打造终级安全电脑,让你的电脑铜头铁臂
按照事先写好的顺序一个一个来
一、禁止默认共享
1.先察看本地共享资源 我的机子没共享 要是有的话 就可以清楚的看到~~
运行-cmd-输入net share
2.删除共享(每次输入一个) 大家按照这两个方法中的任何一个方法删除都可以。
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,......可以继续删除)
--------------------
net share admin$ /del
net share c$ /del
net share d$ /del(如果有e,f,......可以继续删除)
3.删除ipc$空连接
在运行内输入regedit
在注册表中找到 HKEY-LOCAL_MACHINE-SYSTEM-CurrentControlSet-Control-LSA
项里数值名称RestrictAnonymous的数值数据由0改为1.(双击RestrictAnonymous就可以打开了)
4.445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters
在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了
(建立方法;在右边的空白处点击右建-新建-在出来的5项值里面我们选择DWORD,建立好我们
就就可以看到此类型属于REG_DWORD类型键值) 刚才的错误是因为我刚才就已经增加了一个 ,好了我从新在做一次打开看好
5.关闭自己的139端口,ipc和RPC漏洞存在于此.
关闭139端口的方法是在"网络和拨号连接"中"本地连接"中选取"Internet协议(TCP/IP)"
属性,进入"高级TCP/IP设置 ""WINS设置"里面有一项"禁用TCP/IP的NETBIOS",打勾就关
闭了139端口,禁止RPC漏洞.
6.3389的关闭
XP:我的电脑上点右键选属性-->远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
(这里我只曲调远程桌面,没去掉远程协助,这个是随意的看大家的需要)
这个是2000的方法 大家可以看看 我的是XP的没办法给大家演示。
Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP同样适用)
使用2000 pro的朋友注意,网络上有很多文章说在Win2000pro 开始-->设置--
>控制面板-->管理工具-->服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务,可以关闭3389,
其实在2000pro 中根本不存在Terminal Services。
二、设置服务项,禁用服务 由于是教程我就不一一的给大家做完了 这里的关闭就是停用
控制面板→管理工具→服务
关闭以下服务: 关闭方法:双击所要关闭的项目,
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用"剪贴簿查看器"储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,
关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.netMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]---
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享] 这个就已经关闭了,
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的
NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]
三.打开管理工具-本地安全设置-帐号策略-密码策略
1.密码必须符合复杂要求性.启用 (启用方法:点击右建-属性)
2.密码最小值.我设置的是10
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
打开管理工具
找到本地安全设置.本地策略.审核策略 由于是教程我就不一一的做完了
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
然后再到管理工具找到 -事件查看器
应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不覆盖事件(不改写事件)
安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖事件
打开管理工具
找到本地安全设置.本地策略.安全选项 方法:右建-属性
大家可以根据自己的需要更改
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,
但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让入侵者去猜解guest吧,
9.帐户.重命名系统管理员帐户[建议取中文名]
四:防止注册表被修改的方法 在上面的二、设置服务项,禁用服务里面已经做过就
不需要在重复做了
右击“我的电脑”图标,单击下拉菜单中的“管理” 里面的服务
在左边的窗口中找到“Remote Registry”项,双击它!
