张豪的一次个人电脑防黑实战

　　N多的门事件之后，网络防黑显的很重要了。这里推荐一篇张豪的文章，他记录了他对系统做安全的全过程。我net share一下之后，发现这个网络共享是系统默认开放的吧，未必是盗版系统的问题。下面看看他的原文吧。

　　在赛格买的盗版系统盘结果导致自己电脑也被别人入侵了，不过这估计也是史上最笨也是最狠的一个黑客了，net share默认共享、139、445、3389、居然全部都给我打开了，周旋了几个晚上无奈那家伙老是没上线无法反追踪到他，考虑到自己还有别的事要忙也就懒得理他了，本文仅以张豪的遭遇给大家提个醒，教大家一些必备的系统防护常识，高手就路过吧，这些都幼儿园有教的。

　　首先，从共享谈起吧，打开开始菜单点击运行（按住win键+R），输入：cmd，在出现的命令窗口输入“net share”按回车，如果你运气不好的话，你应该会看到像我（图1）这个一样的，这是伟大的黑客送我的第一份礼物：默认共享！这意味着黑客可以远程享用你的的C、D、G、I、F、H盘里面的任何东西，喜欢翻拍“艳照门”的自己看着办吧。

Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
 
C:\Documents and Settings\Administrator>net share
 
共享名   资源                        注释
 
-------------------------------------------------------------------------------
D$           D:\                             默认共享
I$           I:\                             默认共享
G$           G:\                             默认共享
ADMIN$       C:\WINDOWS                      远程管理
C$           C:\                             默认共享
IPC$                                         远程 IPC
命令成功完成。
C:\Documents and Settings\Administrator>

　　解决的办法就是：直接输入：
net share c /delete 回车 、net share d /delete回车、net share g /delete回车、net share i /delete回车、net share f /delete回车、
net share h /delete回车、net share admin /delete回车，嫌麻烦的可以学图2直接编个批处理就可以搞定（把以上命令复制进记事本重命名为：“deleteshare.bat”注意最后是BAT）

net share c$ /del
net share d$ /del
net share f$ /del
net share g$ /del
net share h$ /del
net share i$ /del
net share admin$ /del

　　接着是取消IPC的空连接，有了他，所谓的黑客可以通过IPC不用密码就能远程登录你的机器，消除空连接的方法为开始、 运行内输入regedit，在注册表中找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro\SetControl\LSA 项里数值名称RestrictAnonymous的数值数据由0改为1。按F5刷新就ok了，看我的就是空连接

 　　第一个问题解决了，我们再来看看第二份礼物，开放了139端口，传说139入侵很麻烦，我不知道这位哥哪来的闲情玩139了，启用TCP/IP上的NETbios，怎么样，没骗你们吧。

　　解决的方法很简单，把下面的禁用NETbios勾上就ok了，具体位置在：““网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面”。
再看第三份礼物：445端口，这个其实也不怪别人，据了解很多系统基本上是不会关闭这个端口的，我们只需要开始、运行输入regedit打开注册表展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters，在这个里面右键新建“DWORD值”为0就可以关闭该端口，如图。

　　第四份礼物：做工最笨的一份礼物，3389远程协助！
各位看到没有，玩黑的如果连这个都发现不了那就真的...以上端口可以让黑客在通过"mstsc"（在开始运行输入后回车就知道干嘛了）中登录你的电脑，然后，你在干嘛他都看得到哦，色狼就是这么养出来的...解决的方法就是右击我的电脑图标进属性最后那个远程，把看到的勾都去了就可以好好睡觉了。

　　防止rpc漏洞 （打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作）
　　好了，中国自古就是礼仪之邦，有礼肯定必回啦，让我们也来送这些大黑客一些小礼物，考考他们的IQ和耐心吧。
　　礼物一：在运行中输入CONTROL打开控制面板进入管理工具、本地策略、安全选项“登陆屏幕上不显示上次登陆名”启用，这样就算大
黑客侥幸登录你的系统也得费心思去猜你的用户名，嘿嘿，看谁玩谁
　　礼物二：当登陆时间用完时自动注销用户，防止黑客渗透密码
　　礼物三：重命名管理员账户：用来搭配礼物一的
　　礼物四：只有本地登陆用户才能访问CD-ROM，这样他就没法用光驱除掉我们的密码了。
　　礼物五：只有本地登陆用户才能访问软驱
　　礼物六：打开管理工具 、计算机管理、本地用户和组、用户，删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限
　　礼物七：打开管理工具，找到本地安全设置、本地策略、用户权限分配按下面分配： 　1、从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，Admin也可删除（家用的），如果你不使用类似3389服务；2.从远程系统强制关机，Admin帐户也删除，一个都不留 ；3、拒绝从网络访问这台计算机 将ID删除。 4、通过远端强制关机。删掉

5.网络访问.可远程访问的注册表路径 将后面的System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration值删除