论文部分内容阅读
【摘要】本篇从windows 2000系列操作系统出发,由浅入深的探讨了系统的安全配置问题,结合读者的实际情况,按要求出发由低到高,给出了3种安全配置方案。
【关键词】安全配置;计算机
【中图号】TP316.7【文献标示码】A【文章编号】1005-1074(2008)11-0240-01
随着家用计算机的日益普及,操作系统这个昔日很专业的术语也逐渐走入了大众的视野。人们在享受计算机带来的一切便利的同时,也时刻承受着来自互联网上木马,不良信息,网络入侵等多方面的威胁,尤其以网络安全类问题最为突出。本篇从windows 2000系列操作系统出发,由浅入深的探讨了系统的安全配置问题,结合读者的实际情况,按要求出发由低到高,给出了3种安全配置方案,即便是刚入门的计算机初学者也可以很快熟悉上手,掌握一定的系统安全知识。
1安全配置方案初级篇
1.1停止Guest账号在计算机管理的用户里面把guest账号停用,任何时候都不允许Guest账号登陆系统,为保险起见,最好给guest加载复杂密码,并修改guest账号属性,设置拒绝远程访问。
1.2陷阱账号所谓陷阱账号就是创建一个“Administrator”的本地账户,把它的权限设置成最低并加上一个超长的复杂密码,这样可以让那些企图入侵者花费很长的时间,并且可以借此发现他们的入侵企图。可以将该用户隶属的组修改成Guests组。
1.3更改默认权限将共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入网络的用户都能够获得这些共享资料。
1.4安全密码一些网络管理员创建账号时往往用公司名、计算机名或者一些别的容易猜到的字符做用户名,然后又把这些账户的密码设置的比较简单。这样的账户应该要求用户首次登陆时更改成复杂的密码,还要注意经常更改密码。
2安全配置方案中级篇
2.1关闭不必要的服务为了能够在远程方便的管理服务器,很多计算机的终端服务都是开启的,如果开启了,要确认已经正确配置了终端服务。有些恶意的程序也能以服务方式悄悄地运行服务器上的终端服务,要留意服务器上开启的所有服务并每天检查。Windows 2000作为服务器可禁用的服务包括一下几种:Computer Browser,Task scheduler,Routing and Remote Access,Removable storage,Print Spooler,IPSEC Policy Agent,Distributed Link Trackin Client,Com+ Event System等。
2.2关闭不必要的端口关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少些。
2.3开启审核策略安全审核是Windows 2000最基本的入侵检测方法。当有人尝试队系统进行某种方式(如尝试用户密码,改变账户策略和未经许可的文件访问等)入侵时,都会被安全审核记录下来。具体设置如下:审核系统用户登录事件:成功,失败;审核账户管理:成功,失败;审核登录事件:成功,失败;审核对象访问:成功;审核策略更改:成功,失败;审核特权适用:成功,失败;审核系统事件:成功,失败。审核策略在默认的情况下都是没开启的,双击审核列表某一项,出现设置对话框,将复选框“成功”和“失败”都选中,按照顺序将需要设置的策略全部设置。
2.4开启密码策略密码队系统安全非常重要,本地安全设置中的密码策略在默认情况下都没有开启。密码复杂性要求:启用,密码长度最小值:6位,密码最长存留期:15天,强制密码历史:5次
2.5开启账户策略开启账户策略可以有效防止字典式攻击,设置如下:复位账户锁定计时器:30分钟,账户锁定时间:30分钟,账户锁定阈值:5次
2.6不显示上次登录名修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改子键Softwart\Microsoft\WindowsNT\CurrentVersion\Winlogin\DontDisplayLastUserName,将键值改成1。
2.7禁止建立空连接默认情况下,任何用户通过空连接连上服务器,进而可以枚举出账号,猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键System\CurrentControlSet\Control\LSA\RestrictAnonymous,将键值改为1即可。
3安全配置方案高级篇
3.1关闭DirectDraw在HKEY_LOCAL_MACHINE主键下修改子键System\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout,将键值修改为0即可。
3.2禁用Dump文件Dump文件能给黑客提供一些敏感信息,比如一些应用程序的密码。用来禁止dump文件,可打开“控制面板”选择“系统属性”的“高级选项卡,并选择“启动和故障恢复”,在打开的“启动和故障恢复”对话框中,把写入调试信息修改成“无”。
3.3文件加密系统Windows 2000强大的加密系统能够给磁盘、文件夹、文件加上一层安全保护。这样可以防止他人把本地硬盘挂到别的机器上读出里面的数据。
