¡Buscamos tu experiencia después de aprender "tecnología de seguridad de red"!

Dado que la mayoría de los sistemas operativos utilizados por las computadoras domésticas ahora son Windows XP y Windows 2000 pro (se recomienda que los amigos que todavía usan 98 cambien el sistema. ¿Por qué sigues usando un sistema que incluso Microsoft ha abandonado? ) Así que más adelante hablaré principalmente sobre las precauciones de seguridad basadas en estos dos sistemas operativos.

Formas comunes en las que se piratean ordenadores personales

Cuando se trata de seguridad personal al navegar por Internet, primero categoricemos los problemas que todos pueden encontrar. Los métodos de intrusión que encontramos probablemente incluyan los siguientes:

(1) Contraseñas robadas por otros.

(2) El sistema es atacado por el caballo de Troya _blank/gt;

(3) Atacado por un programa java scrpit malicioso mientras navega por la web.

(4) QQ es atacado o se filtra información.

(5) Infección viral.

(6) Hay lagunas en el sistema que permiten que otros te ataquen.

(7) Ataques maliciosos por parte de hackers.

Veamos qué métodos se pueden utilizar para prevenir ataques de forma más eficaz.

Verificar recursos compartidos locales

Eliminar recursos compartidos

Eliminar conexión vacía ipc$

Principios de seguridad de cuenta y contraseña

Cerrar su propio puerto 139

Cerrar puerto 445

Cerrar 3389

Prevenir 4899

Introducción a los puertos comunes

Cómo ver los puertos abiertos en esta máquina y filtrarlos

Desactivar servicios

Política local

Política de seguridad local

Política de asignación de derechos de usuario

Configuración de servicios de terminal

Política de usuario y grupo

Prevención de vulnerabilidades rpc

Hágalo usted mismo Seguridad opciones en políticas locales

Introducción a la herramienta

Evita ser atacado por códigos maliciosos, troyanos y otros virus

1 Ver recursos compartidos locales

Ejecute CMD e ingrese net share. Si ve algún recurso compartido *** anormal, debe cerrarlo. Pero a veces, cuando desactivas el uso compartido de *** y aparece nuevamente la próxima vez que enciendes la computadora, debes considerar si tu máquina ha sido controlada por un pirata informático o está infectada con un virus.

2. Eliminar *** recursos compartidos (ingrese uno a la vez)

net share admin$ /delete

net share c$ /delete

net share d$ /delete (si hay e, f,... puedes continuar eliminando)

3. Elimina la conexión vacía de ipc$

Ingresa regedit. en el tiempo de ejecución, y en el registro, se encuentra que los datos numéricos del nombre numérico RestrictAnonymous en la clave HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA han cambiado de 0 a 1.

4. Cierre su propio puerto 139. Aquí existen vulnerabilidades de IPC y RPC.

El método para cerrar el puerto 139 es seleccionar la propiedad "Protocolo de Internet (TCP/IP)" en "Conexión de área local" en "Conexiones de red y de acceso telefónico" e ingresar a "Configuración avanzada de TCP/IP " "Configuración de WinS" Hay un elemento "Desactivar NETBIOS para TCP/IP". Si lo marca, el puerto 139 se cerrará.

5. Prevenir vulnerabilidades de rpc

Abra la herramienta de administración-servicio-busque el servicio RPC (Localizador de llamada a procedimiento remoto (RPC))-recupere la primera falla en la recuperación de fallas, la segunda. falla y las fallas posteriores se configuran como no operativas.

Windows XP SP2 y Windows 2000 pro sp4 no tienen esta vulnerabilidad.

Cierre el puerto 6.445

Modifique el registro y agregue un valor clave HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters Cree un SMBDeviceEnabled en la ventana derecha con un valor clave de. Tipo REG_DWORD. 0 Eso es todo.

Cerrar 7.3389

Windows XP: haga clic derecho en Mi PC y seleccione Propiedades -/gt; Remoto, marque las casillas de opción Asistencia remota y Escritorio remoto.

