Windows系統安全防護的研究與探索

胡 杰，王俊峰

（1.沈陽理工大學 理學院，遼寧 沈陽 110159；2.重慶電子工程職業學院 軟件學院，重慶 401331）

Windows系統安全防護的研究與探索

胡 杰1，王俊峰2

（1.沈陽理工大學 理學院，遼寧 沈陽 110159；2.重慶電子工程職業學院 軟件學院，重慶 401331）

分析了操作系統在安裝和運行過程中存在的安全隱患，系統的一些默認配置如果不經用戶的自行修改往往會產生很多不安全因素的現狀，比如更容易崩潰、中病毒或木馬及被不法分子窺取您的資料等，提出了相應的防范措施以提高系統安全性和抗病毒攻擊能力，并且這些措施具有普遍性。

漏洞；入侵攻擊；系統防范；端口；系統安全

隨著計算機用戶的不斷增加，PC操作系統的安全性變得越來越重要。由于計算機病毒日益猖撅、網絡黑客的惡意破壞，加之計算機個人用戶安全防范意識的相對淡薄，使得計算機系統時常遭受攻擊，由此帶來的經濟損失和產生的社會危害日益嚴重。

現在有很多人認為windows的漏洞太多，系統安全性差，其實各種系統都有很多漏洞，只不過使用windows的人最多，不會做各種安全設置，才導致很多人認為windows很不安全。如果真正做好windows平臺服務器各項安全設置之后，問題就會得到解決[1]。

windows系統在安裝好后沒有經過相關的配置就直接使用是很不安全的。現實生活中，一些私隱的數據資料可以輕易地被盜取；在網絡上，您的計算機可能會被病毒入侵造成系統崩潰或成為不法分子的目標，遭受黑客襲擊。本文主要是針對windows2000以上的操作系統默認配置上的一些漏洞，提出有效提升系統安全的一些配置策略[2]。讓您的widows系統無論在現實中還是網絡上都可以更好地確保正常運行和數據的安全。

Windows操作系統是目前在PC機上廣泛應用的操作系統。在網絡與信息時代，對入侵攻擊的防范、保障計算機系統、網絡系統及整個信息基礎設施的安全已經成為刻不容緩的重要課題。Windows系統的安全問題也越來越被人們關注。雖然Windows的漏洞眾多，安全隱患也很多，不過經過適當的設置和調整，可以消除windows系統安全隱患，提升系統的安全強度，搭建一個安全的操作系統[3]。

1 window系統分析

要討論系統安全的防護策略，首先需要對windows操作系統本身有一個整體的了解。這包括windows系統的基本結構，核心功能部件。windows系統總體結構的簡化版本如圖1所示。

圖1 windows系統簡化結構圖Fig.1 Windows system to simplify the structure of Fig

在windows系統中，應用程序與操作系統本身是隔離的，操作系統內核代碼運行在處理器的特權模式下（也稱為內核模式，kernel mode），可以訪問系統數據和硬件；應用程序代碼運行在處理器的非特權模式下 （稱為用戶模式，user mode），只有很有限的一組接口可以使用，對系統數據的訪問受到限制，并且無法直接訪問硬件。當用戶模式程序調用一個系統服務時，處理器捕獲到該調用，然后將調用線程切換到內核模式。當該系統服務完成時，操作系統將線程環境切換回用戶模式，并允許調用者繼續執行。

用戶模式的線程在一個受保護的進程地址空間中執行（不過，當它們在內核模式中執行的時候，它們可以訪問系統空間）。因此，系統支持進程、服務進程、用戶應用程序和環境子系統都有它們各自的私有進程地址空間。

windows服務被設計用于需要在后臺運行的應用程序以及實現沒有用戶交互的任務。windows下的服務程序都遵循服務控制管理器（SCM的接口標準，它們會在登錄系統時自動運行，甚至在沒有用戶登錄系統的情況下也會正常執行。

這也為病毒的入侵提供了便利，惡意程序侵入計算機一般有兩個目的：對計算機進行持續訪問以及為入侵者提供潛行能力。為了實現這些目的，惡意程序必須更改系統的執行路徑，或者直接攻擊關于進程、驅動程序、網絡連接等信息的存儲數據。針對惡意程序的以上行為，我們的主機防護系統設計為阻止非信任進程的運行，從而有效防止病毒、木馬等惡意程序對系統的攻擊和破壞，保證系統可靠、穩定運行[4]。

