42实例Windows系统安全配置.docx

1、42 实例Windows系统安全配置4.2 实例Windows系统安全配置Windows操作系统安全配置包括：账号安全管理、网络安全管理、IE浏览器安全配置、注册表安全、Windows组策略、Windows权限管理和Windows安全审计等方面。4.2.1 账号安全管理1重命名和禁用默认的账户安装好Windows XP Professional后，系统会自动建立两个账户：Administrator和Guest。在Windows XP Professional中，右键单击桌面上“我的电脑”图标，选择“管理”菜单项，打开“计算机管理”窗口，如图4.1所示。在左边列表中找到并展开“本地用户和组”，单

2、击“用户”，可以看到系统中的账户。1.图4.1 “计算机管理”窗口（1）Administrator账户。Administrator（管理员）账户拥有计算机的最高管理权限，每一台计算机至少需要一个拥有管理员权限账户，但不一定必须使用Administrator这个名称。黑客入侵计算机系统的常用手段之一就是试图获得管理员账户的密码。如果系统的管理员账户的名称没有修改，那么黑客将轻易得知管理员账户的名称，接下来就是寻找密码了。比较安全的做法是对系统的管理员账户的名称进行修改，这样，如果黑客要得到计算机系统的管理员权限，需要同时猜测账户的名称和密码，增加了黑客入侵的难度。（2）Guest账户。在Wind

3、ows XP Professional中，Guest账户即所谓的来宾账户，只有基本的权限并且默认是禁用的。如果不需要Guest账户，一定禁用它，因为Guest也为黑客入侵提供了方便。禁用Guest账户的方法是，在图4.1右边窗口中，双击Guest账户，在弹出的“Guest属性”对话框中选中“账户已停用”。注意：在Windows XP Home中，不允许停用Guest账户，那么一定要为Guest账户设置复杂的密码。不要忘记为所有账户设置足够复杂的密码。2可靠的密码（1）密码策略。尽管绝对安全的密码是不存在的，但是相对安全的密码还是可以实现的。在开始菜单中打开“运行”对话框，输入“secpol.m

4、sc”打开“本地安全设置”窗口，如图4.2所示，展开“账户策略”，单击“密码策略”，右侧有6项关于密码的设置策略，通过这些策略的配置，就可以建立完备密码策略，这样密码就可以得到最大限度的保护。关于这6个策略的说明见表4.2。2.图4.2 “本地安全设置”窗口（2）操作系统的登录密码。Windows XP的登录密码存放在系统的C:WINDOWSsystem32config下的sam文件中，sam文件就是存放账号和密码的数据库文件。当登录系统时，系统会自动和sam进行比较，如果发现此账号和密码与sam文件中的加密数据符合，用户就会顺利登录，如果错误则无法登录。注意：为了保障密码安全性，用户应该过一

5、段时间就要更改自己的密码。（3）给账户双重加密。虽然为账户设置了复杂的密码，但密码总有被破解的可能。此时可以为账户设置双重加密。在开始菜单中打开“运行”对话框，输入“syskey”打开“保证Windows XP账户数据库的安全”对话框，如图4.3所示，选中“启用加密”，单击“确定”按钮，这样程序就对账户完成了双重加密，不过这个加密过程对用户来说是透明的。注意：该项操作是不可逆，一旦启用加密则不可以禁用。如果想更进一步体验这种双重加密功能，那么可以在图4.3中单击“更新”按钮，打开“启动密码”对话框，如图4.4所示，这里有“密码启动”和“系统产生的密码”两个选项。 3. 图4.3 保证Windo

6、ws XP账户数据库的安全 图4.4 启动密码如果选择“密码启动”，那么需要自己设置一个密码，这样在登录Windows XP之前需要先输入这个密码，然后才能选择登录的账户。如果选择“系统产生的密码”，那么又有两个选项，系统的默认选项是“在本机上保存启动密码”，如果选择该选项，那么程序仅在后台完成加密过程，在用户登录时不要求输入任何密码，因为密码就保存在计算机的内部。如果对安全要求很高，那么可以选择“在软盘上保存启动密码”，单击“确定”按钮之后会提示在软驱里放入一张软盘，创建完毕后会在软盘上生成一个StartKey.Key文件，以后每次启动系统时必须放入该软盘才能登录，此时相当于系统有了一张可以

