安全,安全,总是安全,
想保证自己的网络安全,我觉得关键只有3点:密码,补丁与意识。只要搞定了这 3点,基本上可以做到安全了,但注意是基本。
先说密码。密码在网上就如现实生活中的门一样,是目前数字生活最重要的一环。可是目前还是有很多人没有体会到密码的的重要性,或者说不知道怎样设置安全的密码。
现在流传的密码基本上分为两种:弱密码与强密码。那么什么是弱密码呢?就是口令太简单,容易被穷举出来的密码。例123456,111111 这样简单的口令,或者与用户名相同,用短英文单词或纯数字,或者以自己的姓名生日电话等基本社会资料做密码,如果是一个比较熟悉你的人,或者调查过你的人,他们猜你的密码肯定是从这里入手的,这个就是社会工程学。再举个最明显的例子,空密码。
我们首先要使用强壮的密码(包括数字,字母,大小写,特殊字符,而且至少 8 位,当然这个是你自己要能记住的)这里举两个方法:我比较喜欢 eagle这个单词,我妈妈生日是七月七日,再加个特殊字符我就可以设置一个相对强壮的密码, 为Eagle@0717;再者找个句子:Rising anti-virus is a good software!把每个句子的第一个字母提取出来就可以设置密码为Raviags!当我需要密码时,就在心里面默读出来。当然,你需要记住这个句子啦,最好不要记在一个本子上,而是你的脑子里面。如果被人不小心看到就不好啦。最好可以每隔一段时间变换一下密码, 可以获得更大的安全性。但是又出来一个问题——安全平衡问题了,安全与易用性永远是相背的。你更换密码,安全了,但是很麻烦的,还要随时记住,这个请自己权衡。最后说下,不要重复使用口令,这样做你很好记,但是这也为了方便那些别有用心的朋友,他只要得到你一个密码,就相当于得到了你所有的密码。
来到漏洞问题。无论是网页木马,还是无敌溢出,还是什么什么,破坏者利用的最频繁的就是漏洞。漏洞不仅存在于系统,更存在于任何的软件,甚至是软件的配置错误。检查漏洞可以使用一些漏洞扫描软件,如SYMANTEC ESM ,NESSUS ,ISS(www .iss.net) ,EEYE 的RETINA,GFI( www.gfi.com) 的GFILANGuard。解决方法: 首先要保证进行WINDOWS 自动更新并安装重要的安全更新;对于特定的应用程序进行帮助,更新;仔细配置应用程序。
其实,不管你怎么样配置电脑,安装保护软件,最重要的使用这台电脑的主人的安全意识。我在上课时就看到这样的情况:老师使用电脑时,金山网镖报警显示有程序访问网络,他不看是什么就直接点了允许,这样如果有木马反弹时,就麻烦了。当然 ,我们不可能对您要求太高。我觉得做到下面几点就相当好了。
1,不要到小网站下载来历不明的软件或小程序,不要打开一些不知名的小网站,而且要经的起诱惑 ,诱惑背后总有些危险,如网页木马,通过网页进行的溢出等.如果要下软件先去 http://www.hao123.com/software.htm 里面推荐的网站里面搜索.根据我的经验,一般小网站都是通过美丽的网页名称,热点信息,发布虚假消息,和利用垃圾邮件宣传。遇到这些要小心。
2,进行IM(即时通讯聊天, 如QQ,MSN 等)不要随便运行陌生网友发过来的程序 ,随便点击他们发过来的链接 ,说不定就是一个木马什么的 .特别要小心以 pif,scr,bat,cmd,com,exe为后缀的程序 .这个对于电子邮件的附件也是适用的。
3,保持自己电脑上的杀毒软件,防火墙开启,打开实时监控 .不要抱怨杀毒软件会使您的电脑速度变慢。至少 3天在线更新一次病毒库, 每周进行一次电脑全盘扫描。
4,对您自己的重要资料进行备份。方法有很多种 ,例如放到网络硬盘上, 多复制几份放在不同的电脑上,GHOST, 系统还原等。
5,为自己的电脑,电子邮件等数字财产设置足够强壮的密码,这点我在上面已经说过了。
6,对系统进行WINDOWS UPDATE修补电脑上的安全漏洞并且对其他应用程序进行更新。
7,小心网络钓鱼。姜太公钓鱼,愿者上钩。“网络钓鱼”是利用欺骗性的电子邮件,伪造的Web站点来进行诈骗,诈骗者通常会将自己伪装成知名银行、在线零售商(如淘宝, QQ)和信用卡公司等可信的品牌,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、密码等内容。这个需要的是细心,比如 www.icbc.com与 www.1cbc.com。用的便是 1与I 的近似。
