个人网络安全防卫手册

1、个人网络安全防卫手册 网络技术的飞速发展，随之而来的不仅仅是惬意与便利，资料的使用、数据的安全更是让我们忧心仲仲，网络安全事件层出不穷。毫不夸张地说，无论是企业用户，还是个人用户，只是你上网，就身处危险之中！如何将这种危险降到最低点？本文试着将各种攻击伎俩列出，并给出详细的解决方案，希望能给你营造出一个安全的网络环境。 一、网络攻击概览1.服务拒绝攻击 服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务，服务拒绝攻击是最容易实施的攻击行为，主要包括： （1）死亡之ping （ping of death）：由于在网络技术形成早期，路由器对数据包的最大尺寸都有限制，许多操作系统对T

2、CP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。 （2）泪滴（teardrop）：泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括Service pack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。 （3）UDP洪水（UDP flood）：各种

3、各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。 （4）SYN洪水（SYN flood）：一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息，因为他们只有有限的内存缓冲区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里，SYN洪水具有类似的影

4、响。 未来的SYN洪水令人担忧，由于释放洪水的并不寻求响应，所以无法从一个简单高容量的传输中鉴别出来。 （5）Land攻击：在Land攻击中，一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变得极其缓慢（大约持续五分钟）。 （6）Smurf攻击：一个简单的Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网

5、络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。 （7）Fraggle攻击：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。 （8）电子邮件炸弹：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。 （9）畸形消息攻击：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。 2.利用型攻击

6、 利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种： （1）口令猜测：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户账号，成功的口令猜测能提供对机器的控制。 （2）特洛伊木马：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序，恶意程序包括：NetBus、BackOrifice和BO2k,用于控制系统的良性程序如：netcat、VNC、pcAnywhere。理想的后门程序透明运行。 （3）缓冲区

7、溢出：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。 3.信息收集型攻击 信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务。 （1）扫描技术： 地址扫描：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。 端口扫描：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描

8、软件报告它成功的建立了连接的主机所开的端口。 慢速扫描：由于一般扫描侦测器的实现是通过监视某个时间帧里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。 体系结构探测：黑客使用具有已知响应类型的数据库的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法（NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。 （2）利用信息服务： DNS域转换：DNS协议不对转换或信息性的更新进行身

9、份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。 Finger服务：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。 上进行过滤。 LDAP服务：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。 4.假消息攻击 用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。 （1）DNS高速缓存污染：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。 （2）

10、伪造电子邮件：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。 二、一般性防卫原则对一些常见的攻击技术有所了解，可以使我们更好地防范黑客的攻击。其实，许多网络安全危机，有多半来自于用户本身没有具备基本的网络安全常识。导致黑客有机会入侵计算机，达到破坏的目的。因此，不管是企业或个人用户加强本身的网络保防知识，有其绝对的必要性。 1. 必要的网络安全知识 （1）不要开启来路不明的邮件：许多黑客入侵主机的方式，都是先寄发内含入侵程序的E-mail给对方，骗取对方开启附

11、在邮件内的的执行文件，只要收件者在不知情的情况下执行了，入侵程序便无声无息的进驻到计算机里，任由黑客进进出出，不仅窃取重要机密文件，甚至破坏掉整部计算机的硬盘资料。 因此，强烈建议经常收发电子邮件的朋友（尤其在公司），开启每一封邮件时，不妨多留意，遇到来路不明的信件（如广告信），尤其内含附加文件，且扩展名为EXE的文件，请别开启，因为这很有可能是黑客入侵程序。最好的方式是将整封信件直接删除。 （2）小心邮件中的网页：即使不含执行文件的邮件，都有可能是危险的！因为E-mail支持HTM格式的关系，使寄件者可以利用这个技术将邮件内容以网页（WebPage）的方式寄出，而利用IE浏览器的安全漏洞。这

12、些漏洞，可以让黑客撰写一些简单的JAVA程序，只要上网者点击上面的按钮，就可能让黑客从你的硬盘中窃取重要的文件（如，密码文件等）。因此，就算你只是开启网页，都可能遭受黑客的入侵。 （3）密码设定勿过于简单：一般使用者，面对账号或是邮件密码的设定，常常随便就以简单的数字，或是单纯的英文名字、单字设定。更离谱的是，有人就直接将密码跟账号设定成同一个，等于给了黑客最容易猜中的机率。因为黑客有时要入侵计算机，若是遇到有密码保护的主机时，通常会试着先以简单的可能猜对方的密码，若这道防线被这么轻易的突破，那就失去设定密码的意义。因此，建议你在设定密码时，最好能以英文加上特定的数字（例如自己的生日），只要设