在新出现的窗口中点击“启动类型”框旁边的下箭头,改成“已禁用”就可。
五:关闭本机中不用的端口 (上面说的比较少 这里在说点)
关闭本机不用的端口,这是防范木马的第一道防线。默认情况下Windows有很多
端口是开放的,在你上网的时候,木马、病毒和黑客就可以通过这些端口连上
你的电脑,为了保护你的系统,应该封闭这些端口,
主要有:TCP 139、445、593、1025 端口和 UDP123、137、138、445、1900 端口
,一些流行木马病毒的后门端口(如 TCP 2513、2745、3127、6129 端口),
以及远程服务访问端口3389。
其中137、138、139、445端口都是为共享而开的,是NetBios协议的应用,
你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:
单击我的电脑-右建/系统/硬件/设备管理器,单击“查看”菜单
下的“显示隐藏的设备”,单击“非即插即用驱动程序”,
找到Netbios over Tcpip禁用该设备,重新启动后即可。
关闭UDP123端口:单击“开始”/设置/控制面板,双击“管理工具”/服务,
停止windows time服务即可,关闭UDP 123端口,可以防范某些蠕虫病毒。
关闭UDP1900端口:在控制面板中双击“管理工具”/服务,停止SSDP Disco
very Service 服务即可。关闭这个端口,可以防范DDoS攻击。
其他端口你可以用网络防火墙关闭之,或者在控制面板中,
双击“管理工具”/本地安全策略,选中“IP 安全策略,在本地计算机”,
创建 IP 安全策略来关闭这些端口。
这个我就不做了 大家按照方法设置就可以了 这里我把有效的方法给大家
大家自己去设置下 现在的木马病毒 以及入侵的方法实在太多了
实在让人防不胜防啊 做好了这些 在就是大家需要安装杀毒的和防火墙来进一
步的加强计算机的安全系数 下面这个是关闭有害端口的方法
1
点击 "开始菜单/设置/控制面板/管理工具",双击打开"本地策月",
选中"ip安全策月,在本地计算机"右边的空白位置右击鼠标,谈出快捷菜单,
选择"创建ip安全策月",弹出向导.在向导中点击下一步 下一步,
当显示"安全通信请求"画面时,把"激活默认相应规则"左边的钩去掉,
点"完成"就创建了一个新的ip安全策月.
2
右击该ip安全策月,在"属性"对话框中,把"使用添加向导"左边的钩去掉,
然后再点击右边的"添加"按纽添加新的规则,随后弹出"新规则属性"对话框,
在画面上点击"添加"按纽,弹出ip筛选器列表窗口.在列表中,首先把"使用添加向导"左边的钩去掉,
然后再点击右边的"添加"按纽添加新的筛选器.
3
进入"筛选器属性'对话框,首先看到的是寻地址,源地址选"任何ip地址",
目标地址选"我的ip地址",点击"协议"选项卡,在"选择协议类型"的下拉列表中选择“tcp",
然后在"到此端口"的下的文本框中输入"135",点击确定.这样就添加了一个屏蔽tcp135 端口的筛选器,
可以防止外界通过135端口连上你的电脑.
点击确定后回到筛选器列表的对话框,可以看到已经添加了一条策月.
重复以上步骤继续添加tcp 137 139 445 593 端口和udp 135 139 445 端口,
为它们建立相应的筛选器.
重复以上步骤添加tcp 125 2745 3127 6129 3389 端口的屏蔽策月,建立好上述端口的筛选器,
最后点击确定按纽.
4
在"新规则属性"对话框中,选择"新ip筛选器列表'然后点击其左边的复选框,
表示已经激活.最后点击"筛选器操作"选项卡中,把"使用添加向导"左边的钩去掉,
点击"添加"按钮,进行"阻止"操作,在"新筛选器操作属性"的"安全措施"选项卡中,选择"阻止",
然后点击"确定"
5
进入"新规则属性"对话框,点击"新筛选器操作".,选取左边的复选框,表示已经激活,点击"关闭"按钮,
关闭对话框.最后"新ip安全策月属性"对话框,在"新的ip筛选器列表"左边打钩,
按确定关闭对话框.在"本地安全策月"窗口,用鼠标右击新添加的ip安全策月,然后选择"指派".
