写给我们都是新手:
假如要把一整套的系统制作过程全说出来,那估计可以跟天方夜潭相比了,而且这样做,可能会让一些新人照葫芦画瓢,更有可能导致制作系统失败,这不是我想要的效果,因为我也是一个小小的网管,但做过的系统也不少,所以我把我的一些做系统的经验拿出来共大家分享!虽然现在网上有好多做系统的教程,但那些都是针对网吧系统制作,因为他们是处于路由的“保护伞”下,有些系统做的并不全面,因为时间关系,本人的经验有限,还是以我自己的风格,我只写些原理,其他的补充就靠自己去思考,我可不太喜欢喂饭给别人吃!好了入正题~!
当你把系统装入硬盘之后,现在就该开始系统的安全和基本优化了,先针对个人用户,网吧用户请自行修改后使用:
Ⅰ 组策略
计算机配置--管理模板--终端服务:启用“阻止将已经登陆到控制台会话的管理员注销” “限制连接数”设为“1”
计算机配置--管理模板--系统:系统还原,自己决定是否启用!
计算机配置--windows设置--安全设置--帐户策略--密码策略:这里根据自己需要进行设置!PS:推荐设置:密码复 杂性启用,长度最小值:8个字符预留时间默认密码历史不用记(假如密码为8位,让每秒运行100000次的PC来破解的话估计需要三年)
在帐户锁定策略,启用帐户锁定阀!(这个根据需要设置)
在计算机配置--windows设置--IP安全策略(mmc.exe) 关闭危险端口!
创建IP安全策略--输入名称--勾去“激活默认响应规则”--勾选“编辑属性”--添加--再“添加”--筛选器名称--添 加--源地址“任何IP地址”目标地址“我的IP地址”两次确定之后回到新规则属性对话框--筛选器操作--阻止!这样端口就可以关闭了!
Ⅱ 批处理注册表
其实你也可以用批处理来关闭端口,在XP中IP安全协议名是ipseccmd,在win2K中是ipsecpol,在WIN2K3中是 ipsec:
举个例子吧
gpupdate>con
rem 这是更新组策略
ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x >nul
rem 禁止DOS攻击!关闭协议为TCP端口为445!
-w这个参数是导入注册表,重启生效, -P策略名字 -R规则名称, -N 行为
-X 激活 这里 -F参数很重要,简单的说:对方IP:端口:协议+自己IP:端口:协议,用*代表任意IP段,用0代表自 己IP!
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137 、138、445 端口,一些流行病毒木马的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389!
注意:
还有一个:运行 Gpedit.msc打开组策略编辑器,在左侧面板中定位到“计算机配置/Windows设置/安全设置/本地策略 /安全选项”,然后启用右侧面板中“关机:清理虚拟内存页面文件”这一策略。不过要注意,启用该策略将会延长 Windows关闭所需的时间,因此如果不是必要请不要启用该策略。
看下cmd吧...
利用DOSKEY可以修改默认命令,比如说把FORMAT用CC代替,可以这样写
DOSKEY FORMAT=CC,还原就是用 DOSKEY FORMAT!什么用处自己想拉~~
关闭系统默认共享,防止IPC$空连接
批处理版:net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
……(你有几个硬盘分区就写几行这样的命令)
注册表修改法:“开始”→“运行”输入“regedit”确定后,打开注册表编辑器,找到 “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项,双击右侧窗口中的 “ AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项,可自己 新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。 最后到 “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到“restrictanonymous”,将键 值设为1, 关闭IPC$共享。
注意:本法必须重启机器,但一经改动就会永远停止共享。
常用的免疫补丁:
推荐新人使用“三联免疫补丁”,网上可搜索到!
关于IE老是被非法修改问题:自己注意下以下键值就可以了:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainWindow Title
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainWindow Title
HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMainDefault_Page_URL
HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerSearchCustomizeSearch
HKEY_LOCAL_MACHINeSoftwareMicrosoftInternetExplorerSearchSearchAssistant
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
WinlogonLegalNoticeCaption
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion
WinlogonLegalNoticeText
假如还不行,推荐使用黄山IE修复专家修复你的IE漏洞!还有就是打上微软的IE补丁!
(给网关跟MAC地址绑定,网吧对这个很重要!格式: arp -s gateway mac)
现在有很多人把木马注册成系统服务,这招最贱!