13、定的密码愈复杂，就对网络安全的防护愈有保障。 （4）严禁账号及密码外借他人：有些朋友常常将自己的账号与密码借给他人，虽然心想才借一下不要紧，但却不知这是相当危险的行为。就算对方是多么熟的朋友，但毕竟密码已经不只自己知道而已，这就可能造成账号与密码外流，被人拿来做些犯法的事情了。 这种情形常发生在初学上网的朋友，由于不知该如何设定密码，便找来朋友或是计算机公司的工程师来帮忙，这时如果对方是有心人，可能会记住你的账号跟密码，变成对方“免费”的账号，而受害者往往在接到拨接帐单时才惊觉，到时就为时已晚了。因此若是你不得已将账号及密码借给他人，也希望你能在最短的时间内更改原来的密码，以避免他人用原来的密

14、码登录你的账号。 （5）加强服务器主机的独立性：只要是局域网络架构，一定有一台以上的主机服务器，提供所有计算机的连结并予以控制。通常，这些计算机就是黑客攻击的目标。因此，企业内部应该对于服务器主机的安全性加强控制，尽可能的将其独立，不要将重要的资料放置此处，利用某些方式将重要机密资料独立于其他机器，再另外由公司内部的网络进行连结。 （6）架构网络安全防卫系统：有鉴于网络入侵的严重性，不少网络安全软件公司，致力开发并研究出不少防卫系统安全的技术，列举如下： 防火墙：英文原名为Firewall。它是一种文件在主机服务器与外界网络中间的“过滤器”。其功能就是有效地阻绝外界非法存取内部资料。 资料加密

15、：网络上一些有心人士，会针对特定的资料在传输时，加以从中拦截，进而窃取机密文件。因此为了防范这种状况发生，便是先把资料用钥匙（KEY）进行重新编码，使拦截者即使得到资料，也无法获知内容。而这个钥匙则是由一连串的数字所组成。 认证身分：最常见的方式就是在登录主机时，系统询问你账号及密码，以开放一定程度的使用权限。然而，随着科技的进步，认证身份的方式千奇百怪，例如，指纹辨识、视网膜辨识、声音辨识、笔迹动态辨识等。这都是为了取得更高的保防功能。 网络监控：这是一种由监视封包资料传送情形，来适时提醒系统管理者，是否传送不正常现象的防范措施。因为只要封包在传送期间，没有照着既定的路径进行，或是出现不正常

16、现象，就有可能是遭到有心人士的拦截了。 2.网络服务的安全性 所谓网络服务是指一般人上网要做的事情。例如，用浏览器在WWW上面获知讯息，以E-mail方式与远方的朋友联络，使用FTP传输文件或是Telnet到BBS站，与网友们聊个天南地北。虽然网络上可以做这么多事，但只要稍不小心，可能你在不知不觉中，已经受到黑客的入侵了。因此了解网络服务的安全性，是你必备的上网常识喔！ （1）WWW世界的陷阱：当你在使用IE或Netscape浏览器遨游在WWW中时，必须要小心某些看似怪异，或者主题不明确的网站。可别以为浏览网页不会有什么问题，殊不知点点网页上的按钮，也可以让黑客从你的计算机中将你的密码文件回传

17、到自己的计算机中。而且，这只是其中一种从WWW上窃取资料的方法。 （2）FTP：FTP是一种文件传输的服务，通过网络上架设的FTP主机，管理者可以提供访客上传或下载文件的服务，但这也同样存在着资料被黑客恶意入侵破坏的风险。而且这些网站有许多是所谓的“地下网站”，专门提供一些非法软件的取得服务，而这些软件由于来源不明，内含病毒或黑客程序的机率相当高，若没有高度的警觉心，你就很有可能成为黑客的下一个目标。 （3）E-mail：E-mail恐怕是每个上网者必用的网络服务。它强调实时、迅速、环保等多种优质条件的特性，使现在的人们大大地改变了以往用纸跟邮票来传送邮件的习惯。不过E-mail是目前网络上传

