被黑客入侵是一件相當(dāng)受傷的事情，不僅容易導(dǎo)致數(shù)據(jù)泄漏、系統(tǒng)破壞，還有諸多不必要的麻煩。那么作為網(wǎng)絡(luò)管理員，能不能學(xué)習(xí)一些相關(guān)的知識，在面臨黑客入侵之時有所準(zhǔn)備呢？下邊的文章就為大家講述一些有關(guān)防御黑客入侵的相關(guān)知識。

一、關(guān)閉多余的端口

在黑客入侵前的準(zhǔn)備工作中，掃描端口是一個很重要的部分，因此說關(guān)閉不必要的端口可以減少我們很多麻煩。在論壇上也經(jīng)常遇到新手朋友問到如果關(guān)閉某個端口之類的問題，在這里我們首先需要明確，端口與服務(wù)是相互對應(yīng)的關(guān)系，開放了一個端口，必然有其相對應(yīng)的服務(wù)。遠(yuǎn)望IT論壇的病毒與網(wǎng)絡(luò)安全版精華區(qū)有完善的端口列表文章，無論是對于系統(tǒng)管理員還是個人用戶來說了解這些端口都是很有必要的，建議大家去看看。在了解了端口所對應(yīng)的服務(wù)后，想要關(guān)閉某個端口就很容易了，我們只需要在管理工具的服務(wù)中停止相應(yīng)的服務(wù)就可以了。當(dāng)然，我們還可以右鍵單擊行網(wǎng)絡(luò)鄰居”圖際，選擇”屬性”。查看”本地連接屬性”，雙擊”Internet協(xié)議(TPC/IP)”，然后選擇”高級”對話框，選擇”選項”，最后點(diǎn)擊”TCP/IP篩選”，在這里設(shè)置端口過濾。至于具體需要關(guān)閉哪些端口，就完全看個人的需要而定了。但是，從前面的黑客入侵過程我們可以發(fā)現(xiàn)，一些黑客工具完全可以遠(yuǎn)程打開我們已經(jīng)禁用了的服務(wù)，例如Telnet、終端服務(wù)。遇到這種情況怎么辦?微軟的2000資源工具包和XP系統(tǒng)本身為管理員提供了sc.exe這個小程序，它可以做到徹底地刪除一個服務(wù)，使用起來很簡單，具體的用法就不在這里多說了。

這里需要對139端口多說幾句，因為它在網(wǎng)絡(luò)黑客入侵中是一個飽受騷擾的端口，但是對于不少人來說，開放共享資源又是必須的。由于445端口是作為139端口的替代端口來使用的，因此只要445端口沒有關(guān)閉，仍然可以共享文件。關(guān)閉139端口的方法很簡單，只要我們不安裝netbeui協(xié)議，就不會開放139端口和NetRios了，別人掃描也就無法得知我們的操作系統(tǒng)版本。用戶列表等-系列信息了。

二、打補(bǔ)丁，設(shè)密碼

從實際黑客入侵開始的第一步我們可以看到，IIS的漏洞幫了我們的大忙，而實際上更多的人侵是以弱口令作為突破點(diǎn)的。因為黑客入侵無論采用什么方式，總是會想方設(shè)法先獲得一個賬戶和密碼的。所以，我們就需要給操作系統(tǒng)的管理員賬戶設(shè)置一個足夠強(qiáng)壯、并且好記的密碼，并且打上最新的補(bǔ)丁。SP3是必須的了，最新的針對IIS的補(bǔ)丁也是不可缺少的。如果嫌麻煩，還可以使用Window up date來進(jìn)行補(bǔ)丁的安裝。對于系統(tǒng)管理員來說，訂閱微軟的安全公告是很有必要的，它會告訴體育什么最新的漏洞被發(fā)現(xiàn)了，有什么解決措施。這可是免費(fèi)的哦，只需要在微軟的網(wǎng)站上申請就可以了。

