小技巧保护(IIS)Web服务器
[ 2007-03-25 03:16:32 | 作者: sun ]
通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。
高级教育机构往往无法在构建充满活力、界面友好的网站还是构建高安全性的网站之间找到平衡点。另外,它们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多它们的私有部门也面临着相似的局面)。
正因为如此,我在这里将为预算而头疼的大学IT经理们提供一些技巧,以帮助他们保护他们的IIS服务器。虽然主要是面对大学里的IT专业人员的,但是这些技巧也基本上适用于希望通过少量的财政预算来提高安全性的IIS管理人员。实际上,这里面的一些技巧对拥有强大预算的IIS管理人员也是非常有用的。
首先,开发一套安全策略
保护Web服务器的第一步是确保网络管理员清楚安全策略中的每一项制度。如果公司高层没有把服务器的安全看作是必须被保护的资产,那么保护工作是完全没有意义的。这项工作需要长期的努力。如果预算不支持或者它不是长期IT战略的一部分,那么花费大量时间保护服务器安全的管理员将得不到管理层方面的重要支持。
网络管理员为各方面资源建立安全性的直接结果是什么呢?一些特别喜欢冒险的用户将会被关在门外。那些用户随后会抱怨公司的管理层,管理层人员又会去质问网络管理员究竟发生了什么。那么,网络管理员没办法建立支持他们安全工作的文档,因此,冲突发生了。
通过标注Web服务器安全级别以及可用性的安全策略,网络管理员将能够从容地在不同的操作系统上部署各种软件工具。
IIS安全技巧
微软的产品一向是众矢之的,因此IIS服务器特别容易成为攻击者的靶子。搞清楚了这一点后,网络管理员必须准备执行大量的安全措施。我将要为你们提供的是一个清单,服务器操作员也许会发现这是非常有用的。
1. 保持Windows升级:
你必须在第一时间及时地更新所有的升级,并为系统打好一切补丁。考虑将所有的更新下载到你网络上的一个专用的服务器上,并在该机器上以Web的形式将文件发布出来。通过这些工作,你可以防止你的Web服务器接受直接的Internet访问。
2. 使用IIS防范工具:
这个工具有许多实用的优点,然而,请慎重的使用这个工具。如果你的Web服务器和其他服务器相互作用,请首先测试一下防范工具,以确定它已经被正确的配置,保证其不会影响Web服务器与其他服务器之间的通讯。
3. 移除缺省的Web站点:
很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。然后,因为网虫们都是通过IP地址访问你的网站的 (他们一天可能要访问成千上万个IP地址),他们的请求可能遇到麻烦。将你真实的Web站点指向一个背部分区的文件夹,且必须包含安全的NTFS权限 (将在后面NTFS的部分详细阐述)。
4. 如果你并不需要FTP和SMTP服务,请卸载它们:
进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。
5. 有规则地检查你的管理员组和服务:
有一天我进入我们的教室,发现在管理员组里多了一个用户。这意味着这时某个人已经成功地进入了你的系统,他或她可能冷不丁地将炸弹扔到你的系统里,这将会突然摧毁你的整个系统,或者占用大量的带宽以便黑客使用。黑客同样趋向于留下一个帮助服务,一旦这发生了,采取任何措施可能都太晚了,你只能重新格式化你的磁盘,从备份服务器恢复你每天备份的文件。因此,检查IIS服务器上的服务列表并保持尽量少的服务必须成为你每天的任务。你应该记住哪个服务应该存在,哪个服务不应该存在。Windows 2000 Resource Kit带给我们一个有用的程序,叫作tlist.exe,它能列出每种情况运行在svchost 之下的服务。运行这个程序可以寻找到一些你想要知道的隐藏服务。给你一个提示:任何含有daemon几个字的服务可能不是Windows本身包含的服务,都不应该存在于IIS服务器上。想要得到Windows服务的列表并知道它们各自有什么作用,请点击这里。
6. 严格控制服务器的写访问权限:
这听起来很容易,然而,在大学校园里,一个Web服务器实际上是有很多"作者"的。教职人员都希望让他们的课堂信息能被远程学生访问。职员们则希望与其他的职员共享他们的工作信息。服务器上的文件夹可能出现极其危险的访问权限。将这些信息共享或是传播出去的一个途径是安装第2个服务器以提供专门的共享和存储目的,然后配置你的Web服务器来指向共享服务器。这个步骤能让网络管理员将Web服务器本身的写权限仅仅限制给管理员组。
7. 设置复杂的密码:
我最近进入到教室,从事件察看器里发现了很多可能的黑客。他或她进入了实验室的域结构足够深,以至于能够对任何用户运行密码破解工具。如果有用户使用弱密码 (例如"password"或是 changeme"或者任何字典单词),那么黑客能快速并简单的入侵这些用户的账号。
8. 减少/排除Web服务器上的共享:
如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。此外,通过运行一个简单的循环批处理文件,黑客能够察看一个IP地址列表,利用\\命令寻找Everyone/完全控制权限的共享。
9. 禁用TCP/IP协议中的NetBIOS:
这是残忍的。很多用户希望通过UNC路径名访问Web服务器。随着NETBIOS被禁用,他们便不能这么做了。另一方面,随着NETBIOS被禁用,黑客就不能看到你局域网上的资源了。这是一把双刃剑,如果网络管理员部署了这个工具,下一步便是如何教育Web用户如何在NETBIOS失效的情况下发布信息。
10. 使用TCP端口阻塞:
