本文目录一览:
健康危害行为问题低龄化
一、近年来,未成年人犯罪呈不断上升趋势,这已是不争的事实。中国青少年犯罪研究会的统计资料显示,青少年犯罪总数占全国刑事犯罪总数的70%以上,其中14岁至18岁的未成年人犯罪又占到青少年犯罪总数的70%以上。1996年至2006年十年间,未成年人犯罪增长比率高达83%,1997年开始未成年人犯罪率每年增长近10%,未成年人犯罪占我国刑事犯罪的10%左右。
未成年人犯罪案件不断激增,同时,未满14周岁的青少年恶性犯罪不断上升,日益呈成人化趋势,犯罪年龄明显呈低龄化趋势。那么,犯罪低龄化是刑事责任年龄过高造成的吗?降低刑事责任年龄就能够有效遏止青少年犯罪吗?
(一)从犯罪性质看,盗窃犯罪最为突出。许多青少年贪图吃、喝、玩、乐等物质享受,又想不劳而获,从小偷、小摸走向盗窃犯罪;其次是抢夺、抢劫、寻衅滋事等犯罪人数众多;再有者,就是模仿电影电视中的主人公做案手法,称英雄,无所顾忌,不顾后果挥刀作案,以致犯故意杀人或故意伤害致人死亡等严重罪行。
(二)从犯罪形式看,两人以上共同犯罪人数增多。一些青少年由于过早辍学,无所事事,浪迹街头,便三五成群,拉帮结伙,经常聚集在一起吸烟酗酒滋事、交流作案经验。有的模仿影视片中的黑社会组织,成立帮派或团伙。值得重视的是,有的少年深受黄色、淫秽音像制品的毒害而不能自拔,为了寻求精神刺激,而持刀、持械拦截少女实施暴力。
(三)从犯罪手段来看,作案手段残忍,犯罪后果严重。有的青少年犯罪手段已经达到智能化、成熟化。如被告人张某,某学院学生,伙同四人利用黑客软件盗取银行帐号,购买QQ币、魔兽币等电子虚拟财产网上出售,获得非法收益。有的作案前周密策划,多次踩点,选择时机,准备作案工具;作案时分工明确,注意配合;有的已会运用侦察手段;有的一人就犯有数罪,而且情节都比较为严重。
(四)从犯罪年龄看,逐渐趋向低龄化。在受到刑事处罚的未成年人当中已满14岁不满16岁的人数逐渐增多,而因不满16岁不予刑事处罚和不满14岁不负刑事责任的人数也占相当大的比例。有些少年从10-13岁就开始走上犯罪道路。
(五)从犯罪身份看,辍学少年人数居多。
二、青少年犯罪的特征
(一)青少年犯罪动机较为单一,侵财案件多为非法占有,伤害案件多为出于哥们义气或行凶报复;
(二)犯罪动机的产生大多带有随意性和激发性,一般事前没有明确的作案目标或行动方向,犯罪动机的产生往往由于外界的诱因而临时起意。
(三)犯罪团伙化现象日趋严重。由于青少年正处于人生最活跃时期,贪玩好动,喜欢集体行动,所以青少年犯罪多为团伙犯罪。
三、造成未成年人犯罪数量猛增的原因
(一)家庭的教育深刻影响着子女的人生观、道德观的形成,这是导致青少年犯罪一个最为直接、主要的原因。家庭教育的缺陷是子女形成不良个性的基础,潜伏着青少年走上违法犯罪道路的危机,文峰区法院审理的案件中20%的未成年人由于家庭教育的失误导致其犯罪。诸多案例表明问题少年是问题父母的产物,据调查青少年案犯家庭状况普遍偏差,且多为畸形,有的家庭父母不和,有的父母离异,有的教育不当,管理不善,有的随长辈生活,娇纵放荡。
如:被告人王某,17岁,父母离异,其随母与继父一起生活,由于缺少父母的管教、关爱,感到悲观失望,犯抢劫罪。被告人白某,父母早逝,随年迈的奶奶一起靠拾废品生活,多次辍学、交友不慎,犯抢劫罪。被告人刘某,父母离异,母亲长年在外,其随外祖父母以收取房租为生,缺乏应有的教育、管制,年少辍学,犯抢劫罪。
