Ｗｉｎｄｏｗｓ操作系統(tǒng)安全配置方案綜述

【摘要】本篇從windows 2000系列操作系統(tǒng)出發(fā)，由淺入深的探討了系統(tǒng)的安全配置問(wèn)題，結(jié)合讀者的實(shí)際情況，按要求出發(fā)由低到高，給出了3種安全配置方案。

【關(guān)鍵詞】安全配置;計(jì)算機(jī)

【中圖號(hào)】TP316.7【文獻(xiàn)標(biāo)示碼】A【文章編號(hào)】1005-1074(2008)11-0240-01

隨著家用計(jì)算機(jī)的日益普及，操作系統(tǒng)這個(gè)昔日很專業(yè)的術(shù)語(yǔ)也逐漸走入了大眾的視野。人們?cè)谙硎苡?jì)算機(jī)帶來(lái)的一切便利的同時(shí)，也時(shí)刻承受著來(lái)自互聯(lián)網(wǎng)上木馬，不良信息，網(wǎng)絡(luò)入侵等多方面的威脅，尤其以網(wǎng)絡(luò)安全類問(wèn)題最為突出。本篇從windows 2000系列操作系統(tǒng)出發(fā)，由淺入深的探討了系統(tǒng)的安全配置問(wèn)題，結(jié)合讀者的實(shí)際情況，按要求出發(fā)由低到高，給出了3種安全配置方案，即便是剛?cè)腴T的計(jì)算機(jī)初學(xué)者也可以很快熟悉上手，掌握一定的系統(tǒng)安全知識(shí)。

1安全配置方案初級(jí)篇

1.1停止Guest賬號(hào)在計(jì)算機(jī)管理的用戶里面把guest賬號(hào)停用，任何時(shí)候都不允許Guest賬號(hào)登陸系統(tǒng)，為保險(xiǎn)起見(jiàn)，最好給guest加載復(fù)雜密碼，并修改guest賬號(hào)屬性，設(shè)置拒絕遠(yuǎn)程訪問(wèn)。

1.2陷阱賬號(hào)所謂陷阱賬號(hào)就是創(chuàng)建一個(gè)“Administrator”的本地賬戶，把它的權(quán)限設(shè)置成最低并加上一個(gè)超長(zhǎng)的復(fù)雜密碼，這樣可以讓那些企圖入侵者花費(fèi)很長(zhǎng)的時(shí)間，并且可以借此發(fā)現(xiàn)他們的入侵企圖。可以將該用戶隸屬的組修改成Guests組。

1.3更改默認(rèn)權(quán)限將共享文件的權(quán)限從“Everyone”組改成“授權(quán)用戶”。“Everyone”在Windows 2000中意味著任何有權(quán)進(jìn)入網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。

1.4安全密碼一些網(wǎng)絡(luò)管理員創(chuàng)建賬號(hào)時(shí)往往用公司名、計(jì)算機(jī)名或者一些別的容易猜到的字符做用戶名，然后又把這些賬戶的密碼設(shè)置的比較簡(jiǎn)單。這樣的賬戶應(yīng)該要求用戶首次登陸時(shí)更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。

2安全配置方案中級(jí)篇

2.1關(guān)閉不必要的服務(wù)為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多計(jì)算機(jī)的終端服務(wù)都是開(kāi)啟的，如果開(kāi)啟了，要確認(rèn)已經(jīng)正確配置了終端服務(wù)。有些惡意的程序也能以服務(wù)方式悄悄地運(yùn)行服務(wù)器上的終端服務(wù)，要留意服務(wù)器上開(kāi)啟的所有服務(wù)并每天檢查。Windows 2000作為服務(wù)器可禁用的服務(wù)包括一下幾種：Computer Browser，Task scheduler，Routing and Remote Access，Removable storage，Print Spooler，IPSEC Policy Agent，Distributed Link Trackin Client，Com+ Event System等。

2.2關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少些。

2.3開(kāi)啟審核策略安全審核是Windows 2000最基本的入侵檢測(cè)方法。當(dāng)有人嘗試隊(duì)系統(tǒng)進(jìn)行某種方式（如嘗試用戶密碼，改變賬戶策略和未經(jīng)許可的文件訪問(wèn)等）入侵時(shí)，都會(huì)被安全審核記錄下來(lái)。具體設(shè)置如下：審核系統(tǒng)用戶登錄事件：成功，失敗；審核賬戶管理：成功，失敗；審核登錄事件：成功，失敗；審核對(duì)象訪問(wèn)：成功；審核策略更改：成功，失敗；審核特權(quán)適用：成功，失敗；審核系統(tǒng)事件：成功，失敗。審核策略在默認(rèn)的情況下都是沒(méi)開(kāi)啟的，雙擊審核列表某一項(xiàng)，出現(xiàn)設(shè)置對(duì)話框，將復(fù)選框“成功”和“失敗”都選中，按照順序?qū)⑿枰O(shè)置的策略全部設(shè)置。

2.4開(kāi)啟密碼策略密碼隊(duì)系統(tǒng)安全非常重要，本地安全設(shè)置中的密碼策略在默認(rèn)情況下都沒(méi)有開(kāi)啟。密碼復(fù)雜性要求：?jiǎn)⒂茫艽a長(zhǎng)度最小值：6位，密碼最長(zhǎng)存留期：15天，強(qiáng)制密碼歷史：5次

