小技巧保護(IIS)Web服務器
[ 2007-03-25 03:16:32 | 作者: sun ]
通常地,大多數Web站點的設計目標都是:以最易接受的方式,為訪問者提供即時的信息訪問。在過去的幾年中,越來越多的黑客、病毒和蠕蟲帶來的安全問題嚴重影響了網站的可訪問性,盡管Apache服務器也常常是攻擊者的目標,然而微軟的Internet信息服務(IIS) Web服務器才是真正意義上的眾矢之的。
高級教育機構往往無法在構建充滿活力、界面友好的網站還是構建高安全性的網站之間找到平衡點。另外,它們現在必須致力于提高網站安全性以面對縮減中的技術預算 (其實許多它們的私有部門也面臨著相似的局面)。
正因為如此,我在這里將為預算而頭疼的大學IT經理們提供一些技巧,以幫助他們保護他們的IIS服務器。雖然主要是面對大學里的IT專業人員的,但是這些技巧也基本上適用于希望通過少量的財政預算來提高安全性的IIS管理人員。實際上,這里面的一些技巧對擁有強大預算的IIS管理人員也是非常有用的。
首先,開發一套安全策略
保護Web服務器的第一步是確保網絡管理員清楚安全策略中的每一項制度。如果公司高層沒有把服務器的安全看作是必須被保護的資產,那么保護工作是完全沒有意義的。這項工作需要長期的努力。如果預算不支持或者它不是長期IT戰略的一部分,那么花費大量時間保護服務器安全的管理員將得不到管理層方面的重要支持。
網絡管理員為各方面資源建立安全性的直接結果是什么呢?一些特別喜歡冒險的用戶將會被關在門外。那些用戶隨后會抱怨公司的管理層,管理層人員又會去質問網絡管理員究竟發生了什么。那么,網絡管理員沒辦法建立支持他們安全工作的文檔,因此,沖突發生了。
通過標注Web服務器安全級別以及可用性的安全策略,網絡管理員將能夠從容地在不同的操作系統上部署各種軟件工具。
IIS安全技巧
微軟的產品一向是眾矢之的,因此IIS服務器特別容易成為攻擊者的靶子。搞清楚了這一點后,網絡管理員必須準備執行大量的安全措施。我將要為你們提供的是一個清單,服務器操作員也許會發現這是非常有用的。
1. 保持Windows升級:
你必須在第一時間及時地更新所有的升級,并為系統打好一切補丁。考慮將所有的更新下載到你網絡上的一個專用的服務器上,并在該機器上以Web的形式將文件發布出來。通過這些工作,你可以防止你的Web服務器接受直接的Internet訪問。
2. 使用IIS防范工具:
這個工具有許多實用的優點,然而,請慎重的使用這個工具。如果你的Web服務器和其他服務器相互作用,請首先測試一下防范工具,以確定它已經被正確的配置,保證其不會影響Web服務器與其他服務器之間的通訊。
3. 移除缺省的Web站點:
很多攻擊者瞄準inetpub這個文件夾,并在里面放置一些偷襲工具,從而造成服務器的癱瘓。防止這種攻擊最簡單的方法就是在IIS里將缺省的站點禁用。然后,因為網蟲們都是通過IP地址訪問你的網站的 (他們一天可能要訪問成千上萬個IP地址),他們的請求可能遇到麻煩。將你真實的Web站點指向一個背部分區的文件夾,且必須包含安全的NTFS權限 (將在后面NTFS的部分詳細闡述)。
4. 如果你并不需要FTP和SMTP服務,請卸載它們:
進入計算機的最簡單途徑就是通過FTP訪問。FTP本身就是被設計滿足簡單讀/寫訪問的,如果你執行身份認證,你會發現你的用戶名和密碼都是通過明文的形式在網絡上傳播的。SMTP是另一種允許到文件夾的寫權限的服務。通過禁用這兩項服務,你能避免更多的黑客攻擊。
5. 有規則地檢查你的管理員組和服務:
有一天我進入我們的教室,發現在管理員組里多了一個用戶。這意味著這時某個人已經成功地進入了你的系統,他或她可能冷不丁地將炸彈扔到你的系統里,這將會突然摧毀你的整個系統,或者占用大量的帶寬以便黑客使用。黑客同樣趨向于留下一個幫助服務,一旦這發生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盤,從備份服務器恢復你每天備份的文件。因此,檢查IIS服務器上的服務列表并保持盡量少的服務必須成為你每天的任務。你應該記住哪個服務應該存在,哪個服務不應該存在。Windows 2000 Resource Kit帶給我們一個有用的程序,叫作tlist.exe,它能列出每種情況運行在svchost 之下的服務。運行這個程序可以尋找到一些你想要知道的隱藏服務。給你一個提示:任何含有daemon幾個字的服務可能不是Windows本身包含的服務,都不應該存在于IIS服務器上。想要得到Windows服務的列表并知道它們各自有什么作用,請點擊這里。
6. 嚴格控制服務器的寫訪問權限:
這聽起來很容易,然而,在大學校園里,一個Web服務器實際上是有很多"作者"的。教職人員都希望讓他們的課堂信息能被遠程學生訪問。職員們則希望與其他的職員共享他們的工作信息。服務器上的文件夾可能出現極其危險的訪問權限。將這些信息共享或是傳播出去的一個途徑是安裝第2個服務器以提供專門的共享和存儲目的,然后配置你的Web服務器來指向共享服務器。這個步驟能讓網絡管理員將Web服務器本身的寫權限僅僅限制給管理員組。
7. 設置復雜的密碼:
我最近進入到教室,從事件察看器里發現了很多可能的黑客。他或她進入了實驗室的域結構足夠深,以至于能夠對任何用戶運行密碼破解工具。如果有用戶使用弱密碼 (例如"password"或是 changeme"或者任何字典單詞),那么黑客能快速并簡單的入侵這些用戶的賬號。
8. 減少/排除Web服務器上的共享:
如果網絡管理員是唯一擁有Web服務器寫權限的人,就沒有理由讓任何共享存在。共享是對黑客最大的誘惑。此外,通過運行一個簡單的循環批處理文件,黑客能夠察看一個IP地址列表,利用\\命令尋找Everyone/完全控制權限的共享。
9. 禁用TCP/IP協議中的NetBIOS:
這是殘忍的。很多用戶希望通過UNC路徑名訪問Web服務器。隨著NETBIOS被禁用,他們便不能這么做了。另一方面,隨著NETBIOS被禁用,黑客就不能看到你局域網上的資源了。這是一把雙刃劍,如果網絡管理員部署了這個工具,下一步便是如何教育Web用戶如何在NETBIOS失效的情況下發布信息。
10. 使用TCP端口阻塞:
這是另一個殘忍的工具。如果你熟悉每個通過合法原因訪問你服務器的TCP端口,那么你可以進入你網絡接口卡的屬性選項卡,選擇綁定的TCP/IP協議,阻塞所有你不需要的端口。你必須小心的使用這一工具,因為你并不希望將自己鎖在Web服務器之外,特別是在當你需要遠程登陸服務器的情況下。要得到TCP端口的詳細細節,點擊這里。
11. 仔細檢查*.bat和*.exe 文件:
每周搜索一次*.bat和*.exe文件,檢查服務器上是否存在黑客最喜歡,而對你來說將是一場惡夢的可執行文件。在這些破壞性的文件中,也許有一些是*.reg文件。如果你右擊并選擇編輯,你可以發現黑客已經制造并能讓他們能進入你系統的注冊表文件。你可以刪除這些沒任何意義但卻會給入侵者帶來便利的主鍵。
12. 管理IIS目錄安全:
IIS目錄安全允許你拒絕特定的IP地址、子網甚至是域名。作為選擇,我選擇了一個被稱作WhosOn的軟件,它讓我能夠了解哪些IP地址正在試圖訪問服務器上的特定文件。WhosOn列出了一系列的異常。如果你發現一個家伙正在試圖訪問你的cmd.exe,你可以選擇拒絕這個用戶訪問Web服務器。當然,在一個繁忙的Web站點,這可能需要一個全職的員工!然而,在內部網,這真的是一個非常有用的工具。你可以對所有局域網內部用戶提供資源,也可以對特定的用戶提供。
13. 使用NTFS安全:
缺省地,你的NTFS驅動器使用的是EVERYONE/完全控制權限,除非你手工關掉它們。關鍵是不要把自己鎖定在外,不同的人需要不同的權限,管理員需要完全控制,后臺管理賬戶也需要完全控制,系統和服務各自需要一種級別的訪問權限,取決于不同的文件。最重要的文件夾是System32,這個文件夾的訪問權限越小越好。在