这是另一个残忍的工具。如果你熟悉每个通过合法原因访问你服务器的TCP端口,那么你可以进入你网络接口卡的属性选项卡,选择绑定的TCP/IP协议,阻塞所有你不需要的端口。你必须小心的使用这一工具,因为你并不希望将自己锁在Web服务器之外,特别是在当你需要远程登陆服务器的情况下。要得到TCP端口的详细细节,点击这里。
11. 仔细检查*.bat和*.exe 文件:
每周搜索一次*.bat和*.exe文件,检查服务器上是否存在黑客最喜欢,而对你来说将是一场恶梦的可执行文件。在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,你可以发现黑客已经制造并能让他们能进入你系统的注册表文件。你可以删除这些没任何意义但却会给入侵者带来便利的主键。
12. 管理IIS目录安全:
IIS目录安全允许你拒绝特定的IP地址、子网甚至是域名。作为选择,我选择了一个被称作WhosOn的软件,它让我能够了解哪些IP地址正在试图访问服务器上的特定文件。WhosOn列出了一系列的异常。如果你发现一个家伙正在试图访问你的cmd.exe,你可以选择拒绝这个用户访问Web服务器。当然,在一个繁忙的Web站点,这可能需要一个全职的员工!然而,在内部网,这真的是一个非常有用的工具。你可以对所有局域网内部用户提供资源,也可以对特定的用户提供。
13. 使用NTFS安全:
缺省地,你的NTFS驱动器使用的是EVERYONE/完全控制权限,除非你手工关掉它们。关键是不要把自己锁定在外,不同的人需要不同的权限,管理员需要完全控制,后台管理账户也需要完全控制,系统和服务各自需要一种级别的访问权限,取决于不同的文件。最重要的文件夹是System32,这个文件夹的访问权限越小越好。在
Web服务器上使用NTFS权限能帮助你保护重要的文件和应用程序。
14.管理用户账户:
如果你已经安装IIS,你可能产生了一个TSInternetUser账户。除非你真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题。IUSR用户的权限也应该尽可能的小。
15. 审计你的Web服务器:
审计对你计算机的性能有着较大的影响,因此如果你不经常察看的话,还是不要做审计了。如果你真的能用到它,请审计系统事件并在你需要的时候加入审计工具。如果你正在使用前面提到的WhosOn工具,审计就不那么重要了。缺省地,IIS总是纪录访问, WhosOn 会将这些纪录放置在一个非常容易易读的数据库中,你可以通过Access或是 Excel打开它。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。
总结
上述所有IIS技巧和工具(除了WhosOn以外)都是Windows自带的。不要忘记在测试你网站可达性之前一个一个的使用这些技巧和工具。如果它们一起被部署,结果可能让你损失惨重,你可能需要重启,从而遗失访问。
最后的技巧: 登陆你的Web服务器并在命令行下运行netstat -an。观察有多少IP地址正尝试和你的端口建立连接,然后你将有一大堆的调查和研究要做了。
提高操作系统安全从管理Cookies开始
[ 2007-03-25 03:16:07 | 作者: sun ]
你是否为服务器被入侵而苦恼?你是否对计算机中宝贵数据被泄露而生气?你又是否疑惑为什么服务器保护的很好却还是出现安全问题呢?俗话说攘外必先安内,在我们安装防火墙更新补丁防范外部黑客入侵的同时,首先要做的就是对自己服务器进行全面扫描,将服务器内部蛀虫全部赶走。
一、内部蛀虫有哪些
寄居在系统中的内部蛀虫有很多种,例如间谍软件,恶意插件等。不过这些蛀虫都是可以通过系统优化工具和杀毒软件来解决的。而有些蛀虫让我们这些网络管理员很无奈,例如存储在本地硬盘中的cookies文件,他们记录着计算机操作者的隐私信息,包括用户名和加密的密码以及经常访问的网页信息,总之网站通过cookies文件记录用户的隐私,了解用户浏览的信息。
小提示:
什么是Cookies?Cookies是数据包,可以让网页具有记忆功能,在某台电脑上记忆一定的信息。Cookies的工作原理是,第一次由服务器端写入到客户端的系统中。以后每次访问这个网页,都是先由客户端将Cookies发送到服务器端,再由服务器端进行判断,然后再产生HTML代码返回给客户端。通过这个原理服务器就可以根据不同用户产生不同cookies文件,这样当该用户再次访问同一个站点时就可以根据不同的cookies文件返回不同的页面信息了。
二、如何防范Cookies
Cookies文件是在无声无息中伴随浏览器进入我们本地硬盘的,当我们浏览某个站点时,该站点很可能将记录我们隐私的cookies文件上传到本地硬盘。那么我们如何防范阻止cookies文件泄露我们的隐私呢?实际上我们可以通过浏览器设置不容许计算机接收cookies文件即可。方法如下:
第一步:进入系统打开IE浏览器。
第二步:通过菜单栏中的“工具->internet选项”打开internet设置窗口。
第三步:找到“隐私”标签,将设置的滑动按钮调节到最高,这样将阻止来自所有网站的cookie,而且计算机上的现有cookie文件都将不能被网站读取
第四步:确定后我们完成设置,任何站点都不会将cookie文件强制塞入我们的计算机。我们的隐私也不会再泄露了。
三、Cookies取舍我做主
根据上面的设置我们将所有的cookies文件都阻挡在计算机之外,然而在实际使用中有的站点是需要cookies文件的支持的,特别是一些论坛。如果你禁止了cookies文件的话,这些站点将无法访问。如何解决这些站点的访问问题呢?可能有的读者会说将IE浏览器的隐私设置进行调节不就可以了吗?然而级别调低后计算机的安全性也随之降低了,也许很多我们本来不希望记录的cookies文件也随着隐私级别降低而下载。笔者在网上搜索到一款小软件,通过他可以轻轻松松的管理本地服务器的所有cookies文件,查看他们的信息,删除不必要的cookies。
