Windows中安全策略的制定與實施

董思怡

【摘要】操作系統作為計算機系統中最重要的軟件，其安全特性從操作系統誕生之日就成為研究人員關注的焦點，如何構建一個安全的操作系統正是當前安全研究的熱點課題。本文根據對Windows操作系統日常維護的實踐，主要介紹Windows操作系統中的一些安全策略，探討了這些安全策略的使用方法和常用技巧。

【關鍵詞】Windows;安全策略;漏洞;操作系統安全

引言

Windows操作系統在個人電腦的領域應用內最為普遍，也是普通用戶常用的操作系統版本之一，雖然隨著版本的不斷迭代和創新，Windows操作系統在安全性和穩定性上有了很大的提升，然而在計算機系統管理中，為了尋求安全性和易用性的動態平衡，仍然不可避免存在安全漏洞。如果入侵者利用當這些系統安全隱患進行惡意攻擊，就會造成信息泄露、系統的安全性、可用性就會遭到破壞。所以作為用戶應該掌握操作系統的特點，采取有效可行的安全策略，避免使自己成為系統漏洞的受害者。本文以Windows系列的操作系統為例，從系統安全配置管理方面介紹一些安全策略工具的使用和實施方法。

1安全策略一：給系統打補丁

通過經常給電腦打補丁來保護電腦數據，這是一個保護電腦、防護很多病毒的有效措施。因為大多數電腦病毒都是通過WINDOWS操作系統的漏洞進行攻擊、破壞電腦的正常使用，給用戶造成不可估量的損失。而補丁是修復瑕疵以及安全漏洞的。在已經習慣給防病毒軟件升級的今天，打補丁同樣重要。打補丁的頻率一般是每月檢查一次，使用 Windows打開自動更新功能將使 Windows 隨時使用最新的補丁，而其他應用程序可以相關廠商的網站尋找補丁進行更新。

2 安全策略二：對系統管理員賬號進行管理

Windows操作系統安裝后都會默認創建一個系統管理員帳戶，它擁有計算機

的最高管理權限，但這在 Windows 系統中是一個很明顯的漏洞，因為管理員帳戶可以不設置密碼，并且管理員帳戶的名字總是 administrator。所以對于黑客來說，系統管理員帳戶一直是攻擊的主要目標[1]。其中Guest賬號就是一個非常危險的漏洞，因為黑客可以直接使用這個賬號登錄你的機器。

所以實施安全策略的第一步是要禁用Guest帳號。具體操作過程為：在控制面板—用戶帳戶中選擇“更改賬戶”，將Guest來賓賬戶禁用。

第二步將Administrator用戶名稱進行更改，在控制面板→管理工具→本地安全策略→本地策略→安全選項→重命名系統管理員帳戶。

第三步重新設置此用戶密碼，最好能增強密碼強度。至少 10 字符以上，要求字母、數字混合，字符中有一個以上的特殊字符。

3 安全策略三：限制不必要的用戶數

去掉所有的duplicate user帳戶、測試用帳戶和共享帳號等等。用戶組策略設置相應權限，并經常檢查系統的帳戶，刪除已不在使用的帳戶。這些帳戶很多時候都是黑客入侵系統的突破口，系統的帳戶越多，黑客得到合法用戶的權限可能性也越大。

4 安全策略四：鎖定無效登錄

為了防止他人進入電腦時，反復用猜測密碼的方式登錄，我們可以鎖定無效登錄，當密碼輸入錯誤達設定次數后，便鎖定此賬戶，在一定時間內不能再以該賬戶登錄。

具體的操作進入控制面板，依次展開“管理工具”→“本地安全策略”，出現“本地安全設置”窗口在左側列表中打開“賬戶策略”→“賬戶鎖定策略”，在右邊雙擊“賬戶鎖定閥值”，在彈出的設置對話框中輸入無效登錄的次數（一般設3次為宜），確定后系統自動將鎖定時長和計數器清零的時長設置為“30分鐘”，我們也可以修改這兩個策略時間。經過以上設置，就能夠阻止那些靠猜密碼登錄的非法用戶了。

