Windows安全配置技术
一
Windows 下安全权限设置详解
随着动网论坛的广泛应用和动网上传漏洞的被发现以及 SQL 注入式攻击越来越多的被使用, WEBSHELL 让防火墙形同虚设,一台即使打了所有微软补丁、只让 80 端口对外开放的 WEB 服务器也逃不过被黑的命运。
随着动网论坛的广泛应用和动网上传漏洞的被发现以及 SQL 注入式攻击越来越多的被使用, WEBSHELL 让防火墙形同虚设,一台即使打了所有微软补丁、只让 80 端口对外开放的 WEB 服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了 NTFS 系统下的权限设置问题,我们可以对 crackers 们说: NO!
Windows NT 里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈 NT 中常见的用户组。
Administrators, 管理员组,默认情况下, Administrators 中的用户对计算机 / 域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users ,高级用户组, Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但 Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于 Administrators 的。
Users: 普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。 Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。 Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。 Users 可以关闭工作站,但不能关闭服务器。 Users 可以创建本地组,但只能修改自己创建的本地组。
Guests: 来宾组,按默认值,来宾跟普通 Users 的成员有同等访问权,但来宾帐户的限制更多。
Everyone: 顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和 Administrators 一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是 SYSTEM 组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户 SYSTEM ,也许把该组归为用户的行列更为贴切。
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了 Administrators 之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是 Administrators 中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用 Administrators 中的用户登陆。
Administrators 中有一个在系统安装时就创建的默认用户 ----Administrator , Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道 “ 管理员 ” 存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。 Guests 用户组下,也有一个默认用户 ----Guest, 但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过 “ 控制面板 ”--“ 管理工具 ”--“ 计算机管理 ”--“ 用户和用户组 ” 来查看用户组及该组下的用户。
我们用鼠标右键单击一个 NTFS 卷或 NTFS 卷下的一个目录,选择 “ 属性 ”--“ 安全 ” 就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。 “ 完全控制 ” 就是对此卷或目录拥有不受限制的完全访问。地位就像 Administrators 在所有组中的地位一样。选中了 “ 完全控制 ” ,下面的五项属性将被自动被选中。 “ 修改 ” 则像 Power users ,选中了 “ 修改 ” ,下面的四项属性将被自动被选中。下面的任何一项没有被选中时, “ 修改 ” 条件将不再成立。 “ 读取和运行 ” 就是允许读取和运行在这个卷或目录下的任何文件, “ 列出文件夹目录 ” 和 “ 读取 ” 是 “ 读取和运行 ” 的必要条件。 “ 列出文件夹目录 ” 是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。 “ 读取 ” 是能够读取该卷或目录下的数据。 “ 写入 ” 就是能往该卷或目录下写入数据。而 “ 特别 ” 则是对以上的六种权限进行了细分。读者可以自行对 “ 特别 ” 进行更深的研究,鄙人在此就不过多赘述了。
希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点 ---- 有钱![]()
。好了,言归正传,该服务器的数据库为
MS-SQL
,
MS-SQL
的服务软件
SQL2000
安装在
d:\ms-sqlserver2K
目录下,给
SA
账户设置好了足够强度的密码,安装好了
SP3
补丁。
为了方便网页制作员对网页进行管理,该网站还开通了 FTP 服务, FTP 服务软件使用的是 SERV-U 5.1.0 .0 ,安装在 d:\ftpservice\serv-u 目录下。杀毒软件和防火墙用的分别是 Norton Antivirus 和 BlackICE, 路径分别为 d:\nortonAV 和 d:\firewall\blackice, 病毒库已经升级到最新,防火墙规则库定义只有 80 端口和 21 端口对外开放。网站的内容是采用动网 7.0 的论坛 , 网站程序在 e:\www\bbs 下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的 WEB 服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了: “ 这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗? ” 当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用 Windows 默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为 [url]http://www.webserver.com[/url] ,用扫描软件对其进行扫描后发现开放 WWW 和 FTP 服务,并发现其服务软件使用的是 IIS 5.0 和 Serv-u 5.1 ,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个 /upfile.asp ,发现有文件上传漏洞,便抓包,把修改过的 ASP 木马用 NC 提交,提示上传成功,成功得到 WEBSHELL ,打开刚刚上传的 ASP 木马,发现有 MS-SQL 、 Norton Antivirus 和 BlackICE 在运行,判断是防火墙上做了限制,把 SQL 服务端口屏蔽了。通过 ASP 木马查看到了 Norton Antivirus 和 BlackICE 的 PID ,又通过 ASP 木马上传了一个能杀掉进程的文件,运行后杀掉了 Norton Antivirus 和 BlackICE 。