7、随身携带的钥匙盘。注意：如果选择“在软盘上保存启动密码”，则建议创建一张备用盘。3最小特权原则最小特权原则是系统安全中最基本的原则之一。最小特权：指的是在完成某种操作时所赋予网络中每个主体（用户或进程）必不可少的特权。最小特权原则：是指应限定网络中每个主体所必需的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。最小特权原则一方面给予主体“必不可少”的特权，这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作；另一方面，它只给予主体“必不可少”的特权，这就限制了每个主体所能进行的操作。最小特权原则有效地限制、分割了用户对数据资料进行访问时的权限，降低了非法用户

8、或非法操作可能给系统及数据带来的损失，对于系统安全具有至关重要的作用。但目前大多数系统的管理员对于最小特权原则的认识还不够深入。尤其是对于Windows系列操作系统，因为系统所赋予用户的默认权限是最高的权限，例如Windows下的目录和文件的默认权限是Everyone均具有完全的权限，而Administrator则有对整个系统的完全控制。如果系统的管理员不对此进行修改，则系统的安全性将非常薄弱。当然，最小特权原则只是系统安全的原则之一，如纵深防御原则、特权分离原则、强制存取控制等。如果要使系统达到相当高的安全性，还需要其他原则的配合使用。4.2.2 网络安全管理随着计算机网络的应用向纵深普及，

9、网络的安全问题也日益突出，网络入侵事件频繁发生，由于计算机网络系统的开放性，因此网络入侵具有以下特点。（1）没有时间地域的限制，跨越国界攻击就如同在现场进行攻击一样方便。（2）通过网络的攻击往往混杂在大量正常的网络活动之中，隐蔽性强，并且入侵手段越来越复杂。下面将介绍通过对系统的配置来增强网络方面的安全性。1先关闭不需要的端口第1步：在桌面右键单击“网上邻居”，选择“属性”，打开“网络连接”窗口，然后右键单击“本地连接”，选择“属性”，打开“本地连接属性”对话框，然后在“常规”选项卡里双击“Internet协议（TCP/IP）”，弹出“Internet协议（TCP/IP）属性”对话框，单击下面

10、的“高级”按钮，弹出“高级TCP/IP设置”对话框，选择“选项”选项卡，如图4.5所示。再单击“属性”按钮，弹出“TCP/IP筛选”对话框，如图4.6所示。第2步：在图4.6中，选中“只允许”单选框，分别添加TCP、UDP和IP等网络协议允许的端口，如果没有提供其他网络服务，那么可以屏蔽掉所有的端口，这样大大增强了系统的安全性。注意：设置完端口后需要重新启动计算机。 4. 图4.5 “高级TCP/IP设置”对话框 图4.6 “TCP/IP筛选”对话框2关闭不需要的服务相关服务及其功能见表4.3。把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全原则和标准来说，多余的东西就没

11、必要开启，减少一份隐患。3禁止NetBIOS默认情况下，为了建立网络连接，Windows会安装很多协议和运行很多服务，其中一些协议和服务都不是必需的，例如NetBIOS、文件和打印机共享等，而“最小的服务最小的权限最大的安全”这个等式是永远成立的，因此我们有必要关掉不需要的服务，卸载不需要的协议，来增强我们的系统安全。第1步：在桌面右键单击“网上邻居”，选择“属性”，打开“网络连接”窗口，然后右键单击“本地连接”，选择“属性”，打开“本地连接属性”对话框，如果不需要共享文件和打印机，那么在“常规”选项卡里将“Microsoft Windows网络的文件和打印机共享”卸载。第2步：双击“Inte

12、rnet协议（TCP/IP）”，弹出“Internet协议（TCP/IP）属性”对话框，单击下面的“高级”按钮，弹出“高级TCP/IP设置”对话框，选择“WINS”选项卡，如图4.7所示，取消“启用LMHOSTS查询（L）”，然后选择“禁用TCP/IP上的NetBIOS”。第3步：在开始菜单中打开“运行”对话框，输入“services.msc”打开“服务”窗口，找到TCP/IP NetBIOS Helper这个服务，停止这个服务，并设置启动类型为手动或禁止。第4步：重新启动计算机。4禁止远程协助Windows XP上的“远程协助”功能允许用户在使用计算机发生困难时，向MSN上的好友发出远程协助

13、邀请，来帮助自己解决问题。而这个“远程协助”功能正是“冲击波”病毒所要攻击的RPC（Remote Procedure Call，远程过程调用）服务在Windows XP上的表现形式。建议用户禁用该功能。禁止“远程协助”功能的方法是：在桌面右键单击“我的电脑”，选择“属性”，打开“系统属性”对话框，如图4.8所示，在“远程”选项卡里取消“允许从这台计算机发送远程协助邀请”。 5. 图4.7 “高级TCP/IP设置”对话框 图4.8 “系统属性”对话框5终端服务用户利用“终端服务”可以对远程计算机系统实现远程控制。在Windows XP系统下，“终端服务”默认是被打开的，即如果有人知道该计算机上的

