防止主机成肉鸡的安全技术措施：基于Windows XP的系统加固方法

am928

一、防止主机成为肉鸡的安全技术措施

1、利用操作系统自身功能加固系统

通常按照默认方式安装的操作系统，若不进行任何安全加固，其安全性就难以得到保证。攻击者稍微加以利用，就能使其变成肉鸡。所以，防止主机成为肉鸡的第一步，是进行系统加固。

由于当下大部分用户依旧在使用XP，所以，本文的全部内容都是基于XP 。

(1)加强系统登录帐户和密码的安全

系统设置的密码应符合复杂性要求，也要符合最小长度要求，密码要包括常用英文字母，要包括数字，要包括字母大小写，最好能加入特殊字符（如@等），并且密码的字符数不应小于8位。

此外，为避免黑客借助默认帐户登录系统，我们提议为管理员帐号设定密码，并且禁用guest账户。

(2)取消远程协助和远程桌面连接

在桌面上找到“我的电脑”图标，用鼠标右键点击它，选择“属性”，进入“系统属性”，在其中找到“远程”选项卡，接着取消“远程协助”复选框中的钩，再取消“远程桌面连接”复选框中的钩。

(3)禁用危险的系统服务

在XP系统里，存在一些端口，它们和相应的系统服务有关联，有的服务也和系统中的特定端口有关联，比如服务与3389端口有关联。所以，禁用一些不需要的服务，不但能够降低系统资源消耗，还能够增强系统安全性。

在“开始”菜单里找到“运行”框，在其中输入“.msc”，按下回车键后，便可进入“服务”管理界面。将以下服务禁用：

  Help  

and  

TCP/IP  

(4)关闭137、138、139和445端口

用鼠标右键点击桌面的“网上邻居”，选择“属性”。在“本地连接”界面，打开“协议(TCP/IP)”的属性对话框。在这个对话框中，点击“高级”按钮，选择“WINS”选项，接着选择“禁用TCP/IP上的”，如此便关闭了137、138和139端口。同时，通过取消“本地连接”属性里的“打印机和文件共享”，能够关闭445端口。

(5)启动系统审核策略

在“开始”——“运行”框中输入“.msc”进入组策略编辑器，在计算机配置的设置里找到安全设置，在安全设置中找到本地策略，在本地策略里找到审核策略，在审核策略中将审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件启用成功方式的审核。

(6)用户权利指派

同样在组策略编辑器里，进入计算机配置，找到设置，再进入安全设置，接着是本地策略，然后是用户权利指派，在此处将“从网络访问此计算机”策略中的所有用户删除，在“拒绝从网络访问此计算机”策略中确保已有“”帐户，之后删除“通过终端服务允许登录”策略中的所有用户，并确保在“通过终端服务拒绝登录”策略中有“”帐户。

(7)禁用系统默认共享

在组策略编辑器中，进入计算机配置，再进入设置，接着进入安全设置，然后进入安全选项，启用“网络访问：不允许SAM帐户的匿名枚举”，启用“网络访问：不允许SAM帐户和共享的匿名枚举”，删除“网络访问：可匿名访问的共享”中的内容，删除“可匿名访问的管道”中的内容，删除“可远程访问的注册表路径”中的内容。

打开注册表编辑器，进入该项，在其右边新建一个键值名为“”且键值为0的DWORD值，如此便能禁止系统C$、D$、E$等方式的共享，为禁止admin$共享，还需在此注册表项中新建一个键值名为“”且键值为0的DWORD值。

最后，打开“资源管理器”，选择“工具”菜单里的“文件夹选项”，在弹出的文件夹选项界面的“高级设置”框中，取消“使用简单文件共享”的多项选择项。

2、使用安全软件加固操作系统

对于加固操作系统的安全性，我们能够通过安装相应的安全软件，来进一步增强系统的安全性能。

(1)安装杀毒软件

在系统里安装杀毒软件，其主要作用是防止黑客借助木马来操控我们的主机。安装好杀毒软件后，要立刻将病毒库更新至最新状态。如有需要，还应设置每天按时自动更新病毒库。

(2)安装防火墙

黑客的活动一般是从扫描系统中有没有开放高危端口开始的，所以，禁用高危端口（像135、137、138、139、445、3389等）非常有必要。尽管之前介绍了怎样

以手工方式关闭系统高位端口，借助安全软件也能起到加固作用。同时，要限制系统中可与互联网通信的进程及应用程序，以此减少网络应用程序自身漏洞引发的安全风险。

XP系统本身带有一个“防火墙”，然而它远远无法满足日益增长的安全防范需求，所以，我们借助安装第三方防火墙软件来解决这些问题。

现在市面上存在的防火墙具备包过滤和应用程序跟踪这些基本防火墙功能，它们还有自身独特功能，比如Tiny防火墙，它有普通应用层防火墙功能，也有IDS功能、文件完整性检测功能以及主动防御功能。它为用户提供了实时网络连接监控功能，用户能随时掌握当前网络连接情况，了解连接的网络应用程序所使用的端口，知晓连接到的目标，还能直接显示出对方的IP地址。图1就是其网络连接监控界面。