再扫描,发现 1433 端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的 conn.asp 得到 SQL 的用户名密码,再登陆进 SQL 执行添加用户,提管理员权限。也可以抓 SERV-U 下的 ServUDaemon.ini 修改后上传,得到系统管理员权限。还可以传本地溢出 SERV-U 的工具直接添加用户到 Administrators 等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看 Windows 2000 的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了 Everyone 组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是 Documents and settings 、 Program files 和 Winnt 。对于 Documents and settings ,默认的权限是这样分配的: Administrators 拥有完全控制权; Everyone 拥有读 & 运,列和读权限; Power users 拥有读 & 运,列和读权限; SYSTEM 同 Administrators;Users 拥有读 & 运,列和读权限。对于 Program files , Administrators 拥有完全控制权; Creator owner 拥有特殊权限![]()
ower users
有完全控制权
;SYSTEM
同
Administrators;Terminal server users
拥有完全控制权,
Users
有读
&
运,列和读权限。对于
Winnt
,
Administrators
拥有完全控制权;
Creator owner
拥有特殊权限
![]()
ower users
有完全控制权
;SYSTEM
同
Administrators;Users
有读
&
运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是
Everyone
组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予 IUSR 用户,它是隶属于 Guest 组的。本来权限不高,但是系统默认给的 Everyone 组完全控制权却让它 “ 身价倍增 ” ,到最后能得到 Administrators 了。那么,怎样设置权限给这台 WEB 服务器才算是安全的呢?大家要牢记一句话: “ 最少的服务 + 最小的权限 = 最大的安全 ” 对于服务,不必要的话一定不要装,要知道服务的运行是 SYSTEM 级的哦,对于权限,本着够用就好的原则分配就是了。对于 WEB 服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、 Documents and settings 以及 Program files ,只给 Administrator 完全控制权,或者干脆直接把 Program files 给删除掉;给系统卷的根目录多加一个 Everyone 的读、写权;给 e:\www 目录,也就是网站目录读、写权。
最后,还要把 cmd.exe 这个文件给挖出来,只给 Administrator 完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问: “ 为什么要给系统卷的根目录一个 Everyone 的读、写权?网站中的 ASP 文件运行不需要运行权限吗? ” 问的好,有深度。是这样的,系统卷如果不给 Everyone 的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。当然这也有个前提 ---- 虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷 Everyone 的读、写权。 ASP 文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但 ASP 文件不是系统意义上的可执行文件,它是由 WEB 服务的提供者 ----IIS 来解释执行的,所以它的执行并不需要运行的权限。
经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性、优先性、交叉性的。
继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。
累加是说如一个组 GROUP1 中有两个用户 USER1 、 USER2 ,他们同时对某文件或目录的访问权限分别为 “ 读取 ” 和 “ 写入 ” ,那么组 GROUP1 对该文件或目录的访问权限就为 USER1 和 USER2 的访问权限之和,实际上是取其最大的那个,即 “ 读取 ”+“ 写入 ”=“ 写入 ” 。 又如一个用户 USER1 同属于组 GROUP1 和 GROUP2 ,而 GROUP1 对某一文件或目录的访问权限为 “ 只读 ” 型的,而 GROUP2 对这一文件或文件夹的访问权限为 “ 完全控制 ” 型的,则用户 USER1 对该文件或文件夹的访问权限为两个组权限累加所得,即: “ 只读 ”+“ 完全控制 ”=“ 完全控制 ” 。
优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是 “ 拒绝 ” 权限优先其它权限,也就是说 “ 拒绝 ” 权限可以越过其它所有其它权限,一旦选择了 “ 拒绝 ” 权限,则其它权限也就不能取任何作用,相当于没有设置。
交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录 A 为用户 USER1 设置的共享权限为 “ 只读 ” ,同时目录 A 为用户 USER1 设置的访问权限为 “ 完全控制 ” ,那用户 USER1 的最终访问权限为 “ 只读 ” 。
权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在 NTFS 分区中才能实现的, FAT32 是不支持权限设置的。同时还想给各位管理员们一些建议:
1. 养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。
2. 设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。
3. 尽量不要把各种软件安装在默认的路径下
二、关闭 Windows 远程注册表服务默认情况下 Windows 系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务,如果黑客连接到我们的计算机并且计算机启用了远程注册表服务( Remote Registry )的话他还可以通过远程注册表操作系统任意服务,因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就可以高枕无忧,黑客可以通过命令行指令将服务轻松开启。
要想彻底关闭远程注册表服务可以采用如下方法:
Windows 下安全权限设置详解
随着动网论坛的广泛应用和动网上传漏洞的被发现以及 SQL 注入式攻击越来越多的被使用, WEBSHELL 让防火墙形同虚设,一台即使打了所有微软补丁、只让 80 端口对外开放的 WEB 服务器也逃不过被黑的命运。