2 操作系統安全隱患分析

2.1 安裝隱患

2.1.1 將服務器接入網絡內安裝

Windows操作系統在安裝時存在一個安全漏洞，當輸入Administrator密碼后，系統就自動建立了ADMIN$的共享，但是并沒有用剛剛輸入的密碼來保護它，這種情況一直持續到再次啟動后，在此期間，任何人都可以通過ADMIN$進入這臺機器；同時，只要安裝一結束，各種服務就會自動運行，而這時的服務器是滿身漏洞，計算機病毒非常容易侵入。因此，將服務器接入網絡內安裝是非常錯誤的。

2.1.2 操作系統與應用系統共用一個磁盤分區

在安裝操作系統時，將操作系統與應用系統安裝在同一個磁盤分區，會導致一旦操作系統文件泄露時，攻擊者可以通過操作系統漏洞獲取應用系統的訪問權限，從而影響應用系統的安全運行。

2.1.3 采用FAT32文件格式安裝

FAT32文件格式不能限制用戶對文件的訪問，這樣可以導致系統的不安全。

2.1.4 采用缺省安裝

缺省安裝操作系統時，會自動安裝一些有安全隱患的組件，如：IIS、DHCP、DNS等，導致系統在安裝后存在安全漏洞。

2.1.5 系統補丁安裝不及時不全面

在系統安裝完成后，不及時安裝系統補丁程序，導致病毒侵入。

2.2 運行隱患

2.2.1 默認共享

系統在運行后，會自動創建一些隱藏的共享。一是C$D$E$每個分區的根共享目錄。二是ADMIN$遠程管理用的共享目錄。三是IPC$空連接。四是NetLogon共享。五是其它系統默認共享，如：FAX$、PRINT$共享等。這些默認共享給系統的安全運行帶來了很大的隱患。

2.2.2 默認服務

系統在運行后，自動啟動了許多有安全隱患的服務，如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services（選程修改注冊表服務）、SNMPServices、Terminal Services等。這些服務在實際工作中如不需要，可以禁用。

2.2.3 安全策略

系統運行后，默認情況下，系統的安全策略是不起作用的，這就降低了系統的運行安全性。

2.2.4 管理員賬號

系統在運行后，Administrator用戶的賬號是不能被停用的，這意味著攻擊者可以一遍又一遍的嘗試猜測這個賬號的口令。此外，設置簡單的用戶賬號口令也給系統的運行帶來了隱患。

2.2.5 頁面文件

頁面文件是用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。頁面文件中可能含有一些敏感的資料，有可能造成系統信息的泄露。

2.2.6 共享文件

默認狀態下，每個人對新創建的文件共享都擁有完全控制權限，這是非常危險的，應嚴格限制用戶對共享文件的訪問。

2.2.7 Dump文件

Dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。然而，它也能夠給攻擊者提供一些敏感信息，比如一些應用程序的口令等，造成信息泄露。

2.2.8 WEB服務

系統本身自帶的IIS服務、FTP服務存在安全隱患，容易導致系統被攻擊。

3 操作系統基本安全防范對策

3.1 安裝對策

1）在完全安裝、配置好操作系統，給系統全部安裝系統補丁之前，一定不要把機器接入網絡。

2）在安裝操作系統時，建議至少分3個磁盤分區。第1個分區用來安裝操作系統，第2分區存放IIS、FTP和各種應用程序，第3個分區存放重要的數據和日志文件。

3）采用NTFS文件格式安裝操作系統，可以保證文件的安全，控制用戶對文件的訪問權限。

4）在安裝系統組件時，不要采用缺省安裝，刪除系統缺省選中的 IIS、DHCP、DNS等服務。

5）在安裝完操作系統后，應先安裝在其上面的應用系統，后安裝系統補丁。安裝系統補丁一定要全面。

3.2 運行對策

3.2.1 關閉系統默認共享

修改系統注冊表，禁止默認共享功能。在Local_MachineSystemCurrentControlSetServicesLanmanserverparameters下新建一個雙字節項“auto shareserver”，其值為“0”。