IECookiesView是一个可以帮你搜寻并显示出你计算机中所有的Cookies档案的数据,包括是哪一个网站写入Cookies的,内容有什么,写入的时间日期及此Cookies的有效期限等等资料。对于那些常常怀疑一些网站写入Cookies内容到你的计算机中是否会对你造成隐私的侵犯的用户来说,使用软件来看看这些Cookies的内容都是些什么,这样就不会再担心怀疑了。此软件只对IE浏览器的Cookies有效。
第一步:下载该软件后解压缩。
第二步:该软件是绿色的,不用安装,只有一个主程序——iecv.exe。运行该程序启动软件。软件会自动扫描驻留在本地计算机IE浏览器中的cookies文件。
第三步:我们随便选中一个cookies后就可以从下面的内容显示区域看到他的地址,参数以及过期时间等信息了。如果是一个红色的叉子说明该cookies已经过期,无法使用;如果是一个绿色的对勾说明该cookies还可以使用。
第四步:找到一个有效的cookies文件后双击打开属性窗口,在这里我们可以看到该cookies的名称和参数,其中参数包括了cookies保存的论坛用户名和经过加密的密码。例如笔者查看的bbs.it168.com,可以看到该论坛保存的cookies记录了用户的。(用户名(softer),用户级别(入门用户)以及密码
第五步:如果你对于某个站点非常反感,不希望计算机下载该站点对应的cookies文件的话,可以将该站点所有cookies删除。方法是在软件上方窗处将某个站点的cookies选中,然后点鼠标右键选择“delete selected cookies files”即可,当然直接点菜单上的红色叉子也是一样的总之该工具有很多功能,例如管理cookies文件,编辑cookies文件,还可以轻松完成对已有cookies文件的导出导入。
一、内部蛀虫有哪些
寄居在系统中的内部蛀虫有很多种,例如间谍软件,恶意插件等。不过这些蛀虫都是可以通过系统优化工具和杀毒软件来解决的。而有些蛀虫让我们这些网络管理员很无奈,例如存储在本地硬盘中的cookies文件,他们记录着计算机操作者的隐私信息,包括用户名和加密的密码以及经常访问的网页信息,总之网站通过cookies文件记录用户的隐私,了解用户浏览的信息。
小提示:
什么是Cookies?Cookies是数据包,可以让网页具有记忆功能,在某台电脑上记忆一定的信息。Cookies的工作原理是,第一次由服务器端写入到客户端的系统中。以后每次访问这个网页,都是先由客户端将Cookies发送到服务器端,再由服务器端进行判断,然后再产生HTML代码返回给客户端。通过这个原理服务器就可以根据不同用户产生不同cookies文件,这样当该用户再次访问同一个站点时就可以根据不同的cookies文件返回不同的页面信息了。
二、如何防范Cookies
Cookies文件是在无声无息中伴随浏览器进入我们本地硬盘的,当我们浏览某个站点时,该站点很可能将记录我们隐私的cookies文件上传到本地硬盘。那么我们如何防范阻止cookies文件泄露我们的隐私呢?实际上我们可以通过浏览器设置不容许计算机接收cookies文件即可。方法如下:
第一步:进入系统打开IE浏览器。
第二步:通过菜单栏中的“工具->internet选项”打开internet设置窗口。
第三步:找到“隐私”标签,将设置的滑动按钮调节到最高,这样将阻止来自所有网站的cookie,而且计算机上的现有cookie文件都将不能被网站读取
第四步:确定后我们完成设置,任何站点都不会将cookie文件强制塞入我们的计算机。我们的隐私也不会再泄露了。
三、Cookies取舍我做主
根据上面的设置我们将所有的cookies文件都阻挡在计算机之外,然而在实际使用中有的站点是需要cookies文件的支持的,特别是一些论坛。如果你禁止了cookies文件的话,这些站点将无法访问。如何解决这些站点的访问问题呢?可能有的读者会说将IE浏览器的隐私设置进行调节不就可以了吗?然而级别调低后计算机的安全性也随之降低了,也许很多我们本来不希望记录的cookies文件也随着隐私级别降低而下载。笔者在网上搜索到一款小软件,通过他可以轻轻松松的管理本地服务器的所有cookies文件,查看他们的信息,删除不必要的cookies。
IECookiesView是一个可以帮你搜寻并显示出你计算机中所有的Cookies档案的数据,包括是哪一个网站写入Cookies的,内容有什么,写入的时间日期及此Cookies的有效期限等等资料。对于那些常常怀疑一些网站写入Cookies内容到你的计算机中是否会对你造成隐私的侵犯的用户来说,使用软件来看看这些Cookies的内容都是些什么,这样就不会再担心怀疑了。此软件只对IE浏览器的Cookies有效。
第一步:下载该软件后解压缩。
第二步:该软件是绿色的,不用安装,只有一个主程序——iecv.exe。运行该程序启动软件。软件会自动扫描驻留在本地计算机IE浏览器中的cookies文件。
第三步:我们随便选中一个cookies后就可以从下面的内容显示区域看到他的地址,参数以及过期时间等信息了。如果是一个红色的叉子说明该cookies已经过期,无法使用;如果是一个绿色的对勾说明该cookies还可以使用。
第四步:找到一个有效的cookies文件后双击打开属性窗口,在这里我们可以看到该cookies的名称和参数,其中参数包括了cookies保存的论坛用户名和经过加密的密码。例如笔者查看的bbs.it168.com,可以看到该论坛保存的cookies记录了用户的。(用户名(softer),用户级别(入门用户)以及密码
