个人计算机安全防护

个人计算机安全防护,滨州学院计算机网络安全协会,内容提要,操作系统安全网络协议与系统服务安全使用本地安全策略安全上网安全使用网络银行QQ安全攻略判断病毒和木马文件恢复无线网络安全,一、操作系统安全,设置用户账号对于一个刚安装完的系统，如果没有设置我们都是以administration这个超级管理员用户登录的，此用户对计算机有完全的操作权限，因此如果我们以此用户登录个人计算机如果中了木马病毒等，对计算机和个人信息安全会造成严重的损害，因此我们要设置一个常用用户账号并对其加密，超级管理员也要加密，并且密码设置的尽量复杂。更改administrator的用户名。,一、操作系统安全,清理用户开始=运行=lusrmgr.msc=确定=本地用户和组=用户保留系统管理员账号、来宾账号、常用账号，其余账号删除。或者打开计算机管理进入本地用户和组,一、操作系统安全,密码设置规则（1）选择较长的口令，大多数系统都接受长字符串的口令。口令越长，要猜出或试出它所有的可能组合就越难。（2）口令最好选用字母和数字等字符的多种组合方式，避免口令字符单一化。（3）最好不要单纯使用自己的名字、生日、电话号码和简单英语单词，因为这些都是容易被别人猜到的信息。（4）经常更换口令，如一个月换一次，避免一个口令在长期使用的过程中被人破译获取。,一、操作系统安全,关闭默认共享致命漏洞IPC$其实IPC$漏洞不是一个真正意义的漏洞.通常说的IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话.空会话是在未提供用户名和密码的情况下与服务器建立的会话.利用空会话我们可以做很多事比如:查看远程主机共享.得到远程主机用户名原本这些功能是用来方便管理员的.不过问题也就出现在这里.如果你主机的管理员密码过于简单黑客就可以通过一些工具(比如:流光)破解管理员密码.进而轻松的控制整台主机所以这个漏洞不能不防。一般的系统当中是存在默认的共享的,我们需要手动关闭他1.先察看本地共享资源运行-cmd-输入netshare,一、操作系统安全,关闭默认共享2.删除共享(每次输入一个）netshareadmin$/deletenetsharec$/deletenetshared$/delete（如果有e,f,可以继续删除）这样就可以删除了,依次把所有的删除就OK了3.删除ipc$空连接在运行内输入regedit这是进来注册表的命令,也可以在SYSTEM32件夹中找到。在注册表中找到HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA项里的值名称RestrictAnonymous的数值数据由0改为1，退出就行了,一、操作系统安全,关闭自动播放很多U盘病毒利用windows自带的自动播放功能激活传播病毒，因此有必要关闭自动播放功能。Windows7系统已经禁止了自动播放功能，在这里我们讲一下windowsXP下如何禁用自动播放。运行中输入gpedit.msc打开组策略，然后，选择“用户配置”“管理模版”“系统”“关闭自动播动”，接着，双击“关闭自动播放”，调出属性，在设置选项卡中选择“已启用”，关闭自动播放列表框中，选择“所有驱动器”。,一、操作系统安全,二、网络协议与系统服务安全,关闭不需要的协议对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS.,二、网络协议与系统服务安全,常见端口的关闭关闭本机不用的端口，这是防范木马的第一道防线。默任状态下Windows有很多端口是开放的，在你上网的时候，木马、病毒和黑客就可以通过这些端口连上你的电脑，为了保护你的系统，应该封闭这些端口。主要有：TCP：139、445、593、1025端口和UDP：123、137、138、445、1900端口以及远程服务访问端口3389。其中137、138、139、445端口都是为共享而开的，是NetBios协议的应用，你应该禁止别人共享你的机器，所以要把这些端口全部关闭,二、网络协议与系统服务安全,关闭自己的139端口前面说到IPC$漏洞使用的就是是139,445端口。关闭139端口的方法：打开“网络和共享中心”选择左侧的“更改适配器连接”中选取“本地连接”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口.,二、网络协议与系统服务安全,关闭445端口HKEY_LOCAL_MACHINESYSTEMCurrent-ControlSetServicesNetBTParameters添加双字节值SMBDeviceEnabled，值为0,二、网络协议与系统服务安全,关闭135端口135端口就是用于远程的打开对方的telnet服务，用于启动与远程计算机的RPC（RemoteProcedureCall，远程过程调用）连接，很容就可以就侵入电脑。大名鼎鼎的“冲击波”就是利用135端口侵入的。135的作用就是进行远程，可以在被远程的电脑中写入恶意代码，危险极大。1、单击“开始”“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。2、在弹出的“组件服务”对话框中，选择“计算机”选项。3、在“计算机”选项右边，右键单击“我的电脑”，选择“属性”4、在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。