计算机网络保密全金点子.docx
《计算机网络保密全金点子.docx》由会员分享,可在线阅读,更多相关《计算机网络保密全金点子.docx(61页珍藏版)》请在冰点文库上搜索。
计算机网络保密全金点子
计算机网络保密安全金点子
第一篇 Windows操作系统安全设置
1.更改Administrator帐号密码
Administrator帐号是Windows2000/XP系统内建的管理员用户,具有最大的系统管理权限,作为共知的帐号,容易被黑客软件、病毒软件探测到,造成严重的后果。
建议更改密码,方法如下:
步骤1:
在桌面上左下角单击“开始”,选择“设置”;
步骤2:
在“控制面版”中 选择“用户帐户”;
步骤3:
单击“Administrator计算机管理员密码保护”,选择“更改我的密码”,如图1-1所示,按提示输入8位以上字母、数字混合的密码即可。
图1-1
(提供者:
东北军用物资采购局 李红霞)
2.重新命名系统默认帐户
Windows系统内置了Administrator和Guest帐户,而Administrator是具有全部权限的管理员,通过暴力破解或猜测方法可以得到口令,因此可以通过重命名这两个帐户来解决此类问题。
方法如下:
步骤1:
在桌面上左下角单击“开始”,选择“运行”;
步骤2:
输入gpedit.msc命令,进入组策略编辑器;
步骤3:
依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧窗口中双击“帐户,重命名系统管理员帐户”策略,输入新的管理员名称即可。
如图1-2所示。
图1-2
也可采取同样方法重新命名Guest帐户。
(提供者:
东北军用物资采购局 李红霞,后勤工程学院 刘小兵)
3.停用Guest帐户
Guest帐号是Windows2000/XP系统内建用户,很多恶意程序利用这个疏漏入侵系统实施破坏或窃取信息,建议停用Guest帐号,方法如下:
步骤1:
右击桌面“我的电脑”图标,选择“管理”命令,进入计算机管理窗口;
步骤2:
在“计算机管理”依次展开“系统工具本地用及户组用户”选项;
步骤3:
在右侧窗口双击“Guest”选项,在属性设置对话框中,选择“帐号已停用”选项,单击“确定”按钮即可。
如图1-3所示。
图1-3
(提供者:
东北军用物资采购局 李红霞)
4.限制帐号数量
帐户大多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户权限的可能性一般也就越大。
对于WindowsNT/2000主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量最好不要大于10个,限制帐户数量方法如下:
步骤1:
去掉所有的测试帐户、共享帐号和普通部门帐号等等。
用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。
步骤2:
创建一个一般用户权限帐号用来处理电子邮件和日常事务,另一个拥有Administrator权限的帐户只在需要的时候才使用。
尽量减少超级管理员登录的次数和时间。
(提供者:
直属供应保障局 于征)
5.防止他人使用net命令增加用户权限
步骤:
开始→运行→输入cmd→确定;
进入c:
\windows\system32目录;
输入命令rennet.exenetcmd.exe,按回车即可。
今后使用net命令用netcmd代替,防止其他人使用该命令增加用户权限。
(提供者:
军事医学科学院 王军)
6.如何解决Windows桌面不显示问题?
在开机进入Windows界面时,有时由于计算机感染病毒,导致Windows桌面无法显示,只有一个蓝色背景,计算机不能响应用户的键盘操作。
这时可采用以下步骤恢复Windows桌面:
步骤1:
同时按下键盘中的Ctrl+Alt+Del三个键,出现“Windows安全”对话框;
步骤2:
用鼠标单击“任务管理器”按钮,出现“Windows任务管理器”对话框;
步骤3:
单击“应用程序”标签中的“新任务…”命令按钮;出现“创建新任务”对话框,如图1-4所示;
步骤4:
在“打开”文本框中输入“explorer.exe”,单击“确定”按钮,则熟悉的Windows桌面又出现了!
这时可采取查杀病毒、备份重要文件等应急补救措施对计算机作进一步的处理。
图1-4
(提供者:
军事医学科学院 孟海滨)
7.命令锁定
为防止他人在Dos状态下格式化硬盘或删除文件,可以对相关命令进行锁定,方法如下:
步骤1:
“开始→运行→输入cmd→确定”
步骤2:
输入命令:
C:
\>DOSKEYFORMAT=Badcommandorfilename!