14、一个账号以及计算机的IP地址，那么他就有可能控制该计算机。有两种办法解决“终端服务”的安全问题。（1）禁用“终端服务”。在图4.8中，在“远程”选项卡里取消“允许用户远程连接到此计算机（C）”。（2）更改“终端服务”监听端口，如图4.9所示，在注册表编辑器中，按照HKEY_ LOCAL_MACHINESYSTEMCurrent ControlSetControlTerminalServerWinStations RDP-Tcp路径找到“PortNumber”=dword:00002683，将端口值更改为5858（读者可以任意指定，最好是1024以上的不常用端口），重新启动计算机后更改生效。6.

15、图4.9 更改“终端服务”监听端口注意：“终端服务”和“远程协助”是有区别的，虽然都是实现远程控制，但是“终端服务”更注重用户的登录管理权限，它的每次连接都需要当前系统的一个具体账号，独立于当前计算机用户的邀请，可以独立、自由登录远程计算机。6防范IPC默认共享Windows XP在默认安装后允许任何用户通过空用户连接（IPC$）得到系统所有账号和共享列表，这本来是为局域网用户共享资源和文件提供方便，但是任何一个远程用户也可以利用这个空连接得到用户列表。黑客利用该功能，得到系统的用户列表，然后使用一些字典攻击工具，对系统进行攻击，这就是网上比较流行的IPC攻击。要防范IPC攻击，可以通过修改注

16、册表禁止空用户连接。第1步：将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA的RestrictAnonymous项设置为1，如图4.10所示。7.图4.10 禁止空用户连接第2步：将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanman Server Parameters的AutoShareServer项设置为0，如图4.11所示。8.图4.11 设置AutoShareServer和AutoShareWks第3步：将HKEY_LOCAL_MACHINESYSTEMCurrentCon

17、trolSetServicesLanman Server Parameters的AutoShareWks项设置为0，如图4.11所示。另外，也可永久关闭IPC$和默认共享所依赖的服务：lanmanserver（server）。在开始菜单中打开“运行”对话框，输入“services.msc”打开“服务”窗口，找到server这个服务，停止这个服务，并且设置启动类型为手动或禁止。7IP安全策略利用操作系统的策略功能，通过新建IP安全策略来关闭计算机中的危险端口，据此可以防范病毒和木马的入侵与蔓延，新建IP安全策略的步骤如下。第1步：依次选择“开始”“设置”“控制面板”“性能和维护”“管理工具”菜单

18、命令，双击“本地安全策略”图标，打开“本地安全设置”窗口，如图4.12所示，选中“IP安全策略，在本地计算机”，然后在右边窗格的空白处右键单击鼠标，再右键菜单选择“创建IP安全策略”，弹出“IP安全策略向导”对话框，如图4.13所示，单击“下一步”按钮，如图4.14所示。 9. 图4.12 本地安全设置 图4.13 “IP安全策略向导”对话框第2步：在图4.14中，为新的安全策略命名，单击“下一步”按钮，如图4.15所示。显示“安全通信请求”对话框，取消“激活默认响应规则”，单击“下一步”按钮，如图4.16所示。第3步：在图4.16中，选中“编辑属性”复选框，单击“完成”按钮，如图4.17所示

19、，显示“example属性”对话框，将“使用添加向导”左边的对钩去掉，然后单击“添加”按钮，显示“新规则属性”对话框，如图4.18所示。第4步：在图4.18中，单击“添加”按钮，弹出“IP筛选器列表”对话框，如图4.19所示，将“使用添加向导”左边的对钩去掉，然后单击“添加”按钮，弹出“筛选器属性”对话框，如图4.20所示。 10.图4.14 IP安全策略命名 图4.15 安全通信请求 11. 图4.16 完成IP安全策略向导 图4.17 “example属性”对话框 12. 图4.18 “新规则属性”对话框 图4.19 “IP筛选器列表”对话框第5步：在图4.20中，源地址选“任何IP地址”

20、，目标地址选“我的IP地址”。第6步：如图4.21所示，选择“协议”选项卡，在“选择协议类型”下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，单击“确定”按钮，这样就添加了一个屏蔽TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连接本台计算机。随后单击“确定”按钮返回到“筛选器列表”对话框，如图4.22所示，可以看到已经添加了一条策略。 13. 图4.20 “筛选器 属性”对话框寻址 图4.21 “筛选器 属性”对话框协议14.图4.22 “筛选器列表”对话框第7步：重复以上步骤继续添加TCP 137、139、445端口和UDP 135、139、445