第五步:如果你对于某个站点非常反感,不希望计算机下载该站点对应的cookies文件的话,可以将该站点所有cookies删除。方法是在软件上方窗处将某个站点的cookies选中,然后点鼠标右键选择“delete selected cookies files”即可,当然直接点菜单上的红色叉子也是一样的总之该工具有很多功能,例如管理cookies文件,编辑cookies文件,还可以轻松完成对已有cookies文件的导出导入。
银行专家提醒:年底刷卡小心陷阱
[ 2007-03-25 03:15:48 | 作者: sun ]
又到年底了,商店里购买年货的人多了,从安全角度考虑,很多人都没有随身携带现金,而是选择了刷卡消费的便捷方式。与此同时,银行卡诈骗活动近日也有所抬头。为此,记者专门走访了银行专业人士,了解到了日常生活中应该如何防止被骗。
银行人士指出,首先要留意不明信息。如果你没有刷卡消费,手机上却收到“银行”方面发来的消费信息,这很可能是骗子使用的骗术。收到这类信息后,如果需要向有关部门咨询,应拨打此部门向社会公开的咨询服务热线(一般为5位数)。一旦发现可疑者,要及时向警方报案。同时,广大市民应该妥善保管自己的银行卡及卡号、账号、密码等资料,不给犯罪分子以可乘之机。
其次,使用ATM机取款要加倍小心。犯罪分子常常将普通的胶纸或胶套塞进柜员机插卡口,令柜员机系统无法读取卡内资料或出现“暂停服务”字样。这时,持卡人往往以为被“吞卡”而离去,犯罪分子则钩出卡片、用伺机窥得的密码提取存款。还有的不法分子在ATM机的出钞口设置卡子一类的障碍,持卡人进行正确操作后,却没有钞票“吐出”。如果持卡人此时离开,躲在暗处的犯罪分子将很快取走现金。针对上述作案手法,消费者在柜员机上取款时要多加注意,留心旁边是否有人偷窥,一旦出现以上情况,应马上报警或报告相关银行,并最好不要离开柜员机。
第三,使用POS刷卡消费须谨慎。持卡人在消费时,应尽可能要求收银人员在自己的视线内“刷卡”,并留意签账单的交易资料及随后的银行日结单。
第四,当心网上银行交易“陷阱”。一是不要在可疑的网站上登记自己姓名、生日等个人信息。二是在不了解情况时,切勿向虚假站点和冒充站点发送有关资料或密码信息。否则,网上支付卡号与密码泄露后,犯罪分子就有了进行非法资金转移的可能和条件。
银行人士指出,首先要留意不明信息。如果你没有刷卡消费,手机上却收到“银行”方面发来的消费信息,这很可能是骗子使用的骗术。收到这类信息后,如果需要向有关部门咨询,应拨打此部门向社会公开的咨询服务热线(一般为5位数)。一旦发现可疑者,要及时向警方报案。同时,广大市民应该妥善保管自己的银行卡及卡号、账号、密码等资料,不给犯罪分子以可乘之机。
其次,使用ATM机取款要加倍小心。犯罪分子常常将普通的胶纸或胶套塞进柜员机插卡口,令柜员机系统无法读取卡内资料或出现“暂停服务”字样。这时,持卡人往往以为被“吞卡”而离去,犯罪分子则钩出卡片、用伺机窥得的密码提取存款。还有的不法分子在ATM机的出钞口设置卡子一类的障碍,持卡人进行正确操作后,却没有钞票“吐出”。如果持卡人此时离开,躲在暗处的犯罪分子将很快取走现金。针对上述作案手法,消费者在柜员机上取款时要多加注意,留心旁边是否有人偷窥,一旦出现以上情况,应马上报警或报告相关银行,并最好不要离开柜员机。
第三,使用POS刷卡消费须谨慎。持卡人在消费时,应尽可能要求收银人员在自己的视线内“刷卡”,并留意签账单的交易资料及随后的银行日结单。
第四,当心网上银行交易“陷阱”。一是不要在可疑的网站上登记自己姓名、生日等个人信息。二是在不了解情况时,切勿向虚假站点和冒充站点发送有关资料或密码信息。否则,网上支付卡号与密码泄露后,犯罪分子就有了进行非法资金转移的可能和条件。
几乎可以这样说,如果你有免费电子邮箱,你收到垃圾邮件的机会将会很高。对付垃圾邮件除了各方共同努力外,对于普通用户来讲,注意以下几点是可以防范垃圾邮件的:
一、不要响应不请自来的电子邮件或者垃圾邮件,绝对不要回复垃圾邮件,如果你回复甚至警告他们不要再发,这无疑也相当于告诉对方你的邮件地址实际存在,今后你可能会收到更多的垃圾邮件。所以,即使垃圾邮件上写有“如果不需要此邮件的话请回信告知”等句子,也决不要回复,这一点非常重要。
二、不要试图点击垃圾邮件中的任何链接,某些垃圾邮件发送者会自动收集点击者的信息,事实上当你点击链接进入相应网站时就无疑高速对方这个电子邮件地址是存在的(不然谁会去点击?)。
三、不要把您的邮件地址在因特网页面上到处登记,如果经常用某个邮件地址在网上大量注册(很多论坛都要求填写email地址然后给你发送密码),相信你今后收到垃圾邮件的次数会越来越多,那怎么办呢?告诉你一个方法:由于网络上收集电子邮件地址通常是用软件进行,而目前的电子邮箱表示法中都会包含“@”这个符号,所以当你注册成功后不妨再次进入论坛,将电子邮箱中的”@”改为其他符号如“#”,这样其他用户查看时会知道你的email的,但对付那些软件就有效多了;不过有些网站,检测地址的合法性,所以此法肯定行不通,那也有办法——将电邮地址修改为其他的字符组合,比如增加字符长度等。
四、不要登陆并注册那些许诺在垃圾邮件列表中删除你名字的站点。
五、保管好自己的邮件地址,不要把它告诉给你不信任的人。
六、不订阅不健康的电子杂志,以防止被垃圾邮件收集者收集。
七、谨慎使用邮箱的“自动回复”功能。为了体现互联网高效、快捷的特点,很多网站和邮件收发工具中都设置了“自动回复”功能,这虽然方便,但是如果两个联系人之间都设置了“自动回复”,想想看有何后果?恐怕双方的邮箱中都是一些“自动回复”的垃圾信件。换句话说,此功能使用不当,人人都会变成垃圾邮件发送者。