一切好的行为都来自好的情感,一个犯了罪的青少年,他的情感是“恶”,这种“恶”来自早期教育的缺失,源于父母未能正确履行监护职责,父母在家庭教育中错误地采取溺爱、打骂或者放任不管的态度,都给未成年人的成长埋下了向“恶”发展的隐患。
(二)社会环境的影响,网络电视暴力色情信息催化诱发未成年人犯罪。网络以及电视等媒介上大量无序传播的暴力和色情信息,校园、社区周边环境的混乱,非法网吧、录像厅、台球厅、游戏室充斥,污染了青少年成长的媒介环境,为诱发未成年人犯罪制造温床,对青少年成长造成负面影响。据统计,80%的未成年罪犯有某种程度的网瘾,并因这些不良信息的催化诱发犯罪。如:杜某等八名中专学生,沉迷网吧,因无钱上网,遂生抢劫之念。
(三)学校教育工作存在的缺陷是导致青少年犯罪的重要原因。学校教育时期是青少年人生观、世界观形成的关键时期,是青少年健康成长的必由之路。但至今,仍有不少学校只重视应试教育,片面追求升学率,认为开办法制、道德教育只是形势需要,所以忽视德育、缺少法制教育。只是在名义上开设了心理健康教育等课程,举办的学生法制教育讲座,也因缺乏正确的认识,忽视了教育者自身思想观念的转变和更新,最终也只流于形式。还有一些教师自身素质低,常体罚、变相体罚学生,对差生特别是双差生不是及时引导教育而是歧视、放任自流,甚至将他们扫地出门,推向社会,这些做法都在某种程度上为青少年犯罪增加了后备,成为导致青少年犯罪的重要原因。
四、未成年人犯罪日益严重,并非现行刑事责任年龄的错,其根源在于社会矫正措施的缺位,即法律制裁体系不完善不协调
首先,将未成年人犯罪猖狂归结于刑事责任年龄高,犯了归因简单化、表面化的错误。如果将降低刑事责任年龄作为减少未成年人犯罪的一条途径,则是头痛医头,脚痛医脚的短期行为,不但不能从根本上解决问题,反而会扩大打击范围,将会使更多的未成年人列入刑法追究的视线,受到刑法的调整。认为只有降低刑事责任年龄,将原本不予追究的未成年行为人定罪判刑,投入监狱实行劳动改造,才能遏止其犯罪上升势头,才能对未成年人发挥刑罚威慑功能和教育作用,这种认识不仅没有看到深层原因和背景,而且有“刑罚崇拜”之嫌,不仅对整个社会不利,而且对于未成年人今后的成长也极为不利,可以说,降低刑事责任年龄的做法只是一种消极的行为,不符合社会发展的要求。
其次,对未成年人违法犯罪的轻刑化、非监禁化和非刑罚化,是国际化趋势。它体现了国家和社会对正在成长发育中的未成年人特殊关照,符合他们的生理心理发育特点,有利于挽救未成年人,促使其健康人格的形成和发展,避免造成“一失足成千古恨”的悲剧。
当然,从国际趋势来讲,对未成年人犯罪的轻刑化、非监禁化和非刑罚化,并不意味着放纵犯罪,更不意味着对那些严重危害社会的未成年人实施免刑后推入社会了之。相反,现代多数国家,对未成年人犯罪除了实行刑事处罚、判刑入狱接受改造外,还有系统的社会矫正措施,如属于保安处分范畴的感化教育、社区矫正等,通过这些强制性的教育、医疗、救助、监视、保护等措施促进未成年人的身体锻炼,道德培养、性格陶冶,知识增长和职业训练,以消除其危害社会的可能性。
五、我国针对青少年犯罪的法治现状
(一)目前一些针对青少年的法律体系还不完善,没有一套与《预防未成年人犯罪法》、《未成年人保护法》相配套的、可执行性强的法律法规。从行政法上讲,我国目前仍然未制定出违法矫正类法律,而从刑法上讲,我国的刑罚制裁体系只包括强制性极高的几种主刑和附加刑,而且这些刑罚方式更多的是针对成年犯罪人,而缺少针对未成年人的特殊刑事制裁措施。长期以来,用惩罚成年人犯罪的手段来制裁未成年人,模糊了成年人与未成年人的生理心理特点,影响了对未成年人的行为矫正。特别是对那些因不到刑事责任年龄而免予刑事处罚的“问题少年”,往往是推给家庭、推向社会了事,根本没有得到很好的行为矫正和思想教育。
