【正文】 這樣就ok了　　7．3389的關(guān)閉　　XP：我的電腦上點(diǎn)右鍵選屬性遠(yuǎn)程，將里面的遠(yuǎn)程協(xié)助和遠(yuǎn)程桌面兩個選項框里的勾去掉?！　in2000server 開始程序管理工具服務(wù)里找到Terminal Services服務(wù)項，選中屬性選項將啟動類型改成手動，并停止該服務(wù)。（該方法在XP同樣適用）　　使用2000 pro的朋友注意，網(wǎng)絡(luò)上有很多文章說在Win2000pro 開始設(shè)置控制面板管理工具服務(wù)里找到Terminal Services服務(wù)項，選中屬性選項將啟動類型改成手動，并停止該服務(wù)，可以關(guān)閉3389，其實(shí)在2000pro 中根本不存在Terminal Services?！　?．4899的防范　　網(wǎng)絡(luò)上有許多關(guān)于3389和4899的入侵方法。4899其實(shí)是一個遠(yuǎn)程控制軟件所開啟的服務(wù)端端口，由于這些控制軟件功能強(qiáng)大，所以經(jīng)常被黑客用來控制自己的肉雞，而且這類軟件一般不會被殺毒軟件查殺，比后門還要安全?！　?899不象3389那樣，是系統(tǒng)自帶的服務(wù)。需要自己安裝，而且需要將服務(wù)端上傳到入侵的電腦并運(yùn)行服務(wù)，才能達(dá)到控制的目的?！　∷灾灰愕碾娔X做了基本的安全配置，黑客是很難通過4899來控制你的?！　〗梅?wù)　　打開控制面板，進(jìn)入管理工具——服務(wù)，關(guān)閉以下服務(wù)　　[通知選定的用戶和計算機(jī)管理警報]　　[啟用“剪貼簿查看器”儲存信息并與遠(yuǎn)程計算機(jī)共享]　　 File System[將分散的文件共享合并成一個邏輯名稱，共享出去，關(guān)閉后遠(yuǎn)程計算機(jī)無法訪問共享　　 Link Tracking Server[適用局域網(wǎng)分布式鏈接? 　　 Interface Device Access[啟用對人體學(xué)接口設(shè)備(HID)的通用輸入訪問]　　 CDBurning COM Service[管理 CD 錄制]　　 Service[提供本地或遠(yuǎn)程計算機(jī)上文件的索引內(nèi)容和屬性，泄露信息]　　 Key Distribution Center[授權(quán)協(xié)議登錄網(wǎng)絡(luò)]　　 Logging[監(jiān)視IIS和SQL如果你沒安裝IIS和SQL的話就停止]　　[警報]　　 Remote Desktop Sharing[netmeeting公司留下的客戶信息收集]　　 DDE[為在同一臺計算機(jī)或不同計算機(jī)上運(yùn)行的程序提供動態(tài)數(shù)據(jù)交換]　　 DDE DSDM[管理動態(tài)數(shù)據(jù)交換 (DDE) 網(wǎng)絡(luò)共享]　　 Spooler[打印機(jī)服務(wù)，沒有打印機(jī)就禁止吧]　　 Desktop Helpamp。 nbsp。Session Manager[管理并控制遠(yuǎn)程協(xié)助]　　 Registry[使遠(yuǎn)程計算機(jī)用戶修改本地注冊表]　　 and Remote Access[]　　[支持此計算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享]　　 Administration Console Helper[允許管理員使用緊急管理服務(wù)遠(yuǎn)程訪問命令行提示符]　　[提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)]　　[允許遠(yuǎn)程用戶登錄到此計算機(jī)并運(yùn)行程序]　　 Services[允許用戶以交互方式連接到遠(yuǎn)程計算機(jī)]　　 s Image Acquisition (WIA)[照相服務(wù)，應(yīng)用與數(shù)碼攝象機(jī)]　　如果發(fā)現(xiàn)機(jī)器開啟了一些很奇怪的服務(wù)，如r_server這樣的服務(wù)，必須馬上停止該服務(wù)，因?yàn)檫@完全有可能是黑客使用控制程序的服務(wù)端 賬號密碼的安全原則　　首先禁用guest帳號，將系統(tǒng)內(nèi)建的administrator帳號改名～～（改的越復(fù)雜越好，最好改成中文的），而且要設(shè)置一個密碼，最好是8位以上字母數(shù)字符號組合。 (讓那些該死的黑客慢慢猜去吧～）　　如果你使用的是其他帳號，最好不要將其加進(jìn)administrators，如果加入administrators組，一定也要設(shè)置一個足夠安全的密碼，同上如果你設(shè)置adminstrator的密碼時，最好在安全模式下設(shè)置，因?yàn)榻?jīng)我研究發(fā)現(xiàn)，在系統(tǒng)中擁有最高權(quán)限的帳號，不是正常登陸下的adminitrator帳號，因?yàn)榧词褂辛诉@個帳號，同樣可以登陸安全模式，將sam文件刪除，從而更改系統(tǒng)的administrator的密碼！而在安全模式下設(shè)置的administrator則不會出現(xiàn)這種情況，因?yàn)椴恢肋@個administrator密碼是無法進(jìn)入安全模式。權(quán)限達(dá)到最大這個是密碼策略：用戶可以根據(jù)自己的習(xí)慣設(shè)置密碼，下面是我建議的設(shè)置【關(guān)于密碼安全設(shè)置，我上面已經(jīng)講了，這里不再羅嗦了?！俊　　　　　　　? 　　　　 記住0個密碼　 禁用1本地策略:　　這個很重要，可以幫助我們發(fā)現(xiàn)那些心存叵測的人的一舉一動，還可以幫助我們將來追查黑客。(雖然一般黑客都會在走時會清除他在你電腦中留下的痕跡，不過也有一些不小心的)　　　　　　 成功失敗　 成功失敗　 失敗　 無審核　 失敗　 失敗　 成功失敗　 成功失敗 　 成功失敗　amp。nb sp。然后再到管理工具找到事件查看器應(yīng)用程序：右鍵屬性設(shè)置日志大小上限，我設(shè)置了50mb，選擇不覆蓋事件　　　　 安全性：右鍵屬性設(shè)置日志大小上限，我也是設(shè)置了50mb，選擇不覆蓋事件　　　　 系統(tǒng)：右鍵屬性設(shè)置日志大小上限，我都是設(shè)置了50mb，選擇不覆蓋事件　　1本地安全策略:　　打開管理工具　　　　　　　　 　　　　 Ctrl+Alt+Del 啟用 [根據(jù)個人需要，但是我個人是不需要直接輸入密碼登陸的]　　　　 啟用　　　　 將后面的值刪除　　　　 將后面的值刪除　　　　 將后面的值刪除　　　　 將后面的值刪除　　　　 　　　　 .（前面已經(jīng)詳細(xì)講過拉）1用戶權(quán)限分配策略:　　打開管理工具　　　　　　　　 　　　　 里面一般默認(rèn)有5個用戶，除Admin外我們刪除4個，當(dāng)然，等下我們還得建一個屬于自己的ID，Admin帳戶也刪除，一個都不留　　　　 將ID刪除，Admin也可刪除，如果你不使用類似3389服務(wù)。刪掉附： 那我們現(xiàn)在就來看看Windows 2000的默認(rèn)權(quán)限設(shè)置到底是怎樣的。對于各個卷的根目錄，默認(rèn)給了Everyone組完全控制權(quán)。這意味著任何進(jìn)入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統(tǒng)卷下有三個目錄比較特殊，系統(tǒng)默認(rèn)給了他們有限制的權(quán)限，這三個目錄是Documents and settings、Program files和Winnt。對于Documents and settings，默認(rèn)的權(quán)限是這樣分配的：Administrators擁有完全控制權(quán)；Everyone擁有讀amp。運(yùn)，列和讀權(quán)限；Power users擁有讀amp。運(yùn)，列和讀權(quán)限；SYSTEM同Administrators。Users擁有讀amp。運(yùn)，列和讀權(quán)限。