《电脑上网之前做的立体防御》
作者不详;文章来源:
http://pfw.sky.net.cn/article/5294.html
谈到个人上网时的安全,还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种:(1)被他人盗取密码(2)系统被木马攻击(3)浏览网页时被恶意的java scrpit程序攻击(4)QQ被攻击或泄漏信息(5)病毒感染(6)系统存在漏洞使他人攻击自己(7)黑客的恶意攻击。
下面我们就来看看通过什么样的手段来更有效的防范攻击。首先是传统的一些设置,这里再次写出来:
1、察看本地共享资源
运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
2、删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3、删除ipc$空连接
在运行内输入regedit,在注册表中找到 HKEY-LOCAL_MACHINE SYSTEM CurrentControSet ControlLSA 项里数值名称RestrictAnonymous的数值数据由0改为1。
4、关闭自己的139端口,Ipc和RPC漏洞存在于此
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口
5、防止Rpc漏洞
打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复中的第一次失败,第二次失败,后续失败,都设置为不操作。
Windwos XP SP2和Windows2000 Pro Sp4,均不存在该漏洞。
6、445端口的关闭
修改注册表,添加一个键值HKEY_LOCAL_MACHINE System CurrentControlSet Services NetBT Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了。
7、3389的关闭
WindowsXP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用Windows2000 Pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,其实在2000pro 中根本不存在Terminal Services。
8、4899的防范
网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。
4899不象3389那样,是系统自带的服务。需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。
所以只要你的电脑做了基本的安全配置,黑客是很难通过4899来控制你的。
9、禁用服务
打开控制面板,进入管理工具,服务,关闭以下服务:
1.Alerter通知选定的用户和计算机管理警报
2.ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享
3.Distributed File System将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server适用局域网分布式链接
5.Human Interface Device Access启用对人体学接口设备(HID)的通用输入访问
6.IMAPI CD-Burning COM Service管理 CD 录制
7.Indexing Service提供本地或远程计算机上文件的索引内容和属性,泄露信息
8.Kerberos Key Distribution Center授权协议登录网络
9.License Logging监视IIS和SQL如果你没安装IIS和SQL的话就停止
10.Messenger警报
11.NetMeeting Remote Desktop Sharin(gnetmeeting公司留下的客户信息收集)
12.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换
13.Network DDE DSDM管理动态数据交换 (DDE) 网络共享
14.Print Spooler打印机服务,没有打印机就禁止吧
15.Remote Desktop Help& nbsp;Session Manager管理并控制远程协助
16.Remote Registry使远程计算机用户修改本地注册表
17.Routing and Remote Access在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息
18.Server支持此计算机通过网络的文件、打印、和命名管道共享
19.Special Administration Console Helper允许管理员使用紧急管理服务远程访问命令行提示符
20.TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件 、打印和登录到网络
21.Telnet允许远程用户登录到此计算机并运行程序
22.Terminal Services允许用户以交互方式连接到远程计算机
23.Window s Image Acquisition (WIA)照相服务,应用与数码摄象机
如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。
10、账号密码的安全原则
首先禁用guest帐号,将系统内建的administrator帐号改名(改的越复杂越好,最好改成中文的),而且要设置一个密码,最好是8位以上字母数字符号组合。