3.4锁住注册表当管理员及次一级账号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上时,一般需要锁定注册表,修改Hkey_current_user下的子键:Software\microsoft\windows\currentversion\policies\system,把disableregistry tools的值改为0,类型为DWORD。
3.5关机时清除文件某些第三方的程序可以吧一些没有加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料,因此要在关机时清除页面文件。这可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键system\currentcontrolset\control\sessionmanager\memory management,把clearpagefileatshutdown的值设置成1。
3.6禁止判断主机类型黑客利用TTL(Time To Live,生存时间)值可以鉴别操作系统的类型,通过ping指令能判断目标主机类型。修改TTL的值入侵者就无法入侵计算机了。比如将操作系统的TTL值改为888,修改主键HKEY_LOCAL_MACHINE的子键system\current_controlset\services\tcp-ip\parameters,新建一个双字节项,在键的名称中输入“defaultTTL”,然后双击该键名,选择“十进制”,在“数位数据”文本框中输入888。设置完毕后重新启动计算机,再次使用ping指令,发现TTL的值已经被改为888。
3.7禁止guest访问日志在默认安装的Windows nt和Windows 2000中,guest账号和匿名用户可以查看系统的事件日志,这可能导致许多重要信息的泄漏,可通过修改注册表来禁止guest访问事件日志。①禁止guest访问应用日志:在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog\application下添加键值名称为“RestrictguestAccess”,类型为DWORD,将值设置为1。②系统日志:在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog\system下添加键值名称为“RestrictguestAccess”,类型为DWORD,将值设置为1。③安全日志:在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog\security下添加键值名称为“RestrictguestAccess”,类型为DWORD,将值设置为1。
Windows操作系统安全配置方案到此告一段落,如果每一条规则都能得到很好实施的话,该服务器无论是在局域网还是广域网,即使没有网络防火墙,也比较安全了。当然,道高一尺,魔高一丈,新的安全漏洞,入侵手段层出不穷,只要我们能做到未雨绸缪防患于未然,就能将损失减少到最低。
【关键词】安全配置;计算机
【中图号】TP316.7【文献标示码】A【文章编号】1005-1074(2008)11-0240-01
随着家用计算机的日益普及,操作系统这个昔日很专业的术语也逐渐走入了大众的视野。人们在享受计算机带来的一切便利的同时,也时刻承受着来自互联网上木马,不良信息,网络入侵等多方面的威胁,尤其以网络安全类问题最为突出。本篇从windows 2000系列操作系统出发,由浅入深的探讨了系统的安全配置问题,结合读者的实际情况,按要求出发由低到高,给出了3种安全配置方案,即便是刚入门的计算机初学者也可以很快熟悉上手,掌握一定的系统安全知识。
1安全配置方案初级篇
1.1停止Guest账号在计算机管理的用户里面把guest账号停用,任何时候都不允许Guest账号登陆系统,为保险起见,最好给guest加载复杂密码,并修改guest账号属性,设置拒绝远程访问。
1.2陷阱账号所谓陷阱账号就是创建一个“Administrator”的本地账户,把它的权限设置成最低并加上一个超长的复杂密码,这样可以让那些企图入侵者花费很长的时间,并且可以借此发现他们的入侵企图。可以将该用户隶属的组修改成Guests组。
1.3更改默认权限将共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入网络的用户都能够获得这些共享资料。
1.4安全密码一些网络管理员创建账号时往往用公司名、计算机名或者一些别的容易猜到的字符做用户名,然后又把这些账户的密码设置的比较简单。这样的账户应该要求用户首次登陆时更改成复杂的密码,还要注意经常更改密码。
2安全配置方案中级篇
2.1关闭不必要的服务为了能够在远程方便的管理服务器,很多计算机的终端服务都是开启的,如果开启了,要确认已经正确配置了终端服务。有些恶意的程序也能以服务方式悄悄地运行服务器上的终端服务,要留意服务器上开启的所有服务并每天检查。Windows 2000作为服务器可禁用的服务包括一下几种:Computer Browser,Task scheduler,Routing and Remote Access,Removable storage,Print Spooler,IPSEC Policy Agent,Distributed Link Trackin Client,Com+ Event System等。
2.2关闭不必要的端口关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少些。
