1、 电脑安全问题一直以来都是个最重要的一个问题,也是电脑爱好者最关心的一个问题。它是个大话题涉及到电脑的方方面面,三言两语是说不清楚的,也不是几天就能够学会的。在这里我总结了一些系统安全配置方面的知识,希望对大家有所帮助。因为只有一台安全的电脑才可以预防病毒的骚扰、抵御黑客的入侵。 下面就开始我们的安全之旅吧。一、安装过程 1、有选择性地安装组件 安装操作系统时请用 ntfs 格式, 不要按 windows 2000 的默认安装组件,本着“最少的服务+最小的权限=最大的安全”原则,只选择安装需要的服务即可。例如:不作为 web 服务器或 ftp 服务器就不安装 iis。常用 web 服务器需要的
2、最小组件是: internet 服务管理器、www 服务器和与其有关的辅助服务。如果是默认安装了 iis 服务自己又不需要的就将其卸载。卸载办法:开始-设置-控制面板-添加删除程序-添加/删除windows 组件,在“windows 组件向导”的“组件(c):”中将“internet 信息服务(iis)”前面小框中的去掉,然后“下一步”就卸载了 iis。 2、网络连接 在安装完成 windows 2000/xp 操作系统后,不要立即连入网络,因为这时系统上的各种程序还没有打上补丁,存在各种漏洞,非常容易感染病毒和被入侵,此时应该安装杀毒软件和防火墙。杀毒软件和防火墙推荐使用卡巴斯基、诺顿企业版
3、客户端(若做服务器则用服务端)和 z 二、正确设置和管理账户 1、停止使用 guest 账户,并给 guest 加一个复杂的密码。所谓的复杂密码就是密码含大小写字母、数字、特殊字符(!¥%,。?)等。比如象:“g7y3,)y。 2、账户要尽可能少,并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户,常用的扫描软件有:流光、hscan、x-scan、stat scanner 等。正确配置账户的权限,密码至少应不少于 8 位,比如:“3h.4d在“账户策略账户锁定策略”设定:“账户锁定 3 次错误登录”,“锁定时间 30 分钟”,“复位锁定计数 30 分钟”等,增加了登录的难
4、度对系统的安全大有好处。 4、把系统 administrator 账号改名,名称不要带有 admin 等字样; 创建一个陷阱帐号,如创建一个名为“administrator”的本地帐户,把权限设置成最低,什么事也干不了,并且加上一个超过 10 位的超级复杂密码。这样可以让那些“不法之徒”忙上一段时间了,并且可以借此发现他们的入侵企图。 三、正确地设置目录和文件权限(这步可以在以后做) 为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。windows 2000/xp pro 的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。
5、在默认的情况下,大多数的文件夹对所有用户(every c 权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。 拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。 文件权限比文件夹权限高。 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。 预防 icmp 攻击。icmp 的风暴攻击和碎片攻击是 nt 主机比较头疼的攻击方法,而windows 2000/2003 应付的方法很简单。w
6、indows 2000/2003 自带一个 routing 21 用于 ftp 服务;25 口用于 smtp;23 口用于telnet 服务;110 口用于 pop3(邮件服务)。 常用的 udp 端口有:53 口-dns 域名解析服务;161 口-snmp 简单的网络管理协议。8000、4000 用于 oicq,服务器用 8000 来接收信息,客户端用 4000 发送信息。如果没有上面这些服务就没有必要打开这些端口。 4、禁止建立空连接 windows 2000/xp 的默认安装允许任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是 139,通过空连接,可以复制文件到远端服
7、务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接: a:修改注册表中 local_machine system currentc c lsa-restrictan 的值为 1。 b:修改 windows 2000 的本地安全策略。设置“本地安全策略本地策略选项”中的restrictan windows 2000/xp 的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表 local_
8、machine system currentc c lsa-restrictan = 1 来禁止空用户连接,实际上 windows 2000/xp 的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有 restrictan 2000/xp 才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。 五、关闭无用端口和修改 3389 端口 windows 的每一项服务都对应相应的端口,比如众如周知的 www 服务的端口是80,smtp 是 25,ftp 是 21,win2000/xp 安装中这些服务都是默认开启的。对于个人用户来说确实没有必