Inicio de Windows 2000 Server -/gt; Programas -/gt; Herramientas de administración -/gt; Busque el elemento de servicio de Terminal Services en Servicios, seleccione la opción de propiedades para cambiar el tipo de inicio a manual y deténgalo. Atender. (Este método también es aplicable en Windows XP)

Amigos que usan Windows 2000 pro, tengan en cuenta que hay muchos artículos en Internet que dicen que en Windows 2000 pro Inicio——/gt; gt; Panel de control—— /gt; Herramientas de administración - /gt; Busque el elemento del servicio Terminal Services en Servicios, seleccione la opción de propiedades para cambiar el tipo de inicio a manual y detenga el servicio 3389. Los servicios no existen en absoluto en 2000pro.

Prevención de 8.4899

Hay muchos métodos de intrusión para 3389 y 4899 en Internet. 4899 es en realidad un puerto de servidor abierto por software de control remoto. Debido a que este software de control es potente, los piratas informáticos suelen utilizarlo para controlar sus propios pollos. Además, este tipo de software generalmente no está controlado por software antivirus y es más seguro. puertas traseras.

4899 no es un servicio integrado como 3389. Debe instalarlo usted mismo, cargar el servidor en la computadora intrusa y ejecutar el servicio para lograr el propósito de control.

Así que, mientras tu ordenador tenga configuraciones de seguridad básicas, será difícil que los hackers te controlen a través de 4899.

9. Deshabilitar servicios

Si el PC no tiene un propósito especial, por razones de seguridad, abra el panel de control, ingrese a la herramienta de administración - Servicios y cierre los siguientes servicios:

p>

(1) Alerta [Notificar a los usuarios seleccionados y alertas de administración de computadoras].

(2) ClipBook [Habilite "Visor de Portapapeles" para almacenar información y compartirla con computadoras remotas].

(3) Sistema de archivos distribuido [Consolida los archivos compartidos dispersos en un nombre lógico y los comparte. Después del cierre, la computadora remota no puede acceder a los recursos compartidos.

(4) Servidor de seguimiento de enlaces distribuidos [aplicable a enlaces distribuidos LAN].

(5) Servicio de Indexación [Proporciona contenido de índice y atributos de archivos en equipos locales o remotos, filtrando información].

(6) Messenger [alerta].

(7) Compartir escritorio remoto de NetMeeting [Recopilación de información del cliente dejada por la empresa netmeeting].

(8) Network DDE [proporciona intercambio dinámico de datos para programas que se ejecutan en la misma computadora o en diferentes computadoras].

(9) Red DDE DSDM [Administrar el uso compartido de red de intercambio dinámico de datos (DDE)].

(10) Administrador de sesiones de ayuda de Escritorio remoto [Administrar y controlar la asistencia remota].

(11) Registro Remoto [permite a los usuarios de computadoras remotas modificar el registro local].

(12) Enrutamiento y acceso remoto [Proporcionar servicios de enrutamiento en LAN y áreas amplias. Los piratas informáticos utilizan servicios de enrutamiento para espiar la información de registro].

(13) Servidor [Admite compartir archivos, impresiones y canalizaciones con nombre para esta computadora a través de la red].

(14) TCP/IP NetBIOS Helper [Proporciona soporte para NetBIOS en servicios TCP/IP y resolución de nombres NetBIOS para clientes en la red para que los usuarios puedan *compartir archivos, imprimir e iniciar sesión en la red ].

(15) Telnet [Permite a usuarios remotos iniciar sesión en esta computadora y ejecutar programas].

(16) Terminal Services [permite a los usuarios conectarse a ordenadores remotos de forma interactiva].

(17) Adquisición de Imágenes de Windows (WIA) [Servicios de fotografía, aplicaciones y cámaras digitales].

Si descubre que la máquina tiene habilitados algunos servicios extraños, como r_server, debe detener el servicio inmediatamente, porque es muy posible que los piratas informáticos utilicen el servidor para controlar el programa.

