个人计算机安全防护

其他措施
12、用户权限分配策略: 打开管理工具，找到本地安全设置.本地策略.用户权 限分配 从远程系统强制关机，一个都不留 拒绝从网络访问这台计算机 将本ID删除 从网络访问此计算机，删除用户，如果不使用类似 3389服务 通过远端系统强制关机。删除用户
其他措施
13、终端服务配置 打开管理工具.终端服务配置 打开后，点连接，右键，属性，远程控制，点不允 许远程控制 常规，加密级别，高，在使用标准Windows验证上点 √! 网卡，将最多连接数上设置为0 高级，将里面的权限也删除.[我没设置] 再点服务器设置，在Active Desktop上，设置禁用， 且限制每个使用一个会话
启用 8 （根据需要设） 42天 0天 0（记住0个密码） 禁用
其他措施
10、本地策略: 找到本地安全设置.本地策略.审核策略


审核策略更改 审核登陆事件 审核对象访问 审核跟踪过程 审核目录服务访问 审核特权使用 审核系统事件 审核帐户登陆时间 审核帐户管理
成功 成功 失败 无审核 失败 失败 成功 成功 成功
其他措施

禁止关机事件跟踪

开始“开始” ->“运行”输入“gpedit.msc ”，在出现 的窗口的左边部分，选择 “计算机配置”-> “管理模 板”-> “系统”，在右边窗口双击“显示“关闭事件跟踪 程序”” 在出现的对话框中选择“已禁用”，点击然后 “确定”保存后退出这样，将看到类似于Windows 2000的 关机窗口。这个设置在XP下是默认禁用的，在windows 2003下默认启用。
其他措施
7．3389的关闭 XP：“我的电脑”右键选属性-->远程，将里面的远程 协助和远程桌面两个选项框里的勾去掉。 关闭 Terminal Services服务 8．4899的防范 网络上有许多关于3389和4899的入侵方法。4899其实 是一个远程控制软件所开启的服务端端口，由于这些 控制软件功能强大，所以经常被黑客用来控制自己的 肉鸡，而且这类软件一般不会被杀毒软件查杀，比后 门还要安全。 4899不象3389那样，是系统自带的服务。需要自己安 装，而且需要将服务端上传到入侵的电脑并运行服务， 才能达到控制的目的。 所以只要电脑做了基本的安全配置，黑客是很难通过 4899来控制你的电脑。
个人计算机
个人计算机
感染病毒的个人计算机
ARP病毒检测
局域网内有ARP病毒的现象


上网时断时续, 网速变慢, 可能连内网主页也无法打开 浏览网页时出现与网页内容无关的弹出窗口 使用nbtscan工具, 配合arp –a 命令
源自文库RP检查

ARP病毒自我防护
编辑批处理文件myarp.bat, 建立快键方式放到启动 @echo off 组中 :::::::::::::::::::: Find Local Mac
防病毒软件
尽可能使用正版可升级的防病毒软件 打开文件实时监控功能 打开邮件监控 及时升级病毒库文件 定期进行全盘扫描 推荐软件

瑞星 金山毒霸 卡巴斯基 赛门铁克 NOD32
开启防火墙
鼠标右键点击计算机屏幕右下角 网络连接标志
计算机管理
鼠 标 右 键 点 击 桌 面 上 我 的 电 脑 图 标
其他措施
5．防止rpc(远程过程调用 )漏洞 打开管理工具——服务——找到RPC(Remote Procedure Call (RPC) Locator)服务——将故障恢复 中的第一次失败，第二次失败，后续失败，都设置为 不操作。 XP SP2和2000 pro sp4，均不存在该漏洞。 6．445端口(共享共享文件夹或共享打印机 )的关闭 修改注册表，添加一个键值 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Ser vices\NetBT\Parameters在右面的窗口建立一个 SMBDeviceEnabled 为REG_DWORD类型键值为0这样就ok。
或安装ARP病毒防火墙

