妙用Windows系统“安全模式”
1.安全模式
只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。
如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。
2.带网络连接的安全模式
在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。
3.带命令行提示符的安全模式
只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。
说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出“任务管理器”,单击“新任务”,再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”,可马上启动Windows XP的图形界面,与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上,在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。
4.启用启动日志
以普通的安全模式启动,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt,它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。
5.启用VGA模式
利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序。因此,在这些模式下,屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。
6.最后一次正确的配置
使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。
7.目录服务恢复模式
这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。
8.调试模式
启动时通过串行电缆将调试信息发送到另一台计算机。
如果正在或已经使用远程安装服务在您的计算机上安装 Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。
现实应用
1.笔者过去用的是一款旧显示器,又是初学者,初学者最爱干的是什么,换点墙纸,设一下分辨率也觉得很有成就感,没想到误将分辨率和刷新率调得太高,下次启动时屏幕花屏,害得的重新安装了操作系统才算了事。
现在想起来那时也真的傻瓜可爱,只要将其重启到安全模式(前四种模式都行)下,删除显卡驱动程序,再重启电脑即可,重启(正常启动)时,系统会自动扫描显卡并安装驱动程序,屏幕即可恢复正常显示。
还有些问题也可用这种方法来处理,比如Windows XP会自动识别硬件并安装驱动程序,但有时总是老眼昏花,而且在设备管理器下不会显示出错信息。但就是工作不正常,如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等,也可在安全模式重新安装驱动程序。
2.揪出恶意的自启动程序或服务
如果电脑出现一些莫明其妙的错误,比如上不了网,按常规思路又查不出问题,可启动到带网络连接的安全模式下看看,如果在这里能上,则说明是某些自启动程序或服务影响了网络的正常连接,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个:
1.安全模式
只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。
如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。
2.带网络连接的安全模式
在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。
3.带命令行提示符的安全模式
只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。
说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出“任务管理器”,单击“新任务”,再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”,可马上启动Windows XP的图形界面,与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上,在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。
4.启用启动日志
以普通的安全模式启动,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt,它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。
5.启用VGA模式
利用基本VGA驱动程序启动,
当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序。因此,在这些模式下,屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。
6.最后一次正确的配置
使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。
7.目录服务恢复模式
这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。
8.调试模式
启动时通过串行电缆将调试信息发送到另一台计算机。
如果正在或已经使用远程安装服务在您的计算机上安装 Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。
现实应用
1.笔者过去用的是一款旧显示器,又是初学者,初学者最爱干的是什么,换点墙纸,设一下分辨率也觉得很有成就感,没想到误将分辨率和刷新率调得太高,下次启动时屏幕花屏,害得的重新安装了操作系统才算了事。
现在想起来那时也真的傻瓜可爱,只要将其重启到安全模式(前四种模式都行)下,删除显卡驱动程序,再重启电脑即可,重启(正常启动)时,系统会自动扫描显卡并安装驱动程序,屏幕即可恢复正常显示。
还有些问题也可用这种方法来处理,比如Windows XP会自动识别硬件并安装驱动程序,但有时总是老眼昏花,而且在设备管理器下不会显示出错信息。但就是工作不正常,如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等,也可在安全模式重新安装驱动程序。
2.揪出恶意的自启动程序或服务
如果电脑出现一些莫明其妙的错误,比如上不了网,按常规思路又查不出问题,可启动到带网络连接的安全模式下看看,如果在这里能上,则说明是某些自启动程序或服务影响了网络的正常连接要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个:
1.安全模式
只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。
如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。
2.带网络连接的安全模式
在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。
3.带命令行提示符的安全模式
只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。
说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出“任务管理器”,单击“新任务”,再在弹出对话框的“运行”后输入“C:WINDOWSexplorer.exe”,可马上启动Windows XP的图形界面,与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上,在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。
4.启用启动日志
以普通的安全模式启动,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt,它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。
5.启用VGA模式
利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序。因此,在这些模式下,屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。
6.最后一次正确的配置
使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。
7.目录服务恢复模式
这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。