八、发现收集或出售电子邮件地址的网站或消息,请告诉相应的主页提供商或主页管理员,将您删除,以避免邮件地址被他们利用。
九、用专门的邮箱进行私人通信,而用其他邮箱订阅电子杂志。
一、不要响应不请自来的电子邮件或者垃圾邮件,绝对不要回复垃圾邮件,如果你回复甚至警告他们不要再发,这无疑也相当于告诉对方你的邮件地址实际存在,今后你可能会收到更多的垃圾邮件。所以,即使垃圾邮件上写有“如果不需要此邮件的话请回信告知”等句子,也决不要回复,这一点非常重要。
二、不要试图点击垃圾邮件中的任何链接,某些垃圾邮件发送者会自动收集点击者的信息,事实上当你点击链接进入相应网站时就无疑高速对方这个电子邮件地址是存在的(不然谁会去点击?)。
三、不要把您的邮件地址在因特网页面上到处登记,如果经常用某个邮件地址在网上大量注册(很多论坛都要求填写email地址然后给你发送密码),相信你今后收到垃圾邮件的次数会越来越多,那怎么办呢?告诉你一个方法:由于网络上收集电子邮件地址通常是用软件进行,而目前的电子邮箱表示法中都会包含“@”这个符号,所以当你注册成功后不妨再次进入论坛,将电子邮箱中的”@”改为其他符号如“#”,这样其他用户查看时会知道你的email的,但对付那些软件就有效多了;不过有些网站,检测地址的合法性,所以此法肯定行不通,那也有办法——将电邮地址修改为其他的字符组合,比如增加字符长度等。
四、不要登陆并注册那些许诺在垃圾邮件列表中删除你名字的站点。
五、保管好自己的邮件地址,不要把它告诉给你不信任的人。
六、不订阅不健康的电子杂志,以防止被垃圾邮件收集者收集。
七、谨慎使用邮箱的“自动回复”功能。为了体现互联网高效、快捷的特点,很多网站和邮件收发工具中都设置了“自动回复”功能,这虽然方便,但是如果两个联系人之间都设置了“自动回复”,想想看有何后果?恐怕双方的邮箱中都是一些“自动回复”的垃圾信件。换句话说,此功能使用不当,人人都会变成垃圾邮件发送者。
八、发现收集或出售电子邮件地址的网站或消息,请告诉相应的主页提供商或主页管理员,将您删除,以避免邮件地址被他们利用。
九、用专门的邮箱进行私人通信,而用其他邮箱订阅电子杂志。
木马防御技巧之Wincfg和Svhost后门清除
[ 2007-03-25 03:15:25 | 作者: sun ]
最近发现有一种木马:包括的进程名字有:Wincfgs.exe和Svchost.EXE。
目前发现的现象是:启动时候会自动弹出记事本,且会在进程的启动项中多增加Adobe的进程,不过Adobe是被木马调用的,本身不是木马。(这是很菜的木马,一般按我提供以下方法可以清除)
个人分析:这种木马很可能是通过WORD文件在磁盘介质进程传播。警告大家在使用U盘,软盘拷贝WORD和其他文本文件时候,最好先杀毒。
以下是手动清除:在清除前请在文件夹选项里设置“显示所有文件”和显示“隐藏受保护的操作系统文件”。
(1)清除Svchost.exe
windows\system32里面的svchost.exe一般是正常的系统程序。如果在在WINDOWS目录下的,如果发现svchost.exe,先结束掉系统进程,在把该文件删除(注意:在XP系统中,很多个的进程都是svchost,但一般的系统进程用户都是SYSTEM,如果该进程是与你的用户名字使用,说明是木马程序)
(2)清除Wincfgs.exe
Wincfgs.exe文件一般是在WINDOWS-\SYSTEM32目录下,也同样是先结束进程,再删除该文件。
然后进入注册表:regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
中,如果出现上面2个进程名字,则删除键属性值。
同样进入MSCONFIG,把启动项的钩去掉。然后重新启动。
目前发现的现象是:启动时候会自动弹出记事本,且会在进程的启动项中多增加Adobe的进程,不过Adobe是被木马调用的,本身不是木马。(这是很菜的木马,一般按我提供以下方法可以清除)
个人分析:这种木马很可能是通过WORD文件在磁盘介质进程传播。警告大家在使用U盘,软盘拷贝WORD和其他文本文件时候,最好先杀毒。
以下是手动清除:在清除前请在文件夹选项里设置“显示所有文件”和显示“隐藏受保护的操作系统文件”。
(1)清除Svchost.exe
windows\system32里面的svchost.exe一般是正常的系统程序。如果在在WINDOWS目录下的,如果发现svchost.exe,先结束掉系统进程,在把该文件删除(注意:在XP系统中,很多个的进程都是svchost,但一般的系统进程用户都是SYSTEM,如果该进程是与你的用户名字使用,说明是木马程序)
(2)清除Wincfgs.exe
Wincfgs.exe文件一般是在WINDOWS-\SYSTEM32目录下,也同样是先结束进程,再删除该文件。
然后进入注册表:regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
中,如果出现上面2个进程名字,则删除键属性值。
同样进入MSCONFIG,把启动项的钩去掉。然后重新启动。
菜鸟电脑木马查杀大全
[ 2007-03-25 03:15:07 | 作者: sun ]
常在河边走,哪有不湿脚?所以有时候上网时间长了,很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?
一、手工方法
1、检查网络连接情况
由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。
2、查看目前运行的服务
服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。
3、检查系统启动项