if exist ipconfig.txt del ipconfig.txt ipconfig /all >ipconfig.txt if exist LocalMac.txt del LocalMac.txt find "Physical Address" ipconfig.txt >LocalMac.txt for /f "skip=2 tokens=12" %%M in (LocalMac.txt) do set LocalMac=%%M :::::::::::::::::::: Find Local IP if exist LocalIP.txt del LocalIP.txt find "IP Address" ipconfig.txt >LocalIP.txt for /f "skip=2 tokens=15" %%I in (LocalIP.txt) do set LocalIP=%%I :::::::::::::::::::: Find Gateway IP if exist GatewayIP.txt del GatewayIP.txt find "Default Gateway" ipconfig.txt >GatewayIP.txt for /f "skip=2 tokens=13" %%G in (GatewayIP.txt) do set GatewayIP=%%G :::::::::::::::::::: Find Gateway Mac if exist GatewayMac.txt del GatewayMac.txt arp -d ping -n 1 %GatewayIP% arp -a %GatewayIP% >GatewayMac.txt for /f "skip=3 tokens=2" %%H in (GatewayMac.txt) do set GatewayMac=%%H :::::::::::::::::::: Bind Gateway IP & Mac arp -s %LocalIP% %LocalMac% arp -s %GatewayIP% %GatewayMac% exit
服务管理
服务配置
建议禁用的不安全的服务



Fast User Switching Compatibility（快速切换 用户 ） Messenger (信使服务，不是MSN Messenger) Remote Registry（远程注册表服务 ） Routing and Remote Access （路由和远程访问 服务 ） Telnet （远程登录服务 ） Terminal services （终端服务，允许多位用户连 接并控制一台机器 ）
为什么要注意个人计算机的安全
• • •
正常的工作、学习、娱乐需要。 维护个人信息数据资料的保密性、完整性、准确性。 拒绝成为“网络僵尸”的成员。
网络僵尸
定义：被集中控制、规模达到十万以上节点的 计算机群 危害：





传播病毒木马 发起DDoS攻击 发送垃圾邮件 窃取用户数据 用户个人隐私如: 身份信息， 私人信件往来 学术资料， 实验数据等 EMAIL账号、BBS论坛账号、网银账号、网游帐 号等 存储违法数据 作为跳板从事其它违法行为
计算机安全与保密
个人计算机安全防护
内容提要
1 2 3
计算机安全概述 系统安装和配置
ARP病毒应对 良好的使用习惯
4
计算机安全概述
计算机安全的定义
• 国务院于1994年2月18日颁布的《中华人民共和国计 算机信息系统安全保护条例》第一章，第三条的定义 是：计算机信息系统的安全保护，应当保障计算机及 其相关的配套的设备，设施(含网络)的安全，运行环 境的安全，保障信息的安全，保障计算机功能的正常 发挥以维护计算机信息系统的安全运行。
关闭自动播放
开始菜单 ，选择运行，键入命令 gpedit.msc
其他措施
1.查看本地共享资源 运行CMD输入net share，如果看到有异常的共享，那么应 该关闭。但是有时你关闭共享下次开机的时候又出现了， 那么你应该考虑一下，你的机器是否已经被黑客所控制了， 或者中了病毒。 2.删除共享(每次输入一个） net share admin$ /delete net share c$ /delete net share d$ /delete（如果有e，f，„„可以继续删除）
其他措施




A、打开控制面板窗口，双击“电源选项”图标，在随后出 现的电源属性窗口中，进入到“高级”标签页面； B、在该页面的“电源按钮”设置项处，将“在按下计算机 电源按钮时”设置为“关机”，单击“确定”按钮，来退 出设置框； C、以后需要关机时，可以直接按下电源按键，就能直接关 闭计算机了。当然，我们也能启用休眠功能键，来实现快 速关机和开机； D、要是系统中没有启用休眠模式的话，可以在控制面板窗 口中，打开电源选项，进入到休眠标签页面，并在其中将 “启用休眠”选项选中就可以了。
其他措施
3.删除ipc$空连接 在运行内输入regedit，在注册表中找到 HKEYLOCAL_MACHINE\SYSTEM\CurrentControSet\Control\ LSA 项里数值名称RestrictAnonymous的数值数据由0 改为1。 4.关闭自己的139端口(文件和打印机共享 )，ipc和RPC 漏洞存在于此。 关闭139端口的方法是在“网络和拨号连接”中“本地 连接”中选取“Internet协议(TCP/IP)”属性，进入 “高级TCP/IP设置”“WinS设置”里面有一项“禁用 TCP/IP的NETBIOS”，选择禁用就关闭了139端口。
其他措施
9、账号密码的安全原则 首先禁用guest帐号，将系统内建的 administrator帐号改名（改的越复杂越好， 最好改成中文的），然后设置一个密码，最好 是8位以上字母数字符号组合。 打开管理工具.本地安全设置.密码策略

