[求助-软件问题]网络用户可以说不——防止主机成为肉鸡全攻略 [复制链接]

来源：比特网 作者：刘源

　　【比特网专家特稿】一旦我们的计算机成为黑客们的“肉鸡”，不仅我们所有的网络行为和计算机上的隐私信息会由此暴露在黑客们的监控之下，而且，成为“肉鸡”的计算机会由此成为黑客们赚钱的工具。还有可能为成为日益庞大的僵尸网络中的一员，从而对网络中更多的用户构成威胁，成为黑客们进行其它非法网络攻击活动的帮凶。
　　实际上，我们只要能够按照一定的方式方法，使用相应的安全技术和工具，规范自己的各种网络操作系统，就可以对“肉鸡”说不!
　　一、 防止主机成为肉鸡的安全技术措施
　　1、利用操作系统自身功能加固系统
　　(1)、加强系统登录帐户和密码的安全
　　在Windows XP操作系统下，为每一个系统用户帐户设置登录密码总是应该的，而且，设置的密码应当符合复杂性和最小长度的要求。复杂性要求就是在密码当中不仅要包括常用英文字母、数字，还应当使用字母的大小写，并加入特殊字符(如@、$、%等);而密码最小长度要求就是密码的所有字符数不应该小于8位。为帐户添加密码保护可以在“控制面板”中的“用户帐户”中完成。
　　在对系统帐户进行密码保护的过程中，许多网络用户总是将Windows XP系统中的两个默认帐户忘记，这两个帐户就是默认的系统管理员帐户“administrator”及默认来宾“guest”。
　　为了防止黑客通过这两个帐户登录系统，我们还应当对它们进行必要的安全设置：
　　在控制面板——管理工具——计算机管理——本地用户和组——用户中，用鼠标右击administrator帐户，在出现的右键菜单中选择“设置密码”，然后在出现的设置密码对话框中为它设置一个复杂的密码。重新右击administrator帐户，在出现的右键菜单中选择“重命名”，并为它取一个不常用的名字。完成对administrator帐户的安全设置后，对guest帐户做同样的操作。
　　如果你不想使用这两个帐户，应该将它们全部停用。在“开始”——“运行”框中输入“gpedit.msc”启动组策略编辑器，然后依次打开计算机配置——Windows设置——安全设置——本地策略项中的“安全选项”，找到“帐户：管理员帐户状态”和“帐户：来宾帐户状态”，分别双击它们以打开其属性界面，然后选择“已禁用”即可停用这两个默认帐户。
　　为了进一步确保帐户安全，还应当在组策略编辑器中启用密码锁定策略。在组策略编辑器中依次打开计算机配置——Windows设置——安全设置——帐户策略——帐户锁定策略，双击“帐户锁定阀值”，在出现的界面中输入重试密码的次数，一般设置为3次，然后将“帐户锁定时间”设定为30分钟。
　　(2)、取消远程协助和远程桌面连接
　　用鼠标右击桌面上的“我的电脑”图标，在出现的右键菜单中选择“属性”，在出现的“系统属性”界面中选择“远程”选项卡，然后取消“远程协助”和“远程桌面连接”复选框中的钩。
　　(3)、禁用危险的系统服务
　　在Windows XP系统中，一些端口与相应的系统服务是相关联的，有的服务还与系统中的特定端口相关联，例如Terminal Services服务与3389端口关联，以及Server服务就是为局域网提供共享服务的，同时包括IPC$共享。因此，禁用一些不需要的服务，不仅能降低系统资源的使用，而且能增强系统的安全性能。
　　在“开始”——“运行”框中输入“services.msc”，按回车后进入“服务”管理界面。对于防止主机成为肉鸡而言，我们应当将下列服务禁用：
　　NetMeeting Remote Desktop Sharing
　　Remote Desktop Help Session Manager
　　Remote Registry
　　Routing and Remote Access
　　Server
　　TCP/IP NetBIOS Helper
　　Telnet
　　Terminal Services
　　具体的操作方法就是双击选择的服务名，就会打开一个服务属性界面，然后在此界面中的“启动类型”下拉列表框，选择“已禁用”，最后单击“确定”按钮即可。重新启动系统后，这些已经禁用了的服务将再不会自动运行。
　　(4)、关闭137、138、139和445端口