随着动网论坛的广泛应用和动网上传漏洞的被发现以及 SQL 注入式攻击越来越多的被使用, WEBSHELL 让防火墙形同虚设,一台即使打了所有微软补丁、只让 80 端口对外开放的 WEB 服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了 NTFS 系统下的权限设置问题,我们可以对 crackers 们说: NO!
Windows NT 里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈 NT 中常见的用户组。
Administrators, 管理员组,默认情况下, Administrators 中的用户对计算机 / 域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users ,高级用户组, Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但 Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于 Administrators 的。
Users: 普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。 Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。 Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。 Users 可以关闭工作站,但不能关闭服务器。 Users 可以创建本地组,但只能修改自己创建的本地组。
Guests: 来宾组,按默认值,来宾跟普通 Users 的成员有同等访问权,但来宾帐户的限制更多。
Everyone: 顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和 Administrators 一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是 SYSTEM 组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户 SYSTEM ,也许把该组归为用户的行列更为贴切。
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了 Administrators 之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是 Administrators 中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用 Administrators 中的用户登陆。
Administrators 中有一个在系统安装时就创建的默认用户 ----Administrator , Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道 “ 管理员 ” 存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。 Guests 用户组下,也有一个默认用户 ----Guest, 但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过 “ 控制面板 ”--“ 管理工具 ”--“ 计算机管理 ”--“ 用户和用户组 ” 来查看用户组及该组下的用户。
我们用鼠标右键单击一个 NTFS 卷或 NTFS 卷下的一个目录,选择 “ 属性 ”--“ 安全 ” 就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。 “ 完全控制 ” 就是对此卷或目录拥有不受限制的完全访问。地位就像 Administrators 在所有组中的地位一样。选中了 “ 完全控制 ” ,下面的五项属性将被自动被选中。 “ 修改 ” 则像 Power users ,选中了 “ 修改 ” ,下面的四项属性将被自动被选中。下面的任何一项没有被选中时, “ 修改 ” 条件将不再成立。 “ 读取和运行 ” 就是允许读取和运行在这个卷或目录下的任何文件, “ 列出文件夹目录 ” 和 “ 读取 ” 是 “ 读取和运行 ” 的必要条件。 “ 列出文件夹目录 ” 是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。 “ 读取 ” 是能够读取该卷或目录下的数据。 “ 写入 ” 就是能往该卷或目录下写入数据。而 “ 特别 ” 则是对以上的六种权限进行了细分。读者可以自行对 “ 特别 ” 进行更深的研究,鄙人在此就不过多赘述了。
希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点 ---- 有钱
为了方便网页制作员对网页进行管理,该网站还开通了 FTP 服务, FTP 服务软件使用的是 SERV-U 5.1.0 .0 ,安装在 d:\ftpservice\serv-u 目录下。杀毒软件和防火墙用的分别是 Norton Antivirus 和 BlackICE, 路径分别为 d:\nortonAV 和 d:\firewall\blackice, 病毒库已经升级到最新,防火墙规则库定义只有 80 端口和 21 端口对外开放。网站的内容是采用动网 7.0 的论坛 , 网站程序在 e:\www\bbs 下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的 WEB 服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了: “ 这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗? ” 当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用 Windows 默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为 [url]http://www.webserver.com[/url] ,用扫描软件对其进行扫描后发现开放 WWW 和 FTP 服务,并发现其服务软件使用的是 IIS 5.0 和 Serv-u 5.1 ,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个 /upfile.asp ,发现有文件上传漏洞,便抓包,把修改过的 ASP 木马用 NC 提交,提示上传成功,成功得到 WEBSHELL ,打开刚刚上传的 ASP 木马,发现有 MS-SQL 、 Norton Antivirus 和 BlackICE 在运行,判断是防火墙上做了限制,把 SQL 服务端口屏蔽了。通过 ASP 木马查看到了 Norton Antivirus 和 BlackICE 的 PID ,又通过 ASP 木马上传了一个能杀掉进程的文件,运行后杀掉了 Norton Antivirus 和 BlackICE 。再扫描,发现 1433 端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的 conn.asp 得到 SQL 的用户名密码,再登陆进 SQL 执行添加用户,提管理员权限。也可以抓 SERV-U 下的 ServUDaemon.ini 修改后上传,得到系统管理员权限。还可以传本地溢出 SERV-U 的工具直接添加用户到 Administrators 等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看 Windows 2000 的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了 Everyone 组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是 Documents and settings 、 Program files 和 Winnt 。对于 Documents and settings ,默认的权限是这样分配的: Administrators 拥有完全控制权; Everyone 拥有读 & 运,列和读权限; Power users 拥有读 & 运,列和读权限; SYSTEM 同 Administrators;Users 拥有读 & 运,列和读权限。对于 Program files , Administrators 拥有完全控制权; Creator owner 拥有特殊权限