三、關(guān)閉IPC$

IPC$也許是出干微軟的一廂情愿，但實際上對大部分用戶來說它并不實用，相反卻成了黑客入侵的一個很好的方式?！敝辽購谋敬魏诳腿肭謥砜矗琁PC$起到了很大的作用哦。關(guān)閉IPC$需要修改注冊表，具體方法黑防以前已經(jīng)講得很多了，這里就不再多說了。對于個人用戶，如果沒有特別需要，在管理工具中停止Server服務(wù)并且禁用是最簡單的了，這樣可以徹底地關(guān)閉共享。

四、配置組策略

盡管在這次黑客入侵中沒有遇到用戶弱口令的好運(yùn)，但是從經(jīng)驗來看，弱口令的情況并不少見。因此，加強(qiáng)密碼策略是非常必要的。既然微軟為我們提供了功能強(qiáng)大的組策略，我們沒有理由不用它。運(yùn)行g(shù)pedit.msc。選擇”Windows設(shè)置”中的”安全設(shè)置”，首先選擇 “賬戶策略”中的”密碼策略”，在這里我們可以設(shè)置密碼的復(fù)雜，注、最長保留周期等。這些設(shè)置可以保證我們的密碼不會被輕易猜出，而且動態(tài)的密碼才是由于大多數(shù)掃描器在默認(rèn)情況下具有簡單的破解密碼的功能，如果換h一個足夠大的字典文件，便有可能會破解我們的管理員賬戶的密碼。

在賬戶鎖定策略中設(shè)置賬戶鎖定閥值和賬戶鎖定時間就可以解決這個問題。我們可以設(shè)置為輸入密碼5次錯誤就鎖定該賬戶，30分鐘后再解鎖，這樣就可以有效防止密碼被暴力玻解了，本地安全策略中的可設(shè)置項還有很多，限于篇幅和適用范圍就不在這里多說了，感興趣的讀者可以仔細(xì)研究研究。當(dāng)然，安全和性能始終是一對矛盾，高安全必然會使性能在–定程度上降低，反之亦然。所以，我們需要根據(jù)自己的實際情況選擇其中的一個平衡點(diǎn)就可以了。

五、偽裝

黑客入侵后通常會進(jìn)行克隆用戶權(quán)限，修改端口等一系列的偽裝行動，那么系統(tǒng)管理員為什么就不可以在被黑客入侵前也進(jìn)行一系列的偽裝，從而迷惑入侵者呢。

(1)偽裝用戶：首先，將系統(tǒng)默認(rèn)的內(nèi)置賬戶administrator改名，然后新建一個名字為adminis-trator的賬戶，描述改為”管理計算機(jī)(域)的內(nèi)置賬戶”，設(shè)置好足夠長的密碼。僅僅將它加入guest組，這樣便吸引了入侵者的目光去破解一個很低權(quán)限的賬戶，即使他破解成功也沒有多大利用價值。有的時候，我們會擔(dān)心自己的機(jī)器里面有沒有用戶被克隆了管理員權(quán)限，怎么辦?黑客入侵者可以使用系統(tǒng)工具來作為黑客工具，我們同樣可以使用黑客工具來為管理員效勞。我們可以利用cca這個黑客工具來進(jìn)行檢測。

(2)偽裝端門：有的時候處于特別的需要，我們可能會需要運(yùn)行終端服務(wù)或者Telnet等服務(wù)。那么，降低風(fēng)險的最好方法便是修改它們的默認(rèn)服務(wù)端口，修改方法與入侵篇一樣。例如，我們可以將Telnet修改為木馬冰河的默認(rèn)端口7626，將終端服務(wù)修改為pcanwhere的5631。

入侵者打到了端口，自然會以為這臺機(jī)器被種了木馬，就拿那兩個遠(yuǎn)程控制軟件慢慢地連吧，呵呵。

六、保護(hù)事件日志

事件日志對每一位管理員來說都是非常重要的，因此它也成了黑客入侵者的眼中釘。凡是成功入侵一臺機(jī)器后，黑客入侵者都會在退出前想方設(shè)法清除事件日志的。那么，保護(hù)好事件日志，隨時做好備份就成不管理員必然的工作了。而對于個人用戶來說，事件日志也會為我們提供重要線索的。那么，這些事件日志都在什么地方呢?