这样,当别人格式化你的硬盘时,系统将会显示:
“Badcommandorfilename!
”,拒绝执行格式化命令。
以上是锁定Format命令,也可以采取相同方法锁定Del命令。
如果要恢复锁定,只需输入C:
\>DOSKEYFORMAT=(回车)
(提供者:
军事医学科学院 王军)
8.利用进行文件保护
EFS(EncryptingFileSystem,加密文件系统)是Windows2000\XP所特有的一个实用功能,对于NTFS卷上的文件和数据,都可以直接加密保存,在很大程度上提高了数据的安全性,为涉密计算机又加入了一道防护墙。
如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。
而其他非授权用户试图访问加密过的数据,就会收到“访问拒绝”的错误提示。
(1)EFS加密
选中NTFS分区中的一个文件,点击鼠标右键,选择“属性”命令,在出现的对话框中点击“常规”选项卡,然后点击“高级”按钮,在出现的对话框中选中“加密内容以便保护数据”选项,点击“确定”即可。
此时你可以发现,加密文件名的颜色变成了绿色,当其他用户登录系统后打开文件时,就会出现“拒绝访问”的提示,这表示加密成功。
而如果想取消该文件的加密,只需将“加密内容以便保护数据”选项去除即可。
(2)EFS解密
如果其他人想共享经过EFS加密的文件或文件夹,又该怎么办呢?
由于重装系统后,SID(安全标示符)的改变会使原来由EFS加密的文件无法打开,所以为了保证别人能共享EFS加密文件或者重装系统后可以打开加密文件,必须要进行备份证书,方法如下:
点击“开始→运行”菜单项,在出现的对话框中输入“certmgr.msc”,回车后,在出现的“证书”对话框中依次双击展开“证书→当前用户→个人→证书”选项,在右侧栏目里会出现以你的用户名为名称的证书。
选中该证书,点击鼠标右键,选择“所有任务→导出”命令,打开“证书导出向导”对话框。
在向导运行过程中,当出现“是否要将私钥跟证书一起导出”提示时,要选择“是,导出私钥”选项,接着会出现向导提示要求输入密码的对话框。
为了安全起见,可以设置证书的安全密码。
当选择好保存的文件名及文件路径后,点击“完成”按钮即可顺利将证书导出,此时会发现在保存路径上出现一个以PFX为扩展名的文件。
当其他用户或重装系统后欲使用该加密文件时,只需记住证书及密码,然后在该证书上点击右键,选择“安装证书”命令,即可进入“证书导入向导”对话框。
按默认状态点击“下一步”按钮,输入正确的密码后,即可完成证书的导入,这样就可顺利打开所加密的文件。
(提供者:
军事医学科学院 王铁成)
9.查找缺损的系统文件
有时,一些系统文件因某些不明原因而损坏,造成系统运行不稳定。
如果此时因个别文件缺损而重装或还原系统,的确有点“杀鸡用牛刀”的感觉。
而利用WindowsXP中的“系统文件检查器”功能可以轻松应对这些难题。
方法如下:
点击“开始→运行”菜单项,在出现的对话框中输入“cmd”,回车后即可进入“命令提示符”窗口。
在提示符后输入“sfc”命令并按下回车键,便可出现该命令各个参数的意义。
例如,在命令提示符后键入“sfc/scannow”命令,回车后,“系统文件检查器”就会开始检查当前的系统文件是否有损坏、版本是否正确,如果发现错误,程序就会要求插入WindowsXP安装光盘来修复或者替换不正确的文件,从而保证了系统的稳定。
(提供者:
军事医学科学院 王铁成)
10.取消Windows2000/XPLM验证机制
Windows2000/XP中对用户帐户的安全管理使用了安全帐号管理器(securityaccountmanager)的机制,安全帐号管理器的具体表现就是C:
\Windows\system32\config\sam文件。
sam文件是Windows2000/XP的用户帐户数据库,所有用户的登录名及口令等相关信息都会保存在这个文件中。
我们用编辑器打开这些文件,除了乱码什么也看不到。
因为系统将这些资料全部进行了加密处理,一般的编辑器是无法直接读取这些信息的。
在SAM文件中保存了两个不同的口令信息:
LanManager(LM)口令散列算法和更加强大的加密NTLM版。
因为LanManager口令使用了较弱的DES密钥和算法,专门的破解软件比较多,容易被破解。
建议,将Windows2000/XP同时支持LM和MTLM验证机制改为仅支持验证机制。
操作方法如下:
将“控制面板→管理工具→本地安全策略→本地策略→安全选项→网络安全:
LANManager身份验证级别”中的“发送LM和NTLM响应”改为“仅发送NTLM响应”。
(提供者:
军事经济学院 沈力)
11.利用磁盘管理隐藏驱动器
在“我的电脑”上点击右键,选“管理”,打开“计算机管理”窗口,在左边目录树中展开“存储磁盘管理”,便可在窗口右边看到所有的磁盘分区了。
选中要隐藏的分区(卷),执行右键菜单中的“更改驱动器名和路径”命令,按下“删除”按钮,系统弹出“删除卷的驱动器号可能会导致程序停止运行。
确实要删除这个驱动器名吗?
