計算機操作系統的安全設置與防范

摘 要：針對計算機系統的各種攻擊之所以能夠成功，關鍵的原因是計算機系統本身存在各種各樣的弱點，而且這些弱點往往隱藏在計算機系統所具有的優越的特征之中，因此常常會被非法用戶不斷的利用，為了防止非法用戶的入侵，我們必須對計算機的操作系統進行相應的安全設置。本文分別對BIOS的安全設置、Windows密碼的安全設置、Windows系統的安全設置進行分析，系統的探討了計算機操作系統的安全設置與防范。

關鍵詞：操作系統；安全設置；防范措施

中圖分類號：TP309 文獻標識碼：C

1 BIOS的安全設置

1.1 開機密碼的設置

在計算機的BIOS中，密碼基本上分為：“User Password” 和“Supervisor Password”兩種。這兩種密碼都控制著進入操作系統有權限，其中“Supervisor Password”具有完全修改BIOS的權利，所以對于專人使用的電腦一般使用“Supervisor Password”，即可保護電腦的安全，又能擁有電腦的全部權限。

操作方法：①接通電源啟動電腦，按下F2 進入BIOS設置菜單，選擇“Security”選項，點擊 “Supervisor Password”，則出現可輸入密碼的對話框，輸入設置的密碼回車，即可完成密碼的設置。②選擇 “Password on boot” 選項，點擊“Enabled”，則開啟密碼功能。

當重新啟動計算機，計算機不直接進入Windows系統，在出現的對話框中輸入正確的密碼后，會順利進入Windows系統。如果連續3次輸入錯誤的密碼，則系統會完全鎖死，須關閉計算機重新啟動。

1.2 防毒功能的開啟

啟動型病毒，它會在開機的時候入侵計算機內存，并破壞開始扇區，造成一定的損失。所以要啟動計算機的BIOS防毒功能，阻礙啟動型病毒的攻擊。

操作方法：①按下F2 進入BIOS設置菜單，選擇“Security”選項，將“Boot Sector Virus Protection”項目設為“Enabled”即可。②當開啟此功能后，若有啟動病毒攻擊扇區，BIOS會發現此操作，并在桌面對話框中顯示“有程序企圖改寫開始扇區”的信息，這時只要按下N鍵拒絕，就可以了。

2 Windows密碼的安全設置

系統通過密碼可以辨認用戶的身份，以管理分配權限。獲得了密碼就獲得了相應的訪問權限，因此密碼的保護和系統安全息息相關。

2.1 設置密碼的方法

點擊“開始”——“控制面板”，雙擊打開“管理工具”。在打開“管理工具”界面中，選擇“本地安全策略”，雙擊打開。在彈出的“本地安全設置”對話框中選擇安全設置下的帳戶策略中的“密碼策略”。對“密碼策略”右邊的密碼策略列表里所列項目一一進行修改。按照①啟用“密碼必須符合復雜性要求”策略；②設置“密碼最短存留期限”；③開啟“強制密碼歷史”；④重新設置“控制面板”中管理員密碼的為四個步驟進行操作，以保證Windows密碼的安全。

3 Windows系統的安全設置

3.1 屏蔽閑置端口

就計算機而言，所有的端口都可能成為攻擊的目標。換句話說“計算機的所有對外通訊的端口都存在潛在的危險”，所以必須關閉閑置和有潛在危險的端口

屏蔽閑置端口的方法：打開“控制面板”，右鍵選擇“網絡連接”中“屬性”命令，在打開的“常規”選項卡中，點擊“Internet協議（TCP / IP）”選項，在“Internet協議（TCP / IP）”選項中選擇“高級”進入“高級 TCP / IP設置”對話框，在“選項”選項卡中，選擇“屬性”進入“TCP / IP篩選”對話框（如圖1）。在打開的對話框中選擇只允許“單選框”，分別添加“TCP”、“UDP”、“IP”網絡協議允許的端口，如果不提供各種情況，則屏蔽所有的端口。