21、端口，为它们建立相应的筛选器。重复以上步骤添加TCP 1025、2745、3127、6129、3389等危险端口的屏蔽策略，建立好上述端口的筛选器，最后在图4.22中单击“确定”按钮，返回“新规则属性”对话框，如图4.23所示（区别于图4.18）。第8步：在图4.23中，选择“新IP筛选器列表”，然后单击左边圆圈，激活新IP筛选器，然后选择“筛选器操作”选项卡，如图4.24所示。第9步：在图4.24中，将“使用添加向导”左边的对钩去掉，然后单击“添加”按钮，弹出“新筛选器操作属性”对话框，如图4.25所示，在“安全措施”选项卡中，选择“阻止”单选按钮，然后单击“确定”按钮，返回到“新规则 属性

22、”对话框，如图4.26所示。 15. 图4.23 “新规则 属性”对话框 图4.24 “筛选器 操作”选项卡 16. 图4.25 “新筛选器操作 属性”对话框 图4.26 “新规则 属性”对话框第10步：在图4.26中，单击“新筛选器操作”左边圆圈，激活新筛选器操作，单击“关闭”按钮，返回“example属性”对话框，如图4.27所示。第11步：在图4.27中，在“新IP筛选器列表”左边打对钩，然后单击“关闭”按钮，返回到“本地安全设置”窗口，如图4.28所示。第12步：在图4.28中，右键单击新添加的IP安全策略“example”，然后选择“指派”。完成上述端口设置，重新启动电脑后，上述网络

23、端口就被关闭了，从而增强了计算机的安全性。 17. 图4.27 “example属性”对话框 图4.28 “本地安全设置”窗口4.2.3 IE浏览器Internet Explorer是非常流行的浏览器软件，本节将以IE 7.0为准介绍如何安全使用IE浏览器。第1步：打开Internet Explorer，依次选择“工具”“Internet选项”，打开“Internet选项-安全风险”对话框，如图4.29所示，选择“安全”选项卡。第2步：在图4.29中，选择“Internet”，就可以对Internet区域的一些安全选项进行设置了。虽然有不同级别的默认设置，但是最好根据实际情况调整一下。单击“自

24、定义级别”按钮，出现“安全设置-Internet区域”对话框，如图4.30所示，其中是所有IE的安全设置。 18. 图4.29 “安全”选项卡 图4.30 “安全设置-Internet区域”对话框下面介绍图4.30中主要的安全设置。 下载已签名的ActiveX控件。经过第三方认证机构签名，证明该ActiveX控件是安全的，并且可以设置为允许下载这种控件。 下载未签名的ActiveX控件。与经过签名认证的ActiveX控件相比，未经签名认证的ActiveX控件可能会包含潜在的安全隐患，因此这个选项最好不要设置为启用。如果设置为询问，可以根据正在访问的站点的性质由自己决定是否下载安装未经认证的Ac

25、tiveX控件。 运行ActiveX控件和插件。假设已经禁止了所有ActiveX控件和插件的运行，那么这个选项就可以放心的设置为“管理员认可”。这个选项不建议设置为允许。 活动脚本。现在脚本程序非常流行，通过脚本程序可以建立很多实用的网页，如果禁用脚本程序，一些网页将不能正常浏览。这里建议设置为禁用，至于少数重要的但是不能正常浏览的网页，将在后面介绍解决办法。 Java小程序脚本。Javascript是一种公开的、多平台、面向对象的脚本语言。很多网页中都使用了Javascript脚本，但是安全起见最好禁用它。第3步：如果进行了IE的安全设置后，影响到少数必须要访问的站点，但是为了安全又不想把I

26、nternet区域的安全级别设置得太低，那么可以将一些信任的站点添加到“可信站点”中去。方法是：在图4.29的Internet选项的“安全”选项卡中，单击“可信站点”，然后单击“站点”按钮，出现如图4.31所示的对话框，输入希望添加的网址，然后单击右侧的“添加”按钮。第4步：打开图4.29中的“内容”选项卡，单击自动完成的“设置”按钮，出现如图4.32所示的“自动完成设置”对话框，所列出来的每一项，自动完成功能都会保存特定的内容，其中有如下内容： Web地址。会保存在IE地址栏中输入过的内容。 19. 图4.31 添加可信站点 图4.32 “自动完成设置”对话框 表单。会保存在网页中填写的资料