8.调试模式
启动时通过串行电缆将调试信息发送到另一台计算机。
如果正在或已经使用远程安装服务在您的计算机上安装 Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。
现实应用
1.笔者过去用的是一款旧显示器,又是初学者,初学者最爱干的是什么,换点墙纸,设一下分辨率也觉得很有成就感,没想到误将分辨率和刷新率调得太高,下次启动时屏幕花屏,害得的重新安装了操作系统才算了事。
现在想起来那时也真的傻瓜可爱,只要将其重启到安全模式(前四种模式都行)下,删除显卡驱动程序,再重启电脑即可,重启(正常启动)时,系统会自动扫描显卡并安装驱动程序,屏幕即可恢复正常显示。
还有些问题也可用这种方法来处理,比如Windows XP会自动识别硬件并安装驱动程序,但有时总是老眼昏花,而且在设备管理器下不会显示出错信息。但就是工作不正常,如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等,也可在安全模式重新安装驱动程序。
2.揪出恶意的自启动程序或服务
1 Windows操作系统漏洞
漏洞即某个程序(包括操作系统)在设计时由于未考虑周全,系统开发过程中程序设计不严谨或者由于某些功能自身留下的,包括身份认证、访问控制、服务漏洞等多个方面。有时漏洞又称安全隐患。如果当系统漏洞被恶意的攻击者利用,就会造成信息泄露、系统的安全性、可用性就会遭到破坏。漏洞使系统非常危险,它可以使攻击者或病毒很容易取得系统最高权限,然后可以对被控制者进行各种破坏,让系统无法正常工作,甚至对一些分区进行格式化操作,盗取用户的各种帐号密码等。利用从网上下载的公开代码对未补丁的系统进行攻击。
所以,为了防止各种攻击,必须对系统进行安全设置。操作系统的安全配置是整个操作系统安全策略的核心,其目的就是从系统根源构筑安全防护体系,通过用户和密码管理、共享设置、端口管理和过滤、系统服务管理、本地安全策略、外部工具使用等手段,形成一整套有效的系统安全策略。安全配置的原则是:在保证系统使用功能的基础上提高安全性,不需使用的功能一律禁止,需要使用的要加强安全监控。
2 操作系统安全设置
2.1 关注漏洞,打上最新的补丁程序
操作系统都存在漏洞,要想保障系统的安全,必须及时打上相应的补丁。经常给电脑打补丁是一个保护电脑数据的好习惯,很多病毒都是通过Windows操作系统的漏洞进行攻击、破坏电脑的正常使用,给用户造成不可估量的损失。而补丁是修复瑕疵以及安全漏洞的。打补丁的频率一般是每月检查一次,使用Windows,打开自动更新功能将使Windows随时使用最新的补丁。Office等应用程序偶尔也需要使用补丁。可以查看应用程序厂商的网站寻找与应用程序相关的补丁。
需要提醒的是,补丁应该在所有应用程序安装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁,可能无法达到应有的效果。
2.2 设置系统盘格式为NTFS
安装Windows时,应选择自定义安装,仅选择必需的系统组件和服务,选择Windows文件系统时,应选择NTFS文件系统,充分利用NTFS文件系统的安全性。NTFS格式比FAT/FAT32格式要安全得多,FAT/FAT32较NTFS格式缺少了安全控制功能,不能对不同的文件夹设置不同的访问权限。使系统失去访问保护措施。
NTFS文件系统可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内。右击文件夹,选择“属性”,在文件夹属性的“安全”标签里设置哪些用户可以访问,以及访问的用户或用户组的权限。
2.3 加强用户账号和密码管理
由于系统安装后就存在Administrator超级用户,而且是没有密码的。很多用户都没有或者根本不知道去为其设置密码,入侵者就可以利用这一点,使用超级用户登录对方计算机,而且连密码都不需要。首先要禁用Guest帐号,将Guest来宾账户禁用,同时将Administrator用户名称进行更改并设置其密码,使用安全密码,并要注意经常更改密码,密码长度一般要达到10位左右,并且要包含字母、数字和特殊符号。平时要使用屏幕保护密码。
另外,要密切关注管理员组的用户,时刻保证只有一个Administrator是该组的用户。经常检查该组的用户,发现多增加的用户一律删除。同时要注意Guest用户,系统入侵者一般不会添加陌生的用户名,这样容易被人发现,他们通常是先激活Guest用户,然后更改它的密码,再放到管理员组,所以一定要删除管理员组里自己以外的用户。
2.4 充分使用安全策略功能
Windows操作系统对系统的安全性做了很多设置,但是有些设置在系统安装初期的默认值常常被攻击者利用,所以对系统进行安全策略的设置是系统加固的必要步骤。
2.5 关闭不必要的服务
为了方便用户,Windows操作系统对用户提供了非常丰富的功能,但是对于很多非专业的个人用户而言,很多功能和服务是不需要的,同时也打开了人侵系统的后门。根据自己系统的需要,把那无需使用和有危险性的服务都关闭,就会减少一些机器被攻击的可能性。
除非特别需要,否则一般情况下需要禁用以下一些服务:Alert,Clipbook,Computer Browse,DHCP Client,Messenger,Net logon,Network DDE,TCP/IP Net BIOS Helper Service,Workststion等。打开控制面板、管理工具、服务”,可以看到有关这些服务的说明和运行状态。要关闭一个服务,只需右键点击服务名称并选择“属性”菜单,在“常规”选项卡中把“启动类型”改成“手动”,再点击“停止”按钮。
Messenger:信使服务。此服务可以自动接收从网络上传来的信息。建议停止服务,并将启动类型改为手动。
Net logon:此服务用于在局域网上验证登录信息的选项、登录域名控制。建议停止服务,并将启动类型改为手动。
TCP/IP Net BIOS Helper Service:TCP/IP Net BIOS支持服务。在TCP/IP上提供Net BIOS支持,会被局域网中被感染病毒的机器或攻击者利用。建议停止服务,并将启动类型改为已禁用。
2.6 端口的管理和过滤
端口是计算机的第一道屏障,端口配置是否合理直接影响到计算机的安全,用端口扫描器扫描系统所开放的端口,可以发现开放的某些不必要的端口是黑客入侵系统的首要通道,许多网络蠕虫病毒也是利用一些不必要的端口进行传播的。
C:system32driversetservices文件中有知名端口和服务的对照表可供参考。
端口是网络数据交换的出入口,做好端口的管理和过滤,对系统的安全性有着极为重要的帮助。过滤的方法:打开控制面板—网络和拨号连接—本地连接—Internet协议(TCP/IP)—属性—高级—选项—TCP/IP筛选—属性,然后添加需要的TCP和UDP端口就可以了,但是如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
2.7 禁止空连接
Windows的默认安装允许任何用户通过空用户得到系统所有帐号和共享列表,任何一个远程用户可以通过此方法得到你的用户列表,并破坏网络。我们需要通过修改注册表来禁止空连接,点击“开始”—“运行”,在命令框里输入“regedit”打开“注册表编辑器”,进入“HKEY-LOCAL–MACHINESystemCurrent Control SetControlLSA,”,选中“Restrict Anonymous”,在右键菜单中选择修改,在“编辑DWORD值”中将“数值数据”设置为“1”,就可以禁止空连接。
2.8 关闭默认共享
Windows安装好以后,系统会创建一些隐藏的共享,通过“计算机名或IP地址、盘符”可以访问,这为系统攻击者提供了方便的途径。可以通过修改注册表来彻底禁止这些共享。方法是:进入“注册表编器”,在“HKEY-LOCAL MA-CHINESystemCurrent Control SetServicesLanman ServerParameters,下,选中“Parameters”,在其右侧列表的空白处,右键单击,出现“新建”,在菜单里选择“DWORD值”,数据名称为“Auto Share WKs”,数据数值设置为“0”。关闭注册表编辑器,然后重新启动电脑即可关闭默认共享。
2.9 安装必要的防护软件
任何一个操作系统都不可能做到防御所有攻击。在做好操作系统自身安全防护的前提下,安装必要的防护软件是对系统安全的重要保障。为系统安装一款优秀的杀毒软件和一款木马查杀软件是必要的,同时一定要注意及时更新病毒库,保证对最新的病毒和木马的查杀能力。另外,安装一款网络防火墙对于防止网络攻击很有效果。
3 结语
除了上述的安全措施外,要养成备份的习惯,一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。不要把资料备份在同一台服务器上。
摘要:针对Windows操作系统存在的一些漏洞,介绍Windows操作系统一些安全方面的操作策略,探讨了优化Windows操作系统性能的常用操作方法和技巧。
关键词:操作系统,安全策略,漏洞
参考文献
[1]韩俊伟,王少锋.基于P2P的流媒体直播系统研究与实现[J].计算机应用研究,2006,(6):227-229.
