《浅析网络环境下的个人计算机安全.doc》由会员分享,可在线阅读,更多相关《浅析网络环境下的个人计算机安全.doc(26页珍藏版)》请在金锄头文库上搜索。
1、网络环境下的个人计算机的安全对于电脑安全问题,除非关着的电脑外加隔离,能达到100%安全,其它状态不可能绝对安全。所以,尽量让你的电脑远离隐患,就是我们要做的事。我们主要从以下几个方面来讲述:来使我们的电脑出于相对安全的网络环境中。一、 启动项启动项目,就是开机的时候系统会在前台或者后台运行的程序。Windows在启动的时候,自动加载了很多程序。许多程序的自启动,给我们带来了很多方便,这是不争的事实,但不是每个自启动的程序对我们都有用;更甚者,也许有病毒或木马在自启动行列。1. 开始如何取消不必要的开机启动开始-所有程序-启动,点击打开后把里面全部删掉。 2. 注册表注册表(Registry)
2、是Windows 9x/Me/NT/2000操作系统、硬件设备以及客户应程序得以正常运行和保存设置的核心“数据库”,也可以说是一个巨大的树状分层结构的数据库系统。它记录用户安装在机器上的软件和每个程序的相互关联信息,包括计算机的硬件配置,其中包括自动配置的即插即用设备和已用的各种设备说明、状态属性以及各种状态信息和数据。注册表中相应的启动加载项目 注册表的启动项目是病毒和木马程序的最爱,非常多的病毒木马的顽固性就是通过注册表来实现的,特别是在安装了新的软件程序,一定不要被程序漂亮的外表迷惑,一定要看清楚它的实质是不是木马的伪装外壳或者是捆绑程序,必要的时候可以根据备份来恢复注册表。 我们也可以
3、通过手动的方法来检查注册表中相应的位置,注意同安全、清洁的系统注册表相应键进行比较,如果发现不一致的地方,一定要弄清楚它是什么东西!不要相信写在外面的 “system”、 “windows”、“programfiles”等名称,尤其是如果你仔细观察的话,有些字符是不一样的,比如0和o的区别,1和l的区别等,如果经过详细的比较,可以确定它是不明程序的话,不要手软,马上删除。 通过注册表来检测一些异常:1.)检查注册表 看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurren Version和 HKEY_CURRENT_USERSoftwareMicros
4、oftWindowsCurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。 2.)检查启动组 木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:windowsstart menuprogramsstartup,在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders Startup=C:windowsstart men
5、uprogramsstartup。要注意经常检查这两个地方哦! 3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方比方说,Win.ini的Windows小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的boot小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。 4.)对于下面所列文件也要勤加检查,木马们也很
6、可能隐藏在那里 C:windowswinstart.bat、C:windowswininit.ini、Autoexec.bat。 5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。 6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动 所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。 (二)组策略组策略是系统策略的高级扩展,是管理员为用户和计算机控制程序、网络资源、系统、Windows组件的主要
7、工具,可对系统的各种特殊属性进行设置。简单地解释就是:组策略是调整注册表的一个所见即所得编辑器。系统高手们往往不仅精通注册表,还经常通过组策略完成一些系统的高级调整与修改。下面就介绍三招,如何利用组策略提升系统安全性。第一招:清理IE上网痕迹 在Windows XP系统中,关于组策略“Internet Explorer维护”的技巧有很多,我们可以进行个性化设置。其中,可以通过添加脚本的方法,实现在退出IE时对上网痕迹进行自动清理。具体步骤是找一台Windows 2000操作系统,将Deltree.exe文件复制到Windows XP系统的system32目录下。用记事本编写一个如下内容的文本文
8、件: echo off cd c:documents ad settingsadministratorlocal settingstemporary internet files c:winntsystem32deltree .*.* /y 将文本保存为.bat批处理文件。在“开始”“运行”中输入“gpedit.msc”打开组策略对话框,依次进入“用户配置”“Windows设置”“脚本(登录/注销)”,双击右边窗口中的“注销”,在“添加”项目中导入这个脚本文件即可。 常见的端口号对应的协议及用途 21:FTP(文件传输) 23:TELNET(远程登录) 25:SMTP(发送E-mail) 80