27、，例如论坛上的发言（除用户名和密码），搜索引擎中使用过的关键字。 表单上的用户名和密码。会保存登录论坛或其他网页时输入的用户名和密码。 提示我保存密码。当登录一个网站或者论坛时都会输入相应的账号和密码，然后会弹出“自动完成”对话框，提示：“是否让Windows记住该密码”，注意，出现这段提示时请用户慎重选择。虽然该功能在使用上非常方便，但是要根据具体环境进行不同的选择，比如在使用公共计算机时，就不要让计算机保存密码，防止其他人利用用户记录在这台计算机上登录信息登录用户进入的论坛、网站，甚至进入用户的个人邮箱等。有些用户也许根本没有注意就随便单击了“保存密码”按钮，等看清楚的时候，密码已经保存到

28、浏览器中了，而这些密码信息被保存到本地计算机中的Cookies文件中，只要把Cookies文件删除就可以了。自动完成可以节省很多时间，但同时也带来了很大的安全隐患。网络安全起见，可以打开Internet Explorer，依次选择“工具”“删除浏览的历史记录”，打开“删除浏览的历史记录”对话框，如图4.33所示，在此删除浏览的历史记录。第5步：打开图4.29中的“高级”选项卡，如图4.34所示，下面介绍图4.34中主要的设置。 20. 图4.33 删除浏览的历史记录 图4.34 “高级”选项卡 不将加密的页面存盘。启用了这个选项后，对于加密页面（主要是URL以https打头的）将不会保存到In

29、ternet临时文件夹中。如果多人共用同一台计算机，这个选项是很有必要的，这样别人就无法通过Internet临时文件窥探到你访问过的加密网页了（如某些电子商务网站的信用卡付费页面）。 检查发行商的证书是否吊销。如果选择了这个选项，当访问某些需要认证的站点时，IE会首先检查给站点提供的证书是否依然有效。一般情况下，建议启用该设置。 检查服务器的证书吊销。这个选项将会使IE检查站点服务器的证书是否仍然有效，一般也应该启用这个设置。 检查下载的程序的签名。如果启用了这个设置，在下载了程序后IE会通过签名自动检查程序是否被非法改动过。一般应当启用这个设置。 将提交的POST重定向到不允许发送的区域时发

30、出警告。启用这个设置后，在某些论坛或类似论坛的地方提交的一些信息如果被发送到了其他的服务器上，IE就会发出警报提醒。所以安全起见该设置也应当启用。 使用SSL 2.0、SSL 3.0和TLS 1.0。它们都与在Internet上通过协议加密数据有关。例如一些网站的身份认证和重要数据的传输，在这过程中都会用到SSL加密。因此最佳建议是这3个选项全部启用。但是如果启用后你访问某些加密站点时出现错误，那么可以禁用除SSL 2.0之外的其他两个协议，因为不同版本之间可能会有冲突，而SSL 2.0是被采用的最广泛的，一般的加密站点都会支持。 在安全和非安全模式之间转换时发出警告。当启用这个设置之后，如果

31、要从一个安全的网页（可能是经过SSL加密的）进入到一个不安全的网页时，IE会发出警告提醒，以避免在不知情的情况下泄露一些私人的信息。 使用被动FTP（用于防火墙和DSL调制解调器兼容）。这个设置将会允许在使用IE浏览FTP服务器时使用被动模式，这种模式更加安全，因为服务器方无法获得本地IP地址，如果不能正常访问某些FTP服务器，就可以试试启用或者禁用这个设置。第6步：打开图4.34中的“常规”选项卡，单击浏览历史记录的“设置”按钮，如图4.35所示，依据硬盘空间大小来设定临时文件夹的容量大小。在上网的过程中IE会在系统盘内自动地把浏览过的图片、Cookies等数据信息保留在Internet临时文件夹内，目的是为了便于下次访问该网页时迅速调用已保存在硬盘中的网页文件，从而加快上网的速度。但是，上网的时间一长，Internet临时文件夹的容量会越来越大，这样将导致磁盘碎片的产生，影响系统的正常运行。因此，可以考虑改变Internet临时文件的路径，这样既可以减轻系统的负担，还可以在系统重装后保留临时文件。单击图4.35中的“移动文件夹”按钮，选择Internet临时文件夹路径。第7步：打开图4.36中的“隐私”选项卡，通过滑杆来设置Cookie的隐私设置，从高到低依次为：阻止所有Cookie、高、中上、中、低、接受所有Cookie6个级别，默认级别为中。另外，要选中“