”确认对话框,点击“是”把这个驱动器名删除,这样就可把个别驱动器隐藏起来了。
要取消隐藏,只要回到“计算机管理”窗口,恢复已删除的驱动器名即可。
按上面的方法选中已隐藏的驱动器进行操作,在“更改驱动器名和路径”对话框中单击“添加”按钮,然后在“指派以下驱动器号”中选定一个驱动号,点击“确定”就可把驱动器还原了。
(注:
此法不能隐藏系统卷和启动卷)
(提供者:
军事经济学院襄樊分分院 张峥)
12.取消磁盘隐藏共享
如果你使用了Windows2000/XP系统,右键单击C盘或者其它盘,选择共享,你会惊奇地发现它已经被设置为“共享该文件夹”,而在“网上邻居”中却看不到这些内容,这是怎么回事呢?
原来,在默认状态下,Windows2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名都加了一个“$”。
但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?
打开注册表编辑器,进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”,新建一个名为“AutoShareServer”和“AutoShareWks”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。
(提供者:
军事医学科学院 熊小江、刘耀文,军事经济学院襄樊分院 黎森,直属供应保障局 张安平,武汉后方基地 聂其国)
13.不显示上次登录名
默认情况下,终端服务接入时,登录对话框中会显示上次登录的帐户名,本地的对话框也是一样。
黑客们可以得到系统的一些用户名,进而猜测密码。
可以通过设置,使得系统不显示上次登录名,步骤如下:
展开HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cur-rent\Version\Winlogon键,在其右边找到DontDisplayLastUserName,将键值改成1,如果不存在,则新建一个,并将其值设为1。
图1-5
(提供者:
直属供应保障局 于征)
14.锁住注册表
默认情况下,如果泄漏了帐号密码,黑客也可以在远程访问注册表,如果服务器连到网络上,建议锁定注册表。
步骤:
修改Hkey_current_user下的子键。
Software\microsoft\windows\currentversion\Policies\system把DisableRe-gistryTools的值改为0,类型为DWORD。
图1-6
(提供者:
直属供应保障局 于征)
15.如何修改注册表,让电脑变得更安全?
进入到服务里,去看看有什么危险的系统进程正在开着啦,一些危险的服务使我们的电脑长期处于危险之中。
首先要关闭“允许远程操作注册表”服务:
RemoteRegistry,还要关闭服务:
TaskScheduler,免得入侵者用它来启动木马。
(1)防止IPC空连接
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,将restrictanonymous主键的值改为1(不要改为2,否则有些程序可能无法运行)。
(2)修改3389默认端口
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
TerminalServer\WinStations\RDP-Tcp,找到PortNumber项,其默认的十进制值为3389,将其改为任意的一个4位数,如1234。
(3)删除不用的用户
进入cmd,运行netuser,看看还有什么共享的和可疑的用户名。
Administrator和Guest是系统默认的,不用删。
(4)关闭不用的共享
进入cmd下,运行netshare,看看还有什么共享,关闭确实不用的共享,方法如下:
netshare共享名/del
(5)输入法漏洞。
解决方案:
对几个有漏洞的帮助文件进行删除或者改名等操作。
最好删除WINIME.CHM,WINPY.CHM,WINZM.CHM这三个帮助文件。
(6)更改命令
在cmd下,进入c:
\winnt\system32,写入命令rennet.exenetwei.exe(回车)。
以后,别人就算进到你的电脑内,也不能用netuserusernamepass/add命令增加用户,更不能用netlocalgroupadministratorsusername/add加入administrators了,因为,你已经将默认的net命令重命名为netwei了!