密码必须符合复杂要求性. 密码最小值. 密码最长使用期限. 密码最短使用期限 强制密码历史 用可还原的加密来存储密码
ARP病毒应对
ARP病毒工作原理
正常的局域网络运作方式
个人计算机
个人计算机
校园网
网关
个人计算机
个人计算机
ARP病毒工作原理
有计算机感染ARP病毒后的局域网
个人计算机
校园网
网关
病毒在局域网中向正常的计算机发送伪造的 网关ARP信息, 使得其它计算机将它当成网 关进行数据通信, 从而窃取其它用户个人信 息, 账号密码等数据资料,或者在用户浏览 的网页中插入恶意代码. 由于部分ARP病毒 编写人员的水平有限, 病毒工作不正常时就 导致其它计算机不能正常使用或完全无法使 用网络.
黑客利用僵尸网络发动DDoS攻击
黑客利用僵尸计算机作跳板进行入侵
黑客可以通过多个僵尸计算机作为攻击跳板，使得被攻击的计算机 网络难以跟踪到攻击源头。
系统安装与配置
系统安装





使用比较新的正版系统软件 选用Vista, WinXP Sp3, Win2003 断网安装以免在安装过程中感染病毒 设置Administrator密码 Ch3ngY4n dr0508chEng 启动系统防火墙 安装防病毒软件 连网后立刻升级
其他措施
11、本地安全策略: 打开管理工具，找到本地安全设置.本地策略.安全选项 交互式登陆.不需要按 Ctrl+Alt+Del 启用 网络访问.不允许SAM帐户的匿名枚举 启用 网络访问.可匿名的共享 删除值 网络访问.可匿名的命名管道 删除值 网络访问.可远程访问的注册表路径 删除值 网络访问.可远程访问的注册表的子路径 删除值 网络访问.限制匿名访问命名管道和共享 帐户相关的策略
其他措施
14、用户和组策略 打开管理工具 计算机管理.本地用户和组.用户; 删除Support_388945a0用户等等 只留下更改完名字的adminisrator权限 计算机管理.本地用户和组.组 组.可分可不分
其他措施
15、自己动手DIY在本地策略的安全选项 当登陆时间用完时自动注销用户(本地) 防止黑客 密码渗透. 登陆屏幕上不显示上次登陆名(远程)如果开放3389 服务，别人登陆时，就不会残留有你登陆的用户名. 让他去猜你的用户名去吧. 对匿名连接的额外限制 禁止按 ctrl+alt+del(没必要） 允许在未登陆前关机[防止远程关机/启动、强制关 机/启动] 只有本地登陆用户才能访问cd-rom 只有本地登陆用户才能访问软驱 取消关机原因的提示
服务配置
可以禁用或改成手工启用的服务






Alert（警报） ClipBook（剪贴板） Error Reporting Service（错误报告） Human Interface Device Access（启用对人性化接口装置 (HID) 的通用输入存取 ，远程控制） IMAPI CD-Burning COM Service（自带刻录服务） Index Service（索引服务 ） NetMeeting Remote Desktop Sharing（远程桌面共享 ） Print Spooler (管理和控制打印工作，安装了打印机的不用 关闭) Ssdp Discovery Service（简单服务发现协议服务） Uninterruptible Power Supply(不间断电源，笔记本不关) Universal Plug and Play Device Host（通用即插即用设备 服务主机服务）