18、递病毒与黑客程序最佳的途径。唯有加强自己本身的危机意识和网络安全常识，才能在享受这个科技带来的便利外，更能多一层安全上的保障。 （4）Telnet：Telnet是一种远程登录的网络服务。这个技术最常见的应用就是BBS。只要你接触网络有一段时间，应该都见识过BBS的威力吧！在一开始时，系统会要求你键入账号和密码，而当你键入数据时，这组账号及密码会以不加密的方式，直接送到提供服务的主机端。这段过程，相当容易遭到有心人士的从中撷取资料，而对于一般人惯性的将许多账号及密码都设为同一组的缘故，恐怕这个损失将难以估计了。 （5）NEWS：这是网络上供人讨论网站的新闻群组，由于这样的群组强调纯文字的特性，舍

19、弃了图片与其他费时的网络资源，因此深获一般想上网获得实时讯息的朋友喜爱。不过在NEWS上常常有许多内容及吸引人的广告文章，让人产生一种不劳而获的幻想。若警觉性不高，可能你就中了黑客的圈套，而一步一步陷进去了。 三、操作系统安全配置操作系统是你使用计算机的起点，所有对资料、文件的操作都需要通过操作系统来协同完成。由于操作系统本身所存在的一些缺陷，使得黑客能在你的计算机系统中随意进出。配置一个安全的计算机系统，将黑客“拒之门外”。 （一）Windows 2000服务器安全配置 1. 定制自己的Windows 2000 Server （1）版本的选择：Windows 2000有各种语言的版本，对于我

20、们来说，可以选择英文版或简体中文版。强烈建议，在语言不成为障碍的情况下，请一定使用英文版。要知道，微软的产品是以Bug & Patch而著称的，中文版的Bug远远多于英文版，而补丁一般还会迟至少半个月（也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况）。 （2）组件的定制：Windows 2000在默认情况下会安装一些常用的组件。但是，正是这个默认安装是极度危险的你应该确切地知道你需要哪些服务，而且仅仅安装你确实需要的服务。根据安全原则，最少的服务+最小的权限=最大的安全。典型的Web服务器需要的最小组件选择是：只安装IIS的ComFiles、IIS Snap-In、WWW Se

21、rver组件。如果你确实需要安装其他组件，请慎重，特别是Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager（HTML）这几个危险服务。 （3）管理应用程序的选择：选择一个好的远程管理软件是非常重要的事，这不仅仅是安全方面的要求，也是应用方面的需要。Windows 2000的终端服务是基于RDP（远程桌面协议）的远程控制软件，它速度快，操作方便，比较适合用来进行常规操作。但是，终端服务也有其不足之处，由于它使用的是虚拟桌面，当你使用终端服务进行安装软件或重启服务器等与真实桌面交互的操作时，往往会出现

22、哭笑不得的现象，例如，使用终端服务重启微软的认证服务器（Compaq, IBM等）可能会直接关机。所以，为了安全起见，建议再配备一个远程控制软件作为辅助，与终端服务互补，如PcAnyWhere就是一个不错的选择。 2. 正确安装Windows 2000 Server （1）分区和逻辑盘的分配。有一些朋友为了省事，将硬盘仅仅分为一个逻辑盘，所有的软件都装在C盘上。建议最少建立两个分区，一个系统分区，一个应用程序分区，这是因为，微软的IIS经常会有泄漏源码/溢出的漏洞，如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取Admin。推荐的安全配置是建立三个逻辑驱动器，第一个大于

23、2GB，用来装系统和重要的日志文件，第二个放IIS，第三个放FTP，这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。 （2）安装顺序的选择：Windows 2000在安装中有几个顺序是一定要注意的： 首先，何时接入网络。Windows 2000在安装时有一个漏洞，在你输入Administrator密码后，系统就建立了ADMIN$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过ADMIN$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好Wind

24、ows 2000之前，一定不要把主机接入网络。 其次，补丁的安装。补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如，IIS的HotFix就要求每次更改IIS的配置都需要安装。 3. 端口 端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全。一般来说，仅打开你需要使用的端口会比较安全，配置的方法：打开“本地连接属性”对话框，依次点击“Internet协议（TCP/IP）高级选项TCP/IP筛选属性”，在打开的对话框中启用TCP/IP筛选。 4. II

