被黑客入侵是一件相當(dāng)受傷的事情，不僅容易導(dǎo)致數(shù)據(jù)泄漏、系統(tǒng)破壞，還有諸多不必要的麻煩。那么作為網(wǎng)絡(luò)管理員，能不能學(xué)習(xí)一些相關(guān)的知識(shí)，在面臨黑客入侵之時(shí)有所準(zhǔn)備呢？下邊的文章就為大家講述一些有關(guān)防御黑客入侵的相關(guān)知識(shí)。

一、關(guān)閉多余的端口

在黑客入侵前的準(zhǔn)備工作中，掃描端口是一個(gè)很重要的部分，因此說關(guān)閉不必要的端口可以減少我們很多麻煩。在論壇上也經(jīng)常遇到新手朋友問到如果關(guān)閉某個(gè)端口之類的問題，在這里我們首先需要明確，端口與服務(wù)是相互對(duì)應(yīng)的關(guān)系，開放了一個(gè)端口，必然有其相對(duì)應(yīng)的服務(wù)。遠(yuǎn)望IT論壇的病毒與網(wǎng)絡(luò)安全版精華區(qū)有完善的端口列表文章，無論是對(duì)于系統(tǒng)管理員還是個(gè)人用戶來說了解這些端口都是很有必要的，建議大家去看看。在了解了端口所對(duì)應(yīng)的服務(wù)后，想要關(guān)閉某個(gè)端口就很容易了，我們只需要在管理工具的服務(wù)中停止相應(yīng)的服務(wù)就可以了。當(dāng)然，我們還可以右鍵單擊行網(wǎng)絡(luò)鄰居”圖際，選擇”屬性”。查看”本地連接屬性”，雙擊”Internet協(xié)議(TPC/IP)”，然后選擇”高級(jí)”對(duì)話框，選擇”選項(xiàng)”，最后點(diǎn)擊”TCP/IP篩選”，在這里設(shè)置端口過濾。至于具體需要關(guān)閉哪些端口，就完全看個(gè)人的需要而定了。但是，從前面的黑客入侵過程我們可以發(fā)現(xiàn)，一些黑客工具完全可以遠(yuǎn)程打開我們已經(jīng)禁用了的服務(wù)，例如Telnet、終端服務(wù)。遇到這種情況怎么辦?微軟的2000資源工具包和XP系統(tǒng)本身為管理員提供了sc.exe這個(gè)小程序，它可以做到徹底地刪除一個(gè)服務(wù)，使用起來很簡單，具體的用法就不在這里多說了。

這里需要對(duì)139端口多說幾句，因?yàn)樗诰W(wǎng)絡(luò)黑客入侵中是一個(gè)飽受騷擾的端口，但是對(duì)于不少人來說，開放共享資源又是必須的。由于445端口是作為139端口的替代端口來使用的，因此只要445端口沒有關(guān)閉，仍然可以共享文件。關(guān)閉139端口的方法很簡單，只要我們不安裝netbeui協(xié)議，就不會(huì)開放139端口和NetRios了，別人掃描也就無法得知我們的操作系統(tǒng)版本。用戶列表等-系列信息了。

二、打補(bǔ)丁，設(shè)密碼

從實(shí)際黑客入侵開始的第一步我們可以看到，IIS的漏洞幫了我們的大忙，而實(shí)際上更多的人侵是以弱口令作為突破點(diǎn)的。因?yàn)楹诳腿肭譄o論采用什么方式，總是會(huì)想方設(shè)法先獲得一個(gè)賬戶和密碼的。所以，我們就需要給操作系統(tǒng)的管理員賬戶設(shè)置一個(gè)足夠強(qiáng)壯、并且好記的密碼，并且打上最新的補(bǔ)丁。SP3是必須的了，最新的針對(duì)IIS的補(bǔ)丁也是不可缺少的。如果嫌麻煩，還可以使用Window up date來進(jìn)行補(bǔ)丁的安裝。對(duì)于系統(tǒng)管理員來說，訂閱微軟的安全公告是很有必要的，它會(huì)告訴體育什么最新的漏洞被發(fā)現(xiàn)了，有什么解決措施。這可是免費(fèi)的哦，只需要在微軟的網(wǎng)站上申請(qǐng)就可以了。