5、选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。,二、网络协议与系统服务安全,关闭135端口,二、网络协议与系统服务安全,关闭3389端口3389端口是Windows2000(2003)Server远程桌面的服务端口，可以通过这个端口,用“远程桌面”等连接工具来连接到远程的服务器，如果连接上了，输入系统管理员的用户名和密码后，将变得可以像操作本机一样操作远程的电脑。关闭方法：我的电脑上点右键选属性-远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。,二、网络协议与系统服务安全,关闭系统不必要的服务1.NetMeetingRemoteDesktopSharing:允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。2.UniversalPlugandPlayDeviceHost:此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台WinXP系统的网络发送一个虚假的UDP包，就可能会造成这些WinXP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包，令Location域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源(需要安装硬件时需手动开启)。,二、网络协议与系统服务安全,关闭系统不必要的服务3.Messenger:俗称信使服务，电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的NetSend和Alerter服务消息，此服务与WindowsMessenger无关。如果服务停止，Alerter消息不会被传输)。这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为信使服务。而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。4.TerminalServices:允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。如果你不使用WinXP的远程控制功能，可以禁止它。,二、网络协议与系统服务安全,关闭系统不必要的服务5.RemoteRegistry:使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。6.FastUserSwitchingCompatibility:在多用户下为需要协助的应用程序提供管理。WindowsXP允许在一台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击开始注销快速切换，在传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。如果不经常使用，可以禁止该服务。或者在控制面板用户账户更改用户登录或注销方式中取消使用快速用户切换。,二、网络协议与系统服务安全,关闭系统不必要的服务7.Telnet:允许远程用户登录到此计算机并运行程序，并支持多种TCP/IPTelnet客户，包括基于UNIX和Windows的计算机。又一个危险的服务，如果启动，远程用户就可以登录、访问本地的程序，甚至可以用它来修改你的ADSLModem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用，否则一定要禁止它。8.PerformanceLogsAndAlerts:收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据，坚决禁止它。9.RemoteDesktopHelpSessionManager:如果此服务被终止，远程协助将不可用。10.TCP/IPNetBIOSHelper:NetBIOS在Win9X下就经常有人用它来进行攻击，对于不需要文件和打印共享的用户，此项也可以禁用。,三、使用本地安全策略,打开本地安全策略控制面板管理工具本地安全策略,三、使用本地安全策略,账户策略1.密码必须符合复杂要求性启用2.密码最小值3.密码最长使用期限我是默认设置42天4.密码最短使用期限0天5.强制密码历史记住0个密码6.用可还原的加密来存储密码禁用,三、使用本地安全策略,审核策略1.审核策略更改成功，失败2.审核登陆事件成功，失败3.审核对象访问失败4.审核跟踪过程无审核5.审核目录服务访问失败6.审核特权使用失败7.审核系统事件成功，失败8.审核帐户登陆事件成功，失败9.审核帐户管理成功，失败,三、使用本地安全策略,安全选项1.网络访问.不允许SAM帐户的匿名枚举启用2.网络访问.可匿名的共享将后面的值删除3.网络访问.可匿名的命名管道将后面的值删除4.网络访问.可远程访问的注册表路径将后面的值删除5.网络访问.可远程访问的注册表的子路径将后面的值删除6.网络访问.限制匿名访问命名管道和共享启用7.帐户.重命名来宾帐户guest最好写一个自己能记住中文名8.帐户.重命名系统管理员帐户建议取中文名,三、使用本地安全策略,用户权限分配1.