5 安全策略五：禁用不必要的服務

為了方便用戶，Windows默認啟動了許多不一定要用到的服務，同時也打開了入侵系統的后門。通過網絡資源，我們可以找到完備的Windows系統服務詳細功能說明，根據自己系統的需要，把那無需使用和有危險性的服務都關閉。例如：Net Meeting Remote Desktop Sharing/Remote Desktop Help Session Manager/ SSDPDiscovery Service/telnet/Universal Plugand Play DeviceHost等。

具體步驟為：打開“控制面板”→“管理工具”→“服務”，可以看到有關這些服務的說明和運行狀態。要關閉一個服務，只需右鍵點擊服務名稱并選擇“屬性”菜單，在“常規”選項卡中把“啟動類型”改成“手動”，再點擊“停止”按鈕。

6 安全策略六：禁用不必要的協議和端口

在配置系統協議時，不需要的協議都可以刪除，對于服務器和主機來說，一般只安裝TCP/IP協議就夠了[2]。點擊“網上鄰居”，選擇“屬性”、“本地連接”。

“屬性”，卸載不必要的協議。NETBIOS是很多安全缺陷的源泉，對于不需要提供文件和打印共享的主機，還可將綁定在TCP/IP協議的NETBIOS關閉，避免對NETBIOS的攻擊。選擇“TCP/IP協議”→“屬性”→“高級”，進入“高級TCP/IP設置”對話框，選擇“WINS”標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關閉NETBIOS。

此外端口是計算機和外部網絡連接的邏輯接口，也是計算機的一道屏障，因此端口配置正確與否直接影響到主機的安全。一般僅打開需要使用的端口比較安

全。當然，對于文件和打印共享服務的137、138、139和445端口，還可采用以下的方法來關閉。點擊“網上鄰居”→“屬性”，選擇“網絡和撥號連接”對話框的“高級共享設置”命令，進入高級設置對話框，如圖4所示，在出現的畫面中的上部選擇所需的連接，下部取消“文件和打印機共享”項，即可禁止這幾個端口。

7 安全策略七：設置目錄和文件權限

NTFS 系統格式磁盤中的文件和文件夾都可以設置用戶訪問權限（FAT、FAT32和NT2FS三種文件格式的文件夾都可以設置共享權限）。文件目錄的訪問權限分為讀取、寫入、讀取及執行、修改、列目錄、完全控制。為了控制服務器上用戶的權限，預防以后可能的入侵和溢出，設置目錄和文件的訪問權限必須遵循最小化原則。

具體設置、查看、更改或刪除文件和文件夾權限的步驟是：

（1）打開Windows資源管理器。右鍵單擊要為其設置權限的文件或文件夾，單擊“屬性”→“安全”選項卡;

（2）執行以下任一操作：要為沒有出現在“組或用戶名稱”框中的用戶或組設置權限，請單擊“添加”;鍵入想要為其設置權限的組或用戶的名稱，然后單擊“確定”;

（3）執行以下任一操作：要允許或拒絕某一權限，請在“用戶或組的權限”框中選中“允許”或“拒絕”復選框;要從“組或用戶名稱”框中刪除該組或用戶，請單擊“刪除”。

8 安全策略八：禁止遠程控制

8.1 禁止Windows上的遠程協助和終端服務

Windows上的遠程協助允許用戶在使用計算機發生困難時，向MSN上的好友發出遠程協助邀請（或通過Outlook Express發送協助郵件），幫助自己解決問題。這個功能普通用戶很少用到，但是它除了存在使用權限上的安全隱患外，也正是“沖擊波”等病毒攻擊Windows的RPC（Remote Procedure Call）服務的一個

途徑。在Windows XP上禁止默認打開的“遠程協助”的方法是用鼠標右鍵選擇“我的電腦”→“屬性”，在“遠程”項里去掉“允許從這臺計算機發送遠程協助邀請”前面的“√”。

在Windows系統中，“終端服務”是默認打開的，用戶利用終端可以實現遠程控制。在Windows系統里關閉“終端服務”的方法是鼠標右鍵選擇“我的電腦”→“屬性”，在“遠程”項里去掉“允許用戶遠程連接到這臺計算機”前面的“√”。