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予 IUSR 用户,它是隶属于 Guest 组的。本来权限不高,但是系统默认给的 Everyone 组完全控制权却让它 “ 身价倍增 ” ,到最后能得到 Administrators 了。那么,怎样设置权限给这台 WEB 服务器才算是安全的呢?大家要牢记一句话: “ 最少的服务 + 最小的权限 = 最大的安全 ” 对于服务,不必要的话一定不要装,要知道服务的运行是 SYSTEM 级的哦,对于权限,本着够用就好的原则分配就是了。对于 WEB 服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、 Documents and settings 以及 Program files ,只给 Administrator 完全控制权,或者干脆直接把 Program files 给删除掉;给系统卷的根目录多加一个 Everyone 的读、写权;给 e:\www 目录,也就是网站目录读、写权。
最后,还要把 cmd.exe 这个文件给挖出来,只给 Administrator 完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问: “ 为什么要给系统卷的根目录一个 Everyone 的读、写权?网站中的 ASP 文件运行不需要运行权限吗? ” 问的好,有深度。是这样的,系统卷如果不给 Everyone 的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。当然这也有个前提 ---- 虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷 Everyone 的读、写权。 ASP 文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但 ASP 文件不是系统意义上的可执行文件,它是由 WEB 服务的提供者 ----IIS 来解释执行的,所以它的执行并不需要运行的权限。
经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性、优先性、交叉性的。
继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。
累加是说如一个组 GROUP1 中有两个用户 USER1 、 USER2 ,他们同时对某文件或目录的访问权限分别为 “ 读取 ” 和 “ 写入 ” ,那么组 GROUP1 对该文件或目录的访问权限就为 USER1 和 USER2 的访问权限之和,实际上是取其最大的那个,即 “ 读取 ”+“ 写入 ”=“ 写入 ” 。 又如一个用户 USER1 同属于组 GROUP1 和 GROUP2 ,而 GROUP1 对某一文件或目录的访问权限为 “ 只读 ” 型的,而 GROUP2 对这一文件或文件夹的访问权限为 “ 完全控制 ” 型的,则用户 USER1 对该文件或文件夹的访问权限为两个组权限累加所得,即: “ 只读 ”+“ 完全控制 ”=“ 完全控制 ” 。
优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是 “ 拒绝 ” 权限优先其它权限,也就是说 “ 拒绝 ” 权限可以越过其它所有其它权限,一旦选择了 “ 拒绝 ” 权限,则其它权限也就不能取任何作用,相当于没有设置。
交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录 A 为用户 USER1 设置的共享权限为 “ 只读 ” ,同时目录 A 为用户 USER1 设置的访问权限为 “ 完全控制 ” ,那用户 USER1 的最终访问权限为 “ 只读 ” 。
权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在 NTFS 分区中才能实现的, FAT32 是不支持权限设置的。同时还想给各位管理员们一些建议:
1. 养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。
2. 设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。
3. 尽量不要把各种软件安装在默认的路径下
二、关闭 Windows 远程注册表服务默认情况下 Windows 系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务,如果黑客连接到我们的计算机并且计算机启用了远程注册表服务( Remote Registry )的话他还可以通过远程注册表操作系统任意服务,因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就可以高枕无忧,黑客可以通过命令行指令将服务轻松开启。
要想彻底关闭远程注册表服务可以采用如下方法:
一、通过任务栏的
“
开始
->
运行
”
,输入
regedit
进入注册表编辑器。
二、找到注册表中
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下的
“RemoteRegistry”
项。
三、右键点击
“RemoteRegistry”
项,选择
“
删除
”
。
三、设置登录系统时不显示上次登录的用户名
用户在登录
Windows 2003
时,
Windows 2003
会自动在在登录对话框中显示出上次登录的用户名称,如果这是一台公共计算机,就有可能造成用户名的泄露,从而给一些不怀好意的人以可乘之机。
如果你是系统管理员,你可以采用下面的方法将在登录对话框中显示上次登录用户名的功能取消,这样 Windows 2003 就会要求用户每次登录时都必须键入用户名,从而提高计算机的使用安全性。
不显示上次登录的用户名
一、打开
“
我的电脑
”――“
控制面板
”
,双击打开
“
管理工具
”
。
二、在
“
管理工具
”
界面中,双击打开
“
本地安全策略
”
。
三、在弹出的
“
本地安全设置
”
对话框中,选择
“
安全选项
”
。
四、在
“
安全选项
”
列表中,选择
“
交互式登录:不显示上次的用户名
”
。
五、单击右键,选择
“
属性
”
。
六、在弹出的
“
交互式登录:不显示上次的用户名属性
”
选项框中,选择
“
已启用
”
,单击
“
确定
”
按钮,完成设置。
三、设置注册表防止系统隐私信息被泄露
在
Windows
系统运行出错的时候,系统内部有一个
DR.WATSON