如果你使用的是其他帐号,最好不要将其加进administrators,如果加入administrators组,一定也要设置一个足够安全的密码,同上如果你设置adminstrator的密码时,最好在安全模式下设置,因为经我研究发现,在系统中拥有最高权限的帐号,不是正常登陆下的adminitrator帐号,因为即使有了这个帐号,同样可以登陆安全模式,将sam文件删除,从而更改系统的administrator的密码!而在安全模式下设置的administrator则不会出现这种情况,因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略:用户可以根据自己的习惯设置密码,下面是我建议的设置。
打开管理工具—本地安全设置—密码策略:
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.审核对象访问 失败
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
11、本地策略
这个很重要,可以帮助我们发现那些心存叵测的人的一举一动,还可以帮助我们将来追查黑客。
(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹,不过也有一些不小心的)
打开管理工具,找到本地安全设置—本地策略—审核策略:
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
然后再到管理工具找到事件查看器:
应用程序:右键>属性>设置日志大小上限,我设置了50mb,选择不覆盖事件。
安全性:右键>属性>设置日志大小上限,我也是设置了50mb,选择不覆盖事件。
系统:右键>属性>设置日志大小上限,我都是设置了50mb,选择不覆盖事件。
12、本地安全策略
另外,目前网络中有一种攻击让网络管理员最为头疼,那就是拒绝服务攻击,简称DOS和DDOS。它是一种滥用资源性的攻击,目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。
今天就笔者公司管理服务器的经验为各位读者介绍几个简单有效的防范拒绝服务攻击的方法,虽然不能彻底防护,但在与DDOS的战斗中可以最大限度降低损失。
1、如何发现攻击
在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当前负载情况,如果发现服务器突然超负载运作,性能突然降低,这就有可能是受攻击的征兆。不过也可能是正常访问网站人数增加的原因。如何区分这两种情况呢?按照下面两个原则即可确定受到了攻击。
(1)网站的数据流量突然超出平常的十几倍甚至上百倍,而且同时到达网站的数据包分别来自大量不同的IP。
(2)大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分,往往指向你机器任意的端口。比如你的网站是Web服务器,而数据包却发向你的FTP端口或其它任意的端口。
2、BAN IP地址法
确定自己受到攻击后就可以使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效,因为DOS往往来自少量IP地址,而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦,需要我们对IP地址分析,将真正攻击的IP地址屏蔽。
不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙,然后根据防火墙的日志分析来访者的IP,发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。
当然直接在服务器上过滤会耗费服务器的一定系统资源,所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段,然后将过滤条目添加到路由器上。例如我们发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0,而服务器的地址为61.153.5.1。那么可以登录公司核心路由器添加如下语句的访问控制列表进行过滤。
cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,
这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。
小提示:在访问控制列表中表示子网掩码需要使用反向掩码,也就是说0.0.255.255表示子网掩码为255.255.0.0 。
3、增加SYN缓存法
上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能,自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。
修改SY缓存大小是通过注册表的相关键值完成的。我介绍一下WINDOWS2003和2000中的修改方法。
(1)WIN2003下拒绝访问攻击的防范:
第一步:“开始->运行->输入regedit”进入注册表编辑器。
第二步:找到HKEY_LOCAL_MACHINE SYSTEM CurrentControlSetServices,在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。
小提示:该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时,如果系统检测到存在SYN攻击,连接响应的超时时间将更短。
第三步:将HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services下EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。
