我的主机现在正在被人入侵,在“Active Directory 用户和计算机”不知什么时候多了几个用户,全部都是有管理员权限,如何才能比较有效防止此类黑客的行为。(操作系统为:windows 2000 Advanced Server,已经装好全部微软补丁)
---------------------------------------------------------------
及时打补丁,健壮的口令,只开启几个必要的端口,注意观察和保护好系统的日志文件等等,都可以有效的防止入侵……
---------------------------------------------------------------
哈~肯定是被人开了3389
关掉3389和21端口
实在忍受不住关掉80 445 135 137 138 139 端口
---------------------------------------------------------------
at.exe应该是“计划执行”这个服务吧,你在服务中关掉这个看看,因为好像管理员权限是不能关闭system权限的进程
---------------------------------------------------------------
Q:2000如何防止被黑
1.系统开放的帐号要尽可能的少。并且严格控制所有帐户权限,轻易不要给帐号特殊权限。
2.重命名Administrator帐户,改为一个不易被猜到的用户名,以绝暴力破解的后患。
3.设置傀儡帐户,如新建立一个名为Administrator用户,属于普通user组,不要忘了在描述栏里写上“管理计算机(域)的内置帐户”,并且配置一个尽量复杂的口令,越复杂越好,来诱惑攻击者,拖住进攻者的脚步,同时,为这个帐户设置重型的审核和报警,例如可以设置登录脚本,等有人企图登录时,发出报警。
4.除原Administrator外,再增加一个属于Administrator组的帐号,这样做的好处有两方面:一方面,如果你自己忘了一个帐号的密码,还可以用另一个来登录,避免自己被锁在系统外面的尴尬,另一方面,万一黑客得到了一个帐户并更改口令,你也可以利用备用帐号来登录,夺回控制权。
5.将Guest帐号禁用,并且重命名为一个复杂的名字,设置一个复杂的口令,并将它从Guest组删除,这样做主要是为了对付有些攻击者,利用一些工具,将Guest帐号从一般用户提升到管理员组。
6.给所有用户帐号设置复杂的口令。windows中用户口令最多可以达到128位,但是,在NT4中,最多只可以到14位,所以为了保证向后兼容性,一般密码长度应该在8位以上14位以下,且必须同时包含字母,数字,特殊字符。不要使用一些常用的如iloveyou等单词,词组,当然,也没有必要设置一个如:djkd%^344??>sdf33*这么复杂的口令,你自己记忆起来也很有困难,可能你就会想办法把它记到纸上或其他地方,又造成了一定的隐患,所以,应该在Security和Easy之间寻找最佳的平衡点。
7.必须定期更改口令,这一点很重要。
8.设置帐号锁定和复位,这样,可以防止攻击者对帐号的暴力攻击!~
9.对于运行IIS的服务器,建议不要使用帐户锁定策略,因为黑客可以通过对帐号的反复登录尝试使其锁定,其后果就是任何人都无法访问IIS服务器,目前还没有解决的办法。
10.在“本地策略”的“安全选项”里,把“Lan Manager 身份验证级别”改为“仅发送NTLM响应”,这样即使入侵者借助Sniffer得到口令的hash也很难破解;还可以避免直接传递值的进攻方法-尽管这是一种比较高级的技巧,但是已经有人写出了可以利用的程序。把“对匿名连接的对外限制”设置为“没有显示匿名权限就无法访问”;启用“在关机时清理虚拟内存交换页面”;启用“登录屏幕上不要显示上次登录的用户名”。
另外,你应该开了IIS服务,对方很有可能是利用IIS的漏洞入侵的,与IIS有关的所有补丁你都要打上,还有关于IIS的一些细节配置,可以到http://m365.126.com的安全教学里面去找。
上网的时候将防火墙打开,每天查看日志!!!
---------------------------------------------------------------
一、 版本的选择
笔者强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以“漏洞加补丁(Bug & Patch)”而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的服务器还会有半个月处于无保护状态)。
二、 组件的定制
WIN2K在默认情况下会安装一些常用的组件,但是正是这个默认安装是非常危险的,根据安全原则“最少的服务+最小的权限=最大的安全” ,只安装确实需要的服务即可。这里特别提醒注意的是:“Indexing Service”、“FrontPage 2000 Server Extensions”、“ Internet Service Manager”这几个危险服务。
三、 管理应用程序的选择
选择一个好的远程管理软件是非常重要的事,这不仅仅是安全方面的要求,也是应用方面的需要。WIN2K的Terminal Service是基于RDP(远程桌面协议)的远程控制软件,它的速度快,操作方便,比较适合用来进行常规操作。但是,Terminal Service也有其不足之处,由于它使用的是虚拟桌面,再加上微软编程的不严谨,当你使用Terminal Service进行安装软件或重启服务器等与真实桌面交互的操作时,往往会出现哭笑不得的现象,例如:使用Terminal Service重启微软的认证服务器(Compaq, IBM等)可能会直接关机。所以,为了安全起见,建议再配备一个远程控制软件作为辅助,和Terminal Service互补,如PcAnyWhere就是一个不错的选择。
四、 分区和逻辑盘的分配
至少建立两个分区,一个系统分区,一个应用程序分区。这是因为,微软的IIS(Internet Information Server)经常会有漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏,甚至让入侵者远程获取管理权。
推荐建立三个逻辑驱动器,第一个用来装系统和重要的日志文件;第二个放IIS;第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。
五、 安装顺序的选择
不要觉得只要能装上系统,就算完事了,其实WIN2K的安装顺序是非常重要的。
首先,要注意接入网络的时间。WIN2K在安装时有一个漏洞,就是在输入Administrator的密码后,系统会建立“$ADMIN”的共享,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“$ADMIN”进入系统;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。因此,在完全安装并配置好WIN2K Server之前,一定不要把主机接入网络。
其次,注意补丁的安装。补丁应该在所有应用程序安装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁的话可能无法起到应有的效果。
怎么设
即使正确地安装了WIN2K Server,系统也有很多漏洞,还需要进一步进行细致的配置。
一、 端口
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。
二、 IIS
IIS是微软的组件中问题最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点。
首先,删除C盘下的Inetpub目录,在D盘建一个Inetpub,在IIS管理器中将主目录指向D:\Inetpub。
其次,把IIS安装时默认的s cripts等虚拟目录也一概删除,如果你需要什么权限的目录可以以后再建(特别注意写权限和执行程序的权限)。
然后是应用程序的配置。在IIS管理器中把无用映射都统统删除(当然必须保留如ASP、ASA等)。在IIS管理器中“主机→属性→WWW服务编辑→主目录配置→应用程序映射”,然后开始一个个删吧。接着再在应用程序调试书签内,将“脚本错误消息”改为“发送文本”。点击“确定”退出时别忘了让虚拟站点继承刚才设定好的属性。
最后,为了保险起见,可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果怕IIS负荷过高导致服务器死机,也可以在性能中打开CPU限制,如将IIS的最大CPU使用率限制在70%。
三、 账号安全
首先,WIN2K的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous =1来禁止空用户连接,实际上WIN2K的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有这样的选项RestrictAnonymous(匿名连接的额外限制),其中有三个值:
“0”:None, Rely on default permissions(无,取决于默认的权限)
“1”:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM账号和共享)
“2”:No access without explic