25、S IIS是微软的组件中漏洞最多的一个，所以IIS的配置是我们的重点： （1）将Inetpub目录彻底删掉，然后在D盘建一个Inetpub目录，在IIS管理器中将主目录指向D:Inetpub。 （2）将IIS安装时默认的Scripts等虚拟目录一概删除，如果你需要什么权限的目录可以自己建（特别注意写权限和执行程序的权限，没有必要千万不要给）。 （3）应用程序配置：在IIS管理器中删除必须之外的任何无用映射。 （4）为了保险起见，你可以使用IIS的备份功能，将上面的设定全部备份下来，这样就可以随时恢复IIS的安全配置。如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如

26、将IIS的最大CPU使用率限制在70%。 5. 账号安全 Windows 2000的账号安全是另一个重点，首先，默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表HKEYLOCALMACHINESystemCurrentControlSetControlLSA-RestrictAnonymous=1来禁止139空连接，实际上Windows 2000的本地安全策略就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：

27、0：None. Rely on default permissions（无，取决于默认的权限）。这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等，对服务器来说这样的设置非常危险。 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享）。这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）。这个值是在Windows 200

28、0中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋，所以我推荐你还是设为1比较好。 好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了慢着，至少还有一个账户是可以跑密码的，这就是系统内建的Administrator。怎么办？在“计算机管理用户账号”中右击Administrator，然后改名。然后再来把HKEYLOCALMACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon项中的“Dont Display Last User Name”串数据改成1，这样系统不会自动显示上次的登录用户名。 将服务器注册表H

29、KEYLOCALMACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon项中的Dont Display Last User Name串数据修改为1，隐藏上次登陆控制台的用户名。 6安全日志 Windows 2000的默认安装是不开启任何安全审核的。请你到“本地安全策略”的“审核策略”中打开相应的审核。推荐的审核是： 账户管理 成功/失败 登录事件 成功/失败 对象访问 失败 策略更改 成功/失败 特权使用 失败 系统事件 成功/失败 目录服务访问 失败 账户登录事件 成功/失败 与之相关的是在“账户策略”的“密码策略”中设定： 密码复杂性要

30、求 启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 在”账户策略”的“账户锁定策略”中设定： 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 7. 目录和文件权限 为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵，我们还必须设置目录和文件的访问权限，Windows 2000的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户是完全敞开的，你需要根据应用的需要进行权限重设。 在进行权限控制时，请记住以下几个原则： （1）权限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权

31、限。 （2）拒绝的权限要比允许的权限高。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也不能访问这个资源。 （3）文件权限比文件夹权限高。 （4）仅给用户真正需要的权限，权限的最小化原则是安全的重要保障。 8. 预防DoS 在注册表HKEYLOCALMACHINESYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击： 名称 类型 值 SynAttackProtect REGDWORD 2 EnablePMTUDiscovery REGDWORD 0 NoNameRel

32、easeOnDemand REGDWORD 1 EnableDeadGWDetect REGDWORD 0 KeepAliveTime REGDWORD 300,000 PerformRouterDiscovery REGDWORD 0 EnableICMPRedirects REGDWORD 0 9. ICMP攻击 ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法，其实应付的方法也很简单，Windows 2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。例如，设定输入ICMP代码255丢弃

33、就表示丢弃所有的外来ICMP报文。 （二）Windows 98安全配置 有时候，可能会有很多人共用一台计算机。每个使用者都不愿意将包含自己隐私的文件让其他人看到，但每个人又都有使用计算机的权利。这个时候，如何保证每个用户系统和文件的安全就显得十分重要，下面我们来告诉你如何解决这个问题。 1. 设置用户权限 对不同的用户设置不同的使用权限，限制一些用户对系统文件的修改权，将大大地提高系统的安全性。其具体步骤如下（这里以设立“管理员”和“用户”两个级别为例）： （1）依次点击“控制面板密码用户配置文件”，选择“用户可自定义首选项及桌面设置。登录时，Windows自动启用个人设置（C）”选项。单击“

34、确定”按钮，按照屏幕提示设置“管理员”用户及密码。如60090308a1所示。 （2）重启计算机后，以“管理员”身份进入Windows 98。依次点击“控制面板用户”。按向导提示，设置用户及密码。此时要根据需要设置“用户”级别所需项目。 2. 防止非法用户进入 为防止非法用户以系统默认配置进入Windows 98，可采用以下措施：运行“Regedit”，打开注册表编辑器。在HKEYUSERDefaultSoftware MicorosoftWindowsCurrentVersionRun中创建新“字符串值”，串值名为“用户非法，退出”。编辑字符串值为“rundll.exe user.exe，