[2]王钊.基于P2P系统应用层组播在流媒体中的应用[J].计算机与现代化,2005,(2).35-37.
[3]杨明川,解冲锋.宽带网络流媒体技术和应用[J].中国新闻传播学评论,2005,25(4):15,19.
[4]狄明,戴琼海,丁嵘.对等网中的流媒体[J].有限电视技术,2005,23(7):36,41.
[5]汤子瀛,汤小丹.计算机网络技术及其应用[M].北京:电子科技大学出版社,2000.
进入安全模式的方法是:启动计算机,在系统进入windows启动画面前,按下f8键(或者在启动计算机时按住ctrl键不放) ,在出现的启动选项菜单中,选择“safe mode”,即可以安全模式启动计算机。那么安全模式到底有哪些用途呢?下面就让我们具体来看一下。
1、修复系统故障
如果windows运行起来不太稳定或者无法正常启动,这时候先不要忙着重装系统,试着重新启动计算机并切换到安全模式启动,之后 再重新启动计算机,系统是不是已经恢复正常了?如果是由于注册表有问题而引起的系统故障,此方法 非常有效,因为windows在安全模式下启动时可以自动修复注册表问题,在安全模式下启动windows成功 后,一般就可以在正常模式(normal)下启动了。
2、恢复系统设置
如果用户是在安装了新的软件或者更改了某些设置后,导致系统无法正常启动,也需要进入安全模式下解决,如果 是安装了新软件引起的,请在安全模式中卸载该软件,如果是更改了某些设置,比如显示分辨率设置超 出显示器显示范围,导致了黑屏,那么进入安全模式后就可以改变回来,还有把带有密码的屏幕保护程 序放在“启动”菜单中,忘记密码后,导致无法正常操作该计算机,也可以进入安全模式更改。
3、删除顽固文件
我们在windows下删除一些文件或者清除回收站内容时,系统有时候会提示“某某某文件正在被使用,无法删除”的字样,有意思的是,通常这些文件并没有正在被使用,那 么是不是让这些文件永远霸占我们的硬盘呢?请不要着急,重新启动计算机,并在启动时按下f8键进入 安全模式,试着删除那些顽固文件并清空回收站看一看,没了!原来windows已经放弃了对这些文件的保 护,可以把它们删除了,
4、彻底清除病毒
现在病毒一天比一天多,杀毒软件也跟着天天更新。但是,在windows正常模式下有时候并不能干净彻底地清除病毒,因为它们极有可能会 交叉感染,而一些杀毒程序又无法在dos下运行,这时候我们当然也可以把系统启动至安全模式,使 windows只加载最基本的驱动程序,这样杀起病毒来就更彻底、更干净了。
5、磁盘碎片整理
在碎片整理的过程中,是不能运行其它程序的,因为每当其它程序进行磁盘读写操作时,碎片整理程序就会自动重新开始,而一般在正常启动windows时,系统会加载一些自动启动的程序,有 时这些程序又不易手动关闭,常常会对碎片整理程序造成干扰,这种情况下,我们就应该重新启动计算 机,进入安全模式,安全模式是不会启动任何自动启动程序的,可以保证磁盘碎片整理的顺利进行
1.修复系统故障
如果Windows运行起来不太稳定或者无法正常启动,这时候先不要忙着重装系统,试着重新启动计算机并切换到安全模式启动,之后再重新启动计算机,系统是不是已经恢复正常了?如果是由于注册表有问题而引起的系统故障,此方法非常有效,因为Windows在安全模式下启动时可以自动修复注册表问题,在安全模式下启动Windows成功后,一般就可以在正常模式(Normal)下启动了
2.恢复系统设置
如果用户是在安装了新的软件或者更改了某些设置后,导致系统无法正常启动,也需要进入安全模式下解决,如果是安装了新软件引起的,请在安全模式中卸载该软件,如果是更改了某些设置,比如显示分辨率设置超出显示器显示范围,导致了黑屏,那么进入安全模式后就可以改变回来,还有把带有密码的屏幕保护程序放在“启动”菜单中,忘记密码后,导致无法正常操作该计算机,也可以进入安全模式更改
3.删除顽固文件
我们在Windows下删除一些文件或者清除回收站内容时,系统有时候会提示“某某某文件正在被使用,无法删除”的字样,有意思的是,通常这些文件并没有正在被使用,那么是不是让这些文件永远霸占我们的硬盘呢?请不要着急,重新启动计算机,并在启动时按下F8键进入安全模式,试着删除那些顽固文件并清空回收站看一看,没了!原来Windows已经放弃了对这些文件的保护,可以把它们删除了
4.彻底清除病毒
现在病毒一天比一天多,杀毒软件也跟着天天更新,
但是,在Windows正常模式下有时候并不能干净彻底地清除病毒,因为它们极有可能会交叉感染,而一些杀毒程序又无法在DOS下运行,这时候我们当然也可以把系统启动至安全模式,使Windows只加载最基本的驱动程序,这样杀起病毒来就更彻底、更干净了
5.磁盘碎片整理
系统光盘个人比较喜欢使用雨林木风安装版或者GHOST版,纯净无插件,破解和优化得都比较好。使用电脑公司装机版也可以,番茄花园以前做得不错,现在的版本插件比较多,且界面不是很喜欢。
(1)系统安装完后,做个纯净版的ghost备份,可以使用MaxDos或者矮人DOS工具箱。以备以后系统出问题可以快速恢复到纯净系统,节省安装系统时间,(使用安装版安装系统需要时间大约45分钟,恢复系统时间只需10分钟左右)。
(2)在连接网络之前先安装杀毒软件,连接网络后将杀毒软件更新到最新。个人比较喜欢NOD32(占用系统资源小,杀毒速度快,防护能力强)或者卡巴斯基(主动 防御很强,杀毒能力强,但是杀毒速度很慢,占用系统资源较大);感觉江民还可以,尤其不喜欢瑞星和金山,并非不支持国产,瑞星我觉得除了界面还可以之外,其他的优点没有什么感觉,金山感觉能力平平。
(3)打上最新的系统补丁,建议用手动安装版,安装速度快。将IE升级到IE7.0。将系统更新方式更改为“手动”,防止安装windows正版验证程序。
(4)安装好常用的软件。个人比较喜欢雨林木风下载,无插件,破解比较完美。建议使用魔法兔子或者优化大师,方便以后对系统进行维护。
(5)修改注册表启动项(run、runonce等),删除不必要的随系统启动的程序,以节省系统开机时间、系统资源、系统关机时间。并关闭run项的设置权限,可以使大部分木马程序失去作用。(必做)
(6)删除不必要的服务。以节省系统资源及开机时间。(必做)