(3)使用代理服务器

黑客若想扫描计算机，就得先知晓计算机连网的公网IP地址。要是能隐藏此公网IP地址，会给黑客的攻击行为增添难度。隐藏IP地址的最佳方式是使用代理服务器。对于普通网络用户而言，可通过使用HTTP代理以及在计算机上安装简单的代理软件来实现隐藏IP地址的目的。

使用HTTP代理十分简便，进入具备此功能的网站，比如，在“开始浏览”按钮前的文本框内填入想要访问的站点，如此便能以隐藏IP的方式浏览想访问的网站 。

但是，使用HTTP代理能防止因浏览网页泄漏IP地址的风险，若想隐藏其他网络活动时的IP地址，比如QQ聊天、玩网络游戏等网络应用，就必须通过在系统中安装代理服务器软件来解决。

是一个不需要安装的代理服务器软件，在使用前，要先免费注册

输入账户和密码进行登录。这时，在任务栏中找到绿色“W”图标并右击它，在弹出菜单的“运行程序”菜单项里，我们能够选择各种代理方式 。

二、防止主机成为肉鸡的安全管理措施

即便我们在系统的安全技术措施方面做得极为出色，倘若无法对系统展开有效的安全管理，并且不能对自身的网络行为实施有效的控制，那么，那些已然实施的安全技术措施，就仅仅成了一种毫无实际作用的摆设 。

对系统实施安全管理措施，这一行为可分成两个部分来执行。一部分是系统安全管理，另一部分是用户网络操作行为管理。

1、系统安全管理

一个全面的系统安全管理应当包括下列所示的内容：

操作系统存在漏洞补丁管理工作，为系统打补丁十分重要，我们能够借助360安全卫士的“修复系统漏洞”功能达成此项工作。

网络应用程序要进行版本更新，我们需要及时将 升级到最新版本，也要及时将 MSN 升级到最新版本，还得及时把网络浏览器等应用程序升级到最新版本 。

杀毒软件的病毒库需要进行审查，防火墙规则也需要审查。杀毒软件虽能通过自动更新病毒库，但建议养成按时手动更新病毒库的习惯，每次手动杀毒前都要手动更新一次病毒库。对于防火墙规则，特别是应用程序规则，要经常检查是否添加了不明规则，以便及时取消 。

定期对系统审核日志开展检查。时常检查这些由审核产生的日志，能够及时察觉系统是否已被入侵，或者是否曾遭受某种恶意行为的骚扰。

在使用计算机时，要养成查看系统运行进程的习惯，借助360安全卫士的“系统全面诊断”，能够查看到当前系统里正在运行的进程的详细信息。

要经常查看当下的网络连接情形。要是你没安装上述提到的Tiny防火墙，依旧能够借助360安全卫士“高级”选项卡里的“网络连接状态”去知晓当前系统的网络连接状况。

2、用户网络操作行为控制

要控制的网络行为方面包括：

使用具备高安全性能的浏览器，仅前往正规网站浏览新闻，下载MP3、MP4以及软件等 。

要养成只在浏览器地址栏输入URL访问网站的习惯，一些网上银行采用EV - SSL认证方式标明网站真实性，若用户发现IE8浏览器地址栏中URL地址变绿，便可肯定该网站真实。不要轻易点击电子邮件中的网站链接，不要轻易点击QQ等即时聊天软件界面中的网站链接，如此便可以很好地减少被网络钓鱼攻击的风险。

(3)不要浏览色情、赌博等网站。

不要轻易接受来自QQ好友的下载链接，也不要轻易接受来自MSN好友的下载链接，除非你清楚它们是安全可靠的。

应当使用网络应用程序，且其安全性能要高。比如搜索引擎最好选用，它能直接标识出搜索到的可能存在某种安全风险的网站，并且不能进入该类网站。使用安全性高的应用程序，可大大降低被木马控制的风险。

突然接到某个自称是电信、计算机销售商及银行等企业服务人员打来的电话，若你不熟悉这个电话号码，或者不熟悉对方声音，一定要提高警惕。尤其当他们向你询问有关系统、电子邮件、网上银行帐户等机密信息时，要马上拒绝。我们要有效地防止黑客攻击我们，我们需对与此相似的事件保持高度的怀疑，黑客会通过社会工程的方式来攻击我们 。

总而言之，网络用户要认真细致地对系统实施相应的安全技术，还要实施相应的安全管理措施，如此才能在计算机生命周期的各个阶段防止自己的计算机成为黑客们的肉鸡。