Web服務器上使用NTFS權限能幫助你保護重要的文件和應用程序。
14.管理用戶賬戶:
如果你已經安裝IIS,你可能產生了一個TSInternetUser賬戶。除非你真正需要這個賬戶,否則你應該禁用它。這個用戶很容易被滲透,是黑客們的顯著目標。為了幫助管理用戶賬戶,確定你的本地安全策略沒有問題。IUSR用戶的權限也應該盡可能的小。
15. 審計你的Web服務器:
審計對你計算機的性能有著較大的影響,因此如果你不經常察看的話,還是不要做審計了。如果你真的能用到它,請審計系統事件并在你需要的時候加入審計工具。如果你正在使用前面提到的WhosOn工具,審計就不那么重要了。缺省地,IIS總是紀錄訪問, WhosOn 會將這些紀錄放置在一個非常容易易讀的數據庫中,你可以通過Access或是 Excel打開它。如果你經常察看異常數據庫,你能在任何時候找到服務器的脆弱點。
總結
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自帶的。不要忘記在測試你網站可達性之前一個一個的使用這些技巧和工具。如果它們一起被部署,結果可能讓你損失慘重,你可能需要重啟,從而遺失訪問。
最后的技巧: 登陸你的Web服務器并在命令行下運行netstat -an。觀察有多少IP地址正嘗試和你的端口建立連接,然后你將有一大堆的調查和研究要做了。
提高操作系統安全從管理Cookies開始
[ 2007-03-25 03:16:07 | 作者: sun ]
你是否為服務器被入侵而苦惱?你是否對計算機中寶貴數據被泄露而生氣?你又是否疑惑為什么服務器保護的很好卻還是出現安全問題呢?俗話說攘外必先安內,在我們安裝防火墻更新補丁防范外部黑客入侵的同時,首先要做的就是對自己服務器進行全面掃描,將服務器內部蛀蟲全部趕走。
一、內部蛀蟲有哪些
寄居在系統中的內部蛀蟲有很多種,例如間諜軟件,惡意插件等。不過這些蛀蟲都是可以通過系統優化工具和殺毒軟件來解決的。而有些蛀蟲讓我們這些網絡管理員很無奈,例如存儲在本地硬盤中的cookies文件,他們記錄著計算機操作者的隱私信息,包括用戶名和加密的密碼以及經常訪問的網頁信息,總之網站通過cookies文件記錄用戶的隱私,了解用戶瀏覽的信息。
小提示:
什么是Cookies?Cookies是數據包,可以讓網頁具有記憶功能,在某臺電腦上記憶一定的信息。Cookies的工作原理是,第一次由服務器端寫入到客戶端的系統中。以后每次訪問這個網頁,都是先由客戶端將Cookies發送到服務器端,再由服務器端進行判斷,然后再產生HTML代碼返回給客戶端。通過這個原理服務器就可以根據不同用戶產生不同cookies文件,這樣當該用戶再次訪問同一個站點時就可以根據不同的cookies文件返回不同的頁面信息了。
二、如何防范Cookies
Cookies文件是在無聲無息中伴隨瀏覽器進入我們本地硬盤的,當我們瀏覽某個站點時,該站點很可能將記錄我們隱私的cookies文件上傳到本地硬盤。那么我們如何防范阻止cookies文件泄露我們的隱私呢?實際上我們可以通過瀏覽器設置不容許計算機接收cookies文件即可。方法如下:
第一步:進入系統打開IE瀏覽器。
第二步:通過菜單欄中的“工具->internet選項”打開internet設置窗口。
第三步:找到“隱私”標簽,將設置的滑動按鈕調節到最高,這樣將阻止來自所有網站的cookie,而且計算機上的現有cookie文件都將不能被網站讀取
第四步:確定后我們完成設置,任何站點都不會將cookie文件強制塞入我們的計算機。我們的隱私也不會再泄露了。
三、Cookies取舍我做主
根據上面的設置我們將所有的cookies文件都阻擋在計算機之外,然而在實際使用中有的站點是需要cookies文件的支持的,特別是一些論壇。如果你禁止了cookies文件的話,這些站點將無法訪問。如何解決這些站點的訪問問題呢?可能有的讀者會說將IE瀏覽器的隱私設置進行調節不就可以了嗎?然而級別調低后計算機的安全性也隨之降低了,也許很多我們本來不希望記錄的cookies文件也隨著隱私級別降低而下載。筆者在網上搜索到一款小軟件,通過他可以輕輕松松的管理本地服務器的所有cookies文件,查看他們的信息,刪除不必要的cookies。
IECookiesView是一個可以幫你搜尋并顯示出你計算機中所有的Cookies檔案的數據,包括是哪一個網站寫入Cookies的,內容有什么,寫入的時間日期及此Cookies的有效期限等等資料。對于那些常常懷疑一些網站寫入Cookies內容到你的計算機中是否會對你造成隱私的侵犯的用戶來說,使用軟件來看看這些Cookies的內容都是些什么,這樣就不會再擔心懷疑了。此軟件只對IE瀏覽器的Cookies有效。
第一步:下載該軟件后解壓縮。
第二步:該軟件是綠色的,不用安裝,只有一個主程序——iecv.exe。運行該程序啟動軟件。軟件會自動掃描駐留在本地計算機IE瀏覽器中的cookies文件。
第三步:我們隨便選中一個cookies后就可以從下面的內容顯示區域看到他的地址,參數以及過期時間等信息了。如果是一個紅色的叉子說明該cookies已經過期,無法使用;如果是一個綠色的對勾說明該cookies還可以使用。
第四步:找到一個有效的cookies文件后雙擊打開屬性窗口,在這里我們可以看到該cookies的名稱和參數,其中參數包括了cookies保存的論壇用戶名和經過加密的密碼。例如筆者查看的bbs.it168.com,可以看到該論壇保存的cookies記錄了用戶的。(用戶名(softer),用戶級別(入門用戶)以及密碼
第五步:如果你對于某個站點非常反感,不希望計算機下載該站點對應的cookies文件的話,可以將該站點所有cookies刪除。方法是在軟件上方窗處將某個站點的cookies選中,然后點鼠標右鍵選擇“delete selected cookies files”即可,當然直接點菜單上的紅色叉子也是一樣的總之該工具有很多功能,例如管理cookies文件,編輯cookies文件,還可以輕松完成對已有cookies文件的導出導入。
一、內部蛀蟲有哪些
寄居在系統中的內部蛀蟲有很多種,例如間諜軟件,惡意插件等。不過這些蛀蟲都是可以通過系統優化工具和殺毒軟件來解決的。而有些蛀蟲讓我們這些網絡管理員很無奈,例如存儲在本地硬盤中的cookies文件,他們記錄著計算機操作者的隱私信息,包括用戶名和加密的密碼以及經常訪問的網頁信息,總之網站通過cookies文件記錄用戶的隱私,了解用戶瀏覽的信息。
小提示:
什么是Cookies?Cookies是數據包,可以讓網頁具有記憶功能,在某臺電腦上記憶一定的信息。Cookies的工作原理是,第一次由服務器端寫入到客戶端的系統中。以后每次訪問這個網頁,都是先由客戶端將Cookies發送到服務器端,再由服務器端進行判斷,然后再產生HTML代碼返回給客戶端。通過這個原理服務器就可以根據不同用戶產生不同cookies文件,這樣當該用戶再次訪問同一個站點時就可以根據不同的cookies文件返回不同的頁面信息了。
二、如何防范Cookies
Cookies文件是在無聲無息中伴隨瀏覽器進入我們本地硬盤的,當我們瀏覽某個站點時,該站點很可能將記錄我們隱私的cookies文件上傳到本地硬盤。那么我們如何防范阻止cookies文件泄露我們的隱私呢?實際上我們可以通過瀏覽器設置不容許計算機接收cookies文件即可。方法如下:
第一步:進入系統打開IE瀏覽器。
第二步:通過菜單欄中的“工具->internet選項”打開internet設置窗口。
第三步:找到“隱私”標簽,將設置的滑動按鈕調節到最高,這樣將阻止來自所有網站的cookie,而且計算機上的現有cookie文件都將不能被網站讀取
第四步:確定后我們完成設置,任何站點都不會將cookie文件強制塞入我們的計算機。我們的隱私也不會再泄露了。
