，将管理员设置为“完全控制”，确保不会列出其他用户或组，然后确认。

10．禁止空连接
  
　　默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。为了防止黑客进行空连接，可以通过以下两种方法禁止建立空连接：

   (A)：展开 [HKEY_LOCAL_MACHINE/System/CurrentControSet/Control/LSA]分支,新建一个名为RestrictAnonymous的键值项,将他设置成1，设置以后重起就可以了。

　　(B)：修改Windows 2000 的本地安全策略。
设置“本地安全策略”→“本地策略”→“选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。