2.3开启审核策略安全审核是Windows 2000最基本的入侵检测方法。当有人尝试队系统进行某种方式(如尝试用户密码,改变账户策略和未经许可的文件访问等)入侵时,都会被安全审核记录下来。具体设置如下:审核系统用户登录事件:成功,失败;审核账户管理:成功,失败;审核登录事件:成功,失败;审核对象访问:成功;审核策略更改:成功,失败;审核特权适用:成功,失败;审核系统事件:成功,失败。审核策略在默认的情况下都是没开启的,双击审核列表某一项,出现设置对话框,将复选框“成功”和“失败”都选中,按照顺序将需要设置的策略全部设置。
2.4开启密码策略密码队系统安全非常重要,本地安全设置中的密码策略在默认情况下都没有开启。密码复杂性要求:启用,密码长度最小值:6位,密码最长存留期:15天,强制密码历史:5次
2.5开启账户策略开启账户策略可以有效防止字典式攻击,设置如下:复位账户锁定计时器:30分钟,账户锁定时间:30分钟,账户锁定阈值:5次
2.6不显示上次登录名修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改子键Softwart\Microsoft\WindowsNT\CurrentVersion\Winlogin\DontDisplayLastUserName,将键值改成1。
2.7禁止建立空连接默认情况下,任何用户通过空连接连上服务器,进而可以枚举出账号,猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键System\CurrentControlSet\Control\LSA\RestrictAnonymous,将键值改为1即可。
3安全配置方案高级篇
3.1关闭DirectDraw在HKEY_LOCAL_MACHINE主键下修改子键System\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout,将键值修改为0即可。
3.2禁用Dump文件Dump文件能给黑客提供一些敏感信息,比如一些应用程序的密码。用来禁止dump文件,可打开“控制面板”选择“系统属性”的“高级选项卡,并选择“启动和故障恢复”,在打开的“启动和故障恢复”对话框中,把写入调试信息修改成“无”。
3.3文件加密系统Windows 2000强大的加密系统能够给磁盘、文件夹、文件加上一层安全保护。这样可以防止他人把本地硬盘挂到别的机器上读出里面的数据。
3.4锁住注册表当管理员及次一级账号的密码泄漏以后,黑客也可以在远程访问注册表,当服务器放到网络上时,一般需要锁定注册表,修改Hkey_current_user下的子键:Software\microsoft\windows\currentversion\policies\system,把disableregistry tools的值改为0,类型为DWORD。
3.5关机时清除文件某些第三方的程序可以吧一些没有加密的密码存在内存中,页面文件中可能含有另外一些敏感的资料,因此要在关机时清除页面文件。这可以编辑注册表修改主键HKEY_LOCAL_MACHINE下的子键system\currentcontrolset\control\sessionmanager\memory management,把clearpagefileatshutdown的值设置成1。
3.6禁止判断主机类型黑客利用TTL(Time To Live,生存时间)值可以鉴别操作系统的类型,通过ping指令能判断目标主机类型。修改TTL的值入侵者就无法入侵计算机了。比如将操作系统的TTL值改为888,修改主键HKEY_LOCAL_MACHINE的子键system\current_controlset\services\tcp-ip\parameters,新建一个双字节项,在键的名称中输入“defaultTTL”,然后双击该键名,选择“十进制”,在“数位数据”文本框中输入888。设置完毕后重新启动计算机,再次使用ping指令,发现TTL的值已经被改为888。
3.7禁止guest访问日志在默认安装的Windows nt和Windows 2000中,guest账号和匿名用户可以查看系统的事件日志,这可能导致许多重要信息的泄漏,可通过修改注册表来禁止guest访问事件日志。①禁止guest访问应用日志:在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog\application下添加键值名称为“RestrictguestAccess”,类型为DWORD,将值设置为1。②系统日志:在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog\system下添加键值名称为“RestrictguestAccess”,类型为DWORD,将值设置为1。③安全日志:在HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog\security下添加键值名称为“RestrictguestAccess”,类型为DWORD,将值设置为1。
Windows操作系统安全配置方案到此告一段落,如果每一条规则都能得到很好实施的话,该服务器无论是在局域网还是广域网,即使没有网络防火墙,也比较安全了。当然,道高一尺,魔高一丈,新的安全漏洞,入侵手段层出不穷,只要我们能做到未雨绸缪防患于未然,就能将损失减少到最低。