手工设置个人电脑安全
0 U- @6 F7 O2 r2 @6 G' I文章作者:独孤加倍[F S T]@[H B]2 z) a* x ?0 f5 O( ]' O
信息来源:中国黑客基地3 d$ E& _- u& |3 B+ y. S: d; D7 v
由于当杀毒软件或者防火墙在开机的时候影响开机速度,而且要占用计算机大量的资源。所以写了这个利用注册表来实现个人电脑安全设置。往往设置以后菜鸟黑客基本不会攻击到你的电脑。
3 n" X/ g* u- x5 b- ]3 Q1:禁止C$ D$等共象: n0 z0 P8 y' X+ s0 k) d
这些共享默认设置本来是方便用户的,但是却让黑客利用了它,通过修改注册表可以把他禁止了,当然利用命令提示符也可以做到,但是每次开机以后有会恢复.6 O: C, |# [6 k
展开
* ~- U |% ?" r1 J" J6 @4 ?9 E[HKEY_LOCAL_MACHINE\CurrentControlset\services\Tcpip\Paramers]分支新建一个名为EnablelCMPRedirects的键值项将其设置为0,0是不响应" Q/ C* F2 U3 H; D
2禁止ADMIN$共享4 M3 j8 V2 [- o% |4 b1 u
展开* P. T! \' b1 S+ i) l0 Q
[HKEY_LOCAL_MACHINE\CurrentControlset\serviceslanmanserver\parameters]分支,新建名为AutoShareWks的键值,将其设置为0的键值项,将其设置为0
9 \& p+ u( x5 d6 _$ c$ y4 L1 b) j3:禁止IPC$共享2 }: z; t) B& ?& b
展开1 @, H) v9 b6 \( D
[HKEY_LOCAL_MACHINE\CurrentControlset\Control\Lsa]分支,新建名为restrictanonymous的键值将其设置为0或者1或者设置2.设置0: K9 Q9 v; U' h n
为缺省,1为匿名无法列举本机用户列表.2为匿名用户无法连接.6 j9 T- t9 }# L! p1 I4 l
4:更改3389端口 ~: [/ d. F% B" U$ Q: {
这个端口我想我不用多说了.大家要特别的防范.7 `! A# j( O; N W: x; |
展开9 D' ~+ t( X* q
[HKEY_LOCAL_MACHINE\System\currentcontrolset\controlTerminalserver\wds\rdpwd\tds\tcp分支,选中名为portnumber的键值,将其3389改为其他.7 D' M6 ^2 V" g' L ^4 }( s) d
[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\Terminalserver\winstations]分支里应该有一个或者很多类似的子键,一样的改他的值为3389- E2 D% `9 _$ a# Z. [
5关闭445端口, h( o" Y( y9 J& K$ @5 q3 p6 Z4 }
我们经常会被445端口攻击,所以如果不小心的话,黑客也有可能通过这个端口来攻击.$ T1 [3 d) P! y! X7 n' {. ~
展开. x1 W6 V# m& L; p
[HKEY_LOCAL_MACHINE\System\currentcontrolset\control\services\NetBT\parmeters]分支新建名为SMBDeviceEnabled的键值,把它设置为0.
N: u( @0 {" n2 {) ]2 B s+ p% ]7 y修改以后还要打开CMD运行netstatan就会发现445端口已经不在listening里了.
0 J! b+ J2 {1 G$ V( a( q+ ?6:防止注册表被匿名访问9 L4 g; Q$ s: \8 E) Z
一般默认的权限不限制对注册表默认的访问,只有管理员才能有权限对远程的计算机进行访问..如果想对这个进行限制的话可以修改注册表.
8 j. Y. }* k9 ^/ V5 t展开
: o7 I. ~9 s- A/ R; J3 @, d4 v[HKEY_LOCAL_MACHINE\System\CurrentControSet\Control\securepipeservers\winreg]分支,选中名为winreg,单击安全菜单.XP的右键菜单选项选权限,将管理员设置为完全控制,确保不会列出其他用户或组,然后确认* z1 K c9 T9 e# i, f1 L) Q
7:禁止空连接/ s9 h! |0 G+ `$ y( W
空连接是指没有信任的情况下与服务器建立会话,也可以说是到服务器的匿名访问.为了防止黑客进行空连接可以通过修改注册表来实现8 P% m7 H5 j/ w1 B6 c8 T3 G* P
展开
% {' t/ i* v) v[HKEY_LOCAL_MACHINE\System\CurrentControSet\Control\LSA]分支,新建一个名为restrictanonymous的键值项,将他设置成1,设置以后重起就可以了
0 [% u/ u7 T v$ s8:防止SYN洪水攻击
: g2 P" @" p2 J" z; X5 [3 ~* aSYN洪水攻击保护包括减少SYN-ACK重新传输次数以减少分配资源所保留的时间和路由缓存项资源分配延迟,直接建立连接为止.修改注册表可以防范这个攻击
+ {4 K" x1 N0 E, W; q* J展开8 N2 ~7 Q. F- M* a$ g
[HKEY_LOCAL_MACHINE\System\CurrentControSet\services\tcpip\parameters]分支.选中名为synattackprotect的键值,将键值设置为2默认的是0如果 Synattackprotect=2则AFD的连接指示一直延迟到三路握手完成为止.
+ A; q* P9 A' P9:不支持IGMP协议9 S4 w$ d6 c& ~9 f$ Y; e8 {& |2 [
在windows98系统下有个bug,就是可以被IGMP蓝屏攻击,修改注册表可以修正这个bug在2000系统没有这个bug通过修改注册表可以去掉这个,以绝后患,其实IGMP是不必要的
2 G3 O6 z# O) ]: u展开
0 ^$ f c G& w% e% L, R[HKEY_LOCAL_MACHINE\System\CurrentControSet\services\tcpip\parameters]新建名为IGMPLevel的键值项,将其设置为0% H2 H/ e# m2 Z1 z+ o5 M
10:禁止支持路由功能.
' m* Q5 c! Z4 G4 U: r. h; U这个设置可以使2000系统具备路由功能,但也会带来一些安全问题,一般的用户应该给予禁止.& a2 Z) G; p9 r2 U* L, N
展开1 ~( S. E5 h/ T" g
[HKEY_LOCAL_MACHINE\System\CurrentControSet\servers:\tcpip\parameters]分支,新建名为IPEnableRouter的键值项,将其设置为1就可以了默认的是0.6 C, A1 s; U4 N; {0 k
11:修改MAC地址- V! k7 i1 L& W$ V/ `. J3 Z2 E
IP地址被盗用是网络安全防患内容,修改 MAC地址可以在一定程度上防止IP被盗用
' `8 |# w( Z: ]5 U- M1 G5 T8 x) {展开
& F8 b; ~/ j- e[HKEY_LOCAL_MACHINE\System\CurrentControSet\control\class]分支,找到右窗口中键值为网卡的键值项,在其下的0000,0001,0002…的分支中找到名为DriverDesc的键值项,在其下新键一命名为Networkaaddress的键值项,内容为用户想要的MAC值,设置完成后重新启动./ m s! O8 ~! s$ B ]! o
12:修改注册表.令VBS脚本文件不能任意执行: o& y+ ]" C4 h
在IE的internet安全控制下是不允许网页中的VBS任意执行的,限制了大多数命令.为了了解除这个限制,黑客可能通过脚本修改注册表解除脚本执行限制,可以通过修改注册表来进行防范 |