从网络访问计算机里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID2.从远程系统强制关机Admin帐户也删除,一个都不留3.拒绝从网络访问这台计算机将ID删除4.从网络访问此计算机Admin也可删除,如果你不使用类似3389服务5.通过终端允许登陆删除RemoteDesktopUsers,四、安全上网,禁用cookiecookie里面保存着我们所浏览过的网页的记录，假若让别有用心的人看到了这些信息，他们就达到了刺探信息的目的，现在针对cookie的攻击不在少数，这些黑手通过下载网络数据库的方法下载本地计算机上的cookie，包括我们的浏览信息，我们的服务器后台信息，我们的管理员账号甚至我们的银行密码等等。进入注册表编辑器，依次展开“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/InternetSettings/Cache/SpecialPaths/Cookies”分支，右键单击“Cookies”，然后单击快捷菜单中的“删除”命令，当系统提示确认删除时，请单击“是”按钮；关闭“注册表编辑器”窗口,四、安全上网,浏览器推荐chrome浏览器火狐浏览器360安全浏览器,四、安全上网,安全下载软件网站推荐华军软件园,四、安全上网,推荐使用国外著名杀毒软件BitDefender，来自罗马尼亚，连续三年第一。卡巴斯基NOD32McAfree杀毒软件一定要定时升级360安全卫士、360保险箱免费杀毒软件下载网站：丁香鱼工作室,五、安全使用网上银行,一、不要从百度或者谷歌中搜索网上银行主页，因为这些链接中很有可能有很多钓鱼网站，最好是直接在地址栏输入网上银行的网址。二、切记，帐号密码，对任何人，任何情况来说，都十分重要，对网银就更是如此，请注意务必不要将自己的银行卡帐号使用与生日、电话号码、门牌号相关的数字来表示。当你一段失窃，与你相关的这些字串，最容易被偷窃者猜解。三、使用软键盘，在网上银行登录页面输入账户和密码时，最好使用软键盘来实现。通过软键盘来输入密码可以有效地防止那些通过记录键盘击键记录来达到盗取密码的恶意程序。四、登录网上银行退出后，我们最好将登录网上银行的历史记录清除掉，可以用360安全卫士的痕迹清理功能清除，特别注意要清除cookie信息。,五、安全使用网络银行,五、网上银行通常分大众版和专业版，其中最容易被盗的，是大众版。登录大众版，只需要IE浏览器就可以了。大众版通常采用ssl加密传输，加密可以防止你的帐号密码在网络传输的过程中被嗅探。但不能防止网银木马的键盘捕捉，攻击者还是可以使用键盘记录器将击键动作记录，再将记录的日志进行分析，从中获取银行卡号和密码。这里最重要的安全环节，就是尽量不要使用网银的大众版，因为大众版的证书是公开的，任何人都可以用浏览器下载安装大众版的证书，再使用卡号密码来登录。如果要用，也建议使用二级密码，即查询密码和取款密码不同。这样设计可以减小支付时被盗的机会，但不能杜绝。推荐大家使用网上银行的专业版，专业版必须由本人持有效证件去银行柜台申请，最安全的一种是移动型数字证书（U盘证书），和文件型证书保存在电脑上不同，移动型证书是保存在特制的U盘上的。当你用完网银业务，只需要拔掉U盘，网银客户端就不能登录了。,五、安全使用网上银行,当你使用文件型网银证书时，证书的导出、恢复，要求有移动的存储设备，即：你不能将证书导出备份到本地硬盘，你必须此时拿出一个可用的移动存储设备。切记，导出的证书，用完就建议删除。千万不要将自己导出证书时给系统设定的几个问题和答案记录在文件中，又将文件保存在电脑上。几个简单的问题，一定要记在脑子里，至少记在重要的纸质媒体上，并且，简单的搞个加密，别弄个标题就是，我的网银帐号之类如果你使用的网银支付和手机、邮箱关联，请一定要用好这个功能，这个功能通常是免费的。当你的工资到帐、或有用银行卡支付、或恢复证书操作时，你会收到手机短信。以提醒你，当前刚发生交易，请确认。当你发现异常时，可立即联系银行冻结帐户。防止通过QQ等网银诈骗建议使用例如360保险箱之类的保护软件，如果支持其他浏览器，尽量不要使用IE,六、QQ安全攻略,设置密码保护QQ尾巴病毒发送的消息主要有四类：1、病毒网址链接：发送过来的消息中带有病毒链接，用户点击后就会感染新的病毒，成为一个病毒传播者。2、广告网址链接：这类消息中的链接没有病毒，只是发送的链接都带有广告性质，用户点击后就会给网站带来不错的流量，从而兑换成利益。曾经在QQ上广为流传的“送5位QQ号”的广告消息就属于这一类。3、话费陷阱：这是目前最为流行的一种QQ病毒，其内容以留言为幌子，要求用户拨打一个电话号码才能收听到该留言（如图5）。如果你抱着试一试的心态拨打了这个电话，那么换来的就是高额的话费损失。,六、QQ安全攻略,4、诈骗信息：“在吗？能帮我个忙吗?我朋友叫我帮他汇500块钱(急)我这边不方便，你帮我汇好吗?他是工行的卡6222001505100062083他叫张庆如果去银行的话记得带身份证。或者直接在工行ATM上转都可以的路上小心.汇好了直接给我QQ留言,我的手机没带.晚点我再联系你，拜托了.”，这个QQ病毒的口气可谓相当好，还让你路上小心，真够体贴，但如果你把他当成一个久未联系的好友而帮了这个忙，那么我保证他肯定不会谢你。