(7)设置系统组策略。如无局域网可以关闭网络访问;关闭自动播放功能。(必做)
(8)屏蔽TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口。减少给黑客入侵的机会。(推荐)
第一种方法:
1、Windows+R 组合键打开运行框,输入msconfig,回车。
2、打开“引导”标签,勾选“引导选项”下“安全引导”的复选框。 3、选择安全启动的类型
(1)最小(标准的安全模式)
(2)其他外壳(带有命令提示符的安全模式)
(3)Active directory
(4)网络(带网络的安全模式)
一般情况选择1最小或者4带网络的安全模式就可以了,然后重启电脑就可以进入安全模式,想要回到正常模式的话只需要在安全模式里恢复上面的设置把安全引导取消就可以了,步骤和上面的相同,
第二种方法:
开机的时候按住SHIFT+F8,即可进入安全模式。
多系统进入安全模式:
1、在多重启动引导菜单上选择更改默认值或其他选。
2、进入选项后选择“选择其他选项”。 3、然后进入下一界面后点击“疑难解答”。
4、进入疑难解答界面后选择“高级选项”。
一、进入安全模式
要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。
选项菜单包括了以下几个:
1.安全模式只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、(违禁词语-已隐藏)器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。
如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。
2.带网络连接的安全模式在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会在你修复电脑的过程中入侵。
3.带命令行提示符的安全模式只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。
说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出“任务管理器”,单击“新任务”,再在弹出对话框的“运行”后输入“C:WINDOWSexplore..exe”,可马上启动WindowsXP的图形界面,与上述三种安全模式下的界面完全相同。如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。事实上,在其它的安全模式正常启动时也可通过这种方法来启动命令提示符窗口。
4.启用启动曰志以普通的安全模式启动同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为ntbtlog.txt,它位于%windir%(默认为c:windows)目录中。启动曰志对于确定系统启动问题的准确原因很有用。
5.启用VGA模式利用基本VGA驱动程序启动。
当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序。因此,在这些模式下,屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。
6.最后一次正确的配置使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。
7.目录服务恢复模式这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和ActiveDirectory目录服务。
8.调试模式启动时通过串行电缆将调试信息发送到另一台计算机。
如果正在或已经使用远程安装服务在您的计算机上安装Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。一恢复屏幕正常显示
过去用的是一款旧显示器,又是初学者,初学者最爱干的是墙纸,设一下分辨率也觉得很有成就感,没想到误将分辨率和刷新率调得太高,下次启动时屏幕花屏,害得必须重新安装操作系统才算了事。
现在想起来那时也真傻得可爱,只要将其重启到安全模式(上文中的前四种模式都行)下,删除显卡驱动程序,再重启电脑即可。重启(正常启动)时,系统会自动扫描显卡并安装驱动程序,屏幕即可恢复正常显示。
还有些问题也可用这种方法来处理,比如WindowsXP会自动识别硬件并安装驱动程序,但有时总是老眼昏花,而且在设备管理器下不会显示出错信息,但就是工作不正常,如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等,也可在安全模式重新安装驱动程序。
二、揪出恶意的自启动程序或服务
如果电脑出现一些莫名其妙的错误,比如上不了网,按常规思路又查不出问题,可启动到带网络连接的安全模式下看看,如果在这里能上,则说明是某些自启动程序或服务影响了网络的正常连接,
可在带网络连接的安全模式下,用带重定向的命令提示符工具TaskList>d:Anquan.txt将当时的进程记录到D:盘根目录下的文本文件Anquan.txt中。接着,以正常的方式启动电脑,将Anquan.txt中记录到的进程与此时的进程进行比较,你会发现此时的进程要多得多,请逐个结束多出来的进程,并检查网络连接是否正常。如果结束到某一进程时网络连接正常了,则说明刚结束的进程就是罪魁祸首。查出后,可删除与进程相关的可执行文件。但还要注意的是,由于它是自动运行的,强行删除后,可能会引起启动时报“找不到某文件”的错误,还得将其与自启动有关的设置全部清除,包括“系统配置实用程序”的“启动”、“Win.ini”下的内容、注册表下的内容、启动脚本下的内容、“开始”菜单“启动”下的内容等。
三、调整分区
出门在外,可本本儿偏不争气,启动时报分区错误。又没带任何工具软件,好在天无绝人之路,还能启动到安全模式下。命令行工具Diskpart能胜任分区魔术师的一切工作。Diskpart功能非常强大,它工作于一个集成的环境,输入Diskpart后,显示专用提示符即Diskpart>(注意:这不是一个路径),在这一环境下可输入很多与之相关的同时也是它的专用子命令。下面就来演示分区的扩容功能。