重新启动后,上述端口就可以关闭了!电脑就安全多了
这里给出大家一些端口大全(中文翻译) 供大家参考
1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开关选择器
2 compressnet Management Utility compressnet 管理实用程序
3 compressnet Compression Process 压缩进程
5 rje Remote Job Entry 远程作业登录
7 echo Echo 回显
9 discard Discard 丢弃
11 systat Active Users 在线用户
13 daytime Daytime 时间
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息发送协议
19 chargen Character Generator 字符发生器
20 ftp-data File Transfer [Default Data] 文件传输协议(默认数据口)
21 ftp File Transfer [Control] 文件传输协议(控制)
22 ssh SSH Remote Login Protocol SSH远程登录协议
23 telnet Telnet 终端仿真协议
24 ? any private mail system 预留给个人用邮件系统
25 smtp Simple Mail Transfer 简单邮件发送协议
27 nsw-fe NSW User System FE NSW 用户系统现场工程师
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG验证
33 dsp Display Support Protocol 显示支持协议
35 ? any private printer server 预留给个人打印机服务
37 time Time 时间
38 rap Route Access Protocol 路由访问协议
39 rlp Resource Location Protocol 资源定位协议
41 graphics Graphics 图形
42 nameserver WINS Host Name Server WINS 主机名服务
43 nicname Who Is "绰号" who is服务
44 mpm-flags MPM FLAGS Protocol MPM(消息处理模块)标志协议
45 mpm Message Processing Module [recv] 消息处理模块
46 mpm-snd MPM [default send] 消息处理模块(默认发送口)
47 ni-ftp NI FTP NI FTP
48 auditd Digital Audit Daemon 数码音频后台服务
49 tacacs Login Host Protocol (TACACS) TACACS登录主机协议
50 re-mail-ck Remote Mail Checking Protocol 远程邮件检查协议
51 la-maint IMP Logical Address Maintenance IMP(接口信息处理机)逻辑地址维护
52 xns-time XNS Time Protocol 施乐网络服务系统时间协议
53 domain Domain Name Server 域名服务器
54 xns-ch XNS Clearinghouse 施乐网络服务系统票据交换
55 isi-gl ISI Graphics Language ISI图形语言
56 xns-auth XNS Authentication 施乐网络服务系统验证
57 ? any private terminal access 预留个人用终端访问
58 xns-mail XNS Mail 施乐网络服务系统邮件
59 ? any private file service 预留个人文件服务
60 ? Unassigned 未定义
61 ni-mail NI MAIL NI邮件?
62 acas ACA Services 异步通讯适配器服务
63 whois+ whois+ WHOIS+
64 covia Communications Integrator (CI) 通讯接口
65 tacacs-ds TACACS-Database Service TACACS数据库服务
66 sql*net Oracle SQL*NET Oracle SQL*NET
67 bootps Bootstrap Protocol Server 引导程序协议服务端
68 bootpc Bootstrap Protocol Client 引导程序协议客户端
69 tftp Trivial File Transfer 小型文件传输协议
70 gopher Gopher 信息检索协议
71 netrjs-1 Remote Job Service 远程作业服务
72 netrjs-2 Remote Job Service 远程作业服务
73 netrjs-3 Remote Job Service 远程作业服务
74 netrjs-4 Remote Job Service 远程作业服务
75 ? any private dial out service 预留给个人拨出服务
76 deos Distributed External Object Store 分布式外部对象存储
77 ? any private RJE service 预留给个人远程作业输入服务
78 vettcp vettcp 修正TCP?
79 finger Finger FINGER(查询远程主机在线用户等信息)
80 http World Wide Web HTTP 全球信息网超文本传输协议
81 hosts2-ns HOSTS2 Name Server HOST2名称服务
82 xfer XFER Utility 传输实用程序
83 mit-ml-dev MIT ML Device 模块化智能终端ML设备
84 ctf Common Trace Facility 公用追踪设备
85 mit-ml-dev MIT ML Device 模块化智能终端ML设备
86 mfcobol Micro Focus Cobol Micro Focus Cobol编程语言
87 ? any private terminal link 预留给个人终端连接
88 kerberos Kerberos Kerberros安全认证系统
89 su-mit-tg SU/MIT Telnet Gateway SU/MIT终端仿真网关
90 dnsix DNSIX Securit Attribute Token Map DNSIX 安全属性标记图
91 mit-dov MIT Dover Spooler MIT Dover假脱机
92 npp Network Printing Protocol 网络打印协议
93 dcp Device Control Protocol 设备控制协议
94 objcall Tivoli Object Dispatcher Tivoli对象调度
95 supdup SUPDUP
96 dixie DIXIE Protocol Specification DIXIE协议规范
97 swift-rvf Swift Remote Virtural File Protocol 快速远程虚拟文件协议
98 tacnews TAC News TAC(东京大学自动计算机)新闻协议
99 metagram Metagram Relay
100 newacct [unauthorized use]