一、关闭多余的端口
在人侵前的准备工作中,扫描端口是一个很重要的部分,因此说关闭不必要的端口可以减少我们很多麻烦。在论坛上也经常遇到新手朋友问到如果关闭某个端口之类的问题,在这里我们首先需要明确,端口与服务是相互对应的关系,开放了一个端口,必然有其相对应的服务。远望IT论坛的病毒与网络安全版精华区有完善的端口列表文章,无论是对于系统管理员还是个人用户来说了解这些端口都是很有必要的,建议大家去看看。在了解了端口所对应的服务后,想要关闭某个端口就很容易了,我们只需要在管理工具的服务中停止相应的服务就可以了。当然,我们还可以右键单击行网络邻居"图际,选择"属性"。查看"本地连接属性",双击"Internet协议(TPC/IP)",然后选择"高级"对话框,选择"选项",最后点击"TCP/IP筛选",在这里设置端口过滤,如图1所示。至于具体需要关闭哪些端口,就完全看个人的需要而定了。但是,从前面的入侵过程我们可以发现,一些黑客工具完全可以远程打开我们已经禁用了的服务,例如Telnet、终端服务。遇到这种情况怎么办?微软的2000资源工具包和XP系统本身为管理员提供了sc.exe这个小程序,它可以做到彻底地删除一个服务,使用起来很简单,具体的用法就不在这里多说了。
这里需要对139端口多说几句,因为它在网络人侵中是一个饱受骚扰的端口,但是对于不少人来说,开放共享资源又是必须的。由于445端口是作为139端口的替代端口来使用的,因此只要445端口没有关闭,仍然可以共享文件。关闭139端口的方法很简单,只要我们不安装netbeui协议,就不会开放139端口和NetRios了,别人扫描也就无法得知我们的操作系统版本。用户列表等-系列信息了。
二、打补丁,设密码
从实际入侵开始的第一步我们可以看到,IIS的漏洞帮了我们的大忙,而实际上更多的人侵是以弱口令作为突破点的。因为入侵者无论采用什么方式,总是会想方设法先获得一个账户和密码的。所以,我们就需要给操作系统的管理员账户设置一个足够强壮、并且好记的密码,并且打上最新的补丁。SP3是必须的了,最新的针对IIS的补丁也是不可缺少的。如果嫌麻烦,还可以使用Window up date来进行补丁的安装。对于系统管理员来说,订阅微软的安全公告是很有必要的,它会告诉体育什么最新的漏洞被发现了,有什么解决措施。这可是免费的哦,只需要在微软的网站上申请就可以了。
三、关闭IPC$
IPC$也许是出干微软的一厢情愿,但实际上对大部分用户来说它并不实用,相反却成了入侵者们的一个很好的入侵方式。"至少从本次人侵来看,IPC$起到了很大的作用哦。关闭IPC$需要修改注册表,具体方法黑防以前已经讲得很多了,这里就不再多说了。对于个人用户,如果没有特别需要,在管理工具中停止Server服务并且禁用是最简单的了,这样可以彻底地关闭共享。
四、配置组策略
尽管在这次人侵中没有遇到用户弱口令的好运,但是从经验来看,弱口令的情况并不少见。因此,加强密码策略是非常必要的。既然微软为我们提供了功能强大的组策略,我们没有理由不用它。运行gpedit.msc。选择"Windows设置"中的"安全设置",首先选择 "账户策略"中的"密码策略",在这里我们可以设置密码的复杂,注、最长保留周期等。这些设置可以保证我们的密码不会被轻易猜出,而且动态的密码才是由于大多数扫描器在默认情况下具有简单的破解密码的功能,如果换h一个足够大的字典文件,便有可能会破解我们的管理员账户的密码。
在账户锁定策略中设置账户锁定阀值和账户锁定时间就可以解决这个问题。我们可以设置为输入密码5次错误就锁定该账户,30分钟后再解锁,这样就可以有效防止密码被暴力玻解了,本地安全策略中的可设置项还有很多,限于篇幅和适用范围就不在这里多说了,感兴趣的读者可以仔细研究研究。当然,安全和性能始终是一对矛盾,高安全必然会使性能在--定程度上降低,反之亦然。所以,我们需要根据自己的实际情况选择其中的一个平衡点就可以了。
五、伪装
入侵者可以在人侵后进行克隆用户权限,修改端口等一系列的伪装行动,那么系统管理员为什么就不可以在被人侵前也进行一系列的伪装,从而迷惑人侵者呢。
