作者vvvbbb (尚好是安ㄋㄟ)
看板AntiVirus
标题一些感想和心得
时间Fri Aug 18 01:43:37 2006
这几天看到许多版友中毒
心里感触颇深
大概在四五年前
我的电脑程度鸟鸟的
只会上网玩游戏等简单的功能
後来被不记得是 Nimda 还是 CodeRed 搞的很惨
因为不懂防备 所以灾情惨重
在那之後就开始买书来看
研究如何防止再度中奖
至少到现在我都再也没中过毒
虽然不敢说以後不会中毒或中木马
但是我的一些心得应该可以让一些版友做参考
( 我曾经试过刚装好 OS 没有任何补丁 没装防毒软体
就直接上网做 Windows Update 而安然无恙
所以我的那些事前准备应该是有效的
虽然这不是个好范例啦 XD )
我从网路上看到以及从身边朋友接触到的
我发现大部分人存有一个错误的观念
他们都太依赖防毒软体了
只想说要找最强的防毒软体
安装好後就万无一失了
其实这是个错误的观念
怪盗小子曾对工藤新一说过 :
" 大盗是漂漂亮亮猎取宝物的创作性艺术家 ( 好像是这样吧 )
侦探只能跟随他们的脚步走
不过是个评论家罢了 "
well ........ 我不是在说名侦探柯南有多好看啦 XD
这句话用在电脑安全上 可以这麽说
病虫的撰写者是漂漂亮亮攻击目标的创作性艺术家
防毒软体只能跟随他们的脚步走 .........
当你的防毒软体可以派上用场时
常常是已经中大奖了
亡羊补牢常常为时已晚
所以这个观念就是 "预防重於治疗"
不是说防毒软体不重要
而是有其他比防毒软体更重要的东西
那到底要怎麽预防呢 ?
说到微软的 OS
大家最容易想到的就是 bug 多
要发现 bug 不是我们的事
我们能做的就是去 Windows Update 而已
但是其他就有很多我们可以事先做预防的
一. 帐号与密码
我的建议是 Admin 一定要设密码
而且最好用复杂的密码
但是怕会忘记 所以有折衷之法
例如 A-Rod 的经纪人很多人知道是 Scott Boras
用他来做密码就可以变成 $c0ttB0r@$
这样暨复杂且又有意义 暴力解码应该很难成功
另外 Admin 这个帐号之後最好要 rename
同时停用 Guest 帐号
二. 网路芳邻
网路芳邻是以前微软最令人诟病的一块
原因不需要知道 只要知道怎样停用就好
最简单的方法就是停用 File & Printer Sharing for Microsoft Networks
从 控制台 / 网路连线 / 区域连线 右键 / 内容
将该选项打勾给取消
另外点选 Internet Protocol ( TCP/IP ) 选项 / 内容
进阶 / WINS ( 上面的 Tab )
选择 停用 NetBIOS over TCP/IP
三. 资料夹
XP 预设是用简易档案共用方式
这个是不好的使用方式 必须取消
从 档案总管 / 工具 / 资料夹选项
检视 ( 上面的 Tab ) 将简易档案共用打勾取消
另外应该也有人知道不要隐藏副档名
在同样的位置将打勾取消
同时选择 显示所有档案和资料夹
四. 服务
不需要用到的服务就停掉它
例如 Messenger Print Spooler Terminal Service 等
在 控制台 / 系统管理工具 / 服务
将右边所列的服务不需要用的停用或改成手动
五. 共享
磁碟或是资料夹的共享 ( 就是看到蓝色的小手啦 )
也是木马入侵的途径 所以也要取消
简单的方式当然是直接取消
但是这并不能完全取消
严谨的做法之後再说
六. 权限
在取消简易档案共用後
从档案总管选择任一磁碟
按右键选内容 就会多出 安全性 这个 Tab
将 Everyone 从群组或使用者名单中删除
七. 上网前的准备
除了开启工作管理员之外
还要开启命令提示字元
在 开始 / 所有程式 / 附属应用程式 / 命令提示字元
然後输入 netstat -an
先观察上网前的数据以及工作管理员有没有呈现 CPU 飙高的情形
当然除了这些之外
防毒 扫骇 扫间谍 防火墙等软体通通要装
有补丁的当然都有安装好
这些只是简单的部分
下一篇我会写到进阶部分
如防火墙的设定
( 我是用 Sygate Personal Firewall 5.6 )
http://blog.xuite.net/taiwango/vegetarian/284104
这里有写到 Sygate Personal Firewall 的基本设定
我下次会写到进阶设定
如何用 Sygate Personal Firewall
针对不同的 protocol 及 port 来设定
另外还有就是登录资料库的设定
忘了说到 高手请跳过不用看了
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 61.230.8.95
※ 编辑: vvvbbb 来自: 61.230.8.95 (08/18 01:44)
1F:推 kukulcan:推~~很多重要知识~谢谢您的分享呦~ 08/18 01:45
2F:推 vvvbbb:这对1F大大来说应该是common sense吧 08/18 01:52
3F:推 kilinyo:长知识...推一个 08/18 01:59
4F:推 saar:可以请问一下是什麽样的书吗? 08/18 02:17
5F:→ saar:我也想研究研究 08/18 02:18
6F:推 pttdog:好文 08/18 09:21
7F:推 lostname:好文 :) 08/18 09:29
8F:推 DreamsChild:没看到"简易档案共用"这项耶>< 08/18 10:48
9F:→ DreamsChild:只看到:在档案总管资料夹清单中显示简易资料夹检视 08/18 10:49
10F:→ DreamsChild:请问关於网路芳邻那点 网路芳邻者也同样步骤吗?谢谢 08/18 10:50
11F:→ DreamsChild:请问关於网路芳邻那点 无线上网者也同样步骤吗? 08/18 10:51
12F:→ DreamsChild:上面问题打错....囧 08/18 10:52
13F:推 yinjing:不过这次事件应该是没 Windows Update 才这麽惨吧....... 08/18 15:20
14F:→ yinjing:虽然更新前Bug就存在...... 但受害者好像没这麽多与广 08/18 15:21
15F:推 vvvbbb:你这样说在以前是没错 现在就不对了 病毒出来的时间早於 08/18 15:31
16F:→ yinjing:to 8F,有吧,上面数来第10项[使用简易档案共用] 08/18 15:32
17F:→ vvvbbb:patch出来的时间 当然update很重要 但是事前的防范更重要 08/18 15:33
18F:→ vvvbbb:我是8/15才update的 一样没事 因为我有防堵到入侵路径 08/18 15:34
19F:→ vvvbbb:若是有用防火墙将135-139及445的TCP和UDP都挡掉 就不会中 08/18 15:35
20F:→ yinjing:事前的确重要,不过没被搞过大多人懒得去管 XD 08/18 15:43
21F:推 rocklorl:好文!希望能帮助到更多人~ 08/18 15:51
22F:推 bigbo:借转班版 感激 08/18 16:21
※ bigbo:转录至看板 HCU_IMD_90 08/18 16:26
23F:推 aday:大推 08/19 09:23
24F:推 Belladonaa:多谢 08/19 16:53
※ zack:转录至某隐形看板 08/20 17:35
※ yinjing:转录至看板 MapleStory 08/22 23:33
25F:推 sfp:多谢 09/15 12:30