(提供者:
军需物资油料部 张强,军交运输学院 汤向东)
16.阻止访问指定的驱动器
为防止办公计算机上存储的文件被不明用户非法游览、拷贝,可以将本地硬盘分区进行适当保护和隐藏.具体操作过程如下:
步骤1:
单击“开始→运行”,输入“gpedit.msc”打开“组策略”;
步骤2:
依次打开“用户配置→管理模板→Windows组件→Windows资源管理器”,选择“防止从‘我的电脑’访问驱动器”;
步骤3:
双击鼠标,在对话框中选“已启用”复选项,下拉列表中选择阻止访问驱动盘符。
单击“确定”即可。
图1-7
(提供者:
直属供应保障局 王健)
17.禁用“活动桌面”
“活动桌面”是系统中自带的高级功能,最大的特点是可以设置各种图片格式的墙纸,甚至可以将网页作为墙纸显示。
但同时也开了一个不安全的后门,补这个疏漏的方法如下:
步骤1:
“开始→运行→gpedit.msc”,
步骤2:
打开“用户配置→管理模板→桌面→ActiveDesktop”,
步骤3:
双击“禁用ActiveDesktop”,选择“已禁用”,再单击“确定”。
图1-8
(提供者:
直属供应保障局 张安平)
第二篇 计算机网络安全设置
1.查看未知网连接
当你的电脑出现不正常情况时,如:
瞬间觉得鼠标,屏幕移动缓慢等等,你就要考虑是否有其他人在连接你的电脑,那就要查看是否有未知网络连接,具体方法如下:
步骤1:
点击“开始→运行”,输入cmd并回车;
步骤2:
再断开所有网站连接,如IE下载等;
步骤3:
进入cmd,输入Netstat-a命令;
步骤4:
查看是否有网络连接。
(提供者:
军事经济学院 杨彬)
2.禁用计算机终端不必要的服务
请根据自己需要自行决定,下面给出HTTP/FTP服务需要最少的服务作为参考:
(1)EventLog
(2)LicenseLoggingService
(3)WindowsNTLMSecuritySupportProvider
(4)RemoteProcedureCall(RPC)Service
(5)WindowsNTServerorWindowsNTWorkstation
(6)IISAdminService
(7)MSDTC
(8)WorldWideWebPublishingService
(9)ProtectedStorage
(提供者:
军交运输学院 汤向东)
3.关闭服务器不必要的服务
Windows2000的TerminalServices(终端服务)和IIS等都可能给系统带来安全漏洞。
有些恶意程序也能以服务方式悄悄运行服务器上的终端服务。
要留意服务器上开启的所有服务并每天检查。
Windows2000可禁用的服务如下所示。
服务名
说明
ComputerBrowser
维护网络上计算机的最新列表以及提供这个列表
Taskscheduler
允许程序在指定时间运行
RoutingandRemoteAccess
在局域网以及广域网环境中为企业提供路由服务
Removablestorage
管理可移动媒体、驱动程序和库
RemoteRegistryService
允许远程注册表操作
PrintSpooler
将文件加载到内在中以便以后打印。
要用打印机的用户不能禁用这项服务
IPSECPolicyAgent
管理IP安全策略以及启动ISAKMP/OAKLEY(IKE)和IP安全驱动程序
DistributedLinkTrackingClient
当文件在网络域的NTFS卷中移动时发送通知
Com+EventSystem
提供事件的自动发布到订阅COM组件
图2-1
(提供者:
直属供应保障局 于征)
4.禁止判断主机类型
Ping命令的用处是检测目标主机是否连通,如果连通,则返回一个与目标主机操作系统类型相关的TTL值。
如TTL值为128,说明该主机的操作系统是Windows2000操作系统。
我们可能通过修改TTL值的方法来迷惑敌人。
步骤1:
展开HKEY_LOCAL_MACHINE\SYSTEM\CURRENT_CONT-
ROLSET\SERVICES\TCPIP\PARAMETERS项。
步骤2:
新建一个双字节项在键的名称中输入“defaultTTL”,然后双击该键名,选择单选框“十进制”,在文本框中输入111。
步骤3:
设置完毕重新启动计算机,再用Ping指令Ping本机,发现返回的TTL值已变成111了,而111代表什么类型的操作系统黑客是无从知道的。