(二)由于司法内部各部门之间对犯罪青少年的转化教育还缺少协调性,在我国对青少年的量刑还需一个从实践到理论逐步完善的过程。在我国《预防未成年人犯罪法》中第44条第1款规定:“对犯罪的未成年人追究刑事责任,实行教育、感化、挽救方针,坚持教育为主、惩罚为辅的原则。”已为犯罪青少年的量刑定下了大的基调。
随着社会的文明和法治的进步,我国立法和司法领域都不同程度地意识到未成年人专项立法司法的重要性,无论在立法上还是司法上,都相继认可并采取了许多适合未成年人特点、侧重保护未成年人利益的法律原则和司法措施。但由于立法本身的不协调以及立法司法之间的不衔接,一方面立法和司法领域都对未成年人采取了轻刑化、非监禁化和非刑罚化的措施,而另一方面又在立法上缺乏对未成年犯罪人的社会矫正手段,法律制裁体系存在重大缺陷,各种社会力量无法形成教育感化合力,客观上形成了对未成年犯罪人的“无制裁化”,这就必然纵容违法犯罪行为,给未成年人以错误的信息,从而使他们实施违法犯罪行为肆无忌惮。
六、青少年犯罪的预防
青少年犯罪问题是一个复杂的社会问题,既有青少年自身的内因又有外部的客观原因,因此笔者以为对青少年犯罪的预防应从以下几方面入手:
(一)建立健全针对青少年的立法制度,强化社会责任,加大宣传力度,使对青少年的保护不仅仅流于形式。法律作为调整人们行为的一种社会规范,明确规定了人们依法享有的权利和义务,为人们提供了一个行为准则或模式。青少年自身的心理、生理特点决定了青少年易受诱惑、自我保护能力差等特点。因此有关部门要在进一步完善立法的基础上,制定切实可行的有针对性、防范性的法律措施来规范青少年行为、优化青少年的生活环境等,使预防青少年违法犯罪工作真正做到有法可依。
(二)加大力度净化青少年的成长环境、营造健康成长的良好环境。不良的成长环境,是青少年违法犯罪活动的“温床”。成长环境得以优化,对预防青少年违法犯罪将起到积极作用。因此下大力度清理文化市场,对淫秽色情,宣扬暴力的报刊、杂志、音像制品等进行专项整治,对校园及周围的非法网吧、游戏厅进行坚决取缔;社会各级影视、广播、新闻出版等部门及各类演播场所要坚持正确的舆论导向,对提供危害青少年身心健康的内容和信息的违法犯罪依法严惩。
(三)家庭、学校、社会各司其责,互为一体为预防青少年犯罪构筑有力防线。家庭是预防青少年犯罪的基点,家庭教育是青少年的第一教育阵地;学校教育是预防青少年犯罪,培养青少年健康成长的重要措施。做好犯罪青少年的改造工作,严厉打击危害青少年成长的各种犯罪;给犯罪青少年足够的尊重和信任,使他们感到不受歧视,对将来的前途充满信心,对社会产生归属感,热爱生活,热爱社会,这将更加有助于他们继续教育改造。
文峰区法院少年刑事审判庭多年来不断完善对未成年犯的教育手段,通过庭前了解未成年人的成长情况,有的放矢地开展庭审过程中的帮教,并在审判后开展定期的缓、减、免人员集中帮扶教育活动(每年至少两次),准确掌握未成年犯的情况,不断鼓励未成年人改过自新,帮助有条件的未成年人回归校园,学得一技之长,其中部分未成年犯通过家庭、社会、学校的共同努力考上了大学。少年法庭的审判人员还担任学校的法制校长,与学生近距离的沟通交流,开展法制教育讲座,普及法律知识。