QQ被盗原因：1、下载文件检查不严：目前QQ病毒的传播方式是多种多样的，其中网络是其传播的最大途径。有些朋友从网站上下载软件后，不考虑就双击运行，这是很危险的，说不定QQ病毒就在你的系统中安营扎寨了。解决方法：从正规的下载网站或者熟悉的网站下载软件。2、浏览了带病毒的网站：网页木马是目前最流行的黑客攻击方式，利用IE浏览器的漏洞，将病毒和木马嵌入网页中，用户只要浏览网页就会感染病毒。如果你的爱好是到处逛网站，那么中毒的概率就要比别人高很多。解决方法：安装杀毒软件并及时更新其病毒库，少逛自己不熟悉的网站。,六、QQ安全攻略,3、QQ好友的病毒链接：QQ好友发送过来一条链接，内容很诱人，但是链接地址却是你不熟悉的，那么这个时候你会选择点还是不点呢？QQ病毒的传播正是利用了这个原理，中毒后的QQ会向所有的好友发送带病毒的链接，并以诱惑性的词汇引诱用户点击，如果你点击了，那么你就会感染上QQ病毒，成为一个病毒感染者。解决方法：对于QQ上好友发送过来的链接地址一定要慎重，可以询问该好友链接的内容，如果是QQ病毒在幕后作祟，则不可能回答你的提问。一定要确定链接地址安全后才可以点击。4、“裸奔”上网：这里所谓的“裸奔”是指不装杀毒软件，不装网络防火墙，不装其他类型安全防护工具，这是计算机初学者的通病。不做一点安全防护工作就浏览网页和下载软件是相当不明智的一种做法。用不了多久，你的系统就会成为病毒和木马的聚集地。解决方法：安装杀毒软件以及网络防火墙，前者可以监控并清除病毒，后者可以拦截来自黑客以及蠕虫病毒的攻击。5、接收不明文件。确认文件安全，查看大小、下载后用杀毒软件查杀,六、QQ安全攻略,安全防范使用复杂的密码在公共网络环境下使用软键盘输入密码使用360保险箱、qq医生等退出时删除聊天记录,六、QQ安全攻略,5、漏洞百出的系统：Windows系统的漏洞造成了蠕虫病毒的疯狂传播，黑客也会利用漏洞将QQ病毒制作成蠕虫病毒，这样QQ病毒就有了自动传播的能力。解决方法：开启系统的“自动更新”功能（如图8）。右键点击“我的电脑”“属性”，切换到“自动更新”标签，选中其中的“自动（推荐）”选项，这样系统就会自动下载安全补丁并更新了。,七、判断病毒和木马,从进程信息中判断病毒进程隐藏三法：1.以假乱真系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么？这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。,七、判断病毒和木马,2.偷梁换柱如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢？非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下（Windows2000则是C:WINNTsystem32目录），如果病毒将自身复制到“C:WINDOWS”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗？3.除了上文中的两种方法外，病毒还有一招终极大法借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。,七、判断病毒和木马,常见病毒进程svchost.exe：常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。explorer.exe：常被病毒冒充的进程名有：iexplorer.exe、expiorer.exe、explore.exe。iexplore.exe：常被病毒冒充的进程名有：iexplorer.exe、iexploer.exerundll32.exe：常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。spoolsv.exe：常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。关于常见进程的介绍就到这里，我们平时在检查进程的时候如果发现有可疑，只要根据两点来判断：1.仔细检查进程的文件名；2.检查其路径。通过这两点，一般的病毒进程肯定会露出马脚。,八、数据恢复,RecoverMyFiles软件RecoverMyFiles可以恢复由于冒失删除的文档，甚至是磁盘格式化后的文件恢复工具，它可以自定义搜索的文件夹、文件类型，以提高搜索速度及准确性节约时间。在搜索过程中，提供了大量的信息，包括：文件名、文件/目录、尺寸、相关日期、状态、对一般性文档可直接预览等，让你更好地选择要恢复的文件。,八、数据恢复,FinalRecovery软件FinalRecovery是一个功能强大而且非常容易使用的数据恢复工具,它可以帮助你快速的找回被误删除的文件或者文件夹,支持FAT12,FAT16,FAT32和NTFS文件系统,不论你的文件或者文件夹是在命令行模式中,或者是在资源管理器,其他应用程序中删除的,就算已经清空了回收站,它也可以帮助你安全并完整的找回来!全面保护你的数据安全!另外新版的还增加了硬盘健康诊断功能，采用数据安全技术S.M.A.R.T（自监测、分析、报告技术），在硬盘工作的时候监测系统对电机、电路、磁盘、磁头的状态进行分析，当有异常发生的时候就会发出警告，有的还会自动降速并备份数据。让你可以看到自己的硬盘健康状况，及时未雨绸缪。,八、数据恢复,八、数据恢复