论文部分内容阅读
去年11月上PcD中的《盗版操作系统的后门》一文,曾针对番茄花园等改版winXP中是否存在后门做过报道。其实,不仅仅是改版winxP,即使是原版winxP也会在安全方面存在一些不够完善的地方。在新装系统之后,我们应该做一个安全体检,别让新系统“出师未捷身先死”!
Ghost版的WinXP中会有木马吗?
为了快速装机,很多朋友喜欢使用网上提供的各种WinXP纯净GHO版。不过这类系统大多都集成了一些常用软件,也有网友反映某些GHO系统存在安全问题,他们害怕这些系统被制作者添加木马,害怕自己的QQ账号、邮箱被盗。
检测方法:
对于这类系统,在安装好后查看自启动程序和任务管理器,可以发现是否有跟随系统一起启动的不安全程序。比如,初次进入系统时按F8键进入安全模式,单击“开始”→“运行”,输入“Msconfig,打开系统配置实用程序。单击“启动”查看系统自启动程序,一般情况下初次安装系统只有1~2个启动程序,其中大多数电脑有ctfmon(输入法程序),如果发现异常启动程序就要注意。
有些木马可能隐藏为系统服务,所以还要切换到“服务”标签,勾选“隐藏所有Microsoft服务”。如果有发现异常服务,则可以根据服务名称找到加载服务木马文件并将其删除。
如果大家对系统正常进程熟悉,还可以进入桌面后启动任务管理器,看看是否有异常进程,以判断新装系统是否暗藏木马。
防范方法:
应该在安装盘首发论坛(如番茄论坛、深度论坛)下载,最好不要在其他论坛或BT下载。下载完成后一定要检查文件MD5值,确保下载文件MD5值和制作论坛提供的相同。漏洞补丁打上了吗?
系统漏洞是Windows的底层缺陷,我们一定要及时打上系统补丁。微软每个月都会发布系统补丁,不管是什么版本的Windows系统,它们都会陆续有安全隐患暴露出来。
检测方法:
安装完操作系统后,单击“开始”→“所有程序”→“WindowsUpdate”,连接到微软升级网站。单击“快速”,网站就会自动检测适合我们系统的补丁,按提示打上所有系统补丁即可。
我们还可以借助《360安全卫士》查看系统需要下载的补丁。运行“360安全卫士”后,单击“修复”按钮,切换到“修复系统漏洞”,根据程序检测到的漏洞补丁和补丁性质,单击“下载并修复”即可。
防范方法:
在系统中打开自动升级设置,以后连网时就会自动检测并升级新补丁。否则需要手动升级。如果没通过正版验证,则不能手动升级。
管理员密码是否为空?
流行的番茄花园、深度精简版都提供了自动安装选项。但自动安装时不会为系统内置Administrator账户设置密码,很多人安装后就直接以Administrator帐户自动登录。Administrator是系统超级管理员账户,空密码会给系统带来安全隐患。
检测方法:
第一次运行新系统,在“开始”菜单的顶部查看当前账户是否为Administrator,如果是则在桌面右击“我的电脑”选择“管理”,在弹出的窗口中依次展开“计算机管理(本地)/系统工具/本地用户和组,用户”,在右侧窗格右击Administrator选择“设置密码”,按提示添加一个强健密码。当然,即使系统已经设置密码,或者当前账户不是Administrator,我们也强烈建议使用上述方法为它重置。
很多黑客软件会扫描Administrator账户,以便以系统管理员身份登录。在上述窗口中我们可以为它重命名,以后如果在本机发现有Admlnlstrator账户就知道被入侵了。此外,有些系统安装后默认还开启来宾账户(打开控制面板的“用户账户”,可以看到来宾账户是否被开启),如果开启还要将其关闭。
防范方法:
初次进入系统后,启动“计算机管理”组件,为账户设置密码,同时查看是否存在异常账户(比如带$号的隐藏账户),有则予以删除。如果有克隆管理员账户也很危险,在注册表[HKEY_LOCAL—MACHlNESAMSAMDomainsAccountUsersNames]键值中仔细检查。
危险的端口关闭了吗?
端口是电脑和外部网络连接的通道,默认安装后(包括原版)都会开启很多的端口,其中有一些端口是很危险的(如TCPl39、135、445等)。我们可以手动关闭不需要的端口,避免黑客的非法连接。
检测方法:
通过netstat命令查看被开放的端口。初装系统进入桌面后联机上网,打开命令提示符输入“netstat-a-n-o”,看看有没有可疑的端口连接,重点检查高危的端口。
防范方法:
Windows端口有很多,仅仅关闭常见的高危端口还不能保护系统安全。有一个比较彻底的方法就是关闭所有不用的端口,具体方法如下:
Step1在“控制面板”中双击“网络连接,,图标,然后选中“本地连接”,右击选择“属性”。在属性窗口中,在“此连接使用下列项目”选择“Internet办议(TCP/IP)”,单击“属性”。
Step2打开“Internet协议属性窗口”,单击“高级”选项卡,打开高级TCP/IP设置属性窗口,切换到“选项”。接着在“可选的设置”下选择“TCP/IP筛选”,然后单击“属性”。
Step3打开“TCP/IP筛选”属性窗口,这里有“TCP端口”、“uDP端口”、“IP协议”。比如我们只要开放110端口,在“TCP端口”下勾选“只允许”,然后点击“添加”把110端口添加到里面,UDP端口设置同上。
经过上述的操作后,系统就只开放允许的端口,黑客们无法使用其他端口入侵系统。如果经过这些操作后无法使用某些应用程序,那就要根据程序使用的具体端口重新添加新端口。比如MSN需要使用TCP80和TCP443,就要把这两个上述端口添加到允许列表。
共享服务关闭了吗?