　　用鼠标右击桌面上的“网上邻居”图标，然后在弹出的右键菜单中选择“属性”进入其属性界面。然后在此界面中，以同样的方法进入“本地连接”的属性界面，并打开“Internet协议(TCP/IP)”的属性对话框。在此对话框中，单击“高级”按钮，在出现的高级TCP/IP设置界面中的选择“WINS”选项，然后选择“禁用TCP/IP上的NetBIOS”的单项选择项，这样就关闭了137、138和139端口。同时，通过取消“本地连接”属性中的“Microsoft 打印机和文件共享”就可以关闭445端口。
　　(5)、启动系统审核策略
　　在“开始”——“运行”框中输入“gpedit.msc”进入组策略编辑器，在计算机配置——Windows设置——安全设置——本地策略——审核策略中，将审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件启用成功方式的审核。
　　(6)、用户权利指派
　　在“开始”——“运行”框中输入“gpedit.msc”进入组策略编辑器，在计算机配置——Windows设置——安全设置——本地策略——用户权利指派中，将“从网络访问此计算机”策略中的所用用户都删除，在“拒绝从网络访问此计算机”策略中确保已有“everyone”帐户，然后再删除“通过终端服务允许登录”策略中的所有用户，并确保在“通过终端服务拒绝登录”策略中有“everyone”帐户。
　　(7)、禁用系统默认共享
　　在“开始”——“运行”框中输入“gpedit.msc”进入组策略编辑器，在计算机配置——Windows设置——安全设置——安全选项中，将“网络访问：不允许SAM帐户的匿名枚举”及“网络访问：不允许SAM帐户和共享的匿名枚举”全部启用;将“网络访问：可匿名访问的共享”、“可匿名访问的管道”及“可远程访问的注册表路径”中的内容全部删除。
　　再在“开始”——“运行”框中输入“regedit”打开注册表编辑器，进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters项，在其右边新建一个键值名为“Autoshareserver”，键值为0的DWORD值，这样就可以禁止系统C$、D$、E$等方式的共享;为了能禁止admin$共享，还应当在此注册表项中新建一个键值名为“Autosharewks”，键值为0的DWORD值。
　　最后，打开“资源管理器”，选择“工具”菜单中的“文件夹选项”，在出现的文件夹选项界面中的“高级设置”框中，取消“使用简单文件共享”的多项选择项。
2、使用安全软件加固操作系统
　　对于普通网络用户的计算机和处于某个局域网中的计算机来说，都可以通过安装基于主机的杀毒软件和防火墙的方式来达到进一步增强系统安全性的要求。
　　(1)、安装杀毒软件
　　现在，虽然市面上主流的杀毒软件都具有主动防御的功能，但是，使用病毒库来查杀木马仍然是一种最应对已知木马病毒最有效的方式。因此，当我们安装好杀毒软件后，一定要立即更新它的病毒库到最新状态，如有必要，还应当设置每天按时自动更新病毒库。
　　目前市面上的杀毒软件产品繁多，有商业的，有免费的，一些比较受用户欢迎的杀毒软件有瑞星、卡巴斯基、360安全卫士、AVG Anti-Virus Free Edition、Ad-Aware 2009和Avast Home Edition等。
　　实际上，现在许多的木马病毒都具有很强的免杀能力，而且，它们能够在开始运行之后，首先会枚举系统中安全的所有安全软件，然后通过一些手段限制它们的正常运行。这样一来，这些木马程序就可以在没有任何安全防范之下为所俗为了。一旦我们发现原本运行正常的安全软件突然不能正常运行，那么就说明系统已经感染了一个很厉害的木马病毒。此时，最好的方法就是重新恢复C盘(在有ghost备份的情况下进行恢复，没有或被木马破坏备份文件时进行全新安装)，在恢复完成后首先进入安全模式，然后打开文件的隐藏属性，以右键方式展开D、E、F等系统分区，然后将找到其中具有隐藏属性的、陌生的文件全部删除，这样才有可能清除感染的木马病毒。
　　(2)、安装防火墙
　　我们已经了解到，黑客的入侵活动都是从扫描系统中是否开放有高危端口开始的，因此，我们必需将系统中的一些高危端口(如135、137、138、139、445、3389等)禁用，以减少这些端口带来的安全风险。同时，我们还应当限制系统中能够与互联网通信的进程和应用程序，以减少网络应用程序本身漏洞带来的安全风险，所有的这些都可以通过防火墙来完成的。
　　虽然Windows XP系统本身带有一个“Internet 防火墙”，但是它功能太过简单，远远不能满足日益增长的安全防范需求，因此，我们必需通过安装第三方提供的防火墙软件来解决这些问题。