10. Principios de seguridad para cuenta y contraseña

Primero deshabilite la cuenta de invitado y cambie el nombre de la cuenta de administrador integrada del sistema (cuanto más complicado sea el cambio, mejor, es mejor hacerlo). cámbiela a chino). Luego establezca una contraseña, preferiblemente una combinación de más de 8 caracteres alfanuméricos.

Si está utilizando otra cuenta, es mejor no agregarla al grupo de administradores. Si se une al grupo de administradores, también debe establecer una contraseña suficientemente segura. Igual que la anterior. contraseña del administrador, es mejor configurarla en modo seguro, porque después de mi investigación, descubrí que la cuenta con mayor autoridad en el sistema no es la cuenta de administrador en el inicio de sesión normal, porque incluso con esta cuenta, también puede ¡Inicie sesión en modo seguro, elimine el archivo sam y así cambie la contraseña del administrador del sistema! Esto no sucederá si el administrador está configurado en modo seguro, porque no puede ingresar al modo seguro sin conocer la contraseña del administrador. La autoridad máxima es la política de contraseñas: los usuarios pueden establecer contraseñas según sus propios hábitos. Las siguientes son las configuraciones que recomiendo.

Herramientas de administración abiertas - configuración de seguridad local - política de contraseñas

(1) Las contraseñas deben cumplir requisitos complejos Habilitar.

(2) Valor mínimo de contraseña. Lo configuré en 8.

(3) Período máximo de uso de contraseña. Lo configuré en 42 días de forma predeterminada.

(4) El periodo mínimo de uso de la contraseña es de 0 días.

(5) Forzar que el historial de contraseñas recuerde 0 contraseñas.

(6) Utilice cifrado reversible para almacenar contraseñas deshabilitadas.

11. Estrategia local

Esto es muy importante, puede ayudarnos a descubrir cada movimiento de aquellos con motivos ocultos y también puede ayudarnos a localizar a los piratas informáticos en el futuro. (Aunque los piratas informáticos generalmente borran los rastros que dejan en su computadora cuando se van, también hay algunos que son descuidados)

Abra la herramienta de administración y busque la configuración de seguridad local - política local - política de auditoría

(1) El cambio de política de auditoría falló exitosamente.

(2) Auditar los eventos de inicio de sesión para determinar si son exitosos o fallidos.

(3) Error en el acceso al objeto de auditoría.

(4) Proceso de seguimiento de auditoría Sin auditoría.

(5) Error en el acceso al servicio de directorio de auditoría.

(6) No se pudo auditar el uso de privilegios.

(7) Auditar el éxito o fracaso de los eventos del sistema.

(8) Auditar el tiempo de inicio de sesión de la cuenta, éxito o fracaso.

(9) Auditoría del éxito o fracaso de la gestión de cuentas.

Luego vaya a la herramienta de administración y busque el visor de eventos, aquí

Aplicación: clic derecho/gt; establezca el límite superior del tamaño del registro, lo configuré en 50 MB y elegí no sobrescribir los eventos

Seguridad: haga clic derecho/gt; Propiedades/gt; Establezca el límite superior del tamaño del registro, también lo configuré en 50 MB y elijo no sobrescribir los eventos

Sistema: haga clic derecho/gt; Propiedades/gt; Establezca el límite superior del tamaño de registro. Siempre lo establezco en 50 MB y elijo no sobrescribir eventos

12. /p>

Abra la herramienta de administración y busque la configuración de seguridad local-política local-opciones de seguridad

(1) Inicio de sesión interactivo No es necesario presionar Ctrl Alt Del para habilitar [según las necesidades personales, pero yo personalmente no necesito ingresar directamente la contraseña para iniciar sesión].

(2) No se permite habilitar el acceso a la red.

(3) El acceso a la red es posible. El uso compartido anónimo elimina el siguiente valor.

(4) Acceso a la red. Tubería con nombre anónimo. Elimine el siguiente valor.

(5) Acceso a la red. Ruta de registro accesible de forma remota. Elimine el siguiente valor.

(6) Acceso a la red. Subruta del registro al que se puede acceder de forma remota. Elimina el siguiente valor.