三、關(guān)閉IPC$

IPC$也許是出干微軟的一廂情愿，但實(shí)際上對(duì)大部分用戶來說它并不實(shí)用，相反卻成了黑客入侵的一個(gè)很好的方式。”至少從本次黑客入侵來看，IPC$起到了很大的作用哦。關(guān)閉IPC$需要修改注冊(cè)表，具體方法黑防以前已經(jīng)講得很多了，這里就不再多說了。對(duì)于個(gè)人用戶，如果沒有特別需要，在管理工具中停止Server服務(wù)并且禁用是最簡單的了，這樣可以徹底地關(guān)閉共享。

四、配置組策略

盡管在這次黑客入侵中沒有遇到用戶弱口令的好運(yùn)，但是從經(jīng)驗(yàn)來看，弱口令的情況并不少見。因此，加強(qiáng)密碼策略是非常必要的。既然微軟為我們提供了功能強(qiáng)大的組策略，我們沒有理由不用它。運(yùn)行g(shù)pedit.msc。選擇”Windows設(shè)置”中的”安全設(shè)置”，首先選擇 “賬戶策略”中的”密碼策略”，在這里我們可以設(shè)置密碼的復(fù)雜，注、最長保留周期等。這些設(shè)置可以保證我們的密碼不會(huì)被輕易猜出，而且動(dòng)態(tài)的密碼才是由于大多數(shù)掃描器在默認(rèn)情況下具有簡單的破解密碼的功能，如果換h一個(gè)足夠大的字典文件，便有可能會(huì)破解我們的管理員賬戶的密碼。

在賬戶鎖定策略中設(shè)置賬戶鎖定閥值和賬戶鎖定時(shí)間就可以解決這個(gè)問題。我們可以設(shè)置為輸入密碼5次錯(cuò)誤就鎖定該賬戶，30分鐘后再解鎖，這樣就可以有效防止密碼被暴力玻解了，本地安全策略中的可設(shè)置項(xiàng)還有很多，限于篇幅和適用范圍就不在這里多說了，感興趣的讀者可以仔細(xì)研究研究。當(dāng)然，安全和性能始終是一對(duì)矛盾，高安全必然會(huì)使性能在–定程度上降低，反之亦然。所以，我們需要根據(jù)自己的實(shí)際情況選擇其中的一個(gè)平衡點(diǎn)就可以了。

五、偽裝

黑客入侵后通常會(huì)進(jìn)行克隆用戶權(quán)限，修改端口等一系列的偽裝行動(dòng)，那么系統(tǒng)管理員為什么就不可以在被黑客入侵前也進(jìn)行一系列的偽裝，從而迷惑入侵者呢。

(1)偽裝用戶：首先，將系統(tǒng)默認(rèn)的內(nèi)置賬戶administrator改名，然后新建一個(gè)名字為adminis-trator的賬戶，描述改為”管理計(jì)算機(jī)(域)的內(nèi)置賬戶”，設(shè)置好足夠長的密碼。僅僅將它加入guest組，這樣便吸引了入侵者的目光去破解一個(gè)很低權(quán)限的賬戶，即使他破解成功也沒有多大利用價(jià)值。有的時(shí)候，我們會(huì)擔(dān)心自己的機(jī)器里面有沒有用戶被克隆了管理員權(quán)限，怎么辦?黑客入侵者可以使用系統(tǒng)工具來作為黑客工具，我們同樣可以使用黑客工具來為管理員效勞。我們可以利用cca這個(gè)黑客工具來進(jìn)行檢測。

(2)偽裝端門：有的時(shí)候處于特別的需要，我們可能會(huì)需要運(yùn)行終端服務(wù)或者Telnet等服務(wù)。那么，降低風(fēng)險(xiǎn)的最好方法便是修改它們的默認(rèn)服務(wù)端口，修改方法與入侵篇一樣。例如，我們可以將Telnet修改為木馬冰河的默認(rèn)端口7626，將終端服務(wù)修改為pcanwhere的5631。

入侵者打到了端口，自然會(huì)以為這臺(tái)機(jī)器被種了木馬，就拿那兩個(gè)遠(yuǎn)程控制軟件慢慢地連吧，呵呵。

六、保護(hù)事件日志

事件日志對(duì)每一位管理員來說都是非常重要的，因此它也成了黑客入侵者的眼中釘。凡是成功入侵一臺(tái)機(jī)器后，黑客入侵者都會(huì)在退出前想方設(shè)法清除事件日志的。那么，保護(hù)好事件日志，隨時(shí)做好備份就成不管理員必然的工作了。而對(duì)于個(gè)人用戶來說，事件日志也會(huì)為我們提供重要線索的。那么，這些事件日志都在什么地方呢?