WinXP在安装后默认会开启多个共享服务,这些原为方便交流的服务也为黑客入侵带来了便利。对于个人用户,我们应该将其关闭。
检测方法:
打开命令提示符,输入“net share”,我们就可以看到本机开启的所有共享服务,具体关闭方法请看下文。新装系统后,按下面步骤关闭不必要的共享。
防范方法:
Step1打开注册表编辑器,展开[HKEY_LOCAL_MACHIN ESYSTEMCurrentControlSetSetriceslanmanserverparameters]项,双击右侧窗口中的“AutoShareServer”项将键值由l改为0。如果没有AutoShareServet项,可自己新建一个再改键值(DWORD)。接着找到“AutoShareWks”,项,也把键值由1改为0,这样可以关闭admin$共享。
Step2打开控制面板,双击“管理工具”,在打开窗口展开“服务和应用程序”→“服务”,在右侧找到“server”服务,将启动类型设置为“已禁用”,这样系统共享服务将被完全关闭。
用天网在线检测系统安全
经过这几步检测,我们基本可以判断出系统是否安全。为了能够更加直观的了解,还可以使用天网在线检测系统安全。
登录http://pfw.sky.net.cn/scan.html,打开测试页面,单击“马上检测”。此时网站会对系统进行多项测试,一会儿就可以看到自己电脑安全状况了,具体含义可以参考网站的相关说明。如果发现是“极度危险”或者“一般危险”,那就应该马上进行信息泄漏检查和系统安全性检查。如系统信自_安全进行检测,单击页面下方的“信息泄漏检测”后的图标,在打开的页面单击“我同意”。其他安全项目检查类似。
写在最后
要保证新装系统的安全,除了本文介绍的检查外,还应该开启系统自动升级,安装一款强大的杀毒软件和防火墙,同时经常关注一些系统的安全新闻。比如,上次番茄花园的后门事件,网上及时给出了解决的方法。只有这样,才能有效保护系统安全,不至于“出师未捷身先死”!
Ghost版的WinXP中会有木马吗?
为了快速装机,很多朋友喜欢使用网上提供的各种WinXP纯净GHO版。不过这类系统大多都集成了一些常用软件,也有网友反映某些GHO系统存在安全问题,他们害怕这些系统被制作者添加木马,害怕自己的QQ账号、邮箱被盗。
检测方法:
对于这类系统,在安装好后查看自启动程序和任务管理器,可以发现是否有跟随系统一起启动的不安全程序。比如,初次进入系统时按F8键进入安全模式,单击“开始”→“运行”,输入“Msconfig,打开系统配置实用程序。单击“启动”查看系统自启动程序,一般情况下初次安装系统只有1~2个启动程序,其中大多数电脑有ctfmon(输入法程序),如果发现异常启动程序就要注意。
有些木马可能隐藏为系统服务,所以还要切换到“服务”标签,勾选“隐藏所有Microsoft服务”。如果有发现异常服务,则可以根据服务名称找到加载服务木马文件并将其删除。
如果大家对系统正常进程熟悉,还可以进入桌面后启动任务管理器,看看是否有异常进程,以判断新装系统是否暗藏木马。
防范方法:
应该在安装盘首发论坛(如番茄论坛、深度论坛)下载,最好不要在其他论坛或BT下载。下载完成后一定要检查文件MD5值,确保下载文件MD5值和制作论坛提供的相同。漏洞补丁打上了吗?
系统漏洞是Windows的底层缺陷,我们一定要及时打上系统补丁。微软每个月都会发布系统补丁,不管是什么版本的Windows系统,它们都会陆续有安全隐患暴露出来。
检测方法:
安装完操作系统后,单击“开始”→“所有程序”→“WindowsUpdate”,连接到微软升级网站。单击“快速”,网站就会自动检测适合我们系统的补丁,按提示打上所有系统补丁即可。
我们还可以借助《360安全卫士》查看系统需要下载的补丁。运行“360安全卫士”后,单击“修复”按钮,切换到“修复系统漏洞”,根据程序检测到的漏洞补丁和补丁性质,单击“下载并修复”即可。
防范方法:
在系统中打开自动升级设置,以后连网时就会自动检测并升级新补丁。否则需要手动升级。如果没通过正版验证,则不能手动升级。
管理员密码是否为空?