下面是一些建议:
1,停用适当的服务。因为对于一些攻击手法,如溢出,必须需要适当的服务作为依靠。如果你没有开启这个服务,它就不能攻击你了。比如MSDTC溢出,如果你根本没有用到MSDTC服务时,大可以把MSDTC服务停掉,这样MSDTC溢出就不构成任何威胁了。我觉得比较危险的有Computer Brower,DHCP Client,Remote Registry Service,WMI,Server,Terminal Client,TCP/IP NetBIOS Helper Service,Task schedule,Telnet等, 建议禁用.但是在不同环境下,如单机/局域网,个人机/服务器, 这个需要进行不同的设置,具体问题具体对待了。
2,删除不需要的共享。如C$,D$,ADMIN$,IPC$等。我觉得共享对破坏者来说,是系统最大的一个后门。
3,用组策略进行帐户锁定, 设置为5 次密码错误30分钟内禁止登陆以防止帐户密码的暴力破解。
4,注意网络设备,IP 的管理。防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统,电脑的物理安全等。
5,微软专家一直推荐的是使用受限账户登陆,这样可以通过限制其权限防止用户的破坏。例如最近的WORD溢出漏洞。微软在暂时没有补丁的情况下,推荐的防御方法其中一个就是使用受限账户登陆而不是管理员。具体方法:新建一个受限账户,再把他设置为自动登陆。自登陆方法:对于WIN2000,打开“控制面板”进入“用户与密码”;对于WINXP,直接运行control userpasswords2,把需要密码验证前面的密码去掉,再按照提示输入正确的密码。当然也可以使用TweakUI设置。
6,磁盘使用的是NTFS格式可以进行进一步的权限设置。
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
这个对于内网的共享文件也是,一般给读取就行了,当然特殊情况特殊对待。
7,注意数据的备份,恢复。数据是一台电脑的灵魂,必须注意的。可以使用复制几份,GHOST,系统还原等多种方法。但是必须保证数据备份前的干净,我们不能去备份一个病毒去,对吧?
8,注意账户的管理。对单机保证停用guest,改名Administrator( 相对安全),小心陌生的账户,clone帐户(使用CCA检查)等。
9,多注意电脑里面的进程,端口,服务和启动项。可以使用一些反病毒小工具,例如IceSword,SREng,AutoRun,HijackThis等检查检查电脑的健康状况。
10, 破坏者一般通过%windir%\system32下的at.exe,attrib.exe,cacls.exe,format.com,tftp.exe,ftp.exe,cmd.exe,net.exe,ipconfig.exe,user.exe,query.exe,regedit.exe,regsvr32.exe来达到进一步控制的目的。这里可以将这些命令程序删除或者改名。(注意:在删除与改名时先停掉文件复制服务(FRS)或者先将 %windir%\system32\dllcache\下的对应文件删除或改名),或者将这些exe文件移动到您指定的文件夹以方便以后自己的使用或者使用访问控制列表ACLS控制:找到这些文件,在“属性”→“安全”中对用户进行定义,诸如只给administrator有权访问,如果需要防范一些溢出攻击、以及溢出成功后对这些文件的非法利用,那么我们只需要将system用户在ACLs中进行拒绝访问。
12,安全日志:不怕麻烦的话,那么到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败。
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
世界上是不存在绝对的安全的,但是通过我们的努力可以达到相对的安全,可以让绝大部分的破坏者知难而退。
附:一般的安全需求,
可用性: 授权实体有权访问数据
机密性: 信息不暴露给未授权实体或进程
完整性: 保证数据不被未授权修改
可控性: 控制授权范围内的信息流向及操作方式
可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏。