三、Cookies取舍我做主
根據上面的設置我們將所有的cookies文件都阻擋在計算機之外,然而在實際使用中有的站點是需要cookies文件的支持的,特別是一些論壇。如果你禁止了cookies文件的話,這些站點將無法訪問。如何解決這些站點的訪問問題呢?可能有的讀者會說將IE瀏覽器的隱私設置進行調節不就可以了嗎?然而級別調低后計算機的安全性也隨之降低了,也許很多我們本來不希望記錄的cookies文件也隨著隱私級別降低而下載。筆者在網上搜索到一款小軟件,通過他可以輕輕松松的管理本地服務器的所有cookies文件,查看他們的信息,刪除不必要的cookies。
IECookiesView是一個可以幫你搜尋并顯示出你計算機中所有的Cookies檔案的數據,包括是哪一個網站寫入Cookies的,內容有什么,寫入的時間日期及此Cookies的有效期限等等資料。對于那些常常懷疑一些網站寫入Cookies內容到你的計算機中是否會對你造成隱私的侵犯的用戶來說,使用軟件來看看這些Cookies的內容都是些什么,這樣就不會再擔心懷疑了。此軟件只對IE瀏覽器的Cookies有效。
第一步:下載該軟件后解壓縮。
第二步:該軟件是綠色的,不用安裝,只有一個主程序——iecv.exe。運行該程序啟動軟件。軟件會自動掃描駐留在本地計算機IE瀏覽器中的cookies文件。
第三步:我們隨便選中一個cookies后就可以從下面的內容顯示區域看到他的地址,參數以及過期時間等信息了。如果是一個紅色的叉子說明該cookies已經過期,無法使用;如果是一個綠色的對勾說明該cookies還可以使用。
第四步:找到一個有效的cookies文件后雙擊打開屬性窗口,在這里我們可以看到該cookies的名稱和參數,其中參數包括了cookies保存的論壇用戶名和經過加密的密碼。例如筆者查看的bbs.it168.com,可以看到該論壇保存的cookies記錄了用戶的。(用戶名(softer),用戶級別(入門用戶)以及密碼
第五步:如果你對于某個站點非常反感,不希望計算機下載該站點對應的cookies文件的話,可以將該站點所有cookies刪除。方法是在軟件上方窗處將某個站點的cookies選中,然后點鼠標右鍵選擇“delete selected cookies files”即可,當然直接點菜單上的紅色叉子也是一樣的總之該工具有很多功能,例如管理cookies文件,編輯cookies文件,還可以輕松完成對已有cookies文件的導出導入。
銀行專家提醒:年底刷卡小心陷阱
[ 2007-03-25 03:15:48 | 作者: sun ]
又到年底了,商店里購買年貨的人多了,從安全角度考慮,很多人都沒有隨身攜帶現金,而是選擇了刷卡消費的便捷方式。與此同時,銀行卡詐騙活動近日也有所抬頭。為此,記者專門走訪了銀行專業人士,了解到了日常生活中應該如何防止被騙。
銀行人士指出,首先要留意不明信息。如果你沒有刷卡消費,手機上卻收到“銀行”方面發來的消費信息,這很可能是騙子使用的騙術。收到這類信息后,如果需要向有關部門咨詢,應撥打此部門向社會公開的咨詢服務熱線(一般為5位數)。一旦發現可疑者,要及時向警方報案。同時,廣大市民應該妥善保管自己的銀行卡及卡號、賬號、密碼等資料,不給犯罪分子以可乘之機。
其次,使用ATM機取款要加倍小心。犯罪分子常常將普通的膠紙或膠套塞進柜員機插卡口,令柜員機系統無法讀取卡內資料或出現“暫停服務”字樣。這時,持卡人往往以為被“吞卡”而離去,犯罪分子則鉤出卡片、用伺機窺得的密碼提取存款。還有的不法分子在ATM機的出鈔口設置卡子一類的障礙,持卡人進行正確操作后,卻沒有鈔票“吐出”。如果持卡人此時離開,躲在暗處的犯罪分子將很快取走現金。針對上述作案手法,消費者在柜員機上取款時要多加注意,留心旁邊是否有人偷窺,一旦出現以上情況,應馬上報警或報告相關銀行,并最好不要離開柜員機。
第三,使用POS刷卡消費須謹慎。持卡人在消費時,應盡可能要求收銀人員在自己的視線內“刷卡”,并留意簽賬單的交易資料及隨后的銀行日結單。
第四,當心網上銀行交易“陷阱”。一是不要在可疑的網站上登記自己姓名、生日等個人信息。二是在不了解情況時,切勿向虛假站點和冒充站點發送有關資料或密碼信息。否則,網上支付卡號與密碼泄露后,犯罪分子就有了進行非法資金轉移的可能和條件。
銀行人士指出,首先要留意不明信息。如果你沒有刷卡消費,手機上卻收到“銀行”方面發來的消費信息,這很可能是騙子使用的騙術。收到這類信息后,如果需要向有關部門咨詢,應撥打此部門向社會公開的咨詢服務熱線(一般為5位數)。一旦發現可疑者,要及時向警方報案。同時,廣大市民應該妥善保管自己的銀行卡及卡號、賬號、密碼等資料,不給犯罪分子以可乘之機。
其次,使用ATM機取款要加倍小心。犯罪分子常常將普通的膠紙或膠套塞進柜員機插卡口,令柜員機系統無法讀取卡內資料或出現“暫停服務”字樣。這時,持卡人往往以為被“吞卡”而離去,犯罪分子則鉤出卡片、用伺機窺得的密碼提取存款。還有的不法分子在ATM機的出鈔口設置卡子一類的障礙,持卡人進行正確操作后,卻沒有鈔票“吐出”。如果持卡人此時離開,躲在暗處的犯罪分子將很快取走現金。針對上述作案手法,消費者在柜員機上取款時要多加注意,留心旁邊是否有人偷窺,一旦出現以上情況,應馬上報警或報告相關銀行,并最好不要離開柜員機。
第三,使用POS刷卡消費須謹慎。持卡人在消費時,應盡可能要求收銀人員在自己的視線內“刷卡”,并留意簽賬單的交易資料及隨后的銀行日結單。
第四,當心網上銀行交易“陷阱”。一是不要在可疑的網站上登記自己姓名、生日等個人信息。二是在不了解情況時,切勿向虛假站點和冒充站點發送有關資料或密碼信息。否則,網上支付卡號與密碼泄露后,犯罪分子就有了進行非法資金轉移的可能和條件。
幾乎可以這樣說,如果你有免費電子郵箱,你收到垃圾郵件的機會將會很高。對付垃圾郵件除了各方共同努力外,對于普通用戶來講,注意以下幾點是可以防范垃圾郵件的:
一、不要響應不請自來的電子郵件或者垃圾郵件,絕對不要回復垃圾郵件,如果你回復甚至警告他們不要再發,這無疑也相當于告訴對方你的郵件地址實際存在,今后你可能會收到更多的垃圾郵件。所以,即使垃圾郵件上寫有“如果不需要此郵件的話請回信告知”等句子,也決不要回復,這一點非常重要。
二、不要試圖點擊垃圾郵件中的任何鏈接,某些垃圾郵件發送者會自動收集點擊者的信息,事實上當你點擊鏈接進入相應網站時就無疑高速對方這個電子郵件地址是存在的(不然誰會去點擊?)。
三、不要把您的郵件地址在因特網頁面上到處登記,如果經常用某個郵件地址在網上大量注冊(很多論壇都要求填寫email地址然后給你發送密碼),相信你今后收到垃圾郵件的次數會越來越多,那怎么辦呢?告訴你一個方法:由于網絡上收集電子郵件地址通常是用軟件進行,而目前的電子郵箱表示法中都會包含“@”這個符號,所以當你注冊成功后不妨再次進入論壇,將電子郵箱中的”@”改為其他符號如“#”,這樣其他用戶查看時會知道你的email的,但對付那些軟件就有效多了;不過有些網站,檢測地址的合法性,所以此法肯定行不通,那也有辦法——將電郵地址修改為其他的字符組合,比如增加字符長度等。
四、不要登陸并注冊那些許諾在垃圾郵件列表中刪除你名字的站點。
五、保管好自己的郵件地址,不要把它告訴給你不信任的人。
六、不訂閱不健康的電子雜志,以防止被垃圾郵件收集者收集。
七、謹慎使用郵箱的“自動回復”功能。為了體現互聯網高效、快捷的特點,很多網站和郵件收發工具中都設置了“自動回復”功能,這雖然方便,但是如果兩個聯系人之間都設置了“自動回復”,想想看有何后果?恐怕雙方的郵箱中都是一些“自動回復”的垃圾信件。換句話說,此功能使用不當,人人都會變成垃圾郵件發送者。
八、發現收集或出售電子郵件地址的網站或消息,請告訴相應的主頁提供商或主頁管理員,將您刪除,以避免郵件地址被他們利用。
九、用專門的郵箱進行私人通信,而用其他郵箱訂閱電子雜志。