程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在
user.dmp
和
drwtsn32.log
文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。
找到
“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ AeDebug”
,将
AUTO
键值设置为
0
,现在
DR.WATSON
就不会记录系统运行时的出错信息了。
在注册表中进行设置
一、单击
“
开始
”――“
运行
”
,输入
“regedit”
打开注册表编辑器。
二、在注册表编辑器中找到
“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ AeDebug”
项。
三、在右边对应的键值中找到
“AUTO”
,右键单击,在弹出的菜单中,选择
“
修改
”
。
四、在弹出的
“
编辑字符串
”
对话框,
“
数值数据
”
下输入
“0”
,点击
“
确定
”
按钮,设置完成。
四、四个方面谈 Windows 2000 的安全设置在用户安全设置方面
1. 禁用 Guest 账号。不论工作组模式还是域模式,都应该禁用此账号。惟一的例外就是极少数量 (10 台以下 ) 的机器之间用网上邻居互访共享文件夹,且不和公网相连,可以继续保持此账号。
2. 限制不必要的用户。此时需注意:
(1) 在工作组模式中,默认账号有 Administrator 、 Guest 。如果要用 IIS(Internet Information Server) 建设各类站点,则 IUSER _ computername 和 IWAM _ computername 也是默认账号,不能停用。因前者是 IIS 匿名访问账号,后者是 IIS 匿名执行脚本的账号。这两个账号默认有密码,是由系统分配的,用户不要更改其密码,更不要删除,否则 IIS 不能匿名访问和执行脚本;如果有终端服务则 TsInternetUser 也是默认账号,不能停用。
(2) 在域模式中, Administrator 组中会增加 Domain Admins 和 Enterprise Admins 两个组中的成员,另外还会有 Krbtgt 账号,默认是被禁用的,这个账号是密钥分发账号。
3. 开启用户策略。其中有用户锁定阀值设置,将它设置为多少才合适呢?用户在登录时, Windows 会采用加密协议加密用户的用户名和密码。在域环境中,如果只是单纯的系统 ( 即什么软件都不装 ) ,用户进行登录时, Windows 会尝试用 Kerbos 协议验证,不成功则会再用 Ntlm 验证,此时的验证的方式有两种;如果该账户同时又是 Outlook 的用户,验证的方式将有 6 种之多,也就是说用户在登录时如果密码输入错误,一次登录就要浪费掉 6 次账户锁定值。因此,微软技术支持中心的工程师建议将这个锁定值设置为 13 ,这样才可以实现错误输入密码 3 次再锁定账户的目的。
在密码安全设置方面
在给账号设置密码时,不是密码位数越多越好,在符合密码复杂性原则的基础上, 7 位和 14 位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的,它是由密码所采用的加密算法决定的。
有一点大家需注意:屏幕保护存在一个安全漏洞,即他人可以在不进入系统的情况下,利用 DOS 模式将 Cmd.exe 命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后,只要这个 “ 屏幕保护程序 ” 一运行, Cmd 窗口就会弹出且以系统身份运行,默认是最大权限。因此,采用设置屏幕保护密码的做法并不安全,正确的做法应是网管员离开工位时要锁定计算机 (Windows 2000 下,按 Ctrl + Alt + Del ,在弹出的 “ 关机 ” 菜单中选择 “ 锁定计算机 ” 即可 ) 。
在系统安全设置方面
1. 使用 NTFS 格式分区。 NTFS 分区要比 FAT 分区安全很多,且只有使用 NTFS 分区才能真正发挥 Windows 2000 的作用。 Windows 2000 自带了转换 NTFS 分区的工具 Convert 。在命令提示符 ? 葱�C onvert x /FS NTFS(x 为所要转换的盘符 ) ,执行时如果转换的是非 * 作系统所在分区,则立即执行分区转换;如果转换的是 * 作系统所在分区,则重启后执行分区转换。注意:此转换过程是单向不可逆的,即只能由 FAT 转换至 NTFS 。虽然可用第三方工具做分区格式之间的转换,但这样做不能保证绝对安全,在某些情况下会导致分区不可用,所以建议只用 Convert 命令来转换分区格式;如果非要用第三方工具,一定要事先做好备份。另外,据我个人经验,并不需要将所有分区都做成 NTFS 分区,而应保留一个分区为 FAT32 ,用于存放一些常用工具,并可方便 Ghost 备份。
2. 到微软网站下载最新的补丁程序。强烈建议!这是每一个网络管理员都应该有的好习惯。这里说明一点:微软每隔一定时间推出的 Servicespacks 是针对近期推出的 Hotfix 的综合,如果你经常做 Hotfix 补丁,那么当后一版的 Servicespacks 推出后可能会和你的 Hotfix 冲突。因为 Servicespacks 也是要经过测试的,而测试阶段可能又有新的 Hotfix 推出,当你做了新的 Hotfix 补丁后再打旧版的 Servicespacks 补丁时就会产生冲突。
3. 关闭默认共享。这里必须要修改注册表,否则每次重启之后默认共享还会出现。在注册表 “HKEY _ LOCAL _ MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run” 下,在右栏空白位置点击鼠标右键,选择 “ 新建 ” ,再选 “ 字符串值 ” ,名称中输入: “delipc $ ” ,这里的名字可以随便取,然后双击它就会弹出一个窗口来,输入: “net share ipc $ /del” ,下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉 AMDIN $。
4. 锁住注册表。 Windows 2000 提供了一个叫 Regedt32.exe 的工具,它也是一个注册表编辑器。与 Regedit.exe 不同的是它有一个 “ 安全 ” 选项,可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权,例如设置成只有 Administrator 才能读取和修改,不给其他人可乘之机。
在服务安全设置方面
1. 关闭不必要的端口。可惜 Windows 2000 并不支持关闭端口的选项,我们只好选用第三方工具,关闭一些关键端口,比如 Telnet 等。
2. 设置好安全记录的访问。 Windows 2000* 作系统自带了审核工具,默认不开启。如果一旦开启了审核策略,用户可以在事件日志里查看安全日志,里面会有详细的审核记录,审核通常为成功和失败两种。不过,建议平时不要常开安全审核,因为审核量很大,通常一个错误的密码输入就可以在日志中记录一页多的条目,非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在 “ 开始 ” 菜单的 “ 运行 ” 中输入 “Eventvwr.msc” 查看安全日志,就可以看到审核的消息。注:具体如何实现请参见微软知识库文章 “Microsoft Knowledge Base Article - 300549” ( 网址是: [url]http://support.microsoft.com[/url] 。