對于Program files，Administrators擁有完全控制權(quán)；Creator owner擁有特殊權(quán)限ower users有完全控制權(quán)。SYSTEM同Administrators。Terminal server users擁有完全控制權(quán)，Users有讀amp。運(yùn)，列和讀權(quán)限。對于Winnt，Administrators擁有完全控制權(quán)；Creator owner擁有特殊權(quán)限ower users有完全控制權(quán)。SYSTEM同Administrators。Users有讀amp。運(yùn)，列和讀權(quán)限。而非系統(tǒng)卷下的所有目錄都將繼承其父目錄的權(quán)限，也就是Everyone組完全控制權(quán)！　　 14終端服務(wù)配置　　打開管理工具　　　　終端服務(wù)配置　　　　，點(diǎn)連接，右鍵，屬性，遠(yuǎn)程控制，點(diǎn)不允許遠(yuǎn)程控制　　　　，加密級別，高，在使用標(biāo)準(zhǔn)Windows驗(yàn)證上點(diǎn)√!　　　　，將最多連接數(shù)上設(shè)置為0　　　　，將里面的權(quán)限也刪除.[我沒設(shè)置]再點(diǎn)服務(wù)器設(shè)置，在Active Desktop上，設(shè)置禁用，且限制每個使用一個會話　　 用戶和組策略　　打開管理工具　　?！　　　h除Support_388945a0用戶等等　　　　　　　　　　1自己動手DIY在本地策略的安全選項　　　　　　　　1）當(dāng)?shù)顷憰r間用完時自動注銷用戶(本地)防止黑客密碼滲透.　　　　2）登陸屏幕上不顯示上次登陸名(遠(yuǎn)程)如果開放3389服務(wù)，別人登陸時，.　　　　3）對匿名連接的額外限制　　　　4）禁止按 alt+crtl+del(沒必要）　　　　5）允許在未登陸前關(guān)機(jī)[防止遠(yuǎn)程關(guān)機(jī)/啟動、強(qiáng)制關(guān)機(jī)/啟動]　　　　6）只有本地登陸用戶才能訪問cdrom　　　　7）只有本地登陸用戶才能訪問軟驅(qū)　　　　8）取消關(guān)機(jī)原因的提示 A、打開控制面板窗口，雙擊“電源選項”圖標(biāo)，在隨后出現(xiàn)的電源屬性窗口中，進(jìn)入到“高級”標(biāo)簽頁面； 　　　　 B、在該頁面的“電源按鈕”設(shè)置項處，將“在按下計算機(jī)電源按鈕時”設(shè)置為“關(guān)機(jī)”，單擊“確定”按鈕，來退出設(shè)置框； 　　　　 C、以后需要關(guān)機(jī)時，可以直接按下電源按鍵，就能直接關(guān)閉計算機(jī)了。當(dāng)然，我們也能啟用休眠功能鍵，來實(shí)現(xiàn)快速關(guān)機(jī)和開機(jī)； 　　　　D、要是系統(tǒng)中沒有啟用休眠模式的話，可以在控制面板窗口中，打開電源選項，進(jìn)入到休眠標(biāo)簽頁面，并在其中將“啟用休眠”選項選中就可以了。 　　　　9）禁止關(guān)機(jī)事件跟蹤 　　開始“Start ”運(yùn)行“ Run 輸入” “，在出現(xiàn)的窗口的左邊部分，選擇 ”計算機(jī)配置“（Computer Configuration ） ”管理模板“（Administrative Templates） ”系統(tǒng)“（System），在右邊窗口雙擊“Shutdown Event Tracker” 在出現(xiàn)的對話框中選擇“禁止”（Disabled），點(diǎn)擊然后“確定”（OK）保存后退出這樣，你將看到類似于Windows 2000的關(guān)機(jī)窗口 　　1常見端口的介紹　　　　　　　　　　　　　　TCP　　21　　 FTP 　　22　　 SSH　　23　　 TELNET　　25　　 TCP SMTP 　　53　　 TCP DNS　　80　　 HTTP　　135　　epmap　　138　　[沖擊波]　　139　　smb 　　445　　1025 DCE/1ff706820a5130e8076d740be8cee98b 　　