2.5開(kāi)啟賬戶策略開(kāi)啟賬戶策略可以有效防止字典式攻擊，設(shè)置如下：復(fù)位賬戶鎖定計(jì)時(shí)器：30分鐘，賬戶鎖定時(shí)間：30分鐘，賬戶鎖定閾值：5次

2.6不顯示上次登錄名修改注冊(cè)表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下修改子鍵Softwart\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogin\\DontDisplayLastUserName，將鍵值改成1。

2.7禁止建立空連接默認(rèn)情況下，任何用戶通過(guò)空連接連上服務(wù)器，進(jìn)而可以枚舉出賬號(hào)，猜測(cè)密碼。可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵System\\CurrentControlSet\\Control\\LSA\\RestrictAnonymous，將鍵值改為1即可。

3安全配置方案高級(jí)篇

3.1關(guān)閉DirectDraw在HKEY_LOCAL_MACHINE主鍵下修改子鍵System\\CurrentControlSet\\Control\\GraphicsDrivers\\DCI\\Timeout，將鍵值修改為0即可。

3.2禁用Dump文件Dump文件能給黑客提供一些敏感信息，比如一些應(yīng)用程序的密碼。用來(lái)禁止dump文件，可打開(kāi)“控制面板”選擇“系統(tǒng)屬性”的“高級(jí)選項(xiàng)卡，并選擇“啟動(dòng)和故障恢復(fù)”，在打開(kāi)的“啟動(dòng)和故障恢復(fù)”對(duì)話框中，把寫入調(diào)試信息修改成“無(wú)”。

3.3文件加密系統(tǒng)Windows 2000強(qiáng)大的加密系統(tǒng)能夠給磁盤、文件夾、文件加上一層安全保護(hù)。這樣可以防止他人把本地硬盤掛到別的機(jī)器上讀出里面的數(shù)據(jù)。

3.4鎖住注冊(cè)表當(dāng)管理員及次一級(jí)賬號(hào)的密碼泄漏以后，黑客也可以在遠(yuǎn)程訪問(wèn)注冊(cè)表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上時(shí)，一般需要鎖定注冊(cè)表，修改Hkey_current_user下的子鍵：Software\\microsoft\\windows\\currentversion\\policies\\system，把disableregistry tools的值改為0，類型為DWORD。

3.5關(guān)機(jī)時(shí)清除文件某些第三方的程序可以吧一些沒(méi)有加密的密碼存在內(nèi)存中，頁(yè)面文件中可能含有另外一些敏感的資料，因此要在關(guān)機(jī)時(shí)清除頁(yè)面文件。這可以編輯注冊(cè)表修改主鍵HKEY_LOCAL_MACHINE下的子鍵system\\currentcontrolset\\control\\sessionmanager\\memory management，把clearpagefileatshutdown的值設(shè)置成1。

3.6禁止判斷主機(jī)類型黑客利用TTL(Time To Live，生存時(shí)間)值可以鑒別操作系統(tǒng)的類型，通過(guò)ping指令能判斷目標(biāo)主機(jī)類型。修改TTL的值入侵者就無(wú)法入侵計(jì)算機(jī)了。比如將操作系統(tǒng)的TTL值改為888，修改主鍵HKEY_LOCAL_MACHINE的子鍵system\\current_controlset\\services\cp-ip\\parameters，新建一個(gè)雙字節(jié)項(xiàng)，在鍵的名稱中輸入“defaultTTL”，然后雙擊該鍵名，選擇“十進(jìn)制”，在“數(shù)位數(shù)據(jù)”文本框中輸入888。設(shè)置完畢后重新啟動(dòng)計(jì)算機(jī)，再次使用ping指令，發(fā)現(xiàn)TTL的值已經(jīng)被改為888。

3.7禁止guest訪問(wèn)日志在默認(rèn)安裝的Windows nt和Windows 2000中，guest賬號(hào)和匿名用戶可以查看系統(tǒng)的事件日志，這可能導(dǎo)致許多重要信息的泄漏，可通過(guò)修改注冊(cè)表來(lái)禁止guest訪問(wèn)事件日志。①禁止guest訪問(wèn)應(yīng)用日志：在HKEY_LOCAL_MACHINE\\system\\currentcontrolset\\services\\eventlog\\application下添加鍵值名稱為“RestrictguestAccess”，類型為DWORD，將值設(shè)置為1。②系統(tǒng)日志:在HKEY_LOCAL_MACHINE\\system\\currentcontrolset\\services\\eventlog\\system下添加鍵值名稱為“RestrictguestAccess”，類型為DWORD，將值設(shè)置為1。③安全日志:在HKEY_LOCAL_MACHINE\\system\\currentcontrolset\\services\\eventlog\\security下添加鍵值名稱為“RestrictguestAccess”，類型為DWORD，將值設(shè)置為1。

Windows操作系統(tǒng)安全配置方案到此告一段落，如果每一條規(guī)則都能得到很好實(shí)施的話，該服務(wù)器無(wú)論是在局域網(wǎng)還是廣域網(wǎng)，即使沒(méi)有網(wǎng)絡(luò)防火墻，也比較安全了。當(dāng)然，道高一尺，魔高一丈，新的安全漏洞，入侵手段層出不窮，只要我們能做到未雨綢繆防患于未然，就能將損失減少到最低。