一、不要響應不請自來的電子郵件或者垃圾郵件,絕對不要回復垃圾郵件,如果你回復甚至警告他們不要再發,這無疑也相當于告訴對方你的郵件地址實際存在,今后你可能會收到更多的垃圾郵件。所以,即使垃圾郵件上寫有“如果不需要此郵件的話請回信告知”等句子,也決不要回復,這一點非常重要。
二、不要試圖點擊垃圾郵件中的任何鏈接,某些垃圾郵件發送者會自動收集點擊者的信息,事實上當你點擊鏈接進入相應網站時就無疑高速對方這個電子郵件地址是存在的(不然誰會去點擊?)。
三、不要把您的郵件地址在因特網頁面上到處登記,如果經常用某個郵件地址在網上大量注冊(很多論壇都要求填寫email地址然后給你發送密碼),相信你今后收到垃圾郵件的次數會越來越多,那怎么辦呢?告訴你一個方法:由于網絡上收集電子郵件地址通常是用軟件進行,而目前的電子郵箱表示法中都會包含“@”這個符號,所以當你注冊成功后不妨再次進入論壇,將電子郵箱中的”@”改為其他符號如“#”,這樣其他用戶查看時會知道你的email的,但對付那些軟件就有效多了;不過有些網站,檢測地址的合法性,所以此法肯定行不通,那也有辦法——將電郵地址修改為其他的字符組合,比如增加字符長度等。
四、不要登陸并注冊那些許諾在垃圾郵件列表中刪除你名字的站點。
五、保管好自己的郵件地址,不要把它告訴給你不信任的人。
六、不訂閱不健康的電子雜志,以防止被垃圾郵件收集者收集。
七、謹慎使用郵箱的“自動回復”功能。為了體現互聯網高效、快捷的特點,很多網站和郵件收發工具中都設置了“自動回復”功能,這雖然方便,但是如果兩個聯系人之間都設置了“自動回復”,想想看有何后果?恐怕雙方的郵箱中都是一些“自動回復”的垃圾信件。換句話說,此功能使用不當,人人都會變成垃圾郵件發送者。
八、發現收集或出售電子郵件地址的網站或消息,請告訴相應的主頁提供商或主頁管理員,將您刪除,以避免郵件地址被他們利用。
九、用專門的郵箱進行私人通信,而用其他郵箱訂閱電子雜志。
木馬防御技巧之Wincfg和Svhost后門清除
[ 2007-03-25 03:15:25 | 作者: sun ]
最近發現有一種木馬:包括的進程名字有:Wincfgs.exe和Svchost.EXE。
目前發現的現象是:啟動時候會自動彈出記事本,且會在進程的啟動項中多增加Adobe的進程,不過Adobe是被木馬調用的,本身不是木馬。(這是很菜的木馬,一般按我提供以下方法可以清除)
個人分析:這種木馬很可能是通過WORD文件在磁盤介質進程傳播。警告大家在使用U盤,軟盤拷貝WORD和其他文本文件時候,最好先殺毒。
以下是手動清除:在清除前請在文件夾選項里設置“顯示所有文件”和顯示“隱藏受保護的操作系統文件”。
(1)清除Svchost.exe
windows\system32里面的svchost.exe一般是正常的系統程序。如果在在WINDOWS目錄下的,如果發現svchost.exe,先結束掉系統進程,在把該文件刪除(注意:在XP系統中,很多個的進程都是svchost,但一般的系統進程用戶都是SYSTEM,如果該進程是與你的用戶名字使用,說明是木馬程序)
(2)清除Wincfgs.exe
Wincfgs.exe文件一般是在WINDOWS-\SYSTEM32目錄下,也同樣是先結束進程,再刪除該文件。
然后進入注冊表:regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
中,如果出現上面2個進程名字,則刪除鍵屬性值。
同樣進入MSCONFIG,把啟動項的鉤去掉。然后重新啟動。
目前發現的現象是:啟動時候會自動彈出記事本,且會在進程的啟動項中多增加Adobe的進程,不過Adobe是被木馬調用的,本身不是木馬。(這是很菜的木馬,一般按我提供以下方法可以清除)
個人分析:這種木馬很可能是通過WORD文件在磁盤介質進程傳播。警告大家在使用U盤,軟盤拷貝WORD和其他文本文件時候,最好先殺毒。
以下是手動清除:在清除前請在文件夾選項里設置“顯示所有文件”和顯示“隱藏受保護的操作系統文件”。
(1)清除Svchost.exe
windows\system32里面的svchost.exe一般是正常的系統程序。如果在在WINDOWS目錄下的,如果發現svchost.exe,先結束掉系統進程,在把該文件刪除(注意:在XP系統中,很多個的進程都是svchost,但一般的系統進程用戶都是SYSTEM,如果該進程是與你的用戶名字使用,說明是木馬程序)
(2)清除Wincfgs.exe
Wincfgs.exe文件一般是在WINDOWS-\SYSTEM32目錄下,也同樣是先結束進程,再刪除該文件。
然后進入注冊表:regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
中,如果出現上面2個進程名字,則刪除鍵屬性值。
同樣進入MSCONFIG,把啟動項的鉤去掉。然后重新啟動。
菜鳥電腦木馬查殺大全
[ 2007-03-25 03:15:07 | 作者: sun ]
常在河邊走,哪有不濕腳?所以有時候上網時間長了,很有可能被攻擊者在電腦中種了木馬。如何來知道電腦有沒有被裝了木馬呢?
一、手工方法
1、檢查網絡連接情況
由于不少木馬會主動偵聽端口,或者會連接特定的IP和端口,所以我們可以在沒有正常程序連接網絡的情況下,通過檢查網絡連情情況來發現木馬的存在。具體的步驟是點擊“開始”->“運行”->“cmd”,然后輸入netstat -an這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口,它包含四個部分——proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當前端口狀態)。通過這個命令的詳細信息,我們就可以完全監控電腦的網絡連接情況。
2、查看目前運行的服務
服務是很多木馬用來保持自己在系統中永遠能處于運行狀態的方法之一。我們可以通過點擊“開始”->“運行”->“cmd”,然后輸入“net start”來查看系統中究竟有什么服務在開啟,如果發現了不是自己開放的服務,我們可以進入“服務”管理工具中的“服務”,找到相應的服務,停止并禁用它。
3、檢查系統啟動項
由于注冊表對于普通用戶來說比較復雜,木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下:點擊“開始”->“運行”->“regedit”,然后檢查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。
Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文件看看,在該文件的[boot]字段中,是不是有shell=Explorer.exe file.exe這樣的內容,如有這樣的內容,那這里的file.exe就是木馬程序了!
4、檢查系統帳戶
惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們采用的方法就是激活一個系統中的默認賬戶,但這個賬戶卻很少用的,然后把這個賬戶的權限提升為管理員權限,這個帳戶將是系統中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況,可以用以下方法對賬戶進行檢測。
點擊“開始”->“運行”->“cmd”,然后在命令行下輸入net user,查看計算機上有些什么用戶,然后再使用“net user 用戶名”查看這個用戶是屬于什么權限的,一般除了Administrator是administrators組的,其他都不應該屬于administrators組,如果你發現一個系統內置的用戶是屬于administrators組的,那幾乎可以肯定你被入侵了。快使用“net user用戶名/del”來刪掉這個用戶吧!