(7) Acceso a la red Restringir el acceso anónimo a canalizaciones con nombre y *compartidos.

(8) Cuenta (ya lo he hablado detalladamente antes).

13. Política de asignación de derechos de usuario

Abra la herramienta de administración y busque la configuración de seguridad local - política local - asignación de derechos de usuario

(1) Acceda a la computadora de la red Generalmente, hay 5 usuarios por defecto. Eliminamos 4 excepto Admin. Por supuesto, tenemos que crear una identificación propia más tarde.

(2) Fuerce el apagado desde el sistema remoto y elimine la cuenta de administrador, sin dejar a nadie atrás.

(3) Denegar el acceso a este ordenador desde la red y eliminar el ID.

(4) Acceda a esta computadora desde la red; el administrador también se puede eliminar si no utiliza servicios 3389 similares.

(5) Forzar el apagado a través del extremo remoto y eliminar.

14. Configuración del servicio de terminal, abra la herramienta de administración, configuración del servicio de terminal

(1) Después de abrir, haga clic en conexión, haga clic derecho, propiedades, control remoto, haga clic en No permitir. mando a distancia.

(2) Normal, nivel de cifrado, alto, haga clic en √ para usar la autenticación estándar de Windows.

(3) Tarjeta de red, establezca el número máximo de conexiones en 0.

(4) Avanzado, elimina los permisos internos [no lo he configurado].

Haga clic en Configuración del servidor nuevamente. En Active Desktop, configure Desactivar y limite cada sesión a una sesión.

15. Política de usuarios y grupos

Abra la herramienta de administración, Administración de equipos - Usuarios y grupos locales - Usuarios

Elimine el usuario Support_388945a0, etc. quedando solo tú Cambia los permisos de administrador del buen nombre.

Gestión informática—Usuarios y grupos locales—Grupos

Grupos. No los agruparemos, no es necesario.

16. Opciones de seguridad propias para políticas locales

(1) Cerrar sesión automáticamente del usuario (local) cuando finalice el tiempo de inicio de sesión para evitar la penetración de contraseñas por parte de piratas informáticos.

(2) El último nombre de inicio de sesión no se mostrará en la pantalla de inicio de sesión (de forma remota). Si el servicio 3389 está habilitado, cuando otros inicien sesión, su nombre de usuario de inicio de sesión no se dejará, lo que les permitirá adivinar. su nombre de usuario. Adelante.

(3) Restricciones adicionales a conexiones anónimas.

(4) Está prohibido presionar alt crtl del (innecesario).

(5) Permitir el apagado antes de iniciar sesión [evitar el apagado/inicio remoto, apagado/inicio forzado].

(6) Sólo los usuarios locales que hayan iniciado sesión pueden acceder al CD-ROM.

(7) Sólo los usuarios locales que hayan iniciado sesión pueden acceder a la unidad de disquete.

(8) Cancelar el aviso por motivo de apagado.

A. Abra la ventana del Panel de control, haga doble clic en el icono "Opciones de energía" y, en la siguiente ventana de propiedades de energía, ingrese a la pestaña "Avanzado"

B. En esta página En el elemento de configuración "Botón de encendido", establezca "Cuando se presiona el botón de encendido de la computadora" en "Apagar", haga clic en el botón "Aceptar" para salir del cuadro de configuración

C. necesita apagar en el futuro, puede presionar directamente el botón de encendido para apagar la computadora. Por supuesto, también podemos habilitar la tecla de función de hibernación para apagar e iniciar rápidamente;

D Si el modo de hibernación no está habilitado en el sistema, puede abrir las opciones de energía en la ventana del panel de control y. ingrese a la pestaña de hibernación y seleccione la opción "Habilitar hibernación" allí.

(9) Deshabilitar el seguimiento de eventos de apagado.