笔者以为犯罪青少年虽是罪犯,但其特殊性决定了在对惩处方式上有与成人不同的特殊性,因此建议:(1)在教育、挽救、感化的原则下对需量刑的青少年实行全程跟踪,借鉴外国先进经验设立社会调查机构有必要让社会调查员出庭,使对青少年的量刑伤害减到最低。(2)不仅设立少年法庭而且对已判决的未成年罪犯进行帮扶挽救,并且对刑满释放的青少年进行不定期的考察、回访,促使其自食其力、积极做人,防止再次犯罪。(3)从关押场所上,要和成年人相区别,避免相互感染,专门设立青少年关押和改造场所等。
显然,单纯通过降低刑事责任年龄来强化对未成年人犯罪行为的刑事惩罚,并非治本之策,相反却有掩耳盗铃之嫌。降低刑事责任年龄后,不过是把原来不予刑事处罚的危害行为变为犯罪行为,只是淡化了这些危害行为对社会的刺激而已。实际上,无论刑事责任年龄如何降低,那么与此相邻的低年龄段的青少年危害社会行为仍然存在,我们永远都无法消除这种“犯罪边缘现象”。
预防和减少青少年犯罪是关系到国计民生的大事,青少年需要学校、家庭、社会的共同关爱和保护,青少年违法犯罪预防体系和改造体系是一项有待全社会关注的工作,因此,笔者并不希望降低刑事责任年龄,而是希望通过刑法等法律法规的完善及社会综合预防、教育体制的加强,使得针对未成年人犯罪的系统法律规范和制裁教育措施更加健全起来,从而真正达到减少和预防青少年违法犯罪的目的,为青少年营造良好、净化、绿色、阳光的成长环境。
辽宁男子黑客攻击新浪被诉,到底是怎么回事?
一男子涉嫌利用黑客技术攻击新浪网站的服务器,使新浪网无法提供服务达500余分钟.记者上午获悉,33岁男子张某被检方指控犯有破坏计算机信息系统罪,日前被诉至(北京市)海淀法院.
检察院起诉书显示,张某为辽宁人,职业状况为无业.检察院指控,去年12月4日至今年1月8日间,被告人张某通过黑客技术,对位于海淀区的新浪网技术(中国)有限公司UT网络服务器进行攻击,造成该公司位于广州、天津、北京等地的UT服务器全面堵塞,无法对外提供网络服务,总时长达500余分钟.经鉴定, 张某的行为造成经济损失达人民币48.42万元.
记者注意到,近几年随着网络技术的发展,“黑客”攻击网站、入侵个人电脑系统窃取账号、密码、隐私照片等现象频频出现.就在几个月前,海淀法院就审理了一起黑客攻击联众案.被告人是上海一家网络公司的老总以及手下3名员工.根据检方指控,从2007年4月26日起,这几名嫌疑人利用黑客技术对北京联众电脑技术有限责任公司相关服务器进行了长达一个月的DDOS攻击,致使联众网络游戏《灵游记》运营遭受严重影响.在此期间,罗春等人借机联系联众,向其推销公司研制的“防火墙”,并使公司从中获取测试费3万余元.而联众公司为应对解决此事,则投入了大量人力物力,花费百万余元.
记者了解到,许多政府网站也曾遭受黑客攻击.据相关媒体报道,早在2006年,吉林省吉林市警方曾破获一起黑客攻击吉林市人民政府网站的案件,作案者竟然是一名年仅13岁的少年.其作案原因竟是在网上聊天时,与几个吉林市的网友发生争执,于是产生了报复心理.此外,广州市物价局官方网站也曾遭受黑客攻击,被恶意链接了一个黄色网页,登录者在地址栏键入的链接后,网站主页就会弹出一个显示为“成人网站-激情聊天室 -会员登录注册”的黄色网页.
有专家表示,近几年,黑客攻击的目的正从原来的技术炫耀、恶搞转向直接或间接的经济利益.黑客攻击正成为犯罪分子实施经济和社会犯罪的新型手段,应当对此进行有效打击.
