一、防止主機成為肉雞的安全技術措施

    1、利用操作系統自身功能加固系統

    通常按默認方式安裝的操作系統， 如果不做任何安全加固， 那么其安全性難以保證。 攻擊者稍加利用便可使其成為肉雞。 因此， 防止主機成為肉雞的第一步， 便是系統加固。

    鑒于目前大部分用戶仍然使用Windows XP， 因此， 本文所有內容都基于Windows XP.

    （1）加強系統登錄帳戶和密碼的安全

    系統設置的密碼應當符合復雜性和最小長度的要求， 不僅要包括常用英文字母、數字、字母大小寫， 最好還可以加入特殊字符（如@等）， 而且密碼的字符數不應該小于8位。

    另外， 為了防止黑客通過默認帳戶登錄系統， 我們建議為管理員帳號設置密碼并禁用guest賬戶。

    （2）取消遠程協助和遠程桌面連接

    用鼠標右擊桌面上的“我的電腦”圖標， 選擇“屬性”， 在“系統屬性”中選擇“遠程”選項卡， 然后取消“遠程協助”和“遠程桌面連接”復選框中的鉤。

    （3）禁用危險的系統服務

    在Windows XP系統中， 一些端口與相應的系統服務是相關聯的， 有的服務還與系統中的特定端口相關聯， 例如Terminal Services服務與3389端口關聯。 因此， 禁用一些不需要的服務， 不僅能降低系統資源消耗， 而且能增強系統安全性。

    在“開始”——“運行”框中輸入“services.msc”， 按回車后進入“服務”管理界面。 禁用以下服務：

    NetMeeting Remote Desktop Sharing

    Remote Desktop Help Session Manager

    Remote Registry

    Routing and Remote Access

    Server

    TCP/IP NetBIOS Helper

    Telnet

    Terminal Services

    （4）關閉137、138、139和445端口

    用鼠標右擊桌面中的“網上鄰居”， 選擇“屬性”。 在“本地連接”界面， 打開“Internet協議（TCP/IP）”的屬性對話框。 在此對話框中， 單擊“高級”按鈕， 選擇“WINS”選項， 然后選擇“禁用TCP/IP上的NetBIOS”， 這樣就關閉了137、138和139端口。 同時， 通過取消“本地連接”屬性中的“Microsoft 打印機和文件共享”可以關閉445端口。

    （5）啟動系統審核策略

    “開始”——“運行”框中輸入“gpedit.msc”進入組策略器， 在計算機配置——Windows設置——安全設置——本地策略——審核策略中， 將審核登錄事件、審核對象訪問、審核系統事件和審核帳戶登錄事件啟用成功方式的審核。

    （6）用戶權利指派

    同樣在組策略器， 在計算機配置——Windows設置——安全設置——本地策略——用戶權利指派中， 將“從網絡訪問此計算機”策略中的所用用戶都刪除， 在“拒絕從網絡訪問此計算機”策略中確保已有“everyone”帳戶， 然后再刪除“通過終端服務允許登錄”策略中的所有用戶， 并確保在“通過終端服務拒絕登錄”策略中有“everyone”帳戶。

    （7）禁用系統默認共享

    在組策略器中， 計算機配置——Windows設置——安全設置——安全選項， 將“網絡訪問：不允許SAM帳戶的匿名枚舉”及“網絡訪問：不允許SAM帳戶和共享的匿名枚舉”全部啟用；將“網絡訪問：可匿名訪問的共享”、“可匿名訪問的管道”及“可遠程訪問的注冊表路徑”中的內容全部刪除。

    打開注冊表器， 進入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters項， 在其右邊新建一個鍵值名為“Autoshareserver”， 鍵值為0的DWORD值， 這樣就可以禁止系統C$、D$、E$等方式的共享；為了能禁止admin$共享， 還應當在此注冊表項中新建一個鍵值名為“Autosharewks”， 鍵值為0的DWORD值。

    最后， 打開“資源管理器”， 選擇“工具”菜單中的“文件夾選項”， 在出現的文件夾選項界面中的“高級設置”框中， 取消“使用簡單文件共享”的多項選擇項。

2、使用安全軟件加固操作系統

    對加固操作系統安全性而言， 我們還可以通過安裝相應的安全軟件來進一步增強系統的安全性能。

    （1）安裝殺毒軟件

    在系統中安裝殺毒軟件主要用來防止黑客通過木馬來控制我們的主機。 當我們安裝好殺毒軟件后， 一定要立即更新病毒庫到最新狀態， 如有必要， 還應當設置每天按時自動更新病毒庫。

    （2）安裝防火墻

    黑客的入侵活動通常是從掃描系統中是否開放有高危端口開始的， 因此， 禁用高危端口（如135、137、138、139、445、3389等）十分必要。 雖然前面介紹了如何通過手工的方式關閉系統高位端口， 這里借助安全軟件同樣可以起到加固作用。 同時， 我們還應當限制系統中能夠與互聯網通信的進程和應用程序， 以減少網絡應用程序本身漏洞帶來的安全風險。

    雖然Windows XP系統本身帶有一個“Internet 防火墻”， 但它遠遠不能滿足日益增長的安全防范需求， 因此， 我們通過安裝第三方防火墻軟件來解決這些問題。

    現在市面上存在的防火墻不僅具有包過濾和應用程序跟蹤的基本防火墻功能， 它們還具有屬于自己的獨特功能。 例如， Tiny Firewall防火墻。 它不僅具有普通應用層防火墻的功能， 還具有IDS、文件完整性檢測和主動防御的功能。 并且還為用戶提供了一個實時網絡連接監控功能， 可以讓用戶隨時掌握當前的網絡連接情況， 了解連接的網絡應用程序都使用了哪些端口， 連接到了什么目標上， 并直接顯示出對方的IP地址。 圖1就是它的網絡連接監控界面。

    圖1 Tiny Firewall防火墻網絡連接監控界面

    （3）使用代理服務器

    黑客要想掃描計算機， 就必需先知道計算機連網公網IP地址。 如果能夠隱藏這個公網IP地址， 將為黑客的攻擊行為增加難度。 隱藏IP地址最好的方式就是使用代理服務器。 對于普通的網絡用戶來說， 可以通過使用HTTP代理和在計算機上安裝簡單的代理軟件來達到隱藏IP地址的目的。

    使用HTTP代理非常簡單， 進入提供此功能的網站， 例如http://www.web4proxy.com/， 如圖2所示。 在“開始瀏覽”按鈕前的文本框中填入要訪問的站點， 就可以通過隱藏IP的方式瀏覽想訪問的網站了。

    圖2 WEB代理界面

    但是， 使用HTTP代理只能防止由于瀏覽網頁而泄漏IP地址的風險， 要想隱藏其它網絡活動時的IP地址， 例如進行的QQ聊天和玩網絡游戲等網絡應用， 就必需通過在系統中安裝代理服務器軟件的方法來解決。

    Waysonline是一個不需要安裝的代理服務器軟件， 在使用前， 要先免費注冊。

    圖3 Waysonline網頁登錄界面

    輸入注帳戶和密碼后登錄。 此時， 右擊Windows任務欄中的綠色“W”圖標， 在此菜單中的“運行程序”菜單項中， 可以由我們選擇代理的各種方式。

上面是電腦上網安全的一些基礎常識，學習了安全知識，幾乎可以讓你免費電腦中毒的煩擾。