3. 把敏感文件存放在另外的文件服务器中。出于对性能和安全的双重考虑,建议有条件的用户将域控制器与 Web 服务器、数据库服务器等其他重要服务器分开,即不要用同一台服务器运行多种服务。同时,一定要进行及时、有效的备份,最好有一个详尽的备份计划。
五、锁定 / 解除 Windows 注册表编辑器
注册表是
Windows
操作系统中的一个核心数据库,其中存放着各种参数,直接控制着
Windows
的启动、硬件驱动程序的装载以及一些
Windows
应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
恶意网站往往通过修改注册表来破坏我们的系统,甚至禁用注册表,也就是通过修改注册表来给注册表自身加锁,当注册表被锁定以后,我们也可以在系统中解除锁定。
一、单击
“
开始
”-“
运行
”
,输入
“gpedit.msc”
,打开组策略编辑器。
二、在
“
组策略编辑器
”
对话框中,选择
“‘
本地计算机
’
策略
”-“
用户配置
”-“
管理模块
”-“
系统
”
。
三、在
“
系统
”
右边对应的选项列表中,选择
“
阻止访问注册表编辑工具
”
。
四、右键单击
“
阻止访问注册表编辑工具
”
,选择
“
属性
”
。
五、在弹出的
“
阻止访问注册表编辑工具属性
”
对话框中,将默认设置
“
未配置
”
改为
“
已启用
”
,单击
“
确定
”
按钮。锁定注册表编辑器。
六、在弹出的
“
阻止访问注册表编辑工具属性
”
对话框中,将默认设置
“
未配置
”
改为
“
已禁用
”
,单击
“
确定
”
按钮。解除锁定注册表编辑器。
六、修改系统注册表防止
SYN
洪水攻击
SYN
攻击属于
DOS
攻击的一种,它利用
TCP
协议缺陷,通过发送大量的半连接请求,耗费
CPU
和内存资源。
SYN
攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上
SYN
攻击并不管目标是什么系统,只要这些系统打开
TCP
服务就可以实施。从上图可看到,服务器接收到连接请求(
syn=j
),将此信息加入未连接队列,并发送请求包给客户(
syn=k,ack=j+1
),此时进入
SYN_RECV
状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合
IP
欺骗,
SYN
攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的
IP
地址,向服务器不断地发送
syn
包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的
SYN
包将长时间占用未连接队列,正常的
SYN
请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
为防范
SYN
攻击,
win2000
系统的
tcp/ip
协议栈内嵌了
SynAttackProtect
机制,
Win2003
系统也采用此机制。
SynAttackProtect
机制是通过关闭某些
socket
选项,增加额外的连接指示和减少超时时间,使系统能处理更多的
SYN
连接,以达到防范
SYN
攻击的目的。默认情况下,
Win2000
操作系统并不支持
SynAttackProtect
保护机制,需要在注册表以下位置增加
SynAttackProtect
键值:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
当
SynAttackProtect
值(如无特别说明,本文提到的注册表键值都为十六进制)为
0
或不设置时,系统不受
SynAttackProtect
保护。
当
SynAttackProtect
值为
2
时,系统通过减少重传次数和延迟未连接时路由缓冲项(
route cache entry
)防范
SYN
攻击。
修改注册表,防止
SYN
攻击
一、单击
“
开始
”――“
运行
”
输入
“regedit”
,单击
“
确定
”
按钮,打开注册表。
二、找到注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建
DWORD
值,名为
SynAttackProtect
。
三、点击右键修改
SynAttackProtec t
键值的属性。
三、在弹出的
“
编辑
DWORD
值
”
对话框数值数据栏中输入
“2”
四、单击
“
确定
”
,继续在注册表中添加下列键值,防范
SYN
洪水攻击。
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
七、在注册表中关闭默认共享保证系统安全
默认安装
WINDOWS
系统的情况下,所有的硬盘都是隐藏共享,据说是为了管理方便,把系统安装分区自动进行共享,这样可以在网络中访问你的资源,不过这些默认共享的目录是只有系统管理员才能够在网络中查看的,因为在在共享名后边加上了美元号(
$
),除非别人知道这个共享,否则他是找不着的。虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个
“
默认共享
”
,以保证系统安全。
修改注册表防范
IPC$
攻击:
一、单击
“
开始
”――“
运行
”
,输入
“regedit”
单击
“
确定
”
按钮,打开注册表。
二、防范
IPC$
攻击,查找注册表中
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”
的
“RestrictAnonymous”
项。
三、单击右键,选择
“
修改
”
。
四、在弹出的
“
编辑
DWORD
值
”
对话框中数值数据框中添入
“1”
,将
“RestrictAnonymous”
项设置为
“1”
,这样就可以禁止
IPC$
的连接,单击
“
确定
”
按钮。
修改注册表关闭默认共享
一、对于
c$
、
d$
和
admin$
等类型的默认共享则需要在注册表中找到
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”
项。在该项的右边空白处,单击右键选择新建
DWORD
值。
二、添加键值
“AutoShareServer”(
类型为
“REG_DWORD”
,值为
“0”)
。
注:如果系统为
Windows 2000 Server
或
Windows 2003
,则要在该项中添加键值
“AutoShareServer”(
类型为
“REG_DWORD”
,值为
“0”)
。如果系统为
Windows 2000 PRO
,则应在该项中添加键值
“AutoShareWks”(
类型为
“REG_DWORD”
,值为
“0”)
。
八、一步一步学
Windows XP
安全设置【简
介】
作为用户来说,可采用必要的安全设置来解决问题,而使用密码来保护系统则是首要的。下面介绍 Windows XP 中如何进行密码的保护,和一些使用方法。
介】
作为用户来说,可采用必要的安全设置来解决问题,而使用密码来保护系统则是首要的。下面介绍 Windows XP 中如何进行密码的保护,和一些使用方法。
目前使用
Windows XP
的用户越来越多。由于开发者微软公司
(Microsoft)
在
Windows
操作系统和浏览器上留下了大量的安全漏洞,使得袭击个人电脑成为一件异常容易的事情。即便是你安装了
Windows XP
最新的补丁程序
Service Pack 2
,你的个人电脑仍难免会受到侵袭。如何才能保障系统的安全呢?作为用户来说,可采用必要的安全设置来解决问题,而使用密码来保护系统则是首要的。下面介绍
Windows XP