你可以利用注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options来禁用instsrv.exe srvany.exe这两个程序!其他木马一般杀毒软件都可以杀掉!略过~~
Ⅲ 系统变量
看了好多脚本入侵病毒,我们不难发现,里面过多的系统变量的使用, 对于系统默认的变量,我们也进行修改..这 样可以达到木马找不到系统路径而失效!我的电脑-右键-属性-高级-环境 变量,这里可以编辑一些变量,但这是 系统使用的设定数据,建议在未有充分了解和十足把握的时候,千万不要轻举妄动。
Ⅳ 系统服务:
1:Alerter服务:手动
2:application layer gateway service :禁止
3:Application management 手动
4:automatic updates 禁止(用工具升级)
5:Background Intelligent Transfer Service 禁止
6:ClipBook 禁止
7:COM+ Event System 随便
8:COM+ System Application 禁止
9:Computer Browser 禁止
10:Cryptographic Services 禁止
11:DCOM Server Process Launcher 手动
12:DHCP Client 动态IP开启,其他禁止
14:Distributed Link Tracking Client 禁止
15:Distributed Transaction Coordinator 禁止
16:DNS Client 禁止
17:Error Reporting Service 开启
18:Event Log 开启
19:Fast User Switching Compatibility 禁止
20:Help and Support 看你自己是否需要
21:HTTP SSL 禁止
22:Human Interface Device Access 禁止
23:IMAPI CD-Burning COM Service 禁止
24:Indexing Service 禁止
25:IPSEC Services 禁止
26:Logical Disk Manager 手动
28:Messenger 禁止
29:MS Software Shadow Copy Provider 禁止
30:Net Logon 一般禁止
31:NetMeeting Remote Desktop Sharing 禁止
32:Network Connections 禁止
33:Network DDE 禁止
34:Network DDE DSDM 禁止
35:Network Location Awareness (NLA) 禁止
36:Network Provisioning Service 禁止
37:NT LM Security Support Provider 手动
38:NVIDIA Driver Helper Service 禁止
39:Performance Logs and Alerts 禁止
40:Plug and Play 开启
41:Portable Media Serial Number Service 禁止
42:Print Spooler 禁止(除非你打印)
43:Protected Storage 开启
44:QoS RSVP 手动
45:Remote Access Auto Connection Manager 手动
46:Remote Access Connection Manager 手动
47:Remote Desktop Help Session Manager 禁止
48:Remote Registry 禁止
49:Routing and Remote Access 禁止
50:Server 禁止
51:Smart Card 禁止
52:Telnet 禁止
53:Terminal Services 禁止
54:Themes 禁止
55:Workstation 开启
附加内容
Event log、Plug and Play、Remote Procedure Call(RPC)
是三大必须启动的服务,只要有了这三项,2000就始终处于可用状态
Ⅴ 外网伪装
每个系统都有自身的系统漏洞可以让骇客利用和攻击,但对于一般的脚本小孩来说,他们可能更依赖于TTL返回值来判 断系统类型
TTL=32 Windows 9x/Me
TTL=64 LINUX
TTL=128 Windows 200x/XP
TTL=255 Unix
但我们可以这样伪装,通过修改注册表
HKEY_LOCAL_MACHlNESystemCurrentControlSetServicesT cpipParameters
DefaultTTL"=dword:000000
达到系统伪装!
Ⅵ 额外话
对与手动删除木马,我有这几种经验!
第一种,根据提示找到路径...去属性,删掉(可能性不大)
第二种,找到inf,或者其他什么文件,手动修改其属性(一般)
第三种,让.exe文件禁止运行..利用注册表也可以,还有就是加入一个ws2_32.dll文件进去也可以禁止本方法适用基 于NT系统的WinXP,Win2000,Win2003!Win98没有试~~!那其他手动删除比如灰鸽子等,方法网上都有,我就不说了...
Ⅶ 总结
以上写的只是我个人的经验总结...林林总总!有些东西因为网上都可以找到,我就没写上来了..比如说要关闭哪 些危险端口,禁用哪些进程,还有其他防黑措施,反正有问题baidu一下,我已成习惯了..新人嘛,自学才是出路!我 所写的只提供些部分“挂件”,其他“修饰”,就靠你自己的能力了..发挥一下自己的自学的天份,我们要从“小鸟 ”变“老鸟”,嘿嘿~!