健康安全网法人是谁
2006年3月,河南人李强(大米)和张磊联合成立了黑鹰科技有限公司,李强任公司董事长兼法人,张磊任公司总经理。二人以向会员提供“黑客”软件技术收取会费,获取非法利益。经侦查机关查明:二人自2007年至2009年10月,利用黑鹰科技公司“黑鹰安全网”提供“灰鸽子”、“小耗子下载者”等非法入侵、控制计算机信息系统程序工具软件供人下载使用,按照年收取200至996元不等数目的会费发展会员,共计发展会员1万余人,获取非法利益数百万元。并致使会员高某、韩某等人为了敲诈他人钱财,铤而走险,利用下载的上述工具攻击麻城市黄金桥开发区一网吧,造成40余家固定ip网络中断达60余小时。 麻城市检察院近日以涉嫌非法侵入计算机信息系统罪,对李强、张磊予以批捕!玩黑的朋友小心拉
如何防止黑客用IP攻击
最直接 的 方法 就是 关闭 一些 安全隐患比较 大 的 服务 和 端口默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口: 第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”(如右图),于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。 第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。 第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮(如左图),这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。 重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。 第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作(右图):在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。 第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右餍绿砑拥?IP 安全策略,然后选择“指派”。 于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。 路由器的设置:1、关闭7.9等等端口:关闭SimpleTCP/IPService,支持以下TCP/IP服务:CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。 2、关闭80口:关掉WWW服务。在“服务”中显示名称为"WorldWideWebPublishingService",通过Internet信息服务的管理单元提供Web连接和管理。 3、关掉25端口:关闭SimpleMailTransportProtocol(SMTP)服务,它提供的功能是跨网传送电子邮件。 4、关掉21端口:关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。 5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。 7、还有一个就是139端口,139端口是NetBIOSSession端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。 我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,但是有些用户不具备上述条件。怎么办呢?下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。 非法入侵的方式 简单说来,非法入侵的方式可粗略分为4种: 1、扫描端口,通过已知的系统Bug攻入主机。 2、种植木马,利用木马开辟的后门进入主机。 3、采用数据溢出的手段,迫使主机提供后门进入主机。 4、利用某些软件设计的漏洞,直接或间接控制主机。 非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。 因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。 端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗? 限制端口的方法 对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。 这里,对于采用Windows2000或者WindowsXP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下: 1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我的连接”图标),弹出“本地连接状态”对话框。 2、点击[属性]按钮,弹出“本地连接属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。 3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。 4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上(请见附图)。 这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。 添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。 如果只上网浏览的话,可以不添加任何端口。但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理BitComet端口:TCP:8927,UDP:8927 ,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在“TCP/IP筛选”中添加端口即可。 要改回来也很简单,把最后一个图改回缺省设定,重启就ok