中如何进行密码的保护,和一些使用方法。
1 、如何设置可靠的密码
如何才能设置一个可靠的密码呢?其实在 Win XP 系统中通过本地安全设置就可以完成。在 “ 开始 ” → “ 运行 ” 窗口中输入 “secpol.msc” 并回车就可以打开 “ 本地安全设置窗口 ” 。或者通过 “ 控制面板 ” → “ 管理工具 ” → “ 本地安全策略 ” 来打开这个设置界面。在 “ 本地安全设置 ” 窗口的左侧展开 “ 账户策略 ” → “ 密码策略 ” ,在右边窗格中就会出现一系列的密码设置项(如图 1 ),经过这里的配置,就可以建立一个完备的密码策略,使密码得到最大限度的保护。在设置项中时,首先要启用 “ 密码必须符合复杂性要求 ” 策略,然后设置 “ 密码最短存留期 ” ,最后开启 “ 强制密码历史 ” 。设置好后,在 “ 控制面板 ” 中重新设置管理员的密码,这时的密码不仅是安全的(不低于 6 位且包含不同类别的字符),而且以后修改密码时也不易出现与以前重复的情况。
2 、密码提示不可忽视
由于工作繁忙或其它什么原因,当我们忘记了自己的密码时,虽说可以找到管理员来修改用户的密码,但有这样做是很麻烦的!其实在 Windows XP 中是允许用户创建一个提示的,以便在用户忘记密码的时候能够获得一些线索。打开 “ 控制面板 ” ,单击或双击 “ 用户账户 ” 图标(如图 2 ),接下来的步骤需要根据您系统的设置来进行。
如果您是系统管理员,选择您的账户名后,点击 “ 更改我的密码 ” 或 “ 创建密码 ” 链接 ( 如果您没有设置密码如图 3) ,输入您的当前密码 ( 如果已经设置 ) 、新密码以及密码提示。即使您只是想添加密码提示信息,仍然需要在顶端文本框中输入当前的密码。不过,设置密码提示时还要注意 : 你要确保密码提示在不暴露密码的同时,可以帮助您清楚地回忆起密码,因为所有人都能够看到您的密码提示。当您完成以上的操作后,点击 “ 更改密码 ” 或 “ 创建密码 ” 按钮。这样,当再次出现登录时忘记密码的情况,点击密码提示右边的 “?” 号按钮就可以看到您设定的密码提示了。
如果密码提示没有起作用的话, Windows 还提供了另外一种解决方法。打开控制面板,单击或双击 “ 用户账户 ” 图标 ( 根据您的系统的设置 ) 。如果您是系统管理员,点击您的账户名,并且在 “ 用户账户 ” 对话框的左边 “ 相关任务 ” 栏中,找到 “ 阻止一个已忘记的密码 ” 链接。点击这一链接,打开 “ 忘记密码向导 ” 对话框,这一向导将创建一个 “ 密码重设盘 ” ,使您能够在忘记密码时使用此盘创建一个新的密码。 如果您的计算机已经登录到网络域中,注销后重新登录到本机 ( 此方法只适用于 Windows 登录密码,不适用于域用户密码 ) 。按住 “Ctrl + Alt + Delete” 组合键,然后点击 “ 更改密码 ” 按钮,最后,点击 “ 备份 ” 按钮启动 “ 忘记密码向导 ” 。 这一向导同时对您提出警告,因为 “ 密码重设盘 ” 的创建,含有一定的危险性,任何人都可以使用这一张 “ 密码重设盘 ” 来登录 Windows XP ,都可以以该用户的名义进入用户帐户,并操作真正用户所能操作的一切。鉴于这一提示,当您点击 “ 完成 ” 按钮创建完成密码重设盘后,应该将此盘放在一个适当的地方,以防丢失或失泄密。不过这种方法也有一个缺点,就是需要软盘,并且要求在设密码时建立密码重设盘,对于没有软驱的机器就没办法了。
3 、重设帐户密码
即使您忘记了 Windows 登录密码,并且没有创建密码重设盘,也不是完全没有可能来解决这个问题的。如果您的计算有一个系统管理员账户,您可以使用此账户登录 Windows 并为其他账户重设密码。首先,打开控制面板,单击或双击 “ 用户账户 ” 图标 ( 根据您的系统的设置 ) ,选择忘记密码的账户名并点击 “ 重设密码 ” 和 “ 更改密码 ”( 选项名称视您是否连接到域而定 ) 。根据提示输入 2 次新的密码,然后点击 “ 确定 ” 。 ( 注意 :“ 重设密码 ” 按钮对于登录到域环境的用户有可能无效,这一操作只适用于修改 Windows 登录密码,不适用于修改域登录密码。 ) 重设 Windows 密码可能会导致登录站点和网络连接的密码丢失,但是至少您不会因为忘记密码而无法进行任何操作了。
4 、确保可信的登陆界面
将您的计算机设置成登录 Windows 之前必须按 “Ctrl + Alt + Delete” 组合键,是为了保护计算机免受某些特洛伊木马的攻击。一些特洛伊木马程序可以模仿 Windows 登录界面,欺骗用户输入用户名和密码。使用 “Ctrl + Alt + Delete” 组合键可以确保您看到的是真实可信的 Windows 登录界面。为了使连接到域中计算机的这一设置有效,您需要使用管理员身份登录,在控制面板中打开 “ 用户账户 ” 图标,选择 “ 高级 ” 选项卡,在 “ 安全登录 ” 项目中,选中 “ 要求用户按 Ctrl + Alt + Delete” 复选框,然后点击 “ 确定 ” 按钮。
5 、组合键锁定计算机
在离开办公桌的时候,为确保计算机的安全,需要锁定您的计算机,这样只有输入密码才能够再次使用。如果您的计算机已经登录到域中,只需按下 “Ctrl + Alt + Delete” 组合键,然后点击 “ 锁定计算机 ” 按钮即可。当您返回后,再次按下 “Ctrl + Alt + Delete” 组合键,输入密码即可。如果是在没有登录域的情况下,按下 “ + L” 组合键,无需关闭所有应用程序即回到登录界面。当您返回时,选择您的账户名并输入相应密码即可。
6 、设定锁定快捷方式
如果在使用电脑的过程中,有急事需要短暂离开电脑的话,很多人都知道可以通过使用 CTRL+ALT+DEL 组合键或屏幕保护程序来达到锁定屏幕的目的。如果觉得有些复杂的话,我们还可以简单通过鼠标双击桌面的快捷方式或通过在 “ 开始 ” 菜单中选择某一选项的方法来锁定计算机。参照如下的过程:打开您希望放置这一快捷方式的文件夹,在文件夹中单击右键,选择 “ 新建 ”*“ 快捷方式 ” 。在弹出的 “ 创建快捷方式 ” 对话框中,输入 “rundll32.exe user32.dll,LockWorkStation”( 在 ‘.exe’ 后有一个空格 ) ,然后点击 “ 下一步 ” 按钮,输入快捷方式的名字,点击 “ 完成 ” 按钮就可以。如果您不喜欢这种快捷方式的图标,要改变一下也很容易,右键单击该图标,选择 “ 属性 ” 选项,在 “ 属性 ” 对话框的 “ 快捷方式 ” 选项卡中点击 “ 更改图标 ” 按钮,然后点击 “ 浏览 ” 按钮,在列表中选择一个喜欢的图标文件,并连续单击 2 次 “ 确定 ” 按钮即为该快捷方式分配新的图标了。怎么样?是不是很方便啊!
7 、后备选项锁定
有时候我们需要暂时离开计算机,但经常又会忘记了锁定系统 ―― 怎么办呢?其实解决这个问题很简单,可以设定在屏幕保护、系统挂起或是休眠的情况下自动锁定系统。这些设置在默认情况下是激活的,您可以再检查一下。右键单击桌面,选择 “ 属性 ” 选项,在 “ 显示属性 ” 对话框的 “ 屏幕保护程序 ” 选项卡中,选择一个屏幕保护程序 ( 如果需要 ) 。确认等待的时间设定并选中 “ 在恢复时显示欢迎屏幕 ” 或 “ 在恢复时使用密码保护 ” 复选项。打开控制面板,如果您使用的是 “ 分类视图 ” 模式,点击 “ 性能和维护 ” 链接。然后,单击或双击 “ 电源管理 ”( 视系统设置而定 ) ,进入 “ 电源选项属性 ” 对话框,在 “ 高级 ” 选项卡中选中 “ 在计算机从待机状态恢复时,提示输入密码 ” 复选框(如图 5 ),点击 “ 确定 ” 按钮即可。这一切都简单明了,根本不用懂什么注册表,也不用使用什么复杂的软件,你说简单不简单?