(1)伪装用户:首先,将系统默认的内置账户administrator改名,然后新建一个名字为adminis-trator的账户,描述改为"管理计算机(域)的内置账户",设置好足够长的密码。仅仅将它加入guest组,这样便吸引了入侵者的目光去破解一个很低权限的账户,即使他破解成功也没有多大利用价值。有的时候,我们会担心自己的机器里面有没有用户被克隆了管理员权限,怎么办?人侵者可以使用系统工具来作为黑客工具,我们同样可以使用黑客工具来为管理员效劳。我们可以利用cca这个黑客工具来进行检测。
(2)伪装端门:有的时候处于特别的需要,我们可能会需要运行终端服务或者Telnet等服务。那么,降低风险的最好方法便是修改它们的默认服务端口,修改方法与入侵篇一样。例如,我们可以将Telnet修改为木马冰河的默认端口7626,将终端服务修改为pcanwhere的5631。
入侵者打到了端口,自然会以为这台机器被种了木马,就拿那两个远程控制软件慢慢地连吧,呵呵。
六、保护事件日志
事件日志对每一位管理员来说都是非常重要的,因此它也成了人侵者的眼中钉。凡是成功入侵一台机器后,人侵者都会在退出前想方设法清除事件日志的。那么,保护好事件日志,随时做好备份就成不管理员必然的工作了。而对于个人用户来说,事件日志也会为我们提供重要线索的。那么,这些事件日志都在什么地方呢?
安全日志、系统日志和应用程序"志存放在%systemroot%\system32\config路径下。默认文件大小512KB。
安全日志文年:%systemroot%\system32\config\SecEvent.EVT。
系统日志文件:%sysytemroot%\system32\config\SysEvent.EVT
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT
IIS的日志文件位置我们可以通过日志记录的属性对话框得知,Web的日志记录为W3WVC1文件夹,FTP的日志记录为MSFTPSVC1文件夹。
做个勤劳的管理员,经常查看和备份日志,将有利于及时地发现问题,在这次入侵中,如果管理员能够较早地发现日志文件被清空,自然会引起怀疑。这样一来,人侵者后面的计划就很可能会落空。
七、全面检测,诱捕黑客
如果我们发现有黑客入侵的迹象,千万不要手忙脚乱,要从每个可能被改动了的地方进行检查,服务、账户。系统根目录的可疑文件、进程、端口、日志文件、Documentsand Settings文件夹……再狡猾的狐狸也斗不过好猎手的。在服务列表中,我们可能会发现莫名其妙地多出了某一项服务,例如snake的socksserver就会生成一项服务;在用户列表中。我们也许会发现某些账户的权限发生了改变,以及guest账户被激活之类的情况 系统根目录多出了一个reboot.exe文件;任务管理器的迸程列表多出了cccproxy(被安装了代理服务器软件)。在命令行下使用netstatan发现开发了某个木马的默认端口;日志文件中显示某一天服务器居然没有一个人来访问',Document sand Settings文件夹下又生成了某个账户名的文件夹(这个账户曾经以图形界面登录过操作系统)。
当然。了解到自己系统可能存在的弱点,才能更好地把握人侵者的心理和人侵方式。这里,我建议大家使用微软官方的免费检测软件MBSA(微软基准安全分析器),它以微软的官方数据库为依托,可以检测出微软大多数产品的最新漏洞,并且使用起来非常简单。这样,我们就能了解到入侵者是从哪个弱点人手进人我们的系统了。
实际上,从整个人侵和防御的过程来看,系统管理员的安全意识的重要性远高于技术。管理员多点击一次鼠标,"黑客"就很可能要多敲N欠键盘的。管理员的安全意识差,这也正是国内网络安全状况差的一个重要原因。在黑客工具、黑客教程随处可见。网络入侵日益傻瓜化的今天,希望不论是服务器的管理人员,还是个人用户。部能负起自己的责任,提高安全防范的意识,在遭受人侵前就杜绝一切安全隐患。