网络端口安全防护技巧(追加一篇) 计算机之间通信是通过端口进行的,例如你访问一个网站时,Windows就会在本机开一个端口(例如1025端口),然后去连接远方网站服务器的一个端口,别人访问你时也是如此。默认状态下,Windows会在你的电脑上打开许多服务端口,黑客常常利用这些端口来实施入侵,因此掌握端口方面的知识,是安全上网必备的技能。 一、常用端口及其分类 电脑在Internet上相互通信需要使用TCP/IP协议,根据TCP/IP协议规定,电脑有256×256(65536)个端口,这些端口可分为TCP端口和UDP端口两种。如果按照端口号划分,它们又可以分为以下两大类: 1.系统保留端口(从0到1023) 这些端口不允许你使用,它们都有确切的定义,对应着因特网上常见的一些服务,每一个打开的此类端口,都代表一个系统服务,例如80端口就代表Web服务。21对应着FTP,25对应着SMTP、110对应着POP3等(如图1)。 2.动态端口(从1024到65535) 当你需要与别人通信时,Windows会从1024起,在本机上分配一个动态端口,如果1024端口未关闭,再需要端口时就会分配1025端口供你使用,依此类推。 但是有个别的系统服务会绑定在1024到49151的端口上,例如3389端口(远程终端服务)。从49152到65535这一段端口,通常没有捆绑系统服务,允许Windows动态分配给你使用。 二、如何查看本机开放了哪些端口 在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。 1.利用netstat命令 Windows提供了netstat命令,能够显示当前的 TCP/IP 网络连接情况,注意:只有安装了TCP/IP协议,才能使用netstat命令。 操作方法:单击“开始→程序→附件→命令提示符”,进入DOS窗口,输入命令 netstat -na 回车,于是就会显示本机连接情况及打开的端口,如图2。其中Local Address代表本机IP地址和打开的端口号(图中本机打开了135端口),Foreign Address是远程计算机IP地址和端口号,State表明当前TCP的连接状态,图中LISTENING是监听状态,表明本机正在打开135端口监听,等待远程电脑的连接。 如果你在DOS窗口中输入了netstat -nab命令,还将显示每个连接都是由哪些程序创建的。上图2中本机在135端口监听,就是由svchost.exe程序创建的,该程序一共调用了5个组件(WS2_32.dll、RPCRT4.dll、rpcss.dll、svchost.exe、ADVAPI32.dll)来完成创建工作。如果你发现本机打开了可疑的端口,就可以用该命令察看它调用了哪些组件,然后再检查各组件的创建时间和修改时间,如果发现异常,就可能是中了木马。 2.使用端口监视类软件 与netstat命令类似,端口监视类软件也能查看本机打开了哪些端口,这类软件非常多,著名的有Tcpview、Port Reporter、绿鹰PC万能精灵、网络端口查看器等,推荐你上网时启动Tcpview,密切监视本机端口连接情况,这样就能严防非法连接,确保自己的网络安全,详见本刊2005年2月88页《让端口开放尽收眼底》一文。 三、关闭本机不用的端口 默认情况下Windows有很多端口是开放的,一旦你上网,黑客可以通过这些端口连上你的电脑,因此你应该封闭这些端口。主要有:TCP139、445、593、1025 端口和 UDP123、137、138、445、1900端口、一些流行病毒的后门端口(如 TCP 2513、2745、3127、6129 端口),以及远程服务访问端口3389。关闭的方法是: ①137、138、139、445端口:它们都是为共享而开放的,你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:单击“开始→控制面板→系统→硬件→设备管理器”,单击“查看”菜单下的“显示隐藏的设备”,双击“非即插即用驱动程序”,找到并双击NetBios over Tcpip,在打开的“NetBios over Tcpip属性”窗口中,单击选中“常规”标签下的“不要使用这个设备(停用)”,如图3,单击“确定”按钮后重新启动后即可。 ②关闭UDP123端口:单击“开始→设置→控制面板”,双击“管理工具→服务”,停止Windows Time服务即可。关闭UDP 123端口,可以防范某些蠕虫病毒。 ③关闭UDP1900端口:在控制面板中双击“管理工具→服务”,停止SSDP Discovery Service 服务即可。关闭这个端口,可以防范DDoS攻击。 ④其他端口:你可以用网络防火墙来关闭,或者在“控制面板”中,双击“管理工具→本地安全策略”,选中“IP 安全策略,在本地计算机”,创建 IP 安全策略来关闭。 四、重定向本机默认端口,保护系统安全 如果本机的默认端口不能关闭,你应该将它“重定向”。把该端口重定向到另一个地址,这样即可隐藏公认的默认端口,降低受破坏机率,保护系统安全。 例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389),可以将它重定向到另一个端口(例如1234),方法是: 1.在本机上(服务器端)修改 定位到下列两个注册表项,将其中的 PortNumber,全部改成自定义的端口(例如1234)即可: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 2.在客户端上修改 依次单击“开始→程序→附件→通讯→远程桌面连接”,打开“远程桌面连接”窗口,单击“选项”按钮扩展窗口,填写完相关参数后,单击“常规”下的“另存为”按钮,将该连接参数导出为.rdp文件。用记事本打开该文件,在文件最后添加一行:server port:i:1234 (这里填写你服务器自定义的端口)。以后,直接双击这个.rdp 文件即可连接到服务器的这个自定义端口了。 常见的p2p端口:现在qq直播非常严重,所以很多网管都在烦这个问题.无意中得知!封qq直播端口即可解决此问题.这东西比BT还BT..封13000-14000的udp 端口。
怎样防黑客及木马软件?
