家庭个人电脑安全攻防经验
个人电脑的防御优化
(一)基本的安全设置。
1、及时下载补丁。系统的补丁可以到我微软的网站下载,也可用系统自带的自动更新来完成。还有一个不可忽视的补丁,就是应用软件的补丁。如果不及时安装相关的补丁程序,计算机被攻击甚至攻破的可能性就会变大。
2、安装防火墙。现在的个人电脑几乎都装有防火墙,而防火墙分为网络防火墙和病毒防火墙,前者是为了防止网络入侵用的,后者就是经常用到的杀毒软件。如果没有安装防火墙,XP系统也有自带的防火墙,用户可以自行开起。方法是在“网络连接-本地连接-属性-高级”里勾选“internet连接防火墙”。
但在安装完防火墙后还需要修改设置,一般防火墙如金山、瑞星、天网等都有IP规则编辑器,选上“防止别人用ping命令探测”,当外部机器用ping命令探测你的机器时,对方发出的ICMP包会被该规则拦截,使对方无法用这种方法确定你存在。ping命令选上“防御ICMP攻击”,可防御ICMP flood攻击程序的攻击。
3、关闭危险的端口。电脑有1-65535个端,1-1023是系统用的端口,1024以上为动态端口,因为它一般不固定分配给某个服务,而是动态分配,动态分配指当一个系统进程或程序需要网络通讯时,主机从可用的端口号中分配一个供它使用。当这个进程关闭时,同时也就释放了所占用的端口号。用户可在CMD即命令提示符下netstat –an来查看开放的端口。关闭端口可用TCP/IP筛选在“管理工作-本地安全设置”里。一般防火墙都有IP规则编辑器,可以添加要关闭的端口。
4、禁止文件共享。在局域网为了方便共享一个文件夹或共享一个盘,而不设密码或设很简单的密码,如123456,111等,这都是弱口令,只要挂一个字典是很容易破解的。
5、加密技术。对于特别敏感的通讯,要考虑对PC上的通讯进行加密。带有VPN保护的防火墙可以保护远程站点的敏感数据,并防止来自这些计算机的拒绝服务攻击。VPN,SSL提供了电子商务交易的安全方法。根据业务需要,可以采用PGP,PKI这样的产品。
(二)做好本机的安全设置。
1、删掉不必要的帐号。可以禁用Guest帐号。并且还要设置好本地安全策略。在“管理工具-本地安全策略”里开启安全审核可以检测入侵。
2、关闭空连接(IP$)。IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道。其实用处不大,但是却很多时候是被黑客利用了,他们可以用net use来连接,连接上可以得到很多信息。如果有系统的用户名和密码,那用IP$连上后,可以上传文件,删除文件,所以危害还是很大的。
3、关闭默认共享(如C$,D$)。此共享与一般的文件夹共享不同,自从WIN2K以来,就有了这个默认共享。在cmd下输入net share就可以看到,如C$,有几个盘就有几个这样的共享,还有一个是admin$,是c:\windows\system32系统文件夹。
4、关闭不用的服务。在XP中,系统把所有的应用程序都注册为一个服务。所以可以说每个应用程序都拥有一个自己的套接字,拥有了自己的套接字就说明了该应用程序可以独立地在网络与其他主机的相同的应用程序进行通信。如果该应用程序有可利用的漏洞那就危险了。在“控制面板-管理工具- 服务”里可以修改。有一些服务普通单机电脑基本用不上,但黑客却可以利用,是一些比较危险的服务,如:远程注册表服务,用户可以通过Internet修改注册表。远程登陆该服务允许用户从远程计算机上登陆本系统,并且使用命令行方式操作这台计算机。对于一般用户还是禁用掉,因为它可能带来很大的安全性问题。
(三)浏览网页时应做好的设置。
1、禁用或限制Cookie。Cookie好处在于用户首次Web页时,Cookie记住有关信息,以后每次连接该站点时,服务器自动搜索有关信息,客户机就提供这些预选信息,不再需要输入用户标识,使用户省去了一些步骤。缺陷在与Cookie包含用户IP和密码等重要信息。解决方法是:可以指定在某站点要在你的计算机上创建Cookie时是否给出提示,这样可以选择允许或拒绝创建Cookie,也可以禁止浏览器接受任何Cookie。
2、防止IP地址的泄露。IP是许多黑客软件的定位工具,所以在上网时要使用Proxy Server(代理服务器),使用代理服务器后,在WEB浏览器上所进行的一切操作都是代理服务器发出的,电脑并不直接和提供页面的服务器连接,因此IP地址就不会被泄露出去了。
3、禁止或限制Java、Java小程序脚本,ActiveX控件和插件。由于网上经常有用Java、JavaApplet、ActiveX编写的脚本,它们可能会获得电脑的用户标识,IP地址乃至相关口令,它们甚至会在电脑上安装某些程序或进行其他操作。因此应对Java、Java小程序脚本,ActiveX控件和插件的使用进行限制。
总结:由于互联网络的开放性和病毒的日益增多,数据信息很容易泄露和被破坏,网络受到的安全攻击也非常频繁和严重,因此在发展互联网的同时必须密切注意网络安全,不仅要做好安全防护,还要有安全意识,这样才能使电脑做到的真正相对安全(没有百分百不能攻破的电脑系统)。