3.2 禁止終端服務遠程控制

遠程控制，是指管理人員在異地通過計算機網絡異地撥號或雙方都接入Internet等手段，聯通需被控制的計算機，將被控計算機的桌面環境顯示到自己的計算機上，通過本地計算機對遠方計算機進行配置、軟件安裝程序、修改等工作。遠程喚醒（WOL），即通過局域網絡實現遠程開機。

禁止過程協助的方法：右鍵單擊“我的電腦”，選擇“屬性”命令，在“系統屬性”對話框中點擊“遠程”選項卡，取消“允許從這臺計算機發送遠程協助邀請”選項。（如圖2）

3.3 關閉Messenger服務

在Windows XP中，“信使服務”在服務列表中名稱為“Messenger”，該服務用來傳輸客戶端和服務器之間的Net Send和Alerter（報警器）服務消息。此服務與Windows Messenger無關。默認情況下，“信使服務”是打開的，所以當你的電腦連接到Internet上時，一些網站（包括廠商網站）可以通過該服務發送一些信息，在目標用戶的計算機上會彈出一個名為“信使服務”的對話框。這些不請自到的“信使”通常是一些廣告等無用信息，而且在你使用電腦時，突然出現的“信使服務”會干擾工作。所以必須關閉“信使服務”。

操作方法：點擊“控制面板”，雙擊打開“管理工具”。在 “管理工具”界面中，進入“服務”選項卡。打開“Messenger”，進入“常規”選項卡。單擊“停止”按鈕，再將“啟動類型”改為“手動”或“已禁用”（如圖3）。

如果“Messenger”服務被停止，Alerter消息不會被傳輸。如“Messenger”服務被禁用，任何直接依賴于它的服務將無法啟動，最后單擊“確定”按鈕。

3.4 防范IPC$ 默認共享

Window XP在默認安裝后，可以允許任何用戶通過空用戶連接IPC$得到系統所有的帳戶和共享列表。任何一個遠程用戶都可以利用這個空用戶連接到你的用戶列表，查找系統的用戶列表，對系統進行攻擊。

操作方法：點擊“開始→運行”菜單，在打開的對話框中輸入“regedit”進入注冊表，找到如下組健：[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼LSA]，設置 RestrictAnonymous =DWORD的鍵值改為：00000001，即可禁止空用戶連接。（如圖4、圖5）

[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼LanmanServer＼Parameters]，添加“ AutoShareWks”健值，類型為“REG_DWORD”鍵值改為：00000000，即可禁止默認共享。

結語

爭對當今計算機系統的各種攻擊之所以能夠成功，關鍵的原因是由于計算機系統本身存在著各種各樣的弱點，而且這些弱點往往隱藏在計算機系統所具有的優越的特征之中，因此常常會被非法用戶不斷的利用，為了防止非法用戶的入侵，我們必須對計算機的操作系統進行相應的安全設置和防范措施。只有對計算機系統建立和采取技術和管理安全保護措施，保護好計算機系統中的硬件、軟件及數據的安全，才能防止因偶然或惡意的原因而使系統或信息遭到破壞、更改或泄露。

參考文獻

[1]Wz坐標工作室.電腦安全設置與防范[M].北京：中國鐵道出版社.

[2]陳紅松.計算機網絡安全與管理[M].北京：清華大學出版社.

[3]王欽，蔣東興，劉啟新.高校辦公系統安全與防范[J].計算機工程與設計，2006（14）.

Computer operating system security settings and Prevention

（Nantong Vocational University Technician College Post code ： 226007）

Abstract： Variety of attacks against computer systems have been able to succeed， the key reason is the computer system itself， there are a variety of weaknesses， but these weaknesses are often hidden among the computer system has superior characteristics， often by illegal userscontinue the use of the computer’s operating system， we must make the appropriate security settings， in order to prevent the invasion of illegal users.

Key word： Operating system， security settings， preventive measures