N多的门事件之后,网络防黑显的很重要了。这里推荐一篇张豪的文章,他记录了他对系统做安全的全过程。我net share一下之后,发现这个网络共享是系统默认开放的吧,未必是盗版系统的问题。下面看看他的原文吧。
在赛格买的盗版系统盘结果导致自己电脑也被别人入侵了,不过这估计也是史上最笨也是最狠的一个黑客了,net share默认共享、139、445、3389、居然全部都给我打开了,周旋了几个晚上无奈那家伙老是没上线无法反追踪到他,考虑到自己还有别的事要忙也就懒得理他了,本文仅以张豪的遭遇给大家提个醒,教大家一些必备的系统防护常识,高手就路过吧,这些都幼儿园有教的。
首先,从共享谈起吧,打开开始菜单点击运行(按住win键+R),输入:cmd,在出现的命令窗口输入“net share”按回车,如果你运气不好的话,你应该会看到像我(图1)这个一样的,这是伟大的黑客送我的第一份礼物:默认共享!这意味着黑客可以远程享用你的的C、D、G、I、F、H盘里面的任何东西,喜欢翻拍“艳照门”的自己看着办吧。
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.
C:\Documents and Settings\Administrator>net share
共享名 资源 注释
-------------------------------------------------------------------------------
D$ D:\ 默认共享
I$ I:\ 默认共享
G$ G:\ 默认共享
ADMIN$ C:\WINDOWS 远程管理
C$ C:\ 默认共享
IPC$ 远程 IPC
命令成功完成。
C:\Documents and Settings\Administrator>
解决的办法就是:直接输入:
net share c /delete 回车 、net share d /delete回车、net share g /delete回车、net share i /delete回车、net share f /delete回车、
net share h /delete回车、net share admin /delete回车,嫌麻烦的可以学图2直接编个批处理就可以搞定(把以上命令复制进记事本重命名为:“deleteshare.bat”注意最后是BAT)
net share c$ /del
net share d$ /del
net share f$ /del
net share g$ /del
net share h$ /del
net share i$ /del
net share admin$ /del
接着是取消IPC的空连接,有了他,所谓的黑客可以通过IPC不用密码就能远程登录你的机器,消除空连接的方法为开始、 运行内输入regedit,在注册表中找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro\SetControl\LSA 项里数值名称RestrictAnonymous的数值数据由0改为1。按F5刷新就ok了,看我的就是空连接
第一个问题解决了,我们再来看看第二份礼物,开放了139端口,传说139入侵很麻烦,我不知道这位哥哪来的闲情玩139了,启用TCP/IP上的NETbios,怎么样,没骗你们吧。
解决的方法很简单,把下面的禁用NETbios勾上就ok了,具体位置在:““网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面”。
再看第三份礼物:445端口,这个其实也不怪别人,据了解很多系统基本上是不会关闭这个端口的,我们只需要开始、运行输入regedit打开注册表展开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters,在这个里面右键新建“DWORD值”为0就可以关闭该端口,如图。
第四份礼物:做工最笨的一份礼物,3389远程协助!
各位看到没有,玩黑的如果连这个都发现不了那就真的...以上端口可以让黑客在通过"mstsc"(在开始运行输入后回车就知道干嘛了)中登录你的电脑,然后,你在干嘛他都看得到哦,色狼就是这么养出来的...解决的方法就是右击我的电脑图标进属性最后那个远程,把看到的勾都去了就可以好好睡觉了。
防止rpc漏洞 (打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作)
好了,中国自古就是礼仪之邦,有礼肯定必回啦,让我们也来送这些大黑客一些小礼物,考考他们的IQ和耐心吧。
礼物一:在运行中输入CONTROL打开控制面板进入管理工具、本地策略、安全选项“登陆屏幕上不显示上次登陆名”启用,这样就算大
黑客侥幸登录你的系统也得费心思去猜你的用户名,嘿嘿,看谁玩谁
礼物二:当登陆时间用完时自动注销用户,防止黑客渗透密码
礼物三:重命名管理员账户:用来搭配礼物一的
礼物四:只有本地登陆用户才能访问CD-ROM,这样他就没法用光驱除掉我们的密码了。
礼物五:只有本地登陆用户才能访问软驱
礼物六:打开管理工具 、计算机管理、本地用户和组、用户,删除Support_388945a0用户等等只留下你更改好名字的adminisrator权限
礼物七:打开管理工具,找到本地安全设置、本地策略、用户权限分配按下面分配: 1、从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,Admin也可删除(家用的),如果你不使用类似3389服务;2.从远程系统强制关机,Admin帐户也删除,一个都不留 ;3、拒绝从网络访问这台计算机 将ID删除。 4、通过远端强制关机。删掉
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的COMCFG
DFS值删除
4.网络访问.可匿名的命名管道 将后面的COMNAP
COMNODE
SQL\QUERY
SPOOLSS
LLSRPC
browser值删除
5.网络访问.可远程访问的注册表路径 将后面的System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Control\Server Applications
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration值删除
3 Comments