由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”,然后检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的[boot]字段中,是不是有shell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!
4、检查系统帐户
恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。
点击“开始”->“运行”->“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user 用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!
如果检查出有木马的存在,可以按以后步骤进行杀木马的工作。
1、运行任务管理器,杀掉木马进程。
2、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
3、删除上述可疑键在硬盘中的执行文件。
4、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
6、检查HKEY_CLASSES_ROOT\txtfile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell
\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。
二、利用工具
查杀木马的工具有LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,其中有些工具,如果想使用全部功能,需要付一定的费用,木马分析专家是免费授权使用。
快速关闭端口防止病毒与黑客入侵
[ 2007-03-25 03:14:33 | 作者: sun ]
你的操作系统系统是不是WindowsXP SP1,但是安装了2005瑞星杀毒软件后总是提示系统有 MS-4011 Exploit 和Blaster Rpc Exploit 两个漏洞。
最直接的办法,把系统不用的端口都关闭掉,然后重新启动。如果瑞星还提示有漏洞攻击,就没办法了。注:关闭的端口有,135、137、138、139、445、1025、2475、3127、6129、3389、593,还有tcp.
具体操作如下:默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WindowsXP/2000/2003下关闭这些网络端口:
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步,进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
最直接的办法,把系统不用的端口都关闭掉,然后重新启动。如果瑞星还提示有漏洞攻击,就没办法了。注:关闭的端口有,135、137、138、139、445、1025、2475、3127、6129、3389、593,还有tcp.
具体操作如下:默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WindowsXP/2000/2003下关闭这些网络端口:
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步,进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。
于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。
多种方法防范非法用户侵入
[ 2007-03-25 03:14:21 | 作者: sun ]
第一招:屏幕保护
在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。
提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。
不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的“在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。
第二招:巧妙隐藏硬盘
在“按Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择“显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。
接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”,将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到“(file://%TEMPLATEDIR%\wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用“d:\tupian\tupian1.jpg”替换“//”后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中“~”之间的内容就可以了。
*This file was automatically generated by Microsoft Internet EXPlorer 5.0
*using the file %THISDIRPATH%\folder.htt.