如果檢查出有木馬的存在,可以按以后步驟進行殺木馬的工作。
1、運行任務管理器,殺掉木馬進程。
2、檢查注冊表中RUN、RUNSERVEICE等幾項,先備份,記下可以啟動項的地址, 再將可疑的刪除。
3、刪除上述可疑鍵在硬盤中的執行文件。
4、一般這種文件都在WINNT,SYSTEM,SYSTEM32這樣的文件夾下,他們一般不會單獨存在,很可能是有某個母文件復制過來的,檢查C、D、E等盤下有沒有可疑的.exe,.com或.bat文件,有則刪除之。
5、檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項(如Local Page),如果被修改了,改回來就可以。
6、檢查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell
\open\command等等幾個常用文件類型的默認打開程序是否被更改。這個一定要改回來。很多病毒就是通過修改.txt文件的默認打開程序讓病毒在用戶打開文本文件時加載的。
二、利用工具
查殺木馬的工具有LockDown、The Clean、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等,其中有些工具,如果想使用全部功能,需要付一定的費用,木馬分析專家是免費授權使用。
快速關閉端口防止病毒與黑客入侵
[ 2007-03-25 03:14:33 | 作者: sun ]
你的操作系統系統是不是WindowsXP SP1,但是安裝了2005瑞星殺毒軟件后總是提示系統有 MS-4011 Exploit 和Blaster Rpc Exploit 兩個漏洞。
最直接的辦法,把系統不用的端口都關閉掉,然后重新啟動。如果瑞星還提示有漏洞攻擊,就沒辦法了。注:關閉的端口有,135、137、138、139、445、1025、2475、3127、6129、3389、593,還有tcp.
具體操作如下:默認情況下,Windows有很多端口是開放的,在你上網的時候,網絡病毒和黑客可以通過這些端口連上你的電腦。
為了讓你的系統變為銅墻鐵壁,應該封閉這些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后門端口(如 TCP 2745、3127、6129 端口),以及遠程服務訪問端口3389。下面介紹如何在WindowsXP/2000/2003下關閉這些網絡端口:
第一步,點擊“開始”菜單/設置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”,于是彈出一個向導。在向導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加向導”左邊的鉤去掉,然后單擊“添加”按鈕添加新的規則,隨后彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加向導”左邊的鉤去掉,然后再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然后在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕,這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。
點擊“確定”后回到篩選器列表的對話框,可以看到已經添加了一條策略,重復以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,為它們建立相應的篩選器。
重復以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的篩選器,最后點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP 篩選器列表”,然后點擊其左邊的圓圈上加一個點,表示已經激活,最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加向導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作:在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然后點擊“確定”按鈕。
第五步,進入“新規則屬性”對話框,點擊“新篩選器操作”,其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最后回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然后選擇“指派”。
于是重新啟動后,電腦中上述網絡端口就被關閉了,病毒和黑客再也不能連上這些端口,從而保護了你的電腦。
最直接的辦法,把系統不用的端口都關閉掉,然后重新啟動。如果瑞星還提示有漏洞攻擊,就沒辦法了。注:關閉的端口有,135、137、138、139、445、1025、2475、3127、6129、3389、593,還有tcp.
具體操作如下:默認情況下,Windows有很多端口是開放的,在你上網的時候,網絡病毒和黑客可以通過這些端口連上你的電腦。
為了讓你的系統變為銅墻鐵壁,應該封閉這些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后門端口(如 TCP 2745、3127、6129 端口),以及遠程服務訪問端口3389。下面介紹如何在WindowsXP/2000/2003下關閉這些網絡端口:
第一步,點擊“開始”菜單/設置/控制面板/管理工具,雙擊打開“本地安全策略”,選中“IP 安全策略,在本地計算機”,在右邊窗格的空白位置右擊鼠標,彈出快捷菜單,選擇“創建 IP 安全策略”,于是彈出一個向導。在向導中點擊“下一步”按鈕,為新的安全策略命名;再按“下一步”,則顯示“安全通信請求”畫面,在畫面上把“激活默認相應規則”左邊的鉤去掉,點擊“完成”按鈕就創建了一個新的IP 安全策略。
第二步,右擊該IP安全策略,在“屬性”對話框中,把“使用添加向導”左邊的鉤去掉,然后單擊“添加”按鈕添加新的規則,隨后彈出“新規則屬性”對話框,在畫面上點擊“添加”按鈕,彈出IP篩選器列表窗口;在列表中,首先把“使用添加向導”左邊的鉤去掉,然后再點擊右邊的“添加”按鈕添加新的篩選器。
第三步,進入“篩選器屬性”對話框,首先看到的是尋址,源地址選“任何 IP 地址”,目標地址選“我的 IP 地址”;點擊“協議”選項卡,在“選擇協議類型”的下拉列表中選擇“TCP”,然后在“到此端口”下的文本框中輸入“135”,點擊“確定”按鈕,這樣就添加了一個屏蔽 TCP 135(RPC)端口的篩選器,它可以防止外界通過135端口連上你的電腦。
點擊“確定”后回到篩選器列表的對話框,可以看到已經添加了一條策略,重復以上步驟繼續添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,為它們建立相應的篩選器。
重復以上步驟添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的篩選器,最后點擊“確定”按鈕。
第四步,在“新規則屬性”對話框中,選擇“新 IP 篩選器列表”,然后點擊其左邊的圓圈上加一個點,表示已經激活,最后點擊“篩選器操作”選項卡。在“篩選器操作”選項卡中,把“使用添加向導”左邊的鉤去掉,點擊“添加”按鈕,添加“阻止”操作:在“新篩選器操作屬性”的“安全措施”選項卡中,選擇“阻止”,然后點擊“確定”按鈕。
第五步,進入“新規則屬性”對話框,點擊“新篩選器操作”,其左邊的圓圈會加了一個點,表示已經激活,點擊“關閉”按鈕,關閉對話框;最后回到“新IP安全策略屬性”對話框,在“新的IP篩選器列表”左邊打鉤,按“確定”按鈕關閉對話框。在“本地安全策略”窗口,用鼠標右擊新添加的 IP 安全策略,然后選擇“指派”。
于是重新啟動后,電腦中上述網絡端口就被關閉了,病毒和黑客再也不能連上這些端口,從而保護了你的電腦。
多種方法防范非法用戶侵入
[ 2007-03-25 03:14:21 | 作者: sun ]
第一招:屏幕保護
在Windows中啟用了屏幕保護之后,只要我們離開計算機(或者不操作計算機)的時間達到預設的時間,系統就會自動啟動屏幕保護程序,而當用戶移動鼠標或敲擊鍵盤想返回正常工作狀態時,系統就會打開一個密碼確認框,只有輸入正確的密碼之后才能返回系統,不知道密碼的用戶將無法進入工作狀態,從而保護了數據的安全。
提示:部分設計不完善的屏幕保護程序沒有屏蔽系統的“Ctrl+Alt+Del”的組合鍵,因此需要設置完成之后測試一下程序是否存在這個重大Bug。
不過,屏幕保護最快只能在用戶離開1分鐘之后自動啟動,難道我們必須坐在計算機旁等待N分鐘看到屏幕保護激活之后才能再離開嗎?其實我們只要打開Windows安裝目錄里面的system子目錄,然后找到相應的屏幕保護程序(擴展名是SCR),按住鼠標右鍵將它們拖曳到桌面上,選擇彈出菜單中的“在當前位置創建快捷方式”命令,在桌面上為這些屏幕保護程序建立一個快捷方式。此后,我們在離開計算機時雙擊這個快捷方式即可快速啟動屏幕保護。
第二招:巧妙隱藏硬盤
在“按Web頁”查看方式下,進入Windows目錄時都會彈出一句警告信息,告訴你這是系統文件夾如果“修改該文件夾的內容可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,這時單擊“顯示文件”就可以進入該目錄了。原因是在Windows根目錄下有desktop.ini和folder.htt兩個文件作祟。將這兩個文件拷貝到某個驅動器的根目錄下(由于這兩個文件是隱藏文件,之前必須在文件夾選項中單擊“查看”標簽,選擇“顯示所有文件”,這樣就可以看見這兩個文件了)。再按“F5”鍵刷新一下,看看發生了什么,是不是和進入Windows目錄時一樣。
接下來我們用“記事本”打開folder.htt,這是用HTML語言編寫的一個文件,發揮你的想像力盡情地修改吧。如果你不懂HTML語言也沒關系,先找到“顯示文件”將其刪除,找到“修改該文件夾的內可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,將其改為自己喜歡的文字,例如“安全重地,閑雜人等請速離開”,將“要查看該文件夾的內容,請單擊”改為“否則,后果自負!”,接著向下拖動滑塊到倒數第9行,找到“(file://%TEMPLATEDIR%\wvlogo.gif)”這是顯示警告信息時窗口右下角齒輪圖片的路徑,將其改為自己圖片的路徑,例如用“d:\tupian\tupian1.jpg”替換“//”后面的內容,記住這里必須將圖片的后綴名打出,否則將顯示不出圖片。當然,你還可以用像Dreamweaver、FrontPage這樣的網頁工具做出更好的效果,然后只要將原文件拷貝到下面這段文字的后面,覆蓋掉原文件中“~”之間的內容就可以了。
*This file was automatically generated by Microsoft Internet EXPlorer 5.0
*using the file %THISDIRPATH%\folder.htt.