安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
9.帐户.重命名系统管理员帐户[建议取中文名]
E计划.用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过终端允许登陆 删除Remote Desktop Users
F计划.终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
G计划.用户和组策略
打开管理工具
计算机管理.本地用户和组.用户
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不组了.分经验的(不管他.默认设置)
X计划.DIY策略[根据个人需要]
1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3.对匿名连接的额外限制
4.禁止按 alt+crtl+del
5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6.只有本地登陆用户才能访问cd-rom
7.只有本地登陆用户才能访问软驱
8.取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9.禁止关机事件跟踪
开始“Start -”运行“ Run -输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )- ”管理模板“
(Administrative Templates)- ”系统“(System),在右边窗口双击
“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),
点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口
三、修改权限防止病毒或木马等破坏系统
winxp、windows2003以上版本适合本方法.
因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令
A命令
cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录
cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录
呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全,
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行
B命令
cacls C: /G administrator:R 禁止修改、写入C盘
cacls C: /G administrator:F 恢复修改、写入C盘
这个方法防止病毒,
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^
X命令
以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32t /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用t
cacls %SystemRoot%system32t /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用t
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe
四、重要文件名加密[NTFS格式]
此命令的用途可加密windows的密码档,QQ密码档等等^.^
命令行方式
加密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名(或文件夹名)”。
解密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名(或文件夹名)”。
五、修改注册表防御D.D.O.S
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...
六、打造更安全的防火墙
只开放必要的端口,关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放,
黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人:OICQ 13946296
端口 协议 应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP协议
8(非端口) IP协议
那么,我们根据自己的经验,将下面的端口关闭
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[冲击波]
4489
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了
七、保护个人隐私
1、TT浏览器
选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的.
TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是.[TT就是腾讯的浏览器](不过有些人喜欢用MyIE,因为我使用的时间和对他的了解不是很深吧,感觉不出他对安全方面有什么优势一_一~,希望支持MyIE的朋友不要揍我,否则我会哭... ...)
2、移动“我的文档”
进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移动”按钮,
选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,
建议经常使用的朋友做个快捷方式放到桌面上。
3、移动IE临时文件
进入“开始→控制面板→Internet 选项”,在“常规”选项卡的“Internet 文件”栏里点“设置”按钮,
在弹出窗体中点“移动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,
系统会自动重新登录。点本地连接,高级,安全月志,把月志的目录更改专门分配月志的目录,
不建议是C:再重新分配月志存储值的大小,我是设置了10000KB
八、第三方软件的帮助
防火墙:天网防火墙(建议)[二道贩子注:winxp以上可以考虑用系统自带的防火墙,win2000可以考虑用IPSEC,是个锻炼的机会)
杀毒软件:卡巴斯基
二道贩子后注:
现在黑客的攻击有从传统的系统漏洞转向了你的浏览器,所以要在升级一些传统漏洞补丁的同时要注意你的浏览器.