8.2 端口配置

端口是計算機和外部網絡相連的邏輯接口，也是計算機的第一道屏障，端口配置正確與否直接影響到主機的安全。對于個人用戶來說，可以限制所有的端口，因為根本不必讓機器對外提供任何服務;而對于對外提供網絡服務的服務器，我們需把必須利用的端口（比如WWW端口80、FTP端口21、郵件服務端口25、110 等）開放，其他的端口則全部關閉。如果沒有文件和打印機共享要求，最好禁止 135、139和445端口。具體方法是通過“網卡屬性”→“TCP/ IP”→“高級選項”→TCP/ IP篩選中啟用TCP/ IP篩選或用個人防火墻關閉無用端口。

8.3 禁止注冊表被遠程匿名訪問

Windows在默認情況下，注冊表可以被遠程訪問。為了提高系統的安全性，避免自己機器的注冊表被人通過網絡修改，可以禁用此功能從而限制遠程訪問，一般只開放系統管理員的遠程訪問權限。實現這個目的，需要修改注冊表，步驟如下：

（1）打開注冊表編輯器;

（2）選擇：

HKEY_CURRENT_CONFIG＼system＼CurrentControlSet＼control＼SecurePipeServers＼winreg子鍵;

（3）在右側窗口中新建一個Dword值，命名為 RemoteRegAccess，將數值設為“1”即可。

9 安全策略九：合理使用安全機制

嚴格設計管理好Windows系統的安全規則，其內容主要包括“密碼規則”、“賬號鎖定規則”、“用戶權限分配規則”、“審核規則”及“IP安全規則”。對所有用戶都應按工作需要進行分組，合理對用戶分組是進行系統安全設計的最重要的基礎。利用安全規則可以限定用戶口令的有效期、口令長度。設置登錄多少次失敗后鎖定工作站，并對用戶備份文件和目錄、關機、網絡訪問等各項行為進行有效控制。

10 結束語

雖然系統提供商在不斷升級完善系統漏洞，但操作系統仍然成為黑客、病毒、間諜軟件攻擊計算機的主要目標之一。面對這種現狀，安全意識疏漏帶來的危機更甚于安全漏洞本身，只有防患于未然才是上上之策。一般來說，一臺主機在一定的情況、一定的時間上是安全的，但是隨著網絡結構的變化、新的漏洞的發現，管理員/用戶的操作、主機的安全狀況是隨時隨地變化著的，只有讓安全意識和安全制度貫穿整個過程才能做到真正的安全。

雖然要真正實現操作系統安全配置十分困難，但是Windows系統含有很多安全策略，只要合理地制定與實施，我們所使用的系統將會是一個相對安全的操作系統。因此作為系統的使用者，我們要最大程度地利用操作系統的安全策略來保障操作系統的安全運行，避免用戶的錯誤操作給操作系統帶來的危害，并通過對安全策略的有效制定和實施來防止各種針對操作系統的惡意攻擊，從而使得系統能夠處于一個相對安全的運行環境中。

參考文獻：

[1]吳敏. Windows XP操作系統安全策略[J]. 電腦知識與技術（學術交流），2007，10：1125-1126.

[2]朱敏. Windows系統安全策略[J]. 計算機系統應用，2007，07：98-102.

[3]潘常春，楊炳. 探究Windows XP操作系統安全策略[J]. 柳州師專學報，20052005，03：122-124.

[4]卿斯漢，劉文清，溫紅子等. 操作系統安全[M]. 清華大學出版社，2004年.

[5]陳永峰，楊寧俠. 淺析Windows XP操作系統安全[J]. 科技致富向導，2015，02：194.

[6]韋素娟. Windows系統安全初探[J]. 福建電腦，2008，04：55+59.

[7]戴宗坤等. 信息系統安全[M]. 電子工業出版社，2003年.

[8]蔣魯松. Windows系統安全漏洞及解決方法[J]. 山東省青年管理干部學院學報，2003，02：109-110.

[9]蔡誼，沈昌祥. 安全操作系統中制定安全策略的研究[J]. 計算機應用與軟件，2002，11：8-11.