35、EXITWINDOWS”。这样，当非法用户试图进入你的Windows 98系统时，计算机便会自动关机。 为了防止非法用户按F8键调出Windows 98的启动菜单，以安全方式进入系统，我们还需编辑Msdos.sys文件。在该文件的option小节中加入如下几行： BootMulti0：设置系统不能进行多重引导。 BootGUI1：在启动时直接进入Windows 98图形用户界面。 BootDelay0：设置在启动时“Staring Windows 98”信息停留的时间为0秒。 BootKeys0：设置在启动过程中F4、F5、F6、F8功能键失效。 3. “用户”级别用户新建使用权限 使用“用户

36、”身份进入Windows 98，此时你可以通过修改文件注册表来限制“用户”级用户的使用权限。 （1）隐藏“开始”菜单的部分内容：打开注册表，在HKEYCURRENTUSERSoftwareMicorsoftWindows Current VersionPoliciesExplorer中新建一个DWORD值“NoSetFolders”，键值为“1”。这样，用户便不能使用“控制面板”和“设置”中的“打印机”。 在该分支下新建一个DWORD值“NoSetTaskbar”，键值为“1”，则“任务栏属性”功能被禁止；在该分支下新建一个DWORD值“NoFind”，键值为“1”，则“查找”功能被禁止；在该

37、分支下新建一个二进制值“NoRun”，键值为“0x00000001”，则“运行”菜单项被关闭。 （2）禁用“活动桌面”：在关闭了“控制面板”和“打印机”功能后，普通用户可以通过“活动桌面”更改显示属性，因此要关闭“活动桌面”，在HKEYCURRENTUSERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem中新建DWORD值“NoDispCPL”，键值为“1”。这样“活动桌面”也被禁用。 （3）禁用注册表编辑器：为了防止普通用户使用注册表，我们可以用如下的方法禁止普通用户使用注册表： 在HKEYCURRENTUSERSoftwareMico

38、rsoftWindowsCurrentVersionPoliciesSystem中新建DWORD值“DisableRegistryTools”，键值为“1”。 （4）禁用MS-DOS方式：隐藏了驱动器后，普通用户还可以通过MSDOS方式进入任何驱动器，为了限制用户进入，可关闭MS-DOS功能：HKEYCURRENTUSERSoftwareMicorsoftWindowsCurrentVersionPolicies中新建“WinOldApp”主键，在其下新建一个DOWRD值“Disabled”，键值为“1”。 （5）隐藏口令文件：在Windows 98系统中，用户设置的口令都被存放于Window

39、s子目录中，其文件名为xxx.pwl。普通用户可以方便地找到你设置的口令文件，并将其删除。这样，他便能顺利地以管理员身份进入系统。为此，你有必要将口令文件隐藏起来。在System.ini文件中的Password Lists中将存放口令文件的存放位置修改到你隐藏的驱动器下的目录中。这样，普通用户便无法找到口令文件，也无法将它删除了。 （6）禁止光盘的自动运行功能 为屏幕保护设置了密码后，你是否就认为万无一失了吗？不！光盘的自动运行功能会给我们带来麻烦。众所周知，Windows 98具有自动运行光盘的功能，当我们在光驱中插入CD之后，CD会自动进行播放，而当我们插入根目录中带有Autorun.in

40、f文件的光盘后，光盘也会自动运行。Windows 98的屏幕保护功能并没有禁止光盘的自动运行功能，也就是说即使处于屏幕保护程序密码控制之下，用户在插入一个根目录中含有Autorun.inf文件的光盘之后，系统仍会自动运行，这就给恶意攻击者带来了可乘之机。目前市面上出现了一种专门用于破解屏幕保护程序的自动运行光盘，为此我们必须关闭系统的光盘自动运行功能。有两种方法可以关闭光驱的自动运行功能： 选择“我的电脑属性”，打开“系统属性”对话框，单击“设备管理器”标签；展开“CDROM”分支，从中选择用户所用光驱。单击“属性”按钮，打开光驱属性对话框，单击“设置”标签，取消“自动插入功能”即可。这一方法