1026 DCE/123457781234abcdef000123456789ac 　　1433 TCP SQL SERVER 　　5631 TCP PCANYWHERE 　　5632 UDP PCANYWHERE 　　3389　　 Terminal Services　　4444[沖擊波]　　UDP 　　67[沖擊波]　　137 netbiosns 　　161 An SNMP Agent is running/ Default munity names of the SNMP Agent　　關(guān)于UDP一般只有騰訊會打開4000或者是8000端口或者8080，那么，我們只運(yùn)行本機(jī)使用4000這幾個端口就行了附：1 端口基礎(chǔ)知識大全端口分為3大類1） 公認(rèn)端口（Well Known Ports）：從0到1023，它們緊密綁定于一些服務(wù)。通常 這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實(shí)際上總是h++p通訊。 2） 注冊端口（Registered Ports）：從1024到49151。它們松散地綁定于一些服務(wù)。也就是說有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。例如： 許多系統(tǒng)處理動態(tài)端口從1024左右開始。 3） 動態(tài)和/或私有端口（Dynamic and/or Private Ports）：從49152到65535。 理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，機(jī)器通常從1024起分配動態(tài)端口。但也 有例外：SUN的RPC端口從32768開始。 本節(jié)講述通常TCP/UDP端口掃描在防火墻記錄中的信息。記?。翰⒉淮嬖谒^ ICMP端口。如果你對解讀ICMP數(shù)據(jù)感興趣，請參看本文的其它部分。0 通常用于分析操作系統(tǒng)。這一方面能夠工作是因?yàn)樵谝恍┫到y(tǒng)中“0”是無效端口，當(dāng)你試 圖使用一 種通常的閉合端口連接它時將產(chǎn)生不同的結(jié)果。一種典型的掃描：使用IP地址為 ，設(shè)置ACK位并在以太網(wǎng)層廣播。1 tcpmux這顯示有人在尋找SGIIrix機(jī)器。Irix是實(shí)現(xiàn)tcpmux的主要提供者，缺省情況下tcpmux在這種系統(tǒng)中被打開。Iris 機(jī)器在發(fā)布時含有幾個缺省的無密碼的帳戶，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。許多管理員安裝后忘記刪除這些帳戶。因此Hacker們在Internet上搜索 tcpmux 并利用這些帳戶。 7Echo你能看到許多人們搜索Fraggle放大器時。常見的一種DoS攻擊是echo循環(huán)（echoloop），攻擊者偽造從一個機(jī)器發(fā)送到另一個UDP數(shù)據(jù)包，而兩個機(jī)器分別以它們最快的方式回應(yīng)這些數(shù)據(jù)包。（參見Chargen）另一種東西是由DoubleClick在詞端口建立的TCP連接。有一種產(chǎn)品叫做 Resonate Global Dispatch”，它與DNS的這一端口連接以確定最近的路 由。Harvest/squid cache將從3130端口發(fā)送UDPecho：“如果將cache的 source_ping on選項打開，它將對原始主機(jī)的UDP echo端口回應(yīng)一個HIT reply?！边@將會產(chǎn)生許多這類數(shù)據(jù)包。11 sysstat這是一種UNIX服務(wù)，它會列出機(jī)器上所有正在運(yùn)行的進(jìn)程以及是什么啟動 了這些進(jìn)程。這為入侵者提供了許多信息而威脅機(jī)器的安全，如暴露已知某些弱點(diǎn)或帳戶的程序。這與UNIX系統(tǒng)中“ps”命令的結(jié)果相似再說一遍：ICMP沒有端口，I