安全日志、系統(tǒng)日志和應(yīng)用程序”志存放在%systemroot%\system32\config路徑下。默認(rèn)文件大小512KB。

安全日志文年：%systemroot%\system32\config\SecEvent.EVT。

系統(tǒng)日志文件：%sysytemroot%\system32\config\SysEvent.EVT

應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT

IIS的日志文件位置我們可以通過日志記錄的屬性對(duì)話框得知，Web的日志記錄為W3WVC1文件夾，F(xiàn)TP的日志記錄為MSFTPSVC1文件夾。

做個(gè)勤勞的管理員，經(jīng)常查看和備份日志，將有利于及時(shí)地發(fā)現(xiàn)問題，在這次黑客入侵中，如果管理員能夠較早地發(fā)現(xiàn)日志文件被清空，自然會(huì)引起懷疑。這樣一來，黑客入侵者后面的計(jì)劃就很可能會(huì)落空。

七、全面檢測，誘捕黑客

如果我們發(fā)現(xiàn)有黑客入侵的跡象，千萬不要手忙腳亂，要從每個(gè)可能被改動(dòng)了的地方進(jìn)行檢查，服務(wù)、賬戶。系統(tǒng)根目錄的可疑文件、進(jìn)程、端口、日志文件、Documentsand Settings文件夾……再狡猾的狐貍也斗不過好獵手的。在服務(wù)列表中，我們可能會(huì)發(fā)現(xiàn)莫名其妙地多出了某一項(xiàng)服務(wù)，例如snake的socksserver就會(huì)生成一項(xiàng)服務(wù);在用戶列表中。我們也許會(huì)發(fā)現(xiàn)某些賬戶的權(quán)限發(fā)生了改變，以及guest賬戶被激活之類的情況 系統(tǒng)根目錄多出了一個(gè)reboot.exe文件;任務(wù)管理器的迸程列表多出了cccproxy(被安裝了代理服務(wù)器軟件)。在命令行下使用netstatan發(fā)現(xiàn)開發(fā)了某個(gè)木馬的默認(rèn)端口;日志文件中顯示某一天服務(wù)器居然沒有一個(gè)人來訪問’，Document sand Settings文件夾下又生成了某個(gè)賬戶名的文件夾(這個(gè)賬戶曾經(jīng)以圖形界面登錄過操作系統(tǒng))。

當(dāng)然。了解到自己系統(tǒng)可能存在的弱點(diǎn)，才能更好地把握黑客入侵者的心理和人侵方式。這里，我建議大家使用微軟官方的免費(fèi)檢測軟件MBSA(微軟基準(zhǔn)安全分析器)，它以微軟的官方數(shù)據(jù)庫為依托，可以檢測出微軟大多數(shù)產(chǎn)品的最新漏洞，并且使用起來非常簡單。這樣，我們就能了解到黑客入侵者是從哪個(gè)弱點(diǎn)人手進(jìn)人我們的系統(tǒng)了。

實(shí)際上，從整個(gè)黑客入侵和防御的過程來看，系統(tǒng)管理員的安全意識(shí)的重要性遠(yuǎn)高于技術(shù)。管理員多點(diǎn)擊一次鼠標(biāo)，“黑客”就很可能要多敲N欠鍵盤的。管理員的安全意識(shí)差，這也正是國內(nèi)網(wǎng)絡(luò)安全狀況差的一個(gè)重要原因。在黑客工具、黑客教程隨處可見。網(wǎng)絡(luò)入侵日益傻瓜化的今天，希望不論是服務(wù)器的管理人員，還是個(gè)人用戶。都能負(fù)起自己的責(zé)任，提高安全防范的意識(shí)，在遭受人侵前就杜絕一切安全隱患。

【編輯推薦】

1. 病毒郵件預(yù)防十法
2. 網(wǎng)絡(luò)安全之防御黑客七部曲
3. 黑客技術(shù)之木馬隱身術(shù)
4. 幾種簡單的黑客攻防技術(shù)
5. web服務(wù)器攻擊的八種方式