3.2.2 刪除多余的不需要的網絡協議

刪除網絡協議中的NWLink NetBIOS協議，NWLink IPX/SPX/NetBIOS協議，NeBEUI PROtocol協議和服務等，只保留TCP/IP網絡通訊協議。

3.2.3 關閉不必要的有安全隱患的服務

用戶可以根據實際情況，關閉表1中所示的系統自動運行的有安全隱患的服務。

表1 需要關閉的服務表Tab.1 Test result of photoelectric conversion circui

3.2.4 啟用安全策略

安全策略包括以下5個方面[7]：

1）賬號鎖定策略。設置賬號鎖定閥值，5次無效登錄后，即鎖定賬號。

2）密碼策略。一是密碼必須符合復雜性要求，即密碼中必須包括字母、數字以及特殊字符，如：上檔鍵上的+－（）*&^%$#@!?>＜”:{}等特殊字符。二是服務器密碼長度最少設置為8位字符以上。三是密碼最長保留期。一般設置為1至3個月，即30－90天。四是密碼最短存留期：3天。四是強制密碼歷史：0個記住的密碼。五是“為域中所有用戶使用可還原的加密來儲存密碼”，停用。

3）審核策略。默認安裝時是關閉的。激活此功能有利于管理員很好的掌握機器的狀態，有利于系統的入侵檢測。可以從日志中了解到機器是否在被人蠻力攻擊、非法的文件訪問等等。開啟安全審核是系統最基本的入侵檢測方法。當攻擊者嘗試對用戶的系統進行某些方式 （如嘗試用戶口令，改變賬號策略，未經許可的文件訪問等等）入侵的時候，都會被安全審核記錄下來。避免不能及時察覺系統遭受入侵以致系統遭到破壞。建議至少審核登錄事件、賬戶登錄事件、賬戶管理3個事件。

4）“用戶權利指派”。在“用戶權利指派”中，將“從遠端系統強制關機”權限設置為禁止任何人有此權限，防止黑客從遠程關閉系統。

5）“安全選項”。在“安全選項”中，將“對匿名連接的額外限制”權限改為“不允許枚舉SAM賬號和共享”。也可以通過修改注冊表中的值來禁止建立空連接，將Local_MachineSystemCurrentControlSetControlLSA－RestrictAnonymous 的值改為“1”。如在LSA目錄下如無該鍵值，可以新建一個雙字節值，名為“restrict anonymous”，值為“1”，十六進制。 此舉可以有效地防止利用IPC$空連接枚舉SAM賬號和共享資源，造成系統信息的泄露。

3.2.5 加強對Administrator賬號和Guest賬號的管理監控

將Administrator賬號重新命名，創建一個陷阱賬號，名為“Administrator”，口令為10位以上的復雜口令，其權限設置成最低，即：將其設為不隸屬于任何一個組，并通過安全審核，借此發現攻擊者的入侵企圖。設置2個管理員用賬號，一個具有一般權限，用來處理一些日常事物；另一個具有Administrators權限，只在需要的時候使用。修改Guest用戶口令為復雜口令，并禁用GUEST用戶賬號。

3.2.6 禁止使用共享

嚴格限制用戶對共享目錄和文件的訪問，無特殊情況，嚴禁通過共享功能訪問服務器。

3.2.7 清除頁面文件

修改注冊表HKLMSYSTEMCurrentControlSetControlSession ManagerMemory ManA gement中 “Clear Page File At Shutdown”的值為“1”，可以禁止系統產生頁面文件，防止信息泄露[4]。

3.2.8 清除Dump文件

打開控制面板→系統屬性→高級→啟動和故障恢復，將“寫入調試信息”改成“無”，可以清除Dump文件，防止信息泄露。

3.2.9 WEB 服務安全設置

確需提供WEB服務，采取以下措施，在安裝時不要選擇IIS服務，安裝完畢后，手動添加該服務，將其安裝目錄設為如D:INTE等任意字符，以加大安全性。刪除INTERNET服務管理器，刪除樣本頁面和腳本，卸載INTERNET打印服務，刪除除ASP外的應用程序映射。針對不同類型文件建立不同文件夾并設置不同權限。對腳本程序設為純腳本執行許可權限，二進制執行文件設為腳本和可執行程序權限，靜態文件設為讀權限。對安全掃描出的CGI漏洞文件要及時刪除。