(提供者:
直属供应保障局 于征,军交运输学院 汤向东)
5.禁止访问不良网站
不是网站往往带有病毒木马或恶意插件、恶意代码等,会对电脑造成危害。
有些还含有不健康的内容,对未成年人造成不良影响。
我们可以通过适当设置个人终端来禁止访问不良网站。
方法如下:
windows系统的hosts文件保存了域名与IP地址之间的映射关系。
我们可以通过更改该映射关系达到禁止访问某一网站的目的。
找到hosts文件(一般位于c:
\Windows\System32\Driver\etc目录下),右击鼠标,选择“打开”,在“打开方式”对话框里选择“记事本”程序,有一行是这样写的:
“127.0.0.1Localhost”(要注意中间必须用空格),开头的“127.0.0.1”就是一个IP地址,代表的意义是“Localhost”,就是“本机”的意思,按照这个格式再输入“127.0.0.1”回车(为要禁止访问的域名),并存盘退出。
若有多个要禁止访问的域名按此格式一一输入,每一个禁止的域名占一行。
(提供者:
军事医学科学院 王军)
6.安全策略应用举例
步骤1:
点击“开始→设置→控制面板→管理工具”,双击打开“本地安全策略”,选中“IP安全策略,在本地计算机”,在右边窗口的空白位置右击鼠标,弹出快捷菜单,选择“创建IP安全策略”,于是弹出一个向导。
在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP安全策略。
步骤2:
右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
步骤3:
进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何IP地址”,目标地址选“我的IP地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“80”,点击“确定”按钮,这样就添加了一个屏蔽TCP80(RPC)端口的筛选器,它可以防止外界通过80端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略。
步骤4:
在“新规则属性”对话框中,选择“新IP筛选器列表”,然后点击其左边的圆圈,使其加一个点,表示已经激活,最后点击“筛选器操作”选项卡。
在“筛选器操作”选项卡中,把“使用添加向导”左边 的钩去掉,点击“添加”按钮,添加“阻止”操作:
在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
步骤5:
进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。
在“本地安全策略”窗口,用鼠标右击新添加的IP安全策略,然后选择“指派”。
于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口了,从而保护了你的电脑。
(提供者:
军事医学科学院 田明尧,武汉后方基地 聂其国)
7.如何应对ARP欺骗?
应对方法:
清空ARP缓存法。
步骤1:
通过任务栏的“开始”→“运行”,输入cmd后回车进入命令行模式。
步骤2:
在命令模式下输入arp-a命令来查看当前计算机储存在本地系统中的ARP缓存信息。
步骤3:
使用arp-a命令将储存在本地计算机的ARP缓存信息清空删除,这样错误的缓存信息也就被忽略了,本地计算机将重新从网络中获得正确的ARP信息,从而可以正常上网。
(提供者:
军事经济学院 刘学红)
8.利用TCP/IP筛选器禁止不用的窗口
如果上网只是游览网页,获取信息。
这时可以禁止不需要的端口,使用TCP/IP筛选器来筛选使用的端口,可以禁止木马程序和其它网络程偷取资料,使黑客不能访问到该计算机(因为数据都是通过特定的端口来传输的)。
方法:
打开“本地连接属性TCP/IP设置高级选项属性”,选中“启用TCP/IP筛选”,选中“只允许”,单击“添加”按钮,添加相应端口即可,比如上网需要打开80端口,在端口中输入80即可。
(提供者:
后勤工程学院 刘小兵)
9.永远不怕IE主页地址被修改
修改IE默认主页地址是恶意网页常用的一招。
IE被修改后,会自动连接到恶意网页的地址。
大家常用的
升级会员 