个人电脑防黑要点

人们享受互联网，同时也要承受互联网的风险。信息安全的攻防战，此消彼涨，网络信息安全是个永恒的话题，蠕虫和黑客无时不在威胁着网络安全。一般而言，真正的黑客不会对个人电脑有兴趣。但是，黑客们的经验已被广泛传播，不怀好意的人可以轻松从 Internet 获得黑客工具尝试发起攻击，越来越多的个人电脑被列入攻击目标。 QQ 、邮箱、银行卡、网游帐号，以及私有信息都成为这些人的猎物。防黑实在是个很大的题目，本文要陈述的是普通电脑用户的一般防范技术。

我们先了解一下黑客攻击的一般过程，防范攻击就是要在每个环节加固你的系统。纯粹的技术措施并不能保证你固若金汤，你必须知道信息安全仅仅是个相对的概念。

首先，黑客攻击前一般需要踩点，就好比小偷下手前要搜索目标环境，比如你的域名、 IP 地址、你的系统类型等等基本信息。要保护这些基本信息，需要启用个人网络防火墙，这里不同于病毒防火墙，后者严格的定义是文件监控。网络防火墙通常部署在网络边界，多为硬件产品，吞吐量大，代价昂贵。对个人用户来讲，使用软件防火墙产品就够了，比如常用的金山网镖。

接下来，黑客会扫描你的系统，有哪些开放的端口？所谓端口，相当于大厦的门，一栋大厦有很多门，黑客就要探查哪些门是开着的。系统有 2 × 64K 个端口（ TCP/UDP 各 64K ），呵呵，太多了吧。通常有一些门，是必须要打开的，不然，我们自己怎样出去呢。比如 25 端口用来发 Email ， 110 端口用来收 Email ， 80 端口用来上网浏览， 21 端口用来 Ftp 传输等等。网络游戏客户端通常需要打开特定的端口，最简单的查看端口的命令是 netstat 。我们可以配置个人网络防火墙关掉不需要打开的端口。最容易被攻击的端口是 135 ～ 139 和 445 端口，比如冲击波系列蠕虫就是利用 139 端口攻击 RPC 服务，如果刚好 RPC 漏洞未修补，黑客就会得手。我们可以用一个简单的方法关闭 139 和 445 端口，在默认的网络连接属性中，取消文件和打印共享。如果必须使用共享，还可以用另一个办法――在控制面板打开网络属性，选择要配置的网络连接，右键打开属性，选择 TCP/IP 协议→高级→ TCP/IP 筛选→添加只允许的端口号，比如 80 ， 25 等。

黑客会尝试破解你的系统登录口令，企图远程登录你的系统。说到这个坎儿，隐患实在太多，相信许多人为了使用方便，口令很简单，一个简单的密码字典就可能破解成功已经有很多病毒利用弱口令攻击，建议立即修改管理员帐号名，设置一个长度不少于 6 位，由字母、数字特殊符号组成的较安全口令。还可以设置一个 administrator 的 Guest 权限的假管理员帐号，呵呵。还有，相当多的人使用电脑可能只有一个密码。系统登录、 QQ 、 MSN 、网游帐号、甚至网上银行的密码都是一样的。一定不要把密码明文保存在电脑里哦。

很多黑客工具会攻击系统已知的安全漏洞，因此漏洞修补是防范黑客攻击的又一手段。最容易得到的免费修补工具是 Windows Update ，可惜笔者发现相当多的用户在屏幕右下角出现一个带 Windows 徽标的地球时，会将其关闭掉，他们以为这会浪费自己的资源。针对此，部分杀毒软件厂商提供了第三方的解决办法，比如金山毒霸 2005 的主动漏洞修复功能。修补了系统漏洞，很大程度上会降低黑客攻击成功的可能性。