9、要,关掉端口也就是关闭了无用的服务。 关闭这些无用的服务可以通过“控制面板”的“管理工具”中的“服务”中来配置。 1、关闭 7.9 等等端口:关闭 simple tcp/ip service,支持以下 tcp/ip 服务:character generator, daytime, discard, echo, 以及 quote of the day。 2、关闭 80 口:关掉 www 服务。在“服务”中显示名称为“world wide web publishing service“,通过 internet 信息服务的管理单元提供 web 连接和管理。 3、关掉 25 端口:关闭 simple
10、mail transport protocol (smtp)服务,它提供的功能是跨网传送电子邮件。 4、关掉 21 端口:关闭 ftp publishing service,它提供的服务是通过 internet 信息服务的管理单元提供 ftp 连接和管理。 5、关掉 23 端口:关闭 telnet 服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭 server 服务,此服务提供 rpc 支持、文件、打印以及命名管道共享。关掉它就关掉了 win2k 的默认共享,比如 ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。 7、还有一个就是 13
11、9 端口,139 端口是 netbios sessi 关闭 139 端口的方法是在“网络和拨号连接”“本地连接”中选取“internet 协议(tcp/ip)”属性,进入“高级 tcp/ip 设置”“wins 设置”里面有一项“禁用 tcp/ip 的netbios”,打勾就关闭了 139 端口。 对于个人用户来说,可以在以上各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。 8、修改 3389:打开注册表 hkey_local_machine system currentc c terminal server wds repwd td
12、s tcp, 看到那个 portnumber 没有?0xd3d,这个是 16 进制,就是 3389 啦。我改 xxxx 这个值是 rdp(远程桌面协议)的默认值,也就是说用来配置以后新建的 rdp 服务的,要改已经建立的 rdp 服务,我们去下一个键值:hkey_local_machine system currentc c terminalserver winstati 六、本地安全策略 1、通过建立 ip 策略来阻止端口连接 tcp 端口:21(ftp,换 ftp 端口)23(telnet),53(dns),135,136,137,138,139,443,445,1028,1433,338
13、9 tcp 端口:1080,3128,6588,8080(以上为代理端口).25(smtp),161(snmp),67(引导) udp 端口:1434(这个就不用说了吧) 阻止所有 icmp,即阻止 ping 命令 2、在这里我用关闭 135 端口来实例讲解 具体见我的帖子使用本地安全策略关闭端口(tcp/ip 筛选) 七、审核策略 具体方法:控制面板管理工具本地安全策略本地策略审核策略,然后右键点击下列各项,选择“安全性”来设置就可以了。 审核策略更改:成功,失败 审核登录事件:成功,失败 审核对象访问:失败 审核对象追踪:成功,失败 审核目录服务访问:失败 审核特权使用:失败 审核系统事件
14、:成功,失败 审核账户登录事件:成功,失败 审核账户管理:成功,失败 密码策略:启用“密码必须符合复杂性要求“,“密码长度最小值“为 6 个字符,“强制密码历史“为 5 次,“密码最长存留期“为 30 天。 在账户锁定策略中设置:“复位账户锁定计数器“为 30 分钟之后,“账户锁定时间“为 30分钟,“账户锁定值“为 30 分钟。 安全选项设置:本地安全策略本地策略安全选项对匿名连接的额外限制,双击对其中有效策略进行设置,选择“不允许枚举 sam 账号和共享“,因为这个值是只允许非 null用户存取 sam 账号信息和共享信息,一般选择此项,然后再禁止登录屏幕上显示上次登录的用户名。 禁止登录
15、屏幕上显示上次登录的用户名也可以改注册表 hkey_local_machine softtware microsoft windowsnt currentvesion winlogn 项中的 d display last user name 串,将其数据修改为 1 八、windows 日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。 1. 修改日志文件存放目录 windows 日志文件默认路径是“%systemroot% system32 c 点击“开始运行”,在对话框中输入“regedit”,回车后弹出注册表编辑器,依次展开
16、hkey_local_machine system currentc services eventlog 后,下面的 applicati 我以应用程序日志为例,将其转移到“d: abc”目录下。首先选中 application 子项,在右栏中找到 file 键,其键值为应用程序日志文件的路径“%systemroot%system32configappevent.evt”,将它修改为“d:abc appevent.evt”。接着在 d 盘新建“abc”目录,将“appevent.evt”拷贝到该目录下,重新启动系统,这样就完成了应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只