　　现在市面上存在的防火墙不仅具有包过滤和应用程序跟踪的基本防火墙功能，它们还具有属于自己的独特功能。例如，KFW防火墙不仅是一款免费的防火墙软件，而且在提供基本防火墙功能的同时，还具有显示网络攻击者IP地址的功能，并可查询攻击者IP地址的来源。而且，KFW防火墙的界面非常简单，防火墙规则也很容易配置，各类用户都可以很快就上手。
　　另一个防火墙是比KFW功能更加全面，保护能力更加强大的Tiny Firewall防火墙。它不仅具有普通应用层防火墙的功能，还具有IDS、文件完整性检测和主动防御的功能。并且还为用户提供了一个实时网络连接监控功能，可以让用户随时掌握当前的网络连接情况，了解连接的网络应用程序都使用了哪些端口，连接到了什么目标上，并直接显示出对方的IP地址。Tiny Firewall防火墙的网络连接监控界面，可以通过双击任务栏右下角的Tiny Firewall防火墙图标就可以显示。图1就是它的网络连接监控界面。

　图1 Tiny Firewall防火墙网络连接监控界面
　　根据雪源梅香个人的安全软件使用经验，我建议网络用户同时使用Tiny Firewall防火墙和360安全卫士，以此来为系统构建一个深度的主动防御体系。当同时使用这两个安全软件来保护系统时，假设某个未知的木马程序想要运行，360安全卫士就会率先向用户提示禁止并删除这个木马。一旦360安全卫士不能检测到这个未知木马，那么Tiny Firewall防火墙就会提示用户是否允许这个程序运行，此时，直接选择提示界面中的“Don't Run”就可以禁止木马的运行。
　　(3)、使用代理服务器
　　黑客要想扫描我们的计算机，就必需先知道我们所使用的计算机连网以后所使用的公网IP地址。如果能够隐藏这个公网IP地址，黑客就不会轻易地得道它，也就不可能对我们的计算机进行相应的漏洞扫描了。
　　隐藏IP地址最好的方式就是使用代理服务器。对于普通的网络用户来说，可以通过使用HTTP代理和在计算机上安装简单的代理软件来达到隐藏IP地址的目的。
　　现在互联网上提供HTTP代理的网站有许多，通过搜索引擎就能找出一大堆，不过，由于我国对这些提供HTTP代理的网站进行屏蔽，在一段时间后，一些提供免费HTTP代理的网站就不能使用了，因此，我们不得不重新搜索新的代理网站。使用HTTP代理非常简单，进入提供此功能的网站，例如http://www.web4proxy.com/，如图2所示。在“开始浏览”按钮前的文本框中填入要访问的站点，就可以通过隐藏IP的方式浏览想访问的网站了。
图2 WEB代理界面
　　但是，使用HTTP代理只能防止由于浏览网页而泄漏IP地址的风险，要想隐藏其它网络活动时的IP地址，例如进行的QQ聊天和玩网络游戏等网络应用，就必需通过在系统中安装代理服务器软件的方法来解决。
　　Waysonline是一个不需要安装的，在Windows系统下运行的代理服务器软件，它可以在http://www.waysonline.com/mader/download/下载。Waysonline是一个商业的代理服务器软件，在使用前，我们还必需在其http://www.waysonline.com/mader/buy/register.htm页面进行免费注册，注册的帐号和密码会通过邮件发送给我们。在试用期结束后，如果想继续使用，就得付费成为正式会员。
　　当我们使用Waysonline时，得先将下载回来的Socksonline.zip压缩包解压，然后双击解压目录中的Waysonline.exe可执行文件，就会先打开一个如图3所示的网页登录界面。
图3 Waysonline网页登录界面
　　在图3所示的登录界面中输入注册好的帐户和密码后，单击“登录”按钮就可以完成用户登录。此时，右击Windows任务栏中的绿色“W”图标，就可以出现一个右键菜单，在此菜单中的“运行程序”菜单项中，可以由我们选择代理的各种方式。例如，如果只需代理网游数据，不需要代理网页流量，就可以选择此菜单中的“除WEB以外的通信”。如果全部网络数据都需要进行代理，那么就选择此菜单中的“全部网络通信”。
　　一旦我们选择了Waysonline上述右键菜单中“运行程序”菜单项中的任何一个菜单项，就会打开一个指定需要运行程序的对话框，如图4所示。在此对话框中，选择要运行的应用或游戏程序，再单击“打开”按钮后就可以开始运行该程序，并通过Waysonline服务器进行代理通讯。当选择的程序开始网络访问后，指向任务栏上“M”小图标时就会出现网络连接数，以及数据变化，也可以通过选择此图标右键菜单中的“打开主面板”，在如图5所示的界面中同样可以看到相应的网络连接数和数据的变化状态。

