计算机管理与维护PPT课件

一些基本的命令往往可以在保护网络安全上起到很大的作用 下面几条命令的作用就非常突出 三个小命令检查电脑是否被安装木马 一 检测网络连接如果你怀疑自己的计算机上被别人安装了木马 或者是中了病毒 但是手里没有完善的工具来检测是不是真有这样的事情发生 那可以使用Windows自带的网络命令来看看谁在连接你的计算机 三个小命令检查电脑是否被安装木马 具体的命令格式是 netstat an这个命令能看到所有和本地计算机建立连接的IP 它包含四个部分 proto 连接方式 localaddress 本地连接地址 foreignaddress 和本地建立连接的地址 state 当前端口状态 通过这个命令的详细信息 我们就可以完全监控计算机上的连接 从而达到控制计算机的目的 三个小命令检查电脑是否被安装木马 二 禁用不明服务很多朋友在某天系统重新启动后会发现计算机速度变慢了 不管怎么优化都慢 用杀毒软件也查不出问题 这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务 比如IIS信息服务等 这样你的杀毒软件是查不出来的 但是别急 可以通过 netstart 来查看系统中究竟有什么服务在开启 如果发现了不是自己开放的服务 我们就可以有针对性地禁用这个服务了 三个小命令检查电脑是否被安装木马 方法就是直接输入 netstart 来查看服务 再用 netstopserver 来禁止服务 三个小命令检查电脑是否被安装木马 三 轻松检查账户很长一段时间 恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机 他们采用的方法就是激活一个系统中的默认账户 但这个账户是不经常用的 然后使用工具把这个账户提升到管理员权限 从表面上看来这个账户还是和原来一样 但是这个克隆的账户却是系统中最大的安全隐患 恶意的攻击者可以通过这个账户任意地控制你的计算机 三个小命令检查电脑是否被安装木马 为了避免这种情况 可以用很简单的方法对账户进行检测 首先在命令行下输入netuser 查看计算机上有些什么用户 然后再使用 netuser 用户名 查看这个用户是属于什么权限的 一般除了Administrator是administrators组的 其他都不是 如果你发现一个系统内置的用户是属于administrators组的 那几乎肯定你被入侵了 而且别人在你的计算机上克隆了账户 快使用 netuser用户名 del 来删掉这个用户吧 20 tcp数据端口ftp21 tcp文件传输协议 FTP 端口telnet23 tcpTelnet服务是Internet上普遍采用的登录和仿真程序smtp25 tcpmail简单邮件传输协议http80 tcp用于万维网 WWW 服务的超文本传输协议pop3110 tcp邮局协议版本3 tcp ip的各种相关协议及相关端口号 tcp ip的各种相关协议及相关端口号 imap143 tcp互联网消息存取协议要查看端口 可以使用Netstat命令 依次点击 开始 运行 键入 cmd 并回车 打开命令提示符窗口 在命令提示符状态下键入 netstat a n 按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态 默认的情况下 有很多不安全的或没有什么用的端口是开启的 比如Telnet服务的23端口 FTP服务的21端口 SMTP服务的25端口 RPC服务的135端口等等 为了保证系统的安全性 我们可以通过下面的方法来关闭 开启端口 关闭端口比如在Windows2000 XP中关闭SMTP服务的25端口 可以这样做 首先打开 控制面板 双击 管理工具 再双击 服务 接着在打开的服务窗口中找到并双击 SimpleMailTransferProtocol SMTP 服务 单击 停止 按钮来停止该服务 然后在 启动类型 中选择 已禁用 最后单击 确定 按钮即可 80端口是为HTTP HyperTextTransportProtocol 超文本传输协议 开放的 这是上网冲浪使用最多的协议 主要用于在WWW WorldWideWeb 万维网 服务上传输信息的协议 我们可以通过HTTP地址加 80 即常说的 网址 来访问网站的 比如 因为浏览网页服务默认的端口号是80 所以只要输入网址 不用输入 80 端口漏洞 有些木马程序可以利用80端口来攻击计算机的 比如Executor RingZero等 操作建议 为了能正常上网冲浪 我们必须开启80端口 端口漏洞 一般黑客要攻击对方的计算机 都是通过相应的端口扫描工具来获得相关信息 比如使用 流光 就可以利用79端口来扫描远程计算机操作系统版本 135端口端口说明 135端口主要用于使用RPC RemoteProcedureCall 远程过程调用 协议并提供DCOM 分布式组件对象模型 服务 通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码 使用DCOM可以通过网络直接进行通信 能够跨包括HTTP协议在内的多种网络传输 端口漏洞 相信去年很多Windows2000和WindowsXP用户都中了 冲击波 病毒 该病毒就是利用RPC漏洞来攻击计算机的 RPC本身在处理通过TCP IP的消息交换部分有一个漏洞 该漏洞是由于错误地处理格式不正确的消息造成的 该漏洞会影响到RPC与DCOM之间的一个接口 该接口侦听的端口就是135 操作建议 为了避免 冲击波 病毒的攻击 建议关闭该端口137端口端口说明 137端口主要用于 NetBIOSNameService NetBIOS名称服务 属于UDP端口 使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求 就可以获取该计算机的名称 注册用户名 以及是否安装主域控制器 IIS是否正在运行等信息 关闭135端口一 单击 开始 运行 输入 dcomcnfg 单击 确定 打开组件服务 二 在弹出的 组件服务 对话框中 选择 计算机 选项 三 在 计算机 选项右边 右键单击 我的电脑 选择 属性 四 在出现的 我的电脑属性 对话框 默认属性 选项卡中 去掉 在此计算机上启用分布式COM 前的勾 五 选择 默认协议 选项卡 选中 面向连接的TCP IP 单击 删除 按钮 六 单击 确定 按钮 设置完成 重新启动后即可关闭135端口 关闭137 端口漏洞 因为是UDP端口 对于攻击者来说 通过发送请求很容易就获取目标计算机的相关信息 有些信息是直接可以被利用 并分析漏洞的 比如IIS服务 另外 通过捕获正在利用137端口进行通信的信息包 还可能得到目标计算机的启动和关闭的时间 这样就可以利用专门的工具来攻击开始 设置 网络和拨号连接 本地连接 tcp ip属性 高级 wins 选 禁用tcp ip上的netbios 查看当前打开的端口可以用开始 运行 cmd netstat na 139端口端口说明 139端口是为 NetBIOSSessionService 提供的 主要用于提供Windows文件和打印机共享以及Unix中的Samba服务 在Windows中要在局域网中进行文件的共享 必须使用该服务 打开 控制面板 双击 网络连接 图标 打开本地连接属性 接着 在属性窗口的 常规 选项卡中选择 Internet协议 TCP IP 单击 属性 按钮 然后在打开的窗口中 单击 高级 按钮 在 高级TCP IP设置 窗口中选择 WINS 选项卡 在 NetBIOS设置 区域中启用TCP