第四步:将HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services下EnablePMTUDiscovery键值,将其修改为0。这样可以限定攻击者的MTU大小,降低服务器总体负荷。
《什么使电脑变慢&解决方法》
作者未知;文章来源:
http://pfw.sky.net.cn/article/5451.html
相信绝大多数用户在使用电脑的过程中都会发现电脑越用越慢,而其中的大部分人会抱着“慢就慢点儿吧”的心理继续使用,殊不知这样一来弊端会越积累越多,最后导致更严重的问题发生,下面我们就简单的来看一下几种常见的电脑变慢的原因和解决办法,希望给广大用户一些提示。
在开机时加载太多程序
电脑在启动的过程中,除了会启动相应的驱动程序外,还会启动一些应用软件,这些应用软件我们称为随即启动程序。随机启动程序不但拖慢开机时的速度,而且更快地消耗计算机资源以及内存,一般来说,如果想删除随机启动程序,可去“启动”清单中删除,但如果想详细些,例如是QQ、MSN之类的软件,是不能在“启动”清单中删除的,要去“附属应用程序”,然后去“系统工具”,再去“系统信息”,进去后,按上方工具列的“工具”,再按“系统组态编辑程序”,进去后,在“启动”的对话框中,就会详细列出在启动电脑时加载的随机启动程序了!XP系统你也可以在“运行”是输入Msconfig调用“系统配置实用程序”才终止系统随机启动程序,2000系统需要从XP中复制msconfig程序。
桌面图标太多会惹祸
桌面上有太多图标也会降低系统启动速度。很多用户都希光将各种软件或者游戏的快捷方式放在桌面上,使用时十分方便,其实这样一来会使得系统启动变慢很多。由于Windows每次启动并显示桌面时,都需要逐个查找桌面快捷方式的图标并加载它们,图标越多,所花费的时间当然就越多。同时有些杀毒软件提供了系统启动扫描功能,这将会耗费非常多的时间,其实如果你已经打开了杀毒软件的实时监视功能,那么启动时扫描系统就显得有些多余,还是将这项功能禁止吧!建议大家将不常用的桌面图标放到一个专门的文件夹中或者干脆删除。
把Windows变得更苗条
与DOS系统相比,Windows过于庞大,而且随着你每天的操作,安装新软件、加载运行库、添加新游戏以及浏览网页等等使得它变得更加庞大,而更为重要的是变大的不仅仅是它的目录,还有它的注册表和运行库。因为即使删除了某个程序,可是它使用的DLL文件仍然会存在,因而随着使用日久,Windows的启动和退出时需要加载的DLL动态链接库文件越来越大,自然系统运行速度也就越来越慢了。这时我们就需要使用一些彻底删除DLL的程序,它们可以使Windows恢复苗条的身材。建议极品玩家们最好每隔两个月就重新安装一遍Windows,这很有效。
桌面上不要摆放桌布和关闭activedesktop
不知大家有否留意到,我们平时一直摆放在桌面的壁纸,其实是很浪费计算机资源的!不但如此,而且还拖慢计算机在执行应用程序时的速度!本想美化桌面,但又拖慢计算机的速度,在这时,你是否会有一种“不知怎样”的感觉呢?还有一点,不知大家有否试过,就是当开启壁纸时,每逢关闭一个放到最大的窗口时,窗口总是会由上而下、慢慢、慢慢地落,如果有这种情况出现,你必须关闭壁纸!方法是:在桌面上按鼠标右键,再按内容,然后在“背景”的对话框中,选“无”,建议在“外观”的对话框中,在桌面预设的青绿色,改为黑色……至于关闭activedesktop,即关闭从桌面上的web画面,例如在桌面上按鼠标右键,再按内容,然后在“背景”的对话框中,有一幅壁纸布,那副就是web画面了。
删除一些不必要的字体
系统运行得慢的其中一个原因,就是字体多少的关系。安装的字体越多,就占用越多的内存,从而拖慢计算机的速度!所以我们要删除一些不必要的字体。要删除一些不必要的字型,你可到控制面板,再进去一个叫“字体”的文件夹,便可删除字体,但是要怎样才知道,那些字体有用,那些字体没用呢?例如:如果你不常到ms_dos模式的话,就删除dos字体!因为各个人都可能喜爱某种字型,所以我也不能确定要删除那些字体,不过在这里有个秘决教你,如果你有华康粗黑字型,且又有新细明体的字型,建议你删除华康粗黑字型,如果你有新细明体,且又有细明体,就删除细明体吧。
设定虚拟内存
硬盘中有一个很宠大的数据交换文件,它是系统预留给虚拟内存作暂存的地方,很多应用程序都经常会使用到,所以系统需要经常对主存储器作大量的数据存取,因此存取这个档案的速度便构成影响计算机快慢的非常重要因素!它会因应不同程序所需而自动调校交换档的大小,但这样的变大缩小会给系统带来额外的负担,令系统运作变慢!有见及此,用家最好自定虚拟内存的最小值和最大值,避免经常变换大小。要设定虚拟内存,在“我的电脑”中按右键,再按内容,到“性能”的对话框中,按“虚拟内存”,然后选择“让自已设定虚拟内存设定值”,设定“最小值”为64,因为我的计算机是32mbram,所以我就设定为64,即是说,如果你的内存是64mbram,那在“最小值”中,就设为128。顺带一提,在“效能”的对话框中,选择“档案”,将原先设定的“桌上型计算机”,改为“网络服务器”,是会加快系统运作的;还有,在“磁盘”的对话框中,不要选“每次开机都搜寻新的磁盘驱动器”,是会加快开机速度的。
彻底删除程序
大家都知道,如果想移除某些程序,可到“添加/删除程序”中移除,但大家又知不知道,它只会帮你移除程序,而不会帮你移除该程序的注册码和一些登录项目呢?还有很多同类软件都能有效地移除程序,既然nud已绝版,那我就说cs吧。下载并安装后,如果你想移除程序,只要用cs来移除,它便会一拼移除该程序的登录项目和注册码。
如果用户在使用中同样存在以上集中情况的话,可以按照我们建议的方式来“清理”一下,使得电脑的使用更为轻松。
