|
电脑自我保护的应用
1:通过在组策略建立路径规则,不允许从临时文件夹启动任何可执行文件(.exe/.bat./.cmd/.com等),以此达到防病毒的目的。具体的方法如下 运行里面输入 GPEDIT.MSC,然后----计算机配置---WINDOWS设置---安全设置---软件限制策略----其他规则, 点右键选创建新的规则---然后选新路径规则,在路径栏目里面输入 %USERPROFILE%\Local Settings\Temp\(这个是当前用户临时文件夹的变量)*.exe,*.exe这个是你想要限制从临时文件夹启动的文件类型,比如*.bat/*.cmd等,一般我们限制可执行文件就好了,当然你也可以通过这个方法限制其他路径的文件是否允许执行。) 一般IE临时文件默认的下载目录都是在临时文件夹中,我们禁止任何可执行文件从临时文件夹启动,这样应该对病毒防御有一定的效果,另外比如某些游戏比如大话等需要从临时文件夹启动的游戏自动升级可能无法运行,不过我们只要随时注意在自己的游戏主机升级这些游戏,也没有什么影响的吧。 2:运行 regedt32.exe 打开你的注册表,里面有一个目录树: 打开其中目录 HKEY_LOCAL_MACHINE 再打开其中目录 SAM 再打开其中目录 SAM 再打开其中目录 Domains 再打开其中目录 Account 再打开其中目录 Groups 好了,就是这个 Groups 就是负责建立用户的。删掉它,系统就不能建立用户了。无论木马怎样折腾,都无法建立用户,更谈不上提升为管理员了。这个目录里的文件如果被删除,是没有办法还原的。所以,在这个操作之前,你必须要进行备份,必要的时候,可以还原。 备份方法:右键点击 Groups 选择“导出”,给导出的文件起个名字,保存好,就可以了。 说明: 可能你进入注册表的时候,只能看到第一个 SAM 目录,其他的都看不到。别着急,那是因为你权限不够,右键点击相应目录选择“权限”,把你自己(通常是 Administrators )设置为“允许完全控制”就可以了。以此类推,一直找到 Groups 目录为止。 还原: 很简单,找到你导出的那的文件,直接点击就可以了。 由于删除 Groups 目录之后,你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能,因此,备份文件很重要。需要使用相应功能的时候,先还原一下,就跟以前一样了。当然,如果你是一个个人用户,一直都是你一个人使用这台计算机,那就无所谓了。 Windows2000/XP/2003的注册表是可以设置权限的,只是我们比较少用到。设置以下注册表键的权限: 一、设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动 二、设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读,防止木马、病毒通过文件关联启动 三、设置注册表HKLM\SYSTEM\CurrentControlSet\Services为everyone只读,防止木马、病毒以"服务"方式启动 注册表键的权限设置可以通过以下方式实现: 一、如果在域环境里,可能通过活动目录的组策略实现的 二、本地计算机的组策略来(命令行用secedit) 三、手工操作可以通过regedt32(Windows2000系统,在菜单“安全”下的“权限”)或regedit(Windows2003/XP,在“编辑”菜单下的“权限”) 如果只有users组权限,以上键值默认是只读的,就可以不用这么麻烦了。 3:那就是把 windows\system32\mshta.exe文件改名, 改成什么自己随便 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ 下为Active Setup controls创建一个基于CLSID的新键值 {6E449683_C509_11CF_AAFA_00AA00 B6015C},然后在新键值下创建一个REG_DWORD 类型的键Compatibility,并设定键值为0x00000400即可。 还有windows\command\debug.exe和windows\ftp.exe都给改个名字 (或者删除) 4:还可先在自己的系统盘区,做好免疫,建几个与木马同名的空文件。以下两个实例: 比如网络上流行 的木马(1) smss.exe 这个是其中一种木马的主体 潜伏在 98/winme/xp c:\windows目录下 2000 c:\winnt .....目录下 我们可在C:\windows 或 c:\winnt\目录下 创建一个名smss.exe 然后---属性--设置为只读,隐藏 (2)snow.exe病毒会在根目录下生成一个为autorun.inf的自动运行文件,另一个为snow.exe的可执行文件。并在在c:\windows\system32文件下生成remember.dll和snowfall.exe两个文件的。大家可在系统盘区新建两个文本分别命名为autorun.inf,snow.exe。然后---属性--设置为只读,隐藏。并在system32文件新建两个文本分别命名为remember.dll和snowfall.exe,同样属性--设置为只读,隐藏。 1:以下是注意事项:取消文件夹隐藏默认共享方法很简单,打开 注册表 编辑器,进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\
parameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。 也可使用命令模式-------。 运行CMD输入net share,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。 删除共享(每次输入一个) net share admin$ /delete net share c$ /delete net share d$ /delete(如果有e,f盘,……可以继续删除) 2.删除空连接 默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法有以下两种: 方法一是修改注册表:打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。 3:拒绝恶意代码 运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击. 当然以后可能上某些会烦点,但烦点总好过中招吧。删掉不必要的协议 对于服务器和主机来说,一般只安装TCP/IP协议就够了。 鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。 关闭“文件和打印共享” 文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。 虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择“HKEY_CURRENT_USER\Software\ Microsoft \Windows\CurrentVersion\Policies\NetWork”主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。 把Guest账号禁用。禁止建立空连接,方法一是修改注册表:打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。 建议大家给自己的系统打上补丁, 微软那些没完没了的补丁还是很有用的。(偶有时真认为微软的技术人员是生活在虚拟世界里当了网络是世外桃源的了)。做好IE的安全设置 ActiveX控件和 Applets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与相关选项禁用。谨慎些总没有错! 另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和 Applets时有更多的选择,并对本地电脑安全产生更大的影响。 下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\0,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。将它的安全等级设定高些,这样的防范更严密。 隐藏IP地址 ,隐藏IP地址的主要方法是使用代理服务器。与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。 提供免费代理服务器的网站有很多,兄弟姐妹们可以自己用代理猎手等工具来查找。禁用或彻底删除Guest帐户和更换管理员帐户,首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。 4:打开组策略(gpedit.msc):-windows设置,找到安全设置—本地策略—安全选项: 网络访问.不允许SAM帐户的匿名枚举 启用。 网络访问.可匿名的共享 将后面的值删除。 网络访问.可匿名的命名管道 将后面的值删除。 网络访问.可远程访问的注册表路径 将后面的值删除。 网络访问.可远程访问的注册表的子路径 将后面的值删除。 网络访问.限制匿名访问命名管道和共享。 用户权限分配策略 打开组策略,找到windows设置—本地策略—用户指派权利: 从网络访问计算机 里面一般默认有5个用户,除Admin..外删除4个,当然,等下我们可建一个属 于自己的ID。 拒绝从网络访问这台计算机 将ID删除。 从网络访问此计算机,Admin..也可删除,如果你不使用类似3389服务。 通过远端强制关机。删掉。(如果你没有建在桌面快速关机之类的快捷方式)。 打开管理工具,计算机管理—本地用户和组—用户: 删除Support_388945a0用户等等只留下你更改好名字的Adminisrator好了。 5:关闭不必要的端口,(注:这个很关键),如果用卡巴kis的就方便得多了,在防火墙设置就可以了。只是打个比如:防火墙设置-----包过滤规则----添加 规则名 : 写什么都可以.... 属性 :选住"本地端口"..... 规则描述 : 阻止 入站&出站 本地端口:1434 其它的有害端口见下面。加入的方法同理 如果用kav就要用第三方的防火墙设置了。也可在系统内关,方法较烦琐,但为了安全就只能这样了。 第一步,第一步开始-运行--gpedit.msc---组策略--双击打开“WINDOWS设置”-安全设置-,选中“IP 安全策略,在本地计算机”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。 第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。 第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。 重复以上步骤添加TCP 25 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。 第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。 第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。 立即刷新组策略.使用"gpupdate machine_policy"命令可立即刷新组策略.还有一个方法就是使用Windows xp 支持工具,(ipseccmd.exe)很容易用的不必去学习IP安全策略难烦琐的设置步骤。ipseccmd不默认安装的是在xp系统安装盘的SUPPORT\TOOLS\SUPPORT.CAB中,而且要正常使用pseccmd还必须保证IPSEC Services 服务开启和正常状态,否则引用命令时会出错,另外还必须保证有这两个文件:ipsecutil.dll和text2pol.dll。不然ipseccmd也不能正常运行。下面是封闭TCP 135 危险端口名的例子: ipseccmd -w REG -p "Block UDP/TCP 135" -o -x ipseccmd -w REG -p "Block UDP/TCP 135" -x ipseccmd -w REG -p "Block UDP/TCP 135" -r "Block TCP/135" -f *+0:135:TCP -n BLOCK -x 第一行中的命令是创建 关闭TCP 135 这个IPSec策略 第二行中的命令是激活 关闭TCP 135 这个策略 第三行中的命令是创建要禁止的端口 |
|
|