说明在先:以下的操作是在台式机上记录下来的。
①启动到带命令提示符的安全模式下,输入命令Diskpart。再输入listpartition显示一下分区,显然,其中有两个主分区、两个扩展分区。
②输入“SelectParttition3”(第3分区,5004MB的那个),使该分区具有焦点属性。再输入“DeletePartition”即可删除该分区。请将第1、2两个“Listpartition”命令后的值进行比较,不难看出,原分区3确实已被删除了。
③输入“Selectpartition1”使其具有焦点属性,再输入“Extend”,刚才被删除分区所空出来的未分配空间就能自动添加到第1分区中去。
为分区扩容,这可是分区魔术师的专利,diskpart也能实现,看来,Windowsserver不支持分区魔术师是有道理的。再输入“Listpartition”可观察到第1个分区的容量变化情况。
说明:将带有焦点的分区扩展为最邻近的未分配空间时,对于普通分区,未分配的空间必须在同一磁盘上,并且必须接着带有焦点的分区。
如果要被扩容的分区是NTFS格式,扩容后不会丢失任何数据。如果是非NTFS的文件系统格式,此命令就会失败,但不会对分区作任何更改也不会**数据。不能扩展当前系统分区或启动分区,也不能对包含页面文件的分区进行扩容。如果电脑中有两个主分区,分区5才是活动分区。不然,不能对分区1进行扩容操作。
语法:extend[size=n]参数说明:size=n:添加到当前分区的空间大小(MB)。如果不指定大小,磁盘就扩展为占用所有最邻近的未分配空间。
④不管对硬盘分区做了什么样的改动,包括创建、删除、扩容等,都用不着重新启动电脑即可生效(这是分区魔术师不能做到的),但在“我的电脑”却看不到这些分区,这是为什么呢,原来,还没为其指定驱动器号(也就是盘符)。怎样指定盘符呢?下面以为第1个分区指定盘符为例进行说明。
使第1个分区具有焦点属性,再输入命令“Assign”,Diskpart就会自动为其分配一个。当然也可用命令“AssignLetter=X”来手动指定,手动指定时,不能与已存在的盘符如C等相同。经过这样的处理后,就能在“我的电脑”下查看到这些分区了。
⑤将分区5设为活动分区,先用SelectParttition5使其具有焦点属性再用Active激活即可。最后输入Exit,退出Diskpart集成环境,让电脑自动重启。
首先,我们怀疑是Windows7安装不当,因此重新安装了一次操作系统,可是开机后同样出现黑屏的情况。不过这次稍深入研究了一下这个诡异的黑屏情况。打开系统属性中的设备管理器,发现显卡驱动并没有正常安装,
难道是显卡驱动没有安装所造成的黑屏情况?为此,采用手工指定路径的方式安装了显卡驱动,本以为重启开机后就能恢复正常了。可是没想到在重启后依然出现黑屏的问题。
由于本本采用的是整合显卡,显示的接口有DVI和传统的VGA接口两种,为了获得最佳的兼容性,又将原先的DVI接口改成VGA连接显示器,可是问题依旧。难道是主板的整合显卡无法支持Windows7吗?无奈之下突然想到,或许可以进入到安全模式查找问题的症结。于是重启电脑,按F8键,选择安全模式进入系统。没想到在进入安全模式后,Windows7虽然运行在640480的低分辨率下,好在桌面背景和传统的任务栏终于出现了。赶紧在安全模式下安装了显卡驱动,这次安装倒是一帆风顺的正常完成,重启电脑后,整个画面终于恢复了正常。
系统更新,因人而异
电脑中毒或被入侵一般都是由于系统漏洞造成的,因此及时进行系统更新很有必要,不过,由于用户使用电脑的时间不同,有些比较固定,有些不定时,因此系统更新的设置也应因人而异。启动“操作中心”,进入“Windows Update”右侧的“更改设置”。
在“选择Windows Update选项”对话框,有“自动安装更新”和“让我选择”两种,前者是默认选项,按照定义好的设置进行安装和更新,后者更灵活。如果使用时间固定,直接选择前者即可,如果使得时间不固定,最好选择后者,在“选择Windows安装更新的方法”对话框中,选择“下载更新,但是让我选择是否安装更新”,再根据实际情况选择要更新的时间。为了系统的安全,不建议选择“从不检查更新”。
小提示:选择更新方式后,一旦系统有更新,就会在任务托盘中弹出提示。如果觉得不时弹出提示气球影响操作而想取消,只需点击“关闭有关‘Windows Update’的消息”。如果考虑到系统安全而想重新打开提示,点击“安全”右侧的向下箭头按钮,在弹出窗口中点击“Windows Update”下面的“打开有关Windows Update的消息”即可。
防间谍软件,自带的就好
网络世界很不太平,挂马网站和恶意软件触手可及,有些用户选择第三方工具进行防护,其实没多大必要,因为系统已经集成了Windows Defender,因为是系统自带,因此不会存在兼容性问题,而且软件更新更快,
进入“操作中心”,点击“Windows Defender”右侧的“立即扫描”,就会对电脑上最有可能感染间谍软件的硬盘进行快速扫描(建议在扫描前点击“立即检查更新”更新有害软件定义)。如果怀疑电脑已被间谍软件感染,最好进行完整扫描,完全扫描检查硬盘上所有文件和当前运行的所有程序,但可能导致电脑运行变慢。
如果怀疑间谍软件只是感染了电脑的某特定区域,则可通过只选择要检查的驱动器和目录进行自定义扫描,这样可以节省不少扫描时间。
设置备份,防患于未然
由于受到病毒或蠕虫攻击,以及遭遇软硬件故障和意外删除、替换文件,可能导致文件丢失或者覆盖,最好养成备份的好习惯,备份方式包括文件备份和系统备份两种。
进入“操作中心”,点击“设置备份”右侧的“设置备份”按钮,选择要保存备份的位置(系统盘除外),备份内容有“让Windows选择”和“让我选择”两种方式,后者更灵活,推荐选择,再在备份内容对话框根据需要选择数据文件(一般是库文件)、驱动器或系统映像。一旦开始备份,在“备份”右侧就可看到“正在备份”的提示,如果要查看备份的详细信息,点击右侧的“查看详细信息”按钮,即可看到正在备份的文件。