41、可有效的禁止光盘的自动运行功能，但它同时也将CD的自动播放功能禁止了。 第二种方法是：打开注册表在HKEYCURRENTUSERSoftwareMicorsoftWindowsCurrentVersionPoliciesExplorer，创建一个DWORD值“NoDriveTypeAutoRun”，键值为“1”。 这样光盘的自动运行功能将被禁止，插入根目录中含有Autorun.inf文件的光盘后将不会发生任何作用，而CD的自动播放功能将不受影响。 经过上面的设置，你的Windows 98系统的安全性将大大提高，你不必再担心非法用户的进入，也不用担心普通用户误操作毁坏你的系统了，你要做的就是牢记

42、你的密码。 最后，再谈谈用户设置的删除问题。首先，在“控制面板用户”中选中用户设置，单击“删除”按钮，删除用户。然后在注册表HKEYLOCALMACHINE中将Network主键删除，在HKEYCURRENTUSERSoftwareMicorsoftWindowsCurrentVersion中将ProfileList主键删除。重启计算机，在进入Windows 98的“输入Windows密码”提示框中的用户栏输入用户名，但一定不要输入密码，单击“确定”按钮。则将用户设置删除了，以后启动时将不再出现“输入Windows密码”的提示框了。 4. 禁止采用软盘及光盘启动计算机 很显然，非法用户若能以软

43、盘及光盘启动计算机，那他就可以随意在DOS状态下对系统进行攻击，因此我们必须关闭软盘及光盘的启动功能。为此，我们必须重新启动计算机，并在系统自检时进入系统的CMOS设置功能，然后将系统的启动选项设置为“C only”（即仅允许从C盘启动），并同时为COMS设置必要的密码。 个人网络安全防卫手册（下）wuhanman 四、个人安全必备工具（一）金山毒霸2001 金山毒霸是金山公司研制开发的高智能反病毒软件。金山公司独创双杀毒引擎设计，内置金山自主研发的杀毒引擎和俄罗斯著名杀毒软件Dr.Web的杀毒引擎，融合了启发式搜索、代码分析、虚拟机查毒等反病毒技术，使其在查杀病毒种类、查杀病毒速度、病毒防治

44、等多方面达到世界先进水平。同时金山毒霸具有病毒防火墙实时监控、压缩文件查毒、查杀电子邮件病毒等多项先进的功能。软件大小9.72MB，适用于Windows 9x/Me/NT/2000/XP平台。 1安装与卸载 双击安装光盘的安装文件（SetupExe）进入安装画面。接受许可协议，键入个人信息及注册码，选择安装路径，既可顺利安装。安装完之后，金山毒霸的闪电盾牌就会出现在你的桌面和任务栏上了，默认的是每次启机都自动加载病毒防火墙。 卸载金山毒霸，请退出金山毒霸主程序，关闭病毒防火墙，然后再进行卸载。单击开始程序金山毒霸，选择卸载金山毒霸命令，即可实现卸载。 注意，请不要直接删除金山毒霸安装目录，否则

45、将导致系统运行不正常。 Windows环境下，你可以通过以下几种方法启动金山毒霸： 通过开始程序金山毒霸程序组，点击金山毒霸启动；通过双击Windows桌面金山毒霸的快捷方式启动；选择要检查的文件或目录，按鼠标右键，在弹出的右键快捷菜单中选择金山毒霸。 2查毒杀毒 启动金山毒霸之后，即进入金山毒霸的主界面。如60090313b2所示。 你可按默认任务或自行设置查毒目录，然后选择查毒病毒按钮，即可进行查毒操作。查毒结束，程序就切换到查毒结果界面，其间你可选择暂停按钮，暂时停止查毒操作；也可以选择停止按钮，终止查毒操作，系统将在你确认后停止查毒。如果发现病毒，程序将弹出窗口询问对此要进行的下一步操

46、作。 如果发现病毒，金山毒霸将病毒从被感染的文件中清除。其中： 删除文件：将感染病毒的文件删除到回收站中，程序会进行确认后再操作。 跳过文件：不对当前被感染病毒的文件进行任何操作，继续检查下一个文件。 文件改名：将被感染病毒的文件改名：文件名.vir。 停止查毒：中断当前进行的查毒工作。确定后返回控制中心界面（没有发现病毒）；活切换回查毒结果界面（发现病毒）。 3运行防火墙 运行防火墙可以从开始程序的方式运行，也可从病毒防火墙窗口的病毒防火墙菜单里选择加载防火墙来运行。加载后防火墙在后台运行，当你拷贝、运行程序时，它会把可能进入电脑里的病毒一一杀掉。 4在线自动更新病毒库 （1）从Intern