Windows 2000服务器的安全设置
设置禁用,构建第一道防线c_
在安装完Windows 2000后,首先要装上最新的系统补丁。但即使装上了,在因特网上的任何一台机器上只要输入“\\你的IP地址\c”,然后输入用户名 Guest,密码空,就能进入你的C盘,你还是完全暴露了。解决的方法是禁用•格斯特账号,为管理人设置一个安全的密码,将各驱动器的共享设为不共享。同时你还要关闭不需要的服务。你可以在管理工具的服务中将它们设置为禁用,但要提醒的是一定要慎重,有的服务是不能禁用的。一般可以禁用的服务有Telnet、任务调度程序(允许程序在指定时间运行)、遥远的登记服务(允许远程注册表操作)等。这是你构建的服务器的第一道防线。-设置第二,构建第二道防线*i
© 作为校园网的服务器,很多学校将该服务器同时作为网站服务器,而第二的漏洞也是一个棘手的问题。实际上,你可以通过简单的设置,完全可以将网站的漏洞补上。你可以将第二默认的服务都停止(如图 1,FTP服务你是不需要的,要的话笔者推荐用Serv-U;“管理网站点”和“默认网站点”都会给你带来麻烦;简单邮件传输协议一般也不用),然后再新建一个网站点h
©设置好常规内容后,在“属性→主目录”的配置中对应用程序映射进行设置,删除不需要的映射(如图 2),这些映射是第二受到攻击的直接原因。如果你需要CGI和PHP的话,可参阅一些资料进行设置LB
这样,配合常规设置,你的第二就可以安全运行了,你的服务器就有了第二道防线。#_t1)
运用扫描程序,堵住安全漏洞[J=
©要做到全面解决安全问题,你需要扫描程序的帮助。笔者推荐使用X浏览(如图 3),它可以帮助你检测服务器的安全问题。rmp
扫描完成后,你要看一下,是否存在口令漏洞,若有,则马上要修改口令设置;再看一下是否存在第二漏洞,若有,请检查第二的设置。其他漏洞一般很少存在,我要提醒大家的是注意开放的端口,你可以将扫描到的端口记录下来,以方便进行下一步设置。vY)
© 封锁端口,全面构建防线YD_\1
©《 黑客大多通过端口进行入侵,所以你的服务器只能开放你需要的端口,那么你需要哪些端口呢?以下是常用端口,你可根据需要取舍:7e|
80为网网站服务;21为FTP服务;25为电子邮件简单邮件传输协议服务;110为发邮件给POP3服务。?[U
© 其他还有SQL服务者的端口1433等,你可到网上查找相关资料。那些不用的端口一定要关闭!关闭这些端口,我们可以通过Windows 2000的安全策略进行。B
©《借助它的安全策略,完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入,右击“IP安全策略”,选择“创建IP安全策略”,点[下一步]。输入安全策略的名称,点[下一步],一直到完成,你就创建了一个安全策略OkQcy
接着你要做的是右击“IP安全策略”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和 139端口为例说明。b]}
关闭了ICMP,黑客软件如果没有强制扫描功能就不能扫描到你的机器,也砰不到你的机器。关闭ICMP的具体操作如下:点[添加],然后在名称中输入“关闭ICMP”,点右边的[添加],再点[下一步]。在源地址中选“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“ICMP”,点[下一步]。回到关闭ICMP属性窗口,即关闭了ICMP。sf7 FQ
下面我们再设置关闭 139,同样在管理IP筛选器列表中点“添加”,名称设置为“关闭 139”,点右边的“添加”,点[下一步]。在源地址中选择“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“TCP”,点[下一步]。在设置IP协议端口中选择从任意端口到此端口,在此端口中输入 139,点下一步。即完成关闭 139端口,其他的端口也同样设置,结果如图 5。f6WL
特别指出的是关闭UDP4000可以禁止校园网中的机器使用QQ。Q
©然后进入设置管理筛选器操作,点“添加”,点下一步,在名称中输入“拒绝”,点下一步。选择“阻止”,点[下一步]。u然后关闭该属性页,右击新建的IP安全策略“安全”,打开属性页。在规则中选择“添加”,点[下一步]。选择“此规则不指定隧道”,点下一步。在选择网络类型中选择“所有网络连接”,点下一步。在IP筛选器列表中选择“关闭ICMP”,点[下一步]。在筛选器操作中选择“拒绝”,点下一步。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法,你可以将“关闭 139”等其他筛选器加入进来。添加后的结果如图 7。(8
©《我 最后要做的是指派该策略,只有指派后,它才起作用。方法是右击“安全”,在菜单中选择“所有任务”,选择“指派”。IP安全设置到此结束,你可根据自己的情况,设置相应的策略。2
©《设置完成后,你可再用X浏览进行检查,发现问题再补上。9g
通过以上的设置,你的Windows 2000服务器可以说是非常安全了。希望你早日筑起服务器的安全防护林。
Windows下权限设置详解
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO! 要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。 Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。
下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版,安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除了一切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读运,列和读权限;Power users拥有读运,列和读权限;SYSTEM同Administrators;Users拥有读运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Admin
软件注册多了真的会被盗取个人信息?
这是在这个大数据时代无法避免的,起码是一般人没法避免的,很多公司接受了用户的注册信息以后会打包卖掉