小提示:如果安装了防火墙软件,以360木马防火墙为例,点击“保存设置并运行备份”后会弹出提示窗口,需要选择“允许该计划任务”,否则备份无法继续执行。
1、网络访问保护功能控制安全连接
如果局域网中有一台计算机感染了病毒,那么整个局域网就会存在所有计算机都被“传染”病毒的危险。为了在局域网中控制普通计算机的接入安全,我们可以利用Win2008系统特有的网络访问保护功能,来禁止存在安全威胁的计算机自由接入局域网网络,下面就是具体的实现操作步骤:
首先安装网络访问保护功能;打开Win2008系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”命令,从其后出现的服务器管理器窗口左侧区域单击“角色”节点选项,并在对应该节点的右侧显示区域单击“添加角色”功能,打开角色添加向导窗口,依照提示将“网络策略和访问服务”项目选中,之后点击“安装”按钮,再按向导默认设置完成网络访问保护功能的安装任务;
其次创建健康安全标准;在进行这种操作时,我们可以先单击系统任务栏中的“服务器管理器”按钮,从弹出的服务器管理器窗口左侧区域处逐一点选“角色”、“网络策略和访问服务”、“NPS”、“网络访问保护”、“系统健康验证器”节点选项,再单击目标选项右侧区域中的“属性”按钮,打开安全健康验证对话框,点选“配置”按钮,选中常规的“防病毒应用程序已启用”、“已为所有网络连接启用防火墙”、“防病毒程序为最新的”等几种健康安全标准(如图1所示),以后任何需要连接到局域网中的计算机必须同时符合上面的健康标准,Win2008系统才会认为它是健康、安全的计算机;
ppp
接着创建安全验证策略;在创建健康的安全验证策略时,我们可以先将鼠标定位于服务器管理器窗口左侧区域中的“网络策略服务器”节点选项,再从目标节点下面逐一展开“策略”、“健康策略”分支,在目标分支下面再点选“新建”按钮,从弹出的安全验证策略对话框中将新的“策略名称”设置为“健康计算机”,将“客户端SHV检查”参数设置为“客户端通过了所有SHV检查”,将“此健康策略中使用的SHV”参数选择为“Windows安全健康验证程序”,最后单击“确定”按钮结束健康的安全验证策略创建操作;按照同样的操作步骤,我们还可以创建一个不健康的安全验证策略,只是在创建这种策略时,我们必须将“客户端SHV检查”参数选择为“客户端未能通过一个或多个SHV检查”,其余参数都和上面相同就可以了;
ppp
下面创建新的网络连接策略;将鼠标先定位于服务器管理器窗口左侧区域处“网络策略和访问服务”节点上,并从该节点下面依次点选“NPS”、“策略”、“网络策略”选项,从目标选项下面点选“新建”按钮,此时系统屏幕上会出现一个如图2所示的创建网络连接策略向导窗口;在这里将“策略名称”参数设置为“健康连接”,将“网络访问服务器类型”选项选择为“DHCP Server”,再从其后界面中单击“添加”按钮,同时将“选择条件”选择为先前创建好的“健康计算机”策略,再根据向导默认提示逐一点选“已授予访问权限”、“仅执行计算机健康检查”设置选项,最后再将“策略设置”参数设置为“NAP强制允许完全网络访问”,同时单击“完成”按钮结束网络连接策略创建工作。再按照相同的操作步骤,我们创建一个“不健康连接”的网络策略,只是在进行这种操作时,我们必须将“选择条件”参数选择为“不健康计算机”策略,并且将“策略设置”参数设置为“拒绝访问”选项,其余参数跟上面一模一样;
最后需要对DHCP服务功能进行设置;考虑到普通计算机在访问网络时,首先需要联系局域网中的DHCP服务器,因此我们还必须设置好合适的DHCP服务参数,保证所有计算机的上网连接请求通过DHCP功能转交给Win2008系统的网络访问保护功能进行处理。依次单击服务器系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”/“DHCP”选项,进入DHCP服务器控制台界面,打开目标作用域的属性界面,点选该界面中的“网络访问保护”选项卡,在对应选项设置页面中选中“对此作用域启用”选项,同时选中“使用默认网络访问保护配置文件”,最后单击”确定“按钮执行设置保存操作。
完成上面的各项设置任务后,我们日后只需要将待接入到局域网网络中的普通计算机设置成“自动获得IP地址”,那么该计算机的网络连接就会受到Win2008系统网络访问保护功能的控制了,如此一来网络病毒或木马日后就不能通过局域网网络随意“传染”给其他普通计算机了,此时整个局域网网络的运行安全性就能得到有效保证了。
2、高级安全防火墙控制恶意下载
在管理、维护局域网的过程中,网络管理员或许经常会遇到这样的一种现象,那就是一些不自觉的上网用户往往会在局域网中偷偷使用电骡、迅雷这样的P2P工具,来下载大容量的电影或其他多媒体数据,这种恶意下载操作消耗掉了局域网中有限的宝贵带宽资源,并且很容易造成整个局域网网络不能稳定地运行。事实上,我们可以利用Win2008系统新增加的高级安全防火墙功能,来控制恶意下载行为;考虑到迅雷这样的P2P工具在进行恶意下载操作时,会通过系统的3077,3078端口对外进行网络通信,我们只要让高级安全防火墙功能限制3077,3078端口对外进行网络通信,就能实现阻止上网用户偷偷使用迅雷这样的P2P工具进行恶意下载了。现在,我们就利用Win2008系统的高级安全防火墙功能创建安全访问规则,禁止电骡、迅雷这样的P2P工具进行下载连接:
首先以系统管理员权限进入Win2008系统桌面,依次点选“开始”菜单中的“程序”、“管理工具”、“服务器管理器”命令,从其后出现的服务器管理器窗口左侧位置处,将鼠标定位于“配置”节点选项上,再选中目标节点选项下面的“高级安全防火墙”项目;
其次打开“高级安全防火墙”配置界面,在该界面左侧位置处点选“出站规则”功能选项,再从对应该功能选项的右侧位置处点选“新规则”功能选项,打开安全出站规则创建向导对话框,当向导对话框询问我们要进行何种类型的控制操作时,我们应该选中这里的“端口”选项,以便让高级安全防火墙功能对本地计算机中3077、3078端口的网络连接进行限制;
接着单击“下一步”按钮,在其后出现的向导设置对话框中选中“TCP”功能选项,并且选中“特定本地端口”选项,此时“特定本地端口”文本框会被自动激活,在该文本框中直接输入“3077,3078”端口号码,如图3所示; 图3