47、et 更新：单击工具更新金山毒霸菜单命令；或者直接点击控制中心界面位于右侧的在线升级按钮；弹出金山毒霸智能升级对话框，选择从Internet上升级，然后选择一个具体的升级服务器，按照升级向导的提示进行操作即可。 （2）从软盘或本地目录中更新：在金山毒霸智能升级对话框中，选择从本地、局域网上升级，然后输入或在浏览中选择更新文件所在目录，然后单击开始按钮，更新完毕后弹出对话框后选择确定即可。 5菜单命令详解 （1）任务管理：单击任务菜单中的任务管理命令或直接单击工具条上的任务按钮，弹出任务管理对话框。 新建任务：单击任务新建任务菜单命令，在任务名框中键入名称，单击确定按钮。此时在工具条的任务栏中会

48、显示出新建的任务项。 保存任务：在工具条的任务栏中选定要保存的任务项，单击保存任务命令。 任务改名：单击任务任务改名菜单命令，在弹出的改名对话框中键入新的任务名称并单击确定按钮。 删除任务：在任务栏中选定要删除的任务项，单击任务删除任务菜单命令。 定时查毒：金山毒霸可以定义任务在某一特定时刻自动启动。单击任务定时查毒菜单命令，弹出定时查毒任务对话框，并选择相应选项。（可以定制的时间方式有每天、每周、每月、一次性、系统启动、登录和程序启动时七种方式） （2）查看日志文件：金山毒霸的日志文件记录了每一次查杀毒操作的详细情况，包括查毒日期、目录、扫描文件数、扫描时间、发现病毒数、病毒存在位置以及是否

49、已清除等信息。单击工具查看日志文件菜单命令就可以查看最近所有操作的详细情况。如果你不想要这些记录了，单击清空日志文件即可。 （3）创建应急盘：选择工具创建应急（DOS）杀毒盘菜单命令即开始进行应急盘的制作，金山毒霸的应急盘共两张，一张是应急启动盘，一张是应急杀毒盘。依提示插入软盘（新版本的金山毒霸由于病毒库增加，应急盘中不能放进DOS系统文件，建议和Windows启动盘配合使用）制作应急盘。当需要在DOS下杀毒时，用Windows启动盘启动机器，然后执行应急盘中的KAVDX.EXE，即可查杀病毒。 （4）选项：金山毒霸共提供四种选项设置，分别是查毒、病毒防火墙、更新设置、系统设置。单击工具选项

50、菜单命令，打开选项设置对话框。其中： 查毒标签：在该对话框中选择查毒标签，可进行查毒高级设置。 病毒防火墙标签：金山毒霸提供的实时监控功能可彻底的防止病毒的入侵。如果检查到病毒，将根据你对监控选项的设置做出相应的反应。你可按个人需要进行防火墙设置。在每次系统启动时都自动运行病毒防火墙程序，并常驻内存。 更新设置标签：金山毒霸可以通过Internet、本地网络/目录网络以增量方式更新病毒库和查毒引擎，更新过程无需用户过多的操作，为你节省宝贵时间。系统设置标签：在此标签中可以对一些金山毒霸系统的属性进行设置。 （二）天网个人版防火墙 天网防火墙（个人版）为个人上网用户提供了一套完整的网络安全解决方

51、案。用户可以通过设定一些参数，来控制本机与互联网之间的信息交流，阻止和杜绝一些恶性信息对本机的攻击，比如聊天室炸弹、破译并修改邮件密码等。并且实时记录其他系统试图对本机系统的访问，使计算机在连接上互联网的时候避免受到网络攻击和资料泄漏的安全威胁。 天网防火墙个人版是一款免费的防火墙，你可以到天网的网站上（）下载。其最新的版本是2.46 beta，320KB，适用于Windows 9x/Me/NT/2000/XP平台。 下载后点击软件安装（setup）图标，按提示选择相应选项就可以顺利完成安装。 从开始程序天网防火墙个人版运行程序。首次运行时会弹出注册对话框，你可以在天网的网站上取得注册号。完成