3.2.10 安全使用Internet Explorer

取消瀏覽器自動完成功能，在“控制面板”的“internet選項”的“內容”頁，選擇“自動完成”，取消表單和表單上的用戶名和密碼部分，并清除下面的歷史記錄；同上，在“internet選項”上的“高級”頁，選擇“不將加密的也面存入硬盤”以及“關閉瀏覽器時清空internet文件夾”；在對應的目錄中經常性的清除歷史記錄等。同上，在“internet選項”，在安全選項卡中選擇“Internet”，就可以針對Internet區域的一些安全選項進行設置。點擊下方的Custom Level（自定義級別）。會出現圖三的窗口，這里顯示了所有的IE安全設置：Download signed ActiveX controls（下載已簽名的ActiveX控件）。經過第三方的認證機構簽名證明該ActiveX控件是安全的。Download unsigned ActiveX controls（下載未簽名的 ActiveX控件）跟經過簽名認證的ActiveX控件相比，未經簽名認證的可能會包含潛在的安全隱患因此這個選項你最好不要設置為啟用，或禁用，或者設置為詢問，這樣你可以根據正在訪問的站點的性質自己決定是否下載安裝未經認證的控件。

4 結束語

Windows作為全球通用的操作系統，擁有眾多的用戶和許多成熟的應用程序；同時，安全問題層出不窮[8]。那么，用戶參考以上各個觀點對您的windows系統進行配置，雖然不能確保您的windows系統固若金湯，但能讓您的系統安全性大大提升。實踐表明，本文提供的主機安全防護策略的實施不需任何防護附加程序，全部運用windows系統自帶的功能，對于阻止以攻擊端口為入侵方式的病毒，維護計算機系統的安全是行之有效的。

[1]黃鑫.基于Windows平臺的服務器安全防范研究 [J].計算機與現代化，2011（6）：27-30.

HUANG Xin.Windows-based server security prevention research[J].Computer and modernization，2011（6）:27-30.

[2]林坤林.淺談如何構建Windows安全防御系統 [J].中國現代教育裝備，2007，1（57）：69-70.

LIN kun-lin.Discussion on how to build a Windows security defense system [J].Chinese modern educational equipment，2007，1（57）:69-70.

[3]高巖.主機防護系統中系統調用截獲機制的實現[J].計算機工程與設計，2003（11），76-80.

GAO Yan.Realization mechanism of system call interception in host protection system[J].Computer engineering and design，2003（11）：76-80.

[4]曹天杰.計算機系統安全[M].北京：高等教育出版社，2007.

[5]李新明，李藝，張功萱.一種新型的安全Windows終端系統研究與實現[J].小型微型計算機系統，2010，31（6）：1081-1083.

LIXin-ming，LIYi，ZHANG Gong-xuan.Research and implementation of a new system of security of Windows Terminal[J].Small micro-computer system，2010，31 （6）:1081-1083.

[6]朱雁輝.Windows防火墻與網絡封包截獲技術[M].電子工業出版社，2002.

[7]劉曉輝，王淑江.Windows Server2003系統安全實戰指南[M].人民郵電出版社，2007.

[8]林曉勇，曾慶榮.Windows2000系統管理與網絡安全[M].北京：機械工業出版社，2003.

Windows system security protection of the research and exploration

HU Jie1，WANG Jun-feng2
（1.School of Science， Shenyang Ligong University， Shenyang 110159， China 2.College of Software，Chongqing Electronic Engineering Career Academy，Chongqing 401331，China）

The potential safety hazards of the operating system during the installation and operation have been analyzed.Some of the system default configuration usually had many unsafe factors， such as easy to collapse， susceptible to virus or Trojan virus and possible for outlaws to steal individual information if not modified by the users.Some corresponding precautionary measures， which were universal， were put forward to improve the system safety and antiviral ability.

vulnerability； invasion attack； protection system； port； system safety

TP393.05

A

1674－6236（2013）08-0040-04

2012-06-06稿件編號201206034

胡 杰（1961—），女，遼寧沈陽人，高級實驗師。研究方向：光、電實驗及計算機應用。