再单击“下一步”按钮后,向导屏幕会弹出提示询问“连接符合指定条件时应该进行什么操作”,这个时候我们必须将“阻止连接”功能选项选中,之后设置好该安全规则具体的应用范围,在这里我们可以同时选中“域”、“专用”、“公用”这几种应用环境,最后为新创建的出站规则设置一个合适的名称,再单击“完成”按钮结束安全出站规则的创建工作,这样的话任何一位上网用户在本地Win2008系统中尝试进行恶意下载时,Win2008系统自带的高级安全防火墙功能就对自动对这样的恶意下载进行拦截,那么本地网络的运行稳定性自然也就能得到有效保证了,
3、网络身份验证功能控制远程连接
为了提高工作效率,很多网络管理员总喜欢通过远程桌面功能来与局域网中的重要服务器或计算机建立远程连接,以便在局域网中的任何位置都能象在本地那样来控制远程服务器或计算机;这种远程控制功能虽然给网络管理员带来了方便,但是同时也给非法攻击者提供了一种新的非法入侵“通道”。为了提高服务器系统的安全性能,Win2008系统新推出了网络身份验证功能,该功能可以很好地预防非法攻击者随意从局域网中的任意一台计算机对目标服务器系统建立远程连接,一旦启用了该功能后,网络管理员必须在Vista、Win2008系统环境下才能通过远程桌面功能与Win2008服务器建立远程连接,其他普通计算机系统都不能与Win2008服务器系统建立远程连接,这无形之中自然会提高Win2008服务器系统的运行安全性。在启用Win2008服务器系统的网络身份验证功能时,我们可以按照下面的设置来操作:
首先以特权账号登录进入Win2008系统桌面,单击该系统任务栏中的“服务器管理器”功能按钮,打开对应系统的服务器管理器控制台窗口,选中该窗口左侧位置处的“服务器管理”节点选项,在目标节点选项下面的“服务器摘要”设置项处点选“配置远程桌面”选项,进入对应系统的远程桌面设置对话框;
图4
其次在该设置对话框的“远程桌面”位置处,检查“只允许运行带网络级身份验证的远程桌面的计算机连接”选项是否处于选中状态(如图4所示),如果发现该功能还没有处于选中状态时,那么局域网中的任意用户可以从任意一台计算机中来远程连接Win2008服务器系统;为了控制用户随意对Win2008服务器系统进行远程连接,我们必须将“只允许运行带网络级身份验证的远程桌面的计算机连接”选项重新选中,再单击“确定”按钮保存好上述设置操作,这么一来远程桌面连接日后就会受到网络身份验证功能的保护了。
4、数据执行保护功能控制程序连接
Internet中的一些网络病毒或木马,时常会通过安装在Win2008系统中的一些应用程序漏洞,来对本地计算机系统进行非法攻击;为了让应用程序连接网络更加安全,我们可以利用Win2008系统自带的数据执行保护功能来保护目标应用程序,下面就是具体的实现步骤:
首先在Win2008系统桌面中,用鼠标右键单击“计算机”图标,从弹出的快捷菜单中点选“属性”命令,打开对应系统的属性设置窗口,在该设置窗口的左侧位置处,点选“高级系统设置”按钮,进入Win2008系统的高级属性设置对话框;
图5
其次在该设置对话框的“性能”位置处点击“设置”按钮,进入Win2008系统的性能选项设置对话框,单击其中的“数据执行保护”选项卡,在其后出现的选项设置页面中(如图5所示),看看“为除下列选定程序之外的所有程序和服务启用”列表中是否存在目标应用程序,一旦发现它存在的话,那就说明该应用程序日后在进行网络连接时不会受到数据执行保护功能的安全保护,此时我们必须选中该目标应用程序,同时单击“删除”按钮,再单击“确定”按钮结束数据执行保护设置操作,这么一来目标应用程序日后在连接网络时就会自动受到Win2008系统自带的数据执行保护功能的保护了。
5、密码保护共享功能控制共享连接
为了让Win2008系统中的重要资源与他人交流分享,很多人都会直接将重要资源设置成共享状态,其他人通过共享访问就能看到自己的重要资源了;不过,相当一部分人在设置共享文件夹时,常常会忘记设置共享访问密码,从而给局域网中的非法用户提供了可乘之机。为了保护共享资源的安全,我们可以启用Win2008系统的密码保护共享功能,强行要求用户必须为共享文件夹设置访问密码,日后只有知道共享密码的用户才能看到自己的共享内容,下面就是具体的设置步骤:
首先在Win2008系统桌面中,依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中双击网络和共享中心图标,打开网络和共享中心控制窗口;
通过伪装Linux系统,给 设置系统假象,可以加大 对系统的分析难度,引诱他们步入歧途,从而进一步提高计算机系统的安全性。下面以Red Hat Linux为例,针对几种 常用的途径介绍一些常用的Linux系统伪装的方法。
针对HTTP服务
通过分析Web服务器的类型,大致可以推测出操作系统的类型,比如,Windows使用IIS来提供HTTP服务,而Linux中最常见的是Apache。
默认的Apache配置里没有任何信息保护机制,并且允许目录浏览。通过目录浏览,通常可以获得类似“Apache/1.3.27 Server at apache.linuxforum.net Port 80”或“Apache/2.0.49 (Unix) PHP/4.3.8”的信息。
通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来。但是,Red Hat Linux运行的Apache是编译好的程序,提示信息被编译在程序里,要隐藏这些信息需要修改Apache的源代码,然后,重新编译安装程序,以实现替换里面的提示内容。
以Apache 2.0.50为例,编辑ap_release.h文件,修改“#define AP_SERVER_BASEPRODUCT “Apache””为“#define AP_SERVER_BASEPRODUCT “Microsoft-IIS/5.0””。编辑os/unix/os.h文件,修改“#define PLATFORM. “Unix””为“#define PLATFORM. “Win32””。修改完毕后,重新编译、安装Apache。