Inicie "Inicio -/gt;" Ejecute "Ejecutar -/gt; ingrese "gpedit.msc", y en la parte izquierda de la ventana que aparece, seleccione "Configuración del equipo" -/gt; " Plantillas administrativas" -/gt; "Sistema", haga doble clic en "Shutdown Event Tracker" en la ventana derecha, seleccione "Desactivado" en el cuadro de diálogo que aparece, haga clic y luego en "Aceptar". Después de guardar, salga así, vea una ventana de apagado similar a Windows 2000

17 Introducción a los puertos comunes

TCP

21 FTP

22 SSH

23 TELNET

25 TCP SMTP

53 TCP DNS

80 HTTP

135 epmap

138 [onda de choque]

139 alguien

445

1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b

1026 DCE/12345778-1234-abcd-ef00-0123456789ac

1433 TCP SQL SERVIDOR

5631 TCP PCANYWHERE

5632 UDP PCANYWHERE

3389 Servicios de terminal

4444[Shock Wave]

UDP

67[Shock Wave]

137 netbios-ns

161 Se está ejecutando un agente SNMP/Nombres de comunidad predeterminados del agente SNMP

Con respecto a UDP, generalmente solo Tencent QQ abrirá el puerto 4000, 8000 u 8080, luego solo ejecutamos Solo use los puertos 4000 para esta máquina .

18. También introduzca cómo verificar los puertos abiertos en esta máquina y el filtrado de puertos TCP\IP

Inicio - Ejecutar - cmd, ingrese el comando netstat -a, lo hará. consulte Por ejemplo (este es el puerto abierto en mi máquina)

Proto Dirección local Estado de dirección extranjera

TCP yf001:epmap yf001:0 LISTE

TCP yf001 :1025 yf001: 0 LISTA

TCP (nombre de usuario): 1035 yf001: 0 LISTA

TCP yf001: netbios-ssn yf001: 0 LISTA

UDP yf001: 1129 *:*

UDP yf001:1183 *:*

UDP yf001:1396 *:*

UDP yf001:1464 *:*

UDP yf001:1466 *:*

UDP yf001:4000 *:*

UDP yf001:4002 *:*

UDP yf001:6000 * : *

UDP yf001:6001 *:*

UDP yf001:6002 *:*

UDP yf001:6003 *:*

UDP yf001:6004 *:*

UDP yf001:6005 *:*

UDP yf001:6006 *:*

UDP yf001:6007 *:*

UDP yf001:1030 *:*

UDP yf001:1048 *:*

UDP yf001:1144 *:*

UDP yf001 :1226 *:*

UDP yf001:1390 *:*

UDP yf001: netbios-ns *:*

UDP yf001: netbios-dgm * : *

UDP yf001: isakmp *: *

Ahora hablemos del filtrado TCP/IP basado en Windows.

Panel de control - Conexiones de red y acceso telefónico - Conexión de área local - Protocolo INTERNET (TCP/IP) - Propiedades - Avanzado - Opciones - Filtrado TCP/IP - Propiedades. Simplemente agregue los puertos tcp y UDP requeridos. Si no conoce muy bien el puerto, no lo filtre fácilmente, de lo contrario algunos programas podrían quedar inutilizables.

19. Acerca del navegador

El navegador IE (o el navegador basado en IE Core) tiene problemas de privacidad. El archivo index.dat registra su información en línea. Por eso recomiendo a todos que cambien a otro navegador de kernel. FireFox, que es muy popular ahora, es muy bueno si desea crear su propio navegador personalizado, FireFox es la primera opción. ¡Tiene poderosas capacidades de personalización extendidas! También está el legendario navegador Opera, más rápido, con una velocidad asombrosa y una interfaz magnífica.

Por supuesto, dado que algunas páginas web nacionales no están escritas en el lenguaje HTML estándar certificado por la organización WC3, IE no se puede perder y debe conservarse como copia de seguridad. Para manejar la privacidad de IE, puede utilizar: Webroot WindowWasher.

RAMDISK utiliza memoria para virtualizar un disco duro y escribe archivos almacenados en caché en él. Esto no sólo resuelve problemas de privacidad, sino que, en teoría, también puede aumentar la velocidad de la red.

20. El último paso es también el más crítico: instalar el software antivirus y el firewall. (Editor: Li Lei)