安全日志、系統(tǒng)日志和應(yīng)用程序”志存放在%systemroot%\system32\config路徑下。默認(rèn)文件大小512KB。

安全日志文年：%systemroot%\system32\config\SecEvent.EVT。

系統(tǒng)日志文件：%sysytemroot%\system32\config\SysEvent.EVT

應(yīng)用程序日志文件：%systemroot%\system32\config\AppEvent.EVT

IIS的日志文件位置我們可以通過日志記錄的屬性對話框得知，Web的日志記錄為W3WVC1文件夾，F(xiàn)TP的日志記錄為MSFTPSVC1文件夾。

做個勤勞的管理員，經(jīng)常查看和備份日志，將有利于及時地發(fā)現(xiàn)問題，在這次黑客入侵中，如果管理員能夠較早地發(fā)現(xiàn)日志文件被清空，自然會引起懷疑。這樣一來，黑客入侵者后面的計劃就很可能會落空。

七、全面檢測，誘捕黑客

如果我們發(fā)現(xiàn)有黑客入侵的跡象，千萬不要手忙腳亂，要從每個可能被改動了的地方進(jìn)行檢查，服務(wù)、賬戶。系統(tǒng)根目錄的可疑文件、進(jìn)程、端口、日志文件、Documentsand Settings文件夾……再狡猾的狐貍也斗不過好獵手的。在服務(wù)列表中，我們可能會發(fā)現(xiàn)莫名其妙地多出了某一項服務(wù)，例如snake的socksserver就會生成一項服務(wù);在用戶列表中。我們也許會發(fā)現(xiàn)某些賬戶的權(quán)限發(fā)生了改變，以及guest賬戶被激活之類的情況 系統(tǒng)根目錄多出了一個reboot.exe文件;任務(wù)管理器的迸程列表多出了cccproxy(被安裝了代理服務(wù)器軟件)。在命令行下使用netstatan發(fā)現(xiàn)開發(fā)了某個木馬的默認(rèn)端口;日志文件中顯示某一天服務(wù)器居然沒有一個人來訪問’，Document sand Settings文件夾下又生成了某個賬戶名的文件夾(這個賬戶曾經(jīng)以圖形界面登錄過操作系統(tǒng))。

當(dāng)然。了解到自己系統(tǒng)可能存在的弱點(diǎn)，才能更好地把握黑客入侵者的心理和人侵方式。這里，我建議大家使用微軟官方的免費(fèi)檢測軟件MBSA(微軟基準(zhǔn)安全分析器)，它以微軟的官方數(shù)據(jù)庫為依托，可以檢測出微軟大多數(shù)產(chǎn)品的最新漏洞，并且使用起來非常簡單。這樣，我們就能了解到黑客入侵者是從哪個弱點(diǎn)人手進(jìn)人我們的系統(tǒng)了。

實際上，從整個黑客入侵和防御的過程來看，系統(tǒng)管理員的安全意識的重要性遠(yuǎn)高于技術(shù)。管理員多點(diǎn)擊一次鼠標(biāo)，“黑客”就很可能要多敲N欠鍵盤的。管理員的安全意識差，這也正是國內(nèi)網(wǎng)絡(luò)安全狀況差的一個重要原因。在黑客工具、黑客教程隨處可見。網(wǎng)絡(luò)入侵日益傻瓜化的今天，希望不論是服務(wù)器的管理人員，還是個人用戶。都能負(fù)起自己的責(zé)任，提高安全防范的意識，在遭受人侵前就杜絕一切安全隱患。

【編輯推薦】

1. 病毒郵件預(yù)防十法
2. 網(wǎng)絡(luò)安全之防御黑客七部曲
3. 黑客技術(shù)之木馬隱身術(shù)
4. 幾種簡單的黑客攻防技術(shù)
5. web服務(wù)器攻擊的八種方式