Apache安装完成后,修改httpd.conf配置文件,将“ServerTokens Full”改为“ServerTokens Prod”;将“ServerSignature On”改为“ServerSignature Off”,然后存盘退出。重新启动Apache后,用工具进行扫描,发现提示信息中已经显示操作系统为Windows。
针对FTP服务
通过FTP服务,也可以推测操作系统的类型,比如,Windows下的FTP服务多是Serv-U,而Linux下常用vsftpd、proftpd和pureftpd等软件。
以proftpd为例,修改配置文件proftpd.conf,添加如下内容:
ServerIdent on “Serv-U FTP Server v5.0 for WinSock ready...”
存盘退出后,重新启动proftpd服务,登录到修改了提示信息的FTP服务器进行测试:
C:>ftp 192.168.0.1Connected to 192.168.0.1.220 Serv-U FTP Server v5.0 for WinSock ready...User (192.168.0.1:(none)): 331 Password required for (none). Password: 530 Login incorrect. Login failed. ftp >quit 221 Goodbye.
这样从表面上看,服务器就是一个运行着Serv-U的Windows了。
针对TTL返回值
可以用ping命令去探测一个主机,根据TTL基数可以推测操作系统的类型。对于一个没有经过任何网关和路由的网络,直接ping对方系统得到的TTL值,被叫做“TTL基数”。网络中,数据包每经过一个路由器,TTL就会减1,当TTL为0时,这个数据包就会被丢弃。
通常情况下,Windows的TTL的基数是128,而早期的Red Hat Linux和Solaris的TTL基数是255,FreeBSD和新版本的Red Hat Linux的TTL基数是64。比如,ping一个Red Hat系统,显示如下:
Pinging 192.168.0.1 with 32 bytes of data:Reply from 192.168.0.1: bytes=32 time <10ms TTL=64Reply from 192.168.0.1: bytes=32 time <10ms TTL=64Reply from 192.168.0.1: bytes=32 time <10ms TTL=64Reply from 192.168.0.1: bytes=32 time <10ms TTL=64Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms
用以下命令修改Red Hat Linux的TTL基数为128(本来为64):
# echo 128 >/proc/sys/net/ipv4/ip_default_ttl
若想使设置永久生效,可以修改/etc/sysctl.conf配置文件,添加如下一行:
net.ipv4.ip_default_ttl = 128
保存退出后,再ping 192.168.0.1,TTL基数就变为128了,
针对3389端口和22端口
有时通过扫描3389端口和22端口,也可以推测操作系统的类型。Windows下一般利用TCP协议的3389端口进行远程控制,而Linux可能会用TCP协议的22端口,提供带有加密传输的SSH服务。
为了安全,可以利用iptables来限制22端口的SSH登录,让非授权的IP扫描不到TCP 22端口的存在:
#iptables -I INPUT -s ! xx.xx.xx.xx -p tcp --dport 22 -j DROP
利用iptables,将本机的TCP 3389端口转移到其它开有3389端口的计算机上,给Linux系统伪装出一个提供服务的TCP 3389端口。命令如下:
#echo 1 >/proc/sys/net/ipv4/ip_forward#iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to xx.xx.xx.xx#iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE
第一条命令表示允许数据包转发;第二条命令表示转发TCP 3389到xx.xx.xx.xx;第三条命令表示使转发数据包实现“双向通路”,给数据包设置一个正确的返回通道。若想使转发永久生效,可以把以上命令添加到/etc/rc.local文件中。
这样,当 扫描服务器所开端口的时候,就找不到22号端口,而是看到一个伪装的3389端口,从而不能正确判断出操作系统的类型。
针对netcraft
netcraft是一个很厉害的扫描引擎,它通过简单的TCP 80,就可以知道所测服务器的操作系统、Web服务程序和服务器开机时间(Uptime)等信息。
上面介绍的几种方法对netcraft来说,均不奏效。针对netcraft,可利用iptables进行系统伪装,使netcraft错误判断操作系统:
#iptables -t nat -I PREROUTING -s 195.92.95.0/24 -p tcp --dport 80 -j DNAT --to xx.xx.xx.xx#iptables -t nat -I POSTROUTING -s 195.92.95.0/24 -p tcp --dport 80 -j MASQUERADE
由于通过抓包发现,netcraft的服务器不止一台,所以需要对它所在网段进行转发欺骗处理。
小结
【妙用Windows系统“安全模式”】推荐阅读:
windows系统基本操作10-15
windows操作系统课件12-05
Windows7系统文件共享12-24
Windows98操作系统优化实战01-28
加强Windows安全性06-12
替换功能的妙用06-19
妙用错误教学资源10-30
乘法口诀的妙用教案11-25