保存并退出,按“F5”鍵刷新一下,是不是很有個性?接下來要作的就是用“超級兔子”將你所要的驅動器隱藏起來,不用重新啟動就可以欣賞自己的作品了。最后告訴大家一招更絕的,就是干脆將folder.htt原文件中“~”之間的內容全部刪除,這樣就會給打開你的驅動器的人造成一種這是一個空驅動器的假象,使其中的文件更安全。
第三招:禁用“開始”菜單命令
在Windows 2000/XP中都集成了組策略的功能,通過組策略可以設置各種軟件、計算機和用戶策略在某種方面增強系統的安全性。運行“開始→運行”命令,在“運行”對話框的“打開”欄中輸入“gpedit.msc”,然后單擊“確定”按鈕即可啟動Windows XP組策略編輯器。在“本地計算機策略”中,逐級展開“用戶配置→管理模板→任務欄和開始菜單”分支,在右側窗口中提供了“任務欄”和“開始菜單”的有關策略。
在禁用“開始”菜單命令的時候,在右側窗口中,提供了刪除“開始”菜單中的公用程序組、“我的文檔”圖標、“文檔”菜單、“網上鄰居”圖標等策略。清理“開始”菜單的時候只要將不需要的菜單項所對應的策略啟用即可,比如以刪除“我的文檔”圖標為例,具體操作步驟為:
1)在策略列表窗口中用鼠標雙擊“從開始菜單中刪除我的文檔圖標”選項。
2)在彈出窗口的“設置”標簽中,選擇“已啟用”單選按鈕,然后單擊“確定”即可。
第四招:桌面相關選項的禁用
Windows XP的桌面就像你的辦公桌一樣,有時需要進行整理和清潔。有了組策略編輯器之后,這項工作將變得易如反掌,只要在“本地計算機策略”中展開“用戶配置→管理模板→桌面”分支,即可在右側窗口中顯示相應的策略選項。
1)隱藏桌面的系統圖標
倘若隱藏桌面上的系統圖標,傳統的方法是通過采用修改注冊表的方式來實現,這勢必造成一定的風險性,采用組策略編輯器,即可方便快捷地達到此目的。
若要隱藏桌面上的“網上鄰居”和“Internet EXPlorer”圖標,只要在右側窗口中將“隱藏桌面上網上鄰居圖標”和“隱藏桌面上的Internet EXPlorer圖標”兩個策略選項啟用即可。如果隱藏桌面上的所有圖標,只要將“隱藏和禁用桌面上的所有項目”啟用即可。當啟用了“刪除桌面上的我的文檔圖標”和“刪除桌面上的我的電腦圖標”兩個選項以后,“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失了。如果在桌面上你不再喜歡“回收站”這個圖標,那么也可以把它給刪除,具體方法是將“從桌面刪除回收站”策略項啟用。
2)禁止對桌面的某些更改
如果你不希望別人隨意改變計算機桌面的設置,請在右側窗口中將“退出時不保存設置”這個策略選項啟用。當你啟用這個了設置以后,其他用戶可以對桌面做某些更改,但有些更改,諸如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷后都無法保存。
第五招:禁止訪問“控制面板”
如果你不希望其他用戶訪問計算機的控制面板,你只要運行組策略編輯器,并在左側窗口中展開“本地計算機策略→用戶配置→管理模板→控制面板”分支,然后將右側窗口的“禁止訪問控制面板”策略啟用即可。
此項設置可以防止控制面板程序文件的啟動,其結果是他人將無法啟動控制面板或運行任何控制面板項目。另外,這個設置將從“開始”菜單中刪除控制面板,同時這個設置還從Windows資源管理器中刪除控制面板文件夾。
提示:如果你想從上下文菜單的屬性項目中選擇一個“控制面板”項目,會出現一個消息,說明該設置防止這個操作。
第六招:設置用戶權限
當多人共用一臺計算機時,在Windows XP中設置用戶權限,可以按照以下步驟進行:
1)運行組策略編輯器程序。
2)在編輯器窗口的左側窗口中逐級展開“計算機配置→Windows設置→安全設置→本地策略→用戶權限指派”分支。
3)雙擊需要改變的用戶權限,單擊“添加用戶或組”按鈕,然后雙擊想指派給權限的用戶賬號,最后單擊“確定”按鈕退出。
第七招:文件夾設置審核
Windows XP可以使用審核跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統關閉或重新啟動以及類似的事件,而審核文件和NTFS分區下的文件夾可以保證文件和文件夾的安全。為文件和文件夾設置審核的步驟如下:
1)在組策略窗口中,逐級展開右側窗口中的“計算機配置→Windows設置→安全設置→本地策略”分支,然后在該分支下選擇“審核策略”選項。
2)在右側窗口中用鼠標雙擊“審核對象訪問”選項,在彈出的“本地安全策略設置”窗口中將“本地策略設置”框內的“成功”和“失敗”復選框都打上勾選標記,然后單擊“確定”按鈕。
3)用鼠標右鍵單擊想要審核的文件或文件夾,選擇彈出菜單的“屬性”命令,接著在彈出的窗口中選擇“安全”標簽。
4)單擊“高級”按鈕,然后選擇“審核”標簽。
5)根據具體情況選擇你的操作:
倘若對一個新組或用戶設置審核,可以單擊“添加”按鈕,并且在“名稱”框中鍵入新用戶名,然后單擊“確定”按鈕打開“審核項目”對話框。
要查看或更改原有的組或用戶審核,可以選擇用戶名,然后單擊“查看/編輯”按鈕。
要刪除原有的組或用戶審核,可以選擇用戶名,然后單擊“刪除”按鈕即可。
6)如有必要的話,在“審核項目”對話框中的“應用到”列表中選取你希望審核的地方。
7)如果想禁止目錄樹中的文件和子文件夾繼承這些審核項目,選擇“僅對此容器內的對象和/或容器應用這些審核項”復選框。
注意:必須是管理員組成員或在組策略中被授權有“管理審核和安全日志”權限的用戶可以審核文件或文件夾。在Windows XP審核文件、文件夾之前,你必須啟用組策略中“審核策略”的“審核對象訪問”。否則,當你設置完文件、文件夾審核時會返回一個錯誤消息,并且文件、文件夾都沒有被審核。
在Windows中啟用了屏幕保護之后,只要我們離開計算機(或者不操作計算機)的時間達到預設的時間,系統就會自動啟動屏幕保護程序,而當用戶移動鼠標或敲擊鍵盤想返回正常工作狀態時,系統就會打開一個密碼確認框,只有輸入正確的密碼之后才能返回系統,不知道密碼的用戶將無法進入工作狀態,從而保護了數據的安全。
提示:部分設計不完善的屏幕保護程序沒有屏蔽系統的“Ctrl+Alt+Del”的組合鍵,因此需要設置完成之后測試一下程序是否存在這個重大Bug。
不過,屏幕保護最快只能在用戶離開1分鐘之后自動啟動,難道我們必須坐在計算機旁等待N分鐘看到屏幕保護激活之后才能再離開嗎?其實我們只要打開Windows安裝目錄里面的system子目錄,然后找到相應的屏幕保護程序(擴展名是SCR),按住鼠標右鍵將它們拖曳到桌面上,選擇彈出菜單中的“在當前位置創建快捷方式”命令,在桌面上為這些屏幕保護程序建立一個快捷方式。此后,我們在離開計算機時雙擊這個快捷方式即可快速啟動屏幕保護。
第二招:巧妙隱藏硬盤
在“按Web頁”查看方式下,進入Windows目錄時都會彈出一句警告信息,告訴你這是系統文件夾如果“修改該文件夾的內容可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,這時單擊“顯示文件”就可以進入該目錄了。原因是在Windows根目錄下有desktop.ini和folder.htt兩個文件作祟。將這兩個文件拷貝到某個驅動器的根目錄下(由于這兩個文件是隱藏文件,之前必須在文件夾選項中單擊“查看”標簽,選擇“顯示所有文件”,這樣就可以看見這兩個文件了)。再按“F5”鍵刷新一下,看看發生了什么,是不是和進入Windows目錄時一樣。
接下來我們用“記事本”打開folder.htt,這是用HTML語言編寫的一個文件,發揮你的想像力盡情地修改吧。如果你不懂HTML語言也沒關系,先找到“顯示文件”將其刪除,找到“修改該文件夾的內可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,將其改為自己喜歡的文字,例如“安全重地,閑雜人等請速離開”,將“要查看該文件夾的內容,請單擊”改為“否則,后果自負!”,接著向下拖動滑塊到倒數第9行,找到“(file://%TEMPLATEDIR%\wvlogo.gif)”這是顯示警告信息時窗口右下角齒輪圖片的路徑,將其改為自己圖片的路徑,例如用“d:\tupian\tupian1.jpg”替換“//”后面的內容,記住這里必須將圖片的后綴名打出,否則將顯示不出圖片。當然,你還可以用像Dreamweaver、FrontPage這樣的網頁工具做出更好的效果,然后只要將原文件拷貝到下面這段文字的后面,覆蓋掉原文件中“~”之間的內容就可以了。
*This file was automatically generated by Microsoft Internet EXPlorer 5.0
*using the file %THISDIRPATH%\folder.htt.