保存并退出,按“F5”键刷新一下,是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中“~”之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。
第三招:禁用“开始”菜单命令
在Windows 2000/XP中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动Windows XP组策略编辑器。在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。
在禁用“开始”菜单命令的时候,在右侧窗口中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除“我的文档”图标为例,具体操作步骤为:
1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。
2)在弹出窗口的“设置”标签中,选择“已启用”单选按钮,然后单击“确定”即可。
第四招:桌面相关选项的禁用
Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支,即可在右侧窗口中显示相应的策略选项。
1)隐藏桌面的系统图标
倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。
若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标,只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可。当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2)禁止对桌面的某些更改
如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
第五招:禁止访问“控制面板”
如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。
此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。
提示:如果你想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。
第六招:设置用户权限
当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行:
1)运行组策略编辑器程序。
2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。
3)双击需要改变的用户权限,单击“添加用户或组”按钮,然后双击想指派给权限的用户账号,最后单击“确定”按钮退出。
第七招:文件夹设置审核
Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:
1)在组策略窗口中,逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。
2)在右侧窗口中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记,然后单击“确定”按钮。
3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。
4)单击“高级”按钮,然后选择“审核”标签。
5)根据具体情况选择你的操作:
倘若对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。
要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。
要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。
6)如有必要的话,在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。
7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。
注意:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,你必须启用组策略中“审核策略”的“审核对象访问”。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。
提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。
不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的“在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。
第二招:巧妙隐藏硬盘
在“按Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择“显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。
接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”,将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到“(file://%TEMPLATEDIR%\wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用“d:\tupian\tupian1.jpg”替换“//”后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中“~”之间的内容就可以了。
*This file was automatically generated by Microsoft Internet EXPlorer 5.0
*using the file %THISDIRPATH%\folder.htt.
保存并退出,按“F5”键刷新一下,是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中“~”之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。
第三招:禁用“开始”菜单命令
在Windows 2000/XP中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令,在“运行”对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动Windows XP组策略编辑器。在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。
在禁用“开始”菜单命令的时候,在右侧窗口中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除“我的文档”图标为例,具体操作步骤为:
1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。
2)在弹出窗口的“设置”标签中,选择“已启用”单选按钮,然后单击“确定”即可。
第四招:桌面相关选项的禁用
Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支,即可在右侧窗口中显示相应的策略选项。
1)隐藏桌面的系统图标
倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。
若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标,只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可。当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。
2)禁止对桌面的某些更改
如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
第五招:禁止访问“控制面板”
如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。
此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。
提示:如果你想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。
第六招:设置用户权限
当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行:
1)运行组策略编辑器程序。
2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。
3)双击需要改变的用户权限,单击“添加用户或组”按钮,然后双击想指派给权限的用户账号,最后单击“确定”按钮退出。
第七招:文件夹设置审核
Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:
1)在组策略窗口中,逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。
2)在右侧窗口中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记,然后单击“确定”按钮。
3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。
