常用安全设置防止黑客攻击入侵的方法

1 、禁止 IPC 空连接

Cracker 可以利用 net use 命令建立空连接，进而入侵，还有 net view ， nbtstat 这些都是基于空连接的，禁止空连接就好了。打开注册表，找到 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成 ” 1” 即可。

2 、禁止 At 命令

Cracker 往往给你个木马然后让它运行，这时他就需要 at 命令了。打开管理工具 - 服务，禁用 task scheduler 服务即可。

3 、关闭超级终端服务

如果你开了的话，这个漏洞都烂了。

4 、关闭 SSDP Discover Service 服务

这个服务主要用于启动家庭网络设备上的 UPnP 设备，服务同时会启动 5000 端口。可能造成 DDOS 攻击，让 CPU 使用达到 100% ，从而使计算机崩溃。照理说没人会对个人机器费力去做 DDOS ，但这个使用过程中也非常的占用带宽，它会不断的向外界发送数据包，影响网络传输速率，所以还是关了好。

5 、关闭 Remote Registry 服务

看看就知道了，允许远程修改注册表 ?!

6 、禁用 TCP/IP 上的 NetBIOS

网上邻居 - 属性 - 本地连接 - 属性 -Internet 协议 (TCP/IP) 属性 - 高级 -WINS 面板 -NetBIOS 设置 - 禁用 TCP/IP 上的 NetBIOS 。这样 Cracker 就无法用 nbtstat 命令来读取你的 NetBIOS 信息和网卡 MAC 地址了。

7 、关闭 DCOM 服务

这就是 135 端口了，除了被用做查询服务外，它还可能引起直接的攻击，关闭方法是：在运行里输入 dcomcnfg ，在弹出的组件服务窗口里选择默认属性标签，取消 “ 在此计算机上启用分布式 COM” 即可。

8 、把共享文件的权限从 “everyone” 组改成 “ 授权用户 ”

“everyone” 在 win2000 中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成 “everyone” 组。包括打印共享，默认的属性就是 “everyone” 组的，一定不要忘了改。

9 、取消其他不必要的服务

请根据自己需要自行决定，下面给出 HTTP/FTP 服务器需要最少的服务作为参考：

Event Log

License Logging Service

Windows NTLM Security Support Provider

Remote Procedure Call (RPC) Service

Windows NT Server or Windows NT Workstation

IIS Admin Service

MSDTC

World Wide Web Publishing Service

Protected Storage

10 、更改 TTL 值

Cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127 或 128(win9x);

TTL=240 或 241(Linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip

Parameters ： DefaultTTL REG_DWORD 0-0xff(0-255 十进制 , 默认值 128) 改成一个莫名其妙的数字如 258 ，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。

11 、账户安全

首先禁止一切账户，除了你自己，呵呵。然后把 Administrator 改名。我呢就顺手又建了个 Administrator 账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到 “ 密码 ” 里去，呵呵，来破密码吧 ! 破完了才发现是个低级账户，看你崩溃不 ?

12 、取消显示最后登录用户

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrent VersionWinlogon ： DontDisplayLastUserName 把值改为 1 。

13 、删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是 2K 为管理而设置的默认共享，必须通过修改注册表的方式取消它：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServer

Parameters ： AutoShareServer 类型是 REG_DWORD 把值改为 0 即可。

14 、禁用 LanManager 身份验证

Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证方法： LanManager (LM) 身份验证 ;Windows NT( 也叫 NTLM) 身份验证 ;Windows NT Version 2.0 ( 也叫 NTLM2) 身份验证 ;

默认的情况下，当一个客户尝试连接一台同时支持 LM 和 NTLM 身份验证方法的服务器时， LM 身份验证会优先被使用。所以建议禁止 LM 身份验证方法。

1. 打开注册表编辑器 ;

2. 定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa;

3. 选择菜单 “ 编辑 ” ， “ 添加数值 ”;

4. 数值名称中输入： LMCompatibilityLevel ，数值类型为： DWORD ，单击 确定 ;

5. 双击新建的数据，并根据具体情况设置以下值：

0 - 发送 LM 和 NTLM 响应 ;

1 - 发送 LM 和 NTLM 响应 ;

2 - 仅发送 NTLM 响应 ;

3 - 仅发送 NTLMv2 响应 ;(Windows 2000 有效 )

4 - 仅发送 NTLMv2 响应，拒绝 LM;(Windows 2000 有效 )

5 - 仅发送 NTLMv2 响应，拒绝 LM 和 NTLM;(Windows 2000 有效 )

6. 关闭注册表编辑器 ;

7. 重新启动机器 .