保存并退出,按“F5”鍵刷新一下,是不是很有個性?接下來要作的就是用“超級兔子”將你所要的驅動器隱藏起來,不用重新啟動就可以欣賞自己的作品了。最后告訴大家一招更絕的,就是干脆將folder.htt原文件中“~”之間的內容全部刪除,這樣就會給打開你的驅動器的人造成一種這是一個空驅動器的假象,使其中的文件更安全。
第三招:禁用“開始”菜單命令
在Windows 2000/XP中都集成了組策略的功能,通過組策略可以設置各種軟件、計算機和用戶策略在某種方面增強系統的安全性。運行“開始→運行”命令,在“運行”對話框的“打開”欄中輸入“gpedit.msc”,然后單擊“確定”按鈕即可啟動Windows XP組策略編輯器。在“本地計算機策略”中,逐級展開“用戶配置→管理模板→任務欄和開始菜單”分支,在右側窗口中提供了“任務欄”和“開始菜單”的有關策略。
在禁用“開始”菜單命令的時候,在右側窗口中,提供了刪除“開始”菜單中的公用程序組、“我的文檔”圖標、“文檔”菜單、“網上鄰居”圖標等策略。清理“開始”菜單的時候只要將不需要的菜單項所對應的策略啟用即可,比如以刪除“我的文檔”圖標為例,具體操作步驟為:
1)在策略列表窗口中用鼠標雙擊“從開始菜單中刪除我的文檔圖標”選項。
2)在彈出窗口的“設置”標簽中,選擇“已啟用”單選按鈕,然后單擊“確定”即可。
第四招:桌面相關選項的禁用
Windows XP的桌面就像你的辦公桌一樣,有時需要進行整理和清潔。有了組策略編輯器之后,這項工作將變得易如反掌,只要在“本地計算機策略”中展開“用戶配置→管理模板→桌面”分支,即可在右側窗口中顯示相應的策略選項。
1)隱藏桌面的系統圖標
倘若隱藏桌面上的系統圖標,傳統的方法是通過采用修改注冊表的方式來實現,這勢必造成一定的風險性,采用組策略編輯器,即可方便快捷地達到此目的。
若要隱藏桌面上的“網上鄰居”和“Internet EXPlorer”圖標,只要在右側窗口中將“隱藏桌面上網上鄰居圖標”和“隱藏桌面上的Internet EXPlorer圖標”兩個策略選項啟用即可。如果隱藏桌面上的所有圖標,只要將“隱藏和禁用桌面上的所有項目”啟用即可。當啟用了“刪除桌面上的我的文檔圖標”和“刪除桌面上的我的電腦圖標”兩個選項以后,“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失了。如果在桌面上你不再喜歡“回收站”這個圖標,那么也可以把它給刪除,具體方法是將“從桌面刪除回收站”策略項啟用。
2)禁止對桌面的某些更改
如果你不希望別人隨意改變計算機桌面的設置,請在右側窗口中將“退出時不保存設置”這個策略選項啟用。當你啟用這個了設置以后,其他用戶可以對桌面做某些更改,但有些更改,諸如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷后都無法保存。
第五招:禁止訪問“控制面板”
如果你不希望其他用戶訪問計算機的控制面板,你只要運行組策略編輯器,并在左側窗口中展開“本地計算機策略→用戶配置→管理模板→控制面板”分支,然后將右側窗口的“禁止訪問控制面板”策略啟用即可。
此項設置可以防止控制面板程序文件的啟動,其結果是他人將無法啟動控制面板或運行任何控制面板項目。另外,這個設置將從“開始”菜單中刪除控制面板,同時這個設置還從Windows資源管理器中刪除控制面板文件夾。
提示:如果你想從上下文菜單的屬性項目中選擇一個“控制面板”項目,會出現一個消息,說明該設置防止這個操作。
第六招:設置用戶權限
當多人共用一臺計算機時,在Windows XP中設置用戶權限,可以按照以下步驟進行:
1)運行組策略編輯器程序。
2)在編輯器窗口的左側窗口中逐級展開“計算機配置→Windows設置→安全設置→本地策略→用戶權限指派”分支。
3)雙擊需要改變的用戶權限,單擊“添加用戶或組”按鈕,然后雙擊想指派給權限的用戶賬號,最后單擊“確定”按鈕退出。
第七招:文件夾設置審核
Windows XP可以使用審核跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統關閉或重新啟動以及類似的事件,而審核文件和NTFS分區下的文件夾可以保證文件和文件夾的安全。為文件和文件夾設置審核的步驟如下:
1)在組策略窗口中,逐級展開右側窗口中的“計算機配置→Windows設置→安全設置→本地策略”分支,然后在該分支下選擇“審核策略”選項。
2)在右側窗口中用鼠標雙擊“審核對象訪問”選項,在彈出的“本地安全策略設置”窗口中將“本地策略設置”框內的“成功”和“失敗”復選框都打上勾選標記,然后單擊“確定”按鈕。
3)用鼠標右鍵單擊想要審核的文件或文件夾,選擇彈出菜單的“屬性”命令,接著在彈出的窗口中選擇“安全”標簽。
4)單擊“高級”按鈕,然后選擇“審核”標簽。
5)根據具體情況選擇你的操作:
倘若對一個新組或用戶設置審核,可以單擊“添加”按鈕,并且在“名稱”框中鍵入新用戶名,然后單擊“確定”按鈕打開“審核項目”對話框。
要查看或更改原有的組或用戶審核,可以選擇用戶名,然后單擊“查看/編輯”按鈕。
要刪除原有的組或用戶審核,可以選擇用戶名,然后單擊“刪除”按鈕即可。
6)如有必要的話,在“審核項目”對話框中的“應用到”列表中選取你希望審核的地方。
7)如果想禁止目錄樹中的文件和子文件夾繼承這些審核項目,選擇“僅對此容器內的對象和/或容器應用這些審核項”復選框。
注意:必須是管理員組成員或在組策略中被授權有“管理審核和安全日志”權限的用戶可以審核文件或文件夾。在Windows XP審核文件、文件夾之前,你必須啟用組策略中“審核策略”的“審核對象訪問”。否則,當你設置完文件、文件夾審核時會返回一個錯誤消息,并且文件、文件夾都沒有被審核。
金豬報喜專殺工具 與 金豬報喜防范
[ 2007-03-25 03:14:07 | 作者: sun ]
1月30日,江民科技反病毒中心監測到,肆虐互聯網的“熊貓燒香”又出新變種。此次變種把“熊貓燒香”圖案變成“金豬報喜”。江民反病毒專家提醒用戶,春節臨近,謹防春節期間病毒借人們互致祝福之際大面積爆發。
專家介紹,“熊貓燒香”去年11月中旬被首次發現,短短兩個月時間,新老變種已達700多種個,據江民反病毒預警中心監測到的數據顯示,“熊貓燒香”病毒去年12月一舉闖入病毒排名前20名,1月份更是有望進入前10名。疫情最嚴重的地區分別為:廣東、山東、江蘇、北京和遼寧。
中了該毒后請不要慌張,也不要急于怎么處理,應該報有平常心來對待,下面我來說下中了“金豬報喜”后的癥狀:
所有根目錄及移動存儲生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
刪除隱藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
創建啟動項:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夾隱藏選項
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
嘗試關閉窗口