4)单击“高级”按钮,然后选择“审核”标签。
5)根据具体情况选择你的操作:
倘若对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。
要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。
要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。
6)如有必要的话,在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。
7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。
注意:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,你必须启用组策略中“审核策略”的“审核对象访问”。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
金猪报喜专杀工具 与 金猪报喜防范
[ 2007-03-25 03:14:07 | 作者: sun ]
1月30日,江民科技反病毒中心监测到,肆虐互联网的“熊猫烧香”又出新变种。此次变种把“熊猫烧香”图案变成“金猪报喜”。江民反病毒专家提醒用户,春节临近,谨防春节期间病毒借人们互致祝福之际大面积爆发。
专家介绍,“熊猫烧香”去年11月中旬被首次发现,短短两个月时间,新老变种已达700多种个,据江民反病毒预警中心监测到的数据显示,“熊猫烧香”病毒去年12月一举闯入病毒排名前20名,1月份更是有望进入前10名。疫情最严重的地区分别为:广东、山东、江苏、北京和辽宁。
中了该毒后请不要慌张,也不要急于怎么处理,应该报有平常心来对待,下面我来说下中了“金猪报喜”后的症状:
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
尝试关闭窗口
QQKav、QQAV、天网防火墙进程、VirusScan、网镖杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、木馬清道夫、QQ病毒注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任务管理器、esteem procs、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、小沈Q盗杀手、pjf(ustc)、IceSword
尝试关闭进程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
专家介绍,“熊猫烧香”去年11月中旬被首次发现,短短两个月时间,新老变种已达700多种个,据江民反病毒预警中心监测到的数据显示,“熊猫烧香”病毒去年12月一举闯入病毒排名前20名,1月份更是有望进入前10名。疫情最严重的地区分别为:广东、山东、江苏、北京和辽宁。
中了该毒后请不要慌张,也不要急于怎么处理,应该报有平常心来对待,下面我来说下中了“金猪报喜”后的症状:
所有根目录及移动存储生成
X:\setup.exe
X:\autorun.inf
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
删除隐藏共享
cmd.exe /c net share $ /del /y
cmd.exe /c net share admin$ /del /y
cmd.exe /c net share IPC$ /del /y
创建启动项:
Software\Microsoft\Windows\CurrentVersion\Run
svcshare=指向\%system32%\drivers\spoclsv.exe
禁用文件夹隐藏选项
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
尝试关闭窗口
QQKav、QQAV、天网防火墙进程、VirusScan、网镖杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马克星、木马清道夫、木馬清道夫、QQ病毒注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任务管理器、esteem procs、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、小沈Q盗杀手、pjf(ustc)、IceSword
尝试关闭进程
Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、
Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe
UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe
删除以下启动项
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting
ServiceSOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXE
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\YLive.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse
反思熊猫烧香病毒给我们的启示录
[ 2007-03-25 03:13:36 | 作者: sun ]
随着“熊猫烧香”作者承诺不在更新新的版本,一场轰轰烈烈“杀猫”大战看似已经逐渐平静下来。但是这场风波带给我们的启示确不应该让大家这么快的忘记……
熊猫本身
在这个“金钱至上”的年代,“熊猫”确是一个非常另类的病毒。因为它的最终目的不是为得到经济利益。难道“熊猫”是回到早先的黑客们为录炫耀自己的技术而诞生的?或者是作者为了对早期黑客单纯目的表示敬意?但是从目前我们能看到的信息来看,作者的目的是对普通用户的一次警醒,更是对安全厂商的一次嘲弄!从技术上来说该病毒并没有什么创新之处,但是它却借鉴很多经典病毒,木马甚至是劫持软件的长处。这样一个没有尖端技术却拥有最成熟技术的病毒综合体来到我们面前。
“熊猫烧香”的名字的由来应该是被病毒感染后EXE文件图标会变成一个动态的在烧香熊猫。但是大家有没有想过作者为什么要如此煞费苦心的突出这个熊猫呢?而这个烧香熊猫到底如此“虔诚”的在祈求什么呢?这答案值得每个人细细品位。
用户
“熊猫”很厉害但是跟以往病毒大规模感染不同,用户明显分成2个阵营一个根本不知“熊猫”为何物一个被这只熊猫折磨的痛苦不堪。为什么会这样呢?感染熊猫后清除是极其麻烦的,显然没有什么机器能幸免,那问题一定都出在“防”上!“熊猫”犹如一柄石中剑,它考验用户的机器综合安全体系以及上网习惯。
厂商
面对反病毒技术没有突破性的进步,面对厂商的一次一次升级一次一次的广告攻势。面对用户的盲从。这只熊猫代来了“讽刺”也带来了答案!任何一个技术单一拿出来安全软件都能应付,但是综合到一起了呢?经济利益推动的升级在这只熊猫面前漏出本来的面目……熊猫不是卖点,它仅是测试,安全对软件的测试。
没有走远的熊猫
“熊猫烧香”作者承诺不在更新新的版本。但是不要指望你会摆脱它的困扰,因为有更有的“非标准”版本在酝酿而且更可怕并不是“熊猫“本身而是在病毒/木马制作思路上的变化,以后用多少新的病毒/木马会借鉴“熊猫”的经验呢?一切才刚刚开始!
应对
目前所有的下载网站杀毒软件的下载有非常热门,可见用户对其投入的关注度已经非常高。但是补丁,防火墙的下载却相对很少,这正体现目前用户安全防御上蹩脚走路的状况。但是以后要面对的将考验你安全上的综合措施,仅仅依靠一个或几个杀毒软件带给你的将不在是安全。
熊猫本身
在这个“金钱至上”的年代,“熊猫”确是一个非常另类的病毒。因为它的最终目的不是为得到经济利益。难道“熊猫”是回到早先的黑客们为录炫耀自己的技术而诞生的?或者是作者为了对早期黑客单纯目的表示敬意?但是从目前我们能看到的信息来看,作者的目的是对普通用户的一次警醒,更是对安全厂商的一次嘲弄!从技术上来说该病毒并没有什么创新之处,但是它却借鉴很多经典病毒,木马甚至是劫持软件的长处。这样一个没有尖端技术却拥有最成熟技术的病毒综合体来到我们面前。
“熊猫烧香”的名字的由来应该是被病毒感染后EXE文件图标会变成一个动态的在烧香熊猫。但是大家有没有想过作者为什么要如此煞费苦心的突出这个熊猫呢?而这个烧香熊猫到底如此“虔诚”的在祈求什么呢?这答案值得每个人细细品位。
用户
“熊猫”很厉害但是跟以往病毒大规模感染不同,用户明显分成2个阵营一个根本不知“熊猫”为何物一个被这只熊猫折磨的痛苦不堪。为什么会这样呢?感染熊猫后清除是极其麻烦的,显然没有什么机器能幸免,那问题一定都出在“防”上!“熊猫”犹如一柄石中剑,它考验用户的机器综合安全体系以及上网习惯。
厂商
面对反病毒技术没有突破性的进步,面对厂商的一次一次升级一次一次的广告攻势。面对用户的盲从。这只熊猫代来了“讽刺”也带来了答案!任何一个技术单一拿出来安全软件都能应付,但是综合到一起了呢?经济利益推动的升级在这只熊猫面前漏出本来的面目……熊猫不是卖点,它仅是测试,安全对软件的测试。
没有走远的熊猫
“熊猫烧香”作者承诺不在更新新的版本。但是不要指望你会摆脱它的困扰,因为有更有的“非标准”版本在酝酿而且更可怕并不是“熊猫“本身而是在病毒/木马制作思路上的变化,以后用多少新的病毒/木马会借鉴“熊猫”的经验呢?一切才刚刚开始!
应对
目前所有的下载网站杀毒软件的下载有非常热门,可见用户对其投入的关注度已经非常高。但是补丁,防火墙的下载却相对很少,这正体现目前用户安全防御上蹩脚走路的状况。但是以后要面对的将考验你安全上的综合措施,仅仅依靠一个或几个杀毒软件带给你的将不在是安全。