图4 Waysonline指定运行程序对话框
图5 Waysonline主面板界面
　二、防止主机成为肉鸡的安全管理措施
　　对系统实施安全管理措施可以分成两个部分来执行：其一为系统安全管理，其二就是用户网络操作行为管理。
　　1、 系统安全管理
　　一个全面的系统安全管理应当包括下列所示的内容：
　　(1)、操作系统漏洞补丁管理。为系统打补丁是一件非常重要的工作，这也是防止黑客通过系统漏洞获取肉鸡的主要方法之一，我们可以通过360安全卫士的“修复系统漏洞”功能来完成，至于更新的次数，可以每天一次。
　　(2)、网络应用程序版本更新。我们应当及时升级QQ、MSN及网络浏览器等网络应用程序到最新版本，这些软件的最新版本往往修复了原来的漏洞，并且拥有更高的安全性能。
　　(3)、杀毒软件病毒库和防火墙规则审查。虽然杀毒软件都可以通过自动更新方式更新病毒库，我还是建议你养成按时手动更新病毒库的习惯，并且，在每次手动杀毒前进行手动更新病毒库一次。同时，对于防火墙规则，尤其是应用程序规则，我们要经常检查是否添加了不明规则，以便及时取消。还应当经常审查防火墙的日志记录，了解它的网络拦截情况，以便能及时发现黑客入侵等问题。
　　(4)、定期检查系统审核日志。我们在上面已经对系统开启了几种系统事件的审核，经常检查这些审核产生的日志，能及时发现系统是否已经被入侵，或者已经受到过某种入侵行为的侵扰。
　　(5)、在使用计算机之前，或使用当中，要养成查看系统当时运行进程的习惯，以便能及时发现已经在系统中运行却没有被杀毒软件检测到的非法进程。通过360安全卫士的“系统全面诊断”就能查看到当前系统中正在运行的进程的详细信息。
　　(6)、在连网过程中，要经常查看目前的网络连接情况，以便能及时发现不正常的网络连接。如果你没有安装上面提到的Tiny Firewall防火墙，仍然可以通过360安全卫士“高级”选项卡中的“网络连接状态”来了解当前系统的网络连接状况。如图6所示。
图6 360安全卫士的网络连接状态界面
　　2、 用户网络操作行为控制
　　要控制的网络行为方面包括：
　　(1)、使用安全性能高的浏览器(如IE8、傲游和360安全浏览器等)。 只去正规的网站浏览新闻，下载MP3、MP4和软件等。最好使用PPfilm、风行及QQLive等软件来观看电影或电视，以减少进入危险网站的风险。
　　(2)、要养成只在浏览器地址栏中输入URL访问网站的习惯，对要输入的域名要确认其正确与否。例如，一些网上银行都使用了一种叫做EV-SSL认证的方式来标明网站的真实性，如果用户发现自己IE8浏览器地址栏中的URL地址变成了绿色，那么就可以肯定这个网站是真实的。再加上不要轻易点击电子邮件或QQ等即时聊天软件界面中的网站链接，就可以很好地减少被网络钓鱼攻击的安全风险。
　　(3)、不要去浏览色情、赌博网站，以及不正规的彩票操作、股票基金及财富项目加盟类网站。
　　(4)、不要轻易将陌生人加为QQ或MSN好友，对对方式发过来的文件、图片和音视频等文件不要轻易接收，除非你知道它们是安全可靠的。
　　(5)、要控制自己的好奇心，对无故中大奖、免费得游戏币等好事不要轻易相信，也不要盲目点击这一类的广告，以防止被网络钓鱼。
　　(6)、应当使用安全性能高的网络应用程序。例如搜索引擎最好使用Google，它能够将搜索到的可能含有某种安全风险的网站直接标识出来，并且不能进入。从网络下载各种资料时最好使用迅雷，它不仅下载速度快，而且还可以在下载前检查要下载的文件是否安全，一旦发现它们有问题，就会提示用户是否继续下载。使用这些安全性能高的网络应用程序，能大大减少被木马控制的风险。
　　(7)、对于突然接到的某个自称是电信、计算机销售商及银行等企业的服务人员打来的电话，如果你不熟悉这个电话号码，或者不熟悉对方的声音，你一定要提高警惕。尤其当他们向你询问有关系统、电子邮件、网上银行帐户等机密信息时，你一定要马上拒绝。同时，对于上门服务的人员，你一定仔细检查他们的工作证，并且要在一旁观看他们操作的全过程，所有需要输入帐户和密码的地方，都得由你自己来输入。我们只有对与此相似的事件保持高度的怀疑，才能有效地防止黑客通过社会工程的方式来攻击我们。
　　总而言之，只有网络用户认识认真细致地对系统实施相应的安全技术和安全管理措施，才能在计算机生命周期的各个阶段防止自己的计算机成为黑客们的肉鸡。

太有用了，谢谢楼主分享