流行的番茄花园、深度精简版都提供了自动安装选项。但自动安装时不会为系统内置Administrator账户设置密码,很多人安装后就直接以Administrator帐户自动登录。Administrator是系统超级管理员账户,空密码会给系统带来安全隐患。
检测方法:
第一次运行新系统,在“开始”菜单的顶部查看当前账户是否为Administrator,如果是则在桌面右击“我的电脑”选择“管理”,在弹出的窗口中依次展开“计算机管理(本地)/系统工具/本地用户和组,用户”,在右侧窗格右击Administrator选择“设置密码”,按提示添加一个强健密码。当然,即使系统已经设置密码,或者当前账户不是Administrator,我们也强烈建议使用上述方法为它重置。
很多黑客软件会扫描Administrator账户,以便以系统管理员身份登录。在上述窗口中我们可以为它重命名,以后如果在本机发现有Admlnlstrator账户就知道被入侵了。此外,有些系统安装后默认还开启来宾账户(打开控制面板的“用户账户”,可以看到来宾账户是否被开启),如果开启还要将其关闭。
防范方法:
初次进入系统后,启动“计算机管理”组件,为账户设置密码,同时查看是否存在异常账户(比如带$号的隐藏账户),有则予以删除。如果有克隆管理员账户也很危险,在注册表[HKEY_LOCAL—MACHlNESAMSAMDomainsAccountUsersNames]键值中仔细检查。
危险的端口关闭了吗?
端口是电脑和外部网络连接的通道,默认安装后(包括原版)都会开启很多的端口,其中有一些端口是很危险的(如TCPl39、135、445等)。我们可以手动关闭不需要的端口,避免黑客的非法连接。
检测方法:
通过netstat命令查看被开放的端口。初装系统进入桌面后联机上网,打开命令提示符输入“netstat-a-n-o”,看看有没有可疑的端口连接,重点检查高危的端口。
防范方法:
Windows端口有很多,仅仅关闭常见的高危端口还不能保护系统安全。有一个比较彻底的方法就是关闭所有不用的端口,具体方法如下:
Step1在“控制面板”中双击“网络连接,,图标,然后选中“本地连接”,右击选择“属性”。在属性窗口中,在“此连接使用下列项目”选择“Internet办议(TCP/IP)”,单击“属性”。
Step2打开“Internet协议属性窗口”,单击“高级”选项卡,打开高级TCP/IP设置属性窗口,切换到“选项”。接着在“可选的设置”下选择“TCP/IP筛选”,然后单击“属性”。
Step3打开“TCP/IP筛选”属性窗口,这里有“TCP端口”、“uDP端口”、“IP协议”。比如我们只要开放110端口,在“TCP端口”下勾选“只允许”,然后点击“添加”把110端口添加到里面,UDP端口设置同上。
经过上述的操作后,系统就只开放允许的端口,黑客们无法使用其他端口入侵系统。如果经过这些操作后无法使用某些应用程序,那就要根据程序使用的具体端口重新添加新端口。比如MSN需要使用TCP80和TCP443,就要把这两个上述端口添加到允许列表。
共享服务关闭了吗?
WinXP在安装后默认会开启多个共享服务,这些原为方便交流的服务也为黑客入侵带来了便利。对于个人用户,我们应该将其关闭。
检测方法:
打开命令提示符,输入“net share”,我们就可以看到本机开启的所有共享服务,具体关闭方法请看下文。新装系统后,按下面步骤关闭不必要的共享。
防范方法:
Step1打开注册表编辑器,展开[HKEY_LOCAL_MACHIN ESYSTEMCurrentControlSetSetriceslanmanserverparameters]项,双击右侧窗口中的“AutoShareServer”项将键值由l改为0。如果没有AutoShareServet项,可自己新建一个再改键值(DWORD)。接着找到“AutoShareWks”,项,也把键值由1改为0,这样可以关闭admin$共享。
Step2打开控制面板,双击“管理工具”,在打开窗口展开“服务和应用程序”→“服务”,在右侧找到“server”服务,将启动类型设置为“已禁用”,这样系统共享服务将被完全关闭。
用天网在线检测系统安全
经过这几步检测,我们基本可以判断出系统是否安全。为了能够更加直观的了解,还可以使用天网在线检测系统安全。
登录http://pfw.sky.net.cn/scan.html,打开测试页面,单击“马上检测”。此时网站会对系统进行多项测试,一会儿就可以看到自己电脑安全状况了,具体含义可以参考网站的相关说明。如果发现是“极度危险”或者“一般危险”,那就应该马上进行信息泄漏检查和系统安全性检查。如系统信自_安全进行检测,单击页面下方的“信息泄漏检测”后的图标,在打开的页面单击“我同意”。其他安全项目检查类似。
写在最后
要保证新装系统的安全,除了本文介绍的检查外,还应该开启系统自动升级,安装一款强大的杀毒软件和防火墙,同时经常关注一些系统的安全新闻。比如,上次番茄花园的后门事件,网上及时给出了解决的方法。只有这样,才能有效保护系统安全,不至于“出师未捷身先死”!