QQKav、QQAV、天網防火墻進程、VirusScan、網鏢殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、木馬清道夫、QQ病毒注冊表編輯器、系統配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任務管理器、esteem procs、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、小沈Q盜殺手、pjf(ustc)、IceSword
嘗試關閉進程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
刪除以下啟動項
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
專家介紹,“熊貓燒香”去年11月中旬被首次發現,短短兩個月時間,新老變種已達700多種個,據江民反病毒預警中心監測到的數據顯示,“熊貓燒香”病毒去年12月一舉闖入病毒排名前20名,1月份更是有望進入前10名。疫情最嚴重的地區分別為:廣東、山東、江蘇、北京和遼寧。
中了該毒后請不要慌張,也不要急于怎么處理,應該報有平常心來對待,下面我來說下中了“金豬報喜”后的癥狀:
所有根目錄及移動存儲生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
刪除隱藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
創建啟動項:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夾隱藏選項
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
嘗試關閉窗口
QQKav、QQAV、天網防火墻進程、VirusScan、網鏢殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優化大師、木馬克星、木馬清道夫、木馬清道夫、QQ病毒注冊表編輯器、系統配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任務管理器、esteem procs、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、小沈Q盜殺手、pjf(ustc)、IceSword
嘗試關閉進程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
刪除以下啟動項
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
反思熊貓燒香病毒給我們的啟示錄
[ 2007-03-25 03:13:36 | 作者: sun ]
隨著“熊貓燒香”作者承諾不在更新新的版本,一場轟轟烈烈“殺貓”大戰看似已經逐漸平靜下來。但是這場風波帶給我們的啟示確不應該讓大家這么快的忘記……
熊貓本身
在這個“金錢至上”的年代,“熊貓”確是一個非常另類的病毒。因為它的最終目的不是為得到經濟利益。難道“熊貓”是回到早先的黑客們為錄炫耀自己的技術而誕生的?或者是作者為了對早期黑客單純目的表示敬意?但是從目前我們能看到的信息來看,作者的目的是對普通用戶的一次警醒,更是對安全廠商的一次嘲弄!從技術上來說該病毒并沒有什么創新之處,但是它卻借鑒很多經典病毒,木馬甚至是劫持軟件的長處。這樣一個沒有尖端技術卻擁有最成熟技術的病毒綜合體來到我們面前。
“熊貓燒香”的名字的由來應該是被病毒感染后EXE文件圖標會變成一個動態的在燒香熊貓。但是大家有沒有想過作者為什么要如此煞費苦心的突出這個熊貓呢?而這個燒香熊貓到底如此“虔誠”的在祈求什么呢?這答案值得每個人細細品位。
用戶
“熊貓”很厲害但是跟以往病毒大規模感染不同,用戶明顯分成2個陣營一個根本不知“熊貓”為何物一個被這只熊貓折磨的痛苦不堪。為什么會這樣呢?感染熊貓后清除是極其麻煩的,顯然沒有什么機器能幸免,那問題一定都出在“防”上!“熊貓”猶如一柄石中劍,它考驗用戶的機器綜合安全體系以及上網習慣。
廠商
面對反病毒技術沒有突破性的進步,面對廠商的一次一次升級一次一次的廣告攻勢。面對用戶的盲從。這只熊貓代來了“諷刺”也帶來了答案!任何一個技術單一拿出來安全軟件都能應付,但是綜合到一起了呢?經濟利益推動的升級在這只熊貓面前漏出本來的面目……熊貓不是賣點,它僅是測試,安全對軟件的測試。
沒有走遠的熊貓
“熊貓燒香”作者承諾不在更新新的版本。但是不要指望你會擺脫它的困擾,因為有更有的“非標準”版本在醞釀而且更可怕并不是“熊貓“本身而是在病毒/木馬制作思路上的變化,以后用多少新的病毒/木馬會借鑒“熊貓”的經驗呢?一切才剛剛開始!
應對
目前所有的下載網站殺毒軟件的下載有非常熱門,可見用戶對其投入的關注度已經非常高。但是補丁,防火墻的下載卻相對很少,這正體現目前用戶安全防御上蹩腳走路的狀況。但是以后要面對的將考驗你安全上的綜合措施,僅僅依靠一個或幾個殺毒軟件帶給你的將不在是安全。
熊貓本身
在這個“金錢至上”的年代,“熊貓”確是一個非常另類的病毒。因為它的最終目的不是為得到經濟利益。難道“熊貓”是回到早先的黑客們為錄炫耀自己的技術而誕生的?或者是作者為了對早期黑客單純目的表示敬意?但是從目前我們能看到的信息來看,作者的目的是對普通用戶的一次警醒,更是對安全廠商的一次嘲弄!從技術上來說該病毒并沒有什么創新之處,但是它卻借鑒很多經典病毒,木馬甚至是劫持軟件的長處。這樣一個沒有尖端技術卻擁有最成熟技術的病毒綜合體來到我們面前。
“熊貓燒香”的名字的由來應該是被病毒感染后EXE文件圖標會變成一個動態的在燒香熊貓。但是大家有沒有想過作者為什么要如此煞費苦心的突出這個熊貓呢?而這個燒香熊貓到底如此“虔誠”的在祈求什么呢?這答案值得每個人細細品位。
用戶
“熊貓”很厲害但是跟以往病毒大規模感染不同,用戶明顯分成2個陣營一個根本不知“熊貓”為何物一個被這只熊貓折磨的痛苦不堪。為什么會這樣呢?感染熊貓后清除是極其麻煩的,顯然沒有什么機器能幸免,那問題一定都出在“防”上!“熊貓”猶如一柄石中劍,它考驗用戶的機器綜合安全體系以及上網習慣。
廠商
面對反病毒技術沒有突破性的進步,面對廠商的一次一次升級一次一次的廣告攻勢。面對用戶的盲從。這只熊貓代來了“諷刺”也帶來了答案!任何一個技術單一拿出來安全軟件都能應付,但是綜合到一起了呢?經濟利益推動的升級在這只熊貓面前漏出本來的面目……熊貓不是賣點,它僅是測試,安全對軟件的測試。
沒有走遠的熊貓
“熊貓燒香”作者承諾不在更新新的版本。但是不要指望你會擺脫它的困擾,因為有更有的“非標準”版本在醞釀而且更可怕并不是“熊貓“本身而是在病毒/木馬制作思路上的變化,以后用多少新的病毒/木馬會借鑒“熊貓”的經驗呢?一切才剛剛開始!
應對
目前所有的下載網站殺毒軟件的下載有非常熱門,可見用戶對其投入的關注度已經非常高。但是補丁,防火墻的下載卻相對很少,這正體現目前用戶安全防御上蹩腳走路的狀況。但是以后要面對的將考驗你安全上的綜合措施,僅僅依靠一個或幾個殺毒軟件帶給你的將不在是安全。