9、:HTTP(WWW服务) 110:POP3(接收e-mail) 119:NNTP(新闻服务) 常见木马的入侵端口号 灰鸽子:3389 黑洞:2000 冰河:7626 广外女生:6267 第二招:禁用指定软件程序在组策略中,可以采取禁用注册表或光驱、隐藏磁盘分区等一系列设置。这些功能在Windows 2000中就能实现。在Windows XP系统中还增加了对软件的限制策略。在此以常用即时通讯软件QQ为例进行实例说明。 打开组策略对话框,依次进入“计算机配置”“Windows设置”“安全设置”“软件限制策略”“其它规则”“新路径规则”,点击“浏览”,找到QQ安装目录下的“QQ.exe”文件,在“安
10、全级别”下选择“不允许”。重启计算机后,就无法用QQ了。若要重新使用QQ,把安全级别选为“不受限的”即可第三招:打造系统防火墙 在“组策略”中还可以打造系统防火墙。在默认设置下,Windows有很多端口是开放的,网络病毒和黑客可以通过这些端口接入你的电脑。为了资料的安全,应该把不必要的端口封闭,减少居心不良者入侵的机会。以封闭80端口为例:先在“计算机配置”的“IP安全策略”中单击右键,创建一个新的IP安全策略,在“属性”中添加“筛选器列表”,在“编辑规则属性”中选择“新IP筛选器列表”对话框并点击“添加”。 现在用三个步骤屏蔽80端口。第一步寻址,源地址选“任何IP地址”,目标地址选“我的I
11、P地址”;第二步选协议,选择“TCP”,在“到此端口”下的文本框中输入“80”;第三步创建,返回后进入“编辑规则属性”的“筛选器操作”,选择“请求安全(可选)”,确定后返回,再对“创建IP安全策略”选择“指派”。这样就对TCP的80端口的服务进行了屏蔽,因为端口80是HTFP的协议,提供WWW服务,因而屏蔽之后HTFP协议网站也将无法打开(要重新开放可对以上各项进行修改和删除)。同理我们也可对一些易被木马入侵的端口进行屏蔽,让木马靠边站其他组策略安全技巧 1、隐藏电脑的驱动器 位置:用户配置管理模板Windows组件Windows资源管理器将“隐藏我的电脑中的这些指定驱动器”和“防止从我的电脑
12、访问驱动器”设置为“已启用”并设置欲阻止访问的驱动器。 2、禁用注册表 位置:用户配置管理模板系统 将“组织访问注册表编辑工具”设置为“已启用”。 3、禁用控制面板 位置:用户配置管理模板控制面板 将“禁止访问控制面板“设置为“已启用”;或启用“隐藏指定的控制面板程序”并设定隐藏的项目,如想在控制面板中隐藏Internet选项,则在隐藏控制面板程序里添加Inetcpl.cpl,具体名称可查看WindowsSystem32里以cpl结尾的文件。 4、隐藏文件夹 位置:用户配置管理模板Windows组件Windows资源管理器将“工具菜单删除文件夹选项菜单”设置为“已启用”。 服务与进程若PC没有
13、特殊用途,基于安全考虑,打开控制面板,进入管理工具服务,关闭以下服1. Alerter通知选定的用户和计算机管理警报 2.ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享 3.Distributed File System将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享 4.Distributed Link Tracking Server适用局域网分布式链接 5.Indexing Service提供本地或远程计算机上文件的索引内容和属性,泄露信息 6.Messenger警报 7.NetMeeting Remote Desktop Sharingnetme
14、eting公司留下的客户信息收集 8.Network DDE为在同一台计算机或不同计算机上运行的程序提供动态数据交换 9.Network DDE DSDM管理动态数据交换 (DDE) 网络共享 10.Remote Desktop Help Session Manager管理并控制远程协助 11.Remote Registry使远程计算机用户修改本地注册表 12.Routing and Remote Access在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息 13.Server支持此计算机通过网络的文件、打印、和命名管道共享 14.TCP/IPNetBIOS Helper提供 TCP
15、/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络 15.Telnet允许远程用户登录到此计算机并运行程序 16.Terminal Services允许用户以交互方式连接到远程计算机 17.Window s Image Acquisition (WIA)照相服务,应用与数码摄象机 如果发现机器开启了一些很奇怪的服务,如r_server这样的服务,必须马上停止该服务,因为这完全有可能是黑客使用控制程序的服务端。进程任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。 病毒进程隐藏三法 当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采