52、注册后进入软件主界面。如60090313c3所示。 1. 应用程序规则设置 新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过。 在天网个人版防火墙打开的情况下，启动的任何应用程序只要有通讯数据包发送和接收存在，都会先被天网个人版防火墙先截获分析，并弹出窗口。在该窗口中，如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。如果你如果选中以后都允许选项，该程序将自加入到应用程序列表中，天网个人版防火墙将默认不会再拦截该程序发送和接受的数据包，但你可以通过应用程序设置来设置更为复

53、杂的数据包过滤方式。 单击应用程序规则项，单击该界面中每一个程序的选项按钮即可设置应用程序的数据通过规则，你可以设置该应用程序禁止使用TCP或者UDP协议传输，以及设置端口过滤，让应用程序只能通过固定几个通讯端口或者一个通讯端口范围接收和传输数据，当你做这些设置时，你可以选择询问和禁止操作。 对应用程序发送数据包的监察可以使你了解到你的系统有那些程序正在进行通讯，如现在有一些共享软件会在运行的时候从设定好的服务器取一些广告，还有一些恶意的程序会把你个人隐私信息发送出去，如微软最新要推出Windows XP操作系统就会把你计算机的一些信息发送到微软的数据库里面以防止盗版情况，通过天网防火墙你可以

54、禁止这些程序数据通讯操作。 另外，木马也是一样的，天网防火墙可以觉察到攻击者对木马的控制通讯。 2. IP规则设置 程序规则设置是针对每一个应用程序的，而IP规则设置是针对整个系统的，IP规则是针对整个系统的数据包监测。实际上天网防火墙个人版本身已经默认设置好了相当的安全级别，一般用户并不需要自行更改。单击自定义IP规则按钮，其中： 防御ICMP攻击：选择时，即别人无法用Ping的方法来确定你的存在。但不影响你去Ping别人。由于ICMP协议现在也被用来作为蓝屏攻击的一种方法，而且该协议对于普通用户来说，是很少使用到的。 防御IGMP攻击：IGMP是用于传播的一种协议，对于Windows的用户

55、是没有什么用途的，但现在也被用来作为蓝屏攻击的一种方法，建议选择此设置。 TCP数据包监视：选择时，可以监视你机器上所有的TCP端口服务。这是一种对付特洛依木马客户端程序的有效方法，因为这些程序也一种服务程序，如果关闭了TCP端口的服务功能，外部几乎不可能与这些程序进行通讯。但要注意，如果你的机器要执行一些服务程序，如FTP Server，HTTP Server时，一定不要关闭功能，而且，如果你用ICQ来接受文件，也一定要将该功能正常，否则，你将无法收到别人的文件。另外，选择监视TCP数据包，也可以防止许多端口扫描程序的扫描。 UDP数据包监视：选择时，可以监视你机器上所有的UDP服务功能。不

56、过通过UDP方式来进行蓝屏攻击比较少见，但有可能会被用来进行激活特洛依木马的客户端程序。注意，如果你使用了采用UDP数据包发送的ICQ和OICQ，就不可以选择阻止该项目，否则，你将无法收到别人的ICQ信息。 对于规则的条目，我们也可以进行排序、删除、修改的操作，单击修改按钮即可打开相应的设置对话框。 安全规则的设置是系统最重要，也是最复杂的地方。如果你不熟悉网络，最好不要调整它。简单地说，规则是一系列的比较条件和一个对数据包的动作，就是根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。 建立规则时，请注

57、意下面的建议： （1）防火墙的规则检查顺序与列表顺序是一致的。 （2）当你有局域网时，又只想对局域网开放某些端口或协议（但对互联网关闭）时，可对局域网的规则采用允许局域网网络地址的某端口、协议的数据包通行的规则，然后用任何地址的某端口、协议的规则拦截，就可实现你的目的。 （3）注意，如果你录入了IP协议的规则，一定要保证 IP协议规则的最后一条的内容是：对方地址为任何地址，动作：继续下一规则，否则会其他协议的规则会执行不到。 （4）不要滥用记录功能，一个定义不好的规则加上记录功能，会产生大量没有任何意义的日志，并浪费大量的内存。 3. 系统设置 天网个人版防火墙系统设置界面如下： 选中开机后自动启动防火墙，天网个人版防火墙将在操作系统启动的时候自动启动，否则天网防火墙需要手工启动。 防火墙自定义规则重置，点击该按钮将弹出提示信息窗口。如果确定，天网防火墙将会把防火墙的安全规则全部恢复为初始设置