如果黑客通过以上方法未能得趁，很可能会使用嗅探手段以截取您的信息。此类嗅探器在网上随手可得，很多杀毒软件会把这类黑客工具当病毒处理掉，但是真正想使用这些工具的黑客，会在使用时关掉自己机器上的反病毒软件。嗅探器可以捕捉目标计算机与外界通讯的数据包，经过解码，就可能得到黑客需要的信息。比如，登录口令， Email 口令，甚至你和 MM 的聊天记录。防止被嗅探的根本措施，是加密传输数据。大多数情况下的数据传输是明文的，加密传输并不容易配置，有兴趣的朋友可以用 Google 查询一下。对普通用户而言，建议一定要把重要的私有信息加密，比如使用 WinRAR 加密。

前面提到网络防火墙用来保护网络边界，但这类工具并不能很好地保护来自内部的入侵，对一个企业网络来说，就好比是来自内部的攻击者。这通常需要入侵检测系统，而对于个人电脑用户，就好比已经进入系统的木马。现在明白，反病毒软件加个人网络防火墙是最佳组合了吧。黑客成功入侵系统后为了下次入侵更方便，通常会在系统植入后门程序。最近我国成功的破获了一个主庞大的僵尸网络，所谓僵尸网络就是大量的电脑被植入后门后，被黑客利用，以发起更大规模的攻击行动。最近的 mytob 病毒严重流行，此病毒会打开后门以实现自升级，并且修改系统 hosts 文件，以阻止用户浏览杀毒软件公司站点，阻止反病毒软件升级。有专家估计，极有可能被用来发起更大规模的攻击。有关清除木马的相关内容很多，不在本文中细述。

信息安全专家一直在建议一个原则：使用最低的权限来完成计算。通俗地讲，就是说，你可以用管理员完成系统的配置，软件的安装，使用标准用户权限完成日常工作。另外，运行 services.msc 禁用所有不需要运行的服务，以最大限度减少可能被攻击的面。比如，你不需要架设 Web 站点，就把 IIS 服务禁用掉。组策略是 Windows 最好的安全工具之一，网管可以在活动目录中使用组策略配置审计策略、登录策略、 IP 安全策略、软件限制策略实现网络的管理。有兴趣的朋友可以尝试运行 gpedit.msc 启动组策略编辑器，你会发现很多一般情况下不可以配置的系统选项。

最后，给大家介绍 10 条永恒的安全法则，为加深您的理解，简单地加了些批注，一定会对您的系统安全大有益处。

1.               如果攻击者能够说服您在自己的计算机上运行他的程序，那么该计算机便不再属于您了。
这个攻击者，可能是任何人，包括您的朋友。这个攻击程序，可能以任何一种形式提供给你，比如一封电子邮件，通过 QQ 发给你的一个链接，一个搞笑的程序等等。

2.               如果攻击者能够在您的计算机上更改操作系统，那么该计算机便不再属于您了。
这里的更改包括本地和远程，比如，被成功的修改了 IE 主页。

3.               如果攻击者能够不受限制地实地访问您的计算机，那么该计算机便不再属于您了。
呵呵，离开您的电脑时，习惯按下 Ctrl+Alt+Del 锁定您的计算机。

4.               如果您允许攻击者上载程序到您的 Web 站点，那么该 Web 站点就不再属于您了。
在 PC 上架设个人站点的朋友，小心了。

5.               再强大的安全性也会葬送在脆弱的密码手里。
口令安全非常重要，要养成使用强密码，定期修改密码的习惯。

6.               计算机的安全性受制于管理员的可靠性。
前任管理员离职，继任者要非常小心。

7.               加密数据的安全性受制于解密密钥的安全性。
钥匙宁可丢掉，也不能放在别人伸手可及的地方。呵呵，最好不要丢掉，否则自己也不能访问机密数据了。

8.               过时的病毒扫描程序比没有病毒扫描程序好不了多少。
这个，就不用再说了吧，杀毒软件公司说过多少遍了。

9.               绝对的匿名无论在现实中还是的 Web 中都不切实际。
注意查阅事件日志。

10.            技术不是成能药。
就看您脑子里有没有信息安全这根弦了。