17、是在不同的子项下操作。 2. 设置文件访问权限 修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是 windows 系统要采用 ntfs 文件系统格式。 右键点击 d 盘的 cce 目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“every 九、写在最后的话 现在你可以连接上网了,但是暂时不要打开 ie 浏览器。接下来工作是升级杀毒软件和防火墙,并设置好,具体设置方法请参照缔造论坛的相关教程。然后从开始菜单打开windows update 打好系统所有的补丁,这
18、个过程有点漫长,耐心等待吧。当你打好系统所有补丁后再备份好系统,呵呵上网吧你安全了 基础知识 安全模式是 Windows 操作系统中的一种特殊模式,经常使用电脑的朋友肯定不会感到陌生,在安全模式下用户可以轻松地修复系统的一些错误,起到事半功倍的效果。安全模式的工作原理是在不加载第三方设备驱动程序的情况下启动电脑,使电脑运行在系统最小模式,这样用户就可以方便地检测与修复计算机系统的错误。进入安全模式只要在启动计算机时,在系统进入 Windows 启动画面前,按下 F8 键(或者在启动计算机时按住 Ctrl 键),就会出现操作系统多模式启动菜单,只需要选择“Safe Mode”,就可以将计算机启动
19、到安全模式。应用技巧删除顽固文件我们在 Windows 下删除一些文件或清除资源回收站内容时,系统有时会提示某某文件正在使用中,无法删除的字样,不过这些文件并无使用中,此时可试着重新启动计算机并在启动时进入安全模式。进入安全模式后,Windows 会自动释放这些文件的控制权,便可以将它们删除。“安全模式”还原如果计算机不能正常启动,可以使用“安全模式”或者其它启动选项来启动计算机,在电脑启动时按下 F8 键,在启动模式菜单中选择安全模式,然后按下面方法进行系统还原:点击“开始”“所有程序”“附件”“系统工具” “系统还原”,打开系统还原向导,然后选择“恢复我的计算机到一个较早的时间”选项,点击
20、“下一步”按钮,在日历上点击黑体字显示的日期选择系统还原点(图 3),点击“下一步”按钮即可进行系统还原。查杀病毒现在病毒一天比一天多,杀毒软件也天天更新。但是,在 Windows 下杀毒我们未免有些不放心,因为它们极有可能会交叉感染。而一些杀毒程序又无法在 DOS 下运行,这时候我们当然也可以把系统启动至安全模式,使 Windows 只加载最基本的驱动程序,这样杀起病毒来就更彻底、更干净了。解除组策略锁定其实 Windows 中组策略限制是通过加载注册表特定键值来实现的,而在安全模式下并不会加载这个限制。重启开机后按住 F8 键,在打开的多重启动菜单窗口,选择“带命令提示符的安全模式”。进入
21、桌面后,在启动的命令提示符下输入“C:WindowsSystem32XXX.exe(你启动的程序)”,启动控制台,再按照如上操作即可解除限制,最后重启正常登录系统即可解锁。注:组策略的很多限制在安全模式下都无法生效,如果碰到无法解除的限制,不妨进入下寻找解决办法。修复系统故障如果 Windows 运行起来不太稳定或者无法正常启动,这时候先不要忙着重装系统,试着重新启动计算机并切换到安全模式启动,之后再重新启动计算机,系统是不是已经恢复正常了?如果是由于注册表有问题而引起的系统故障,此方法非常有效,因为 Windows 在安全模式下启动时可以自动修复注册表问题,在安全模式下启动 Windows
22、成功后,一般就可以在正常模式(Normal)下启动了。恢复系统设置如果用户是在安装了新的软件或者更改了某些设置后,导致系统无法正常启动,也需要进入安全模式下解决,如果是安装了新软件引起的,请在安全模式中卸载该软件,如果是更改了某些设置,比如显示分辨率设置超出显示器显示范围,导致了黑屏,那么进入安全模式后就可以改变回来,还有把带有密码的屏幕保护程序放在“启动”菜单中,忘记密码后,导致无法正常操作该计算机,也可以进入安全模式更改。揪出恶意的自启动程序或服务如果电脑出现一些莫明其妙的错误,比如上不了网,按常规思路又查不出问题,可启动到带网络连接的安全模式下看看,如果在这里能上,则说明是某些自启动程序
23、或服务影响了网络的正常连接。检测不兼容的硬件XP 由于采用了数字签名式的驱动程序模式,对各种硬件的检测也比以往严格,所以一些设备可能在正常状态下不能驱动使用。例如一些早期的 CABLE MODEM,如果你发现在正常模式下 XP 不能识别硬件,可以在启动的时候按 F8,然后选进入安全模式,在安全模式里检测新硬件,就有可能正确地为 CABLE MODEM 加载驱动了。卸载不正确的驱动程序一般的驱动程序,如果不适用你的硬件,可以通过 XP 的驱动还原来卸载。但是显卡和硬盘 IDE 驱动,如果装错了,有可能一进入 GUI 界面就死机;一些主板的 ULTRA DMA 补丁也是如此,因为 Windows 是要随时读取内存与磁盘页面文件调整计算机状态的,所以硬盘驱动一有问题马上系统就崩溃。此时怎么办呢?某些情况下,禁用管理员帐户可能造成维护上的困难。例如,在域环境中,当用于建立连接的安全信道由于某种原因失败时,如果没有其他的本地管理员帐户,则必须以安全模式重新启动计算机来修复致使连接状态中断的问题。如果试图重新启用已禁用的管理员帐户,但当前的管理员密码不符合密码要求,则无法重新启用该帐户。这种情况下,该管理员组的可选成员必须通过“本地用户和组”用户界面来设置该管理员帐户的密码。