1 、如何设置可靠的密码
如何才能设置一个可靠的密码呢?其实在 Win XP 系统中通过本地安全设置就可以完成。在 “ 开始 ” → “ 运行 ” 窗口中输入 “secpol.msc” 并回车就可以打开 “ 本地安全设置窗口 ” 。或者通过 “ 控制面板 ” → “ 管理工具 ” → “ 本地安全策略 ” 来打开这个设置界面。在 “ 本地安全设置 ” 窗口的左侧展开 “ 账户策略 ” → “ 密码策略 ” ,在右边窗格中就会出现一系列的密码设置项(如图 1 ),经过这里的配置,就可以建立一个完备的密码策略,使密码得到最大限度的保护。在设置项中时,首先要启用 “ 密码必须符合复杂性要求 ” 策略,然后设置 “ 密码最短存留期 ” ,最后开启 “ 强制密码历史 ” 。设置好后,在 “ 控制面板 ” 中重新设置管理员的密码,这时的密码不仅是安全的(不低于 6 位且包含不同类别的字符),而且以后修改密码时也不易出现与以前重复的情况。
2 、密码提示不可忽视
由于工作繁忙或其它什么原因,当我们忘记了自己的密码时,虽说可以找到管理员来修改用户的密码,但有这样做是很麻烦的!其实在 Windows XP 中是允许用户创建一个提示的,以便在用户忘记密码的时候能够获得一些线索。打开 “ 控制面板 ” ,单击或双击 “ 用户账户 ” 图标(如图 2 ),接下来的步骤需要根据您系统的设置来进行。
如果您是系统管理员,选择您的账户名后,点击 “ 更改我的密码 ” 或 “ 创建密码 ” 链接 ( 如果您没有设置密码如图 3) ,输入您的当前密码 ( 如果已经设置 ) 、新密码以及密码提示。即使您只是想添加密码提示信息,仍然需要在顶端文本框中输入当前的密码。不过,设置密码提示时还要注意 : 你要确保密码提示在不暴露密码的同时,可以帮助您清楚地回忆起密码,因为所有人都能够看到您的密码提示。当您完成以上的操作后,点击 “ 更改密码 ” 或 “ 创建密码 ” 按钮。这样,当再次出现登录时忘记密码的情况,点击密码提示右边的 “?” 号按钮就可以看到您设定的密码提示了。
如果密码提示没有起作用的话, Windows 还提供了另外一种解决方法。打开控制面板,单击或双击 “ 用户账户 ” 图标 ( 根据您的系统的设置 ) 。如果您是系统管理员,点击您的账户名,并且在 “ 用户账户 ” 对话框的左边 “ 相关任务 ” 栏中,找到 “ 阻止一个已忘记的密码 ” 链接。点击这一链接,打开 “ 忘记密码向导 ” 对话框,这一向导将创建一个 “ 密码重设盘 ” ,使您能够在忘记密码时使用此盘创建一个新的密码。 如果您的计算机已经登录到网络域中,注销后重新登录到本机 ( 此方法只适用于 Windows 登录密码,不适用于域用户密码 ) 。按住 “Ctrl + Alt + Delete” 组合键,然后点击 “ 更改密码 ” 按钮,最后,点击 “ 备份 ” 按钮启动 “ 忘记密码向导 ” 。 这一向导同时对您提出警告,因为 “ 密码重设盘 ” 的创建,含有一定的危险性,任何人都可以使用这一张 “ 密码重设盘 ” 来登录 Windows XP ,都可以以该用户的名义进入用户帐户,并操作真正用户所能操作的一切。鉴于这一提示,当您点击 “ 完成 ” 按钮创建完成密码重设盘后,应该将此盘放在一个适当的地方,以防丢失或失泄密。不过这种方法也有一个缺点,就是需要软盘,并且要求在设密码时建立密码重设盘,对于没有软驱的机器就没办法了。
3 、重设帐户密码
即使您忘记了 Windows 登录密码,并且没有创建密码重设盘,也不是完全没有可能来解决这个问题的。如果您的计算有一个系统管理员账户,您可以使用此账户登录 Windows 并为其他账户重设密码。首先,打开控制面板,单击或双击 “ 用户账户 ” 图标 ( 根据您的系统的设置 ) ,选择忘记密码的账户名并点击 “ 重设密码 ” 和 “ 更改密码 ”( 选项名称视您是否连接到域而定 ) 。根据提示输入 2 次新的密码,然后点击 “ 确定 ” 。 ( 注意 :“ 重设密码 ” 按钮对于登录到域环境的用户有可能无效,这一操作只适用于修改 Windows 登录密码,不适用于修改域登录密码。 ) 重设 Windows 密码可能会导致登录站点和网络连接的密码丢失,但是至少您不会因为忘记密码而无法进行任何操作了。
4 、确保可信的登陆界面
将您的计算机设置成登录 Windows 之前必须按 “Ctrl + Alt + Delete” 组合键,是为了保护计算机免受某些特洛伊木马的攻击。一些特洛伊木马程序可以模仿 Windows 登录界面,欺骗用户输入用户名和密码。使用 “Ctrl + Alt + Delete” 组合键可以确保您看到的是真实可信的 Windows 登录界面。为了使连接到域中计算机的这一设置有效,您需要使用管理员身份登录,在控制面板中打开 “ 用户账户 ” 图标,选择 “ 高级 ” 选项卡,在 “ 安全登录 ” 项目中,选中 “ 要求用户按 Ctrl + Alt + Delete” 复选框,然后点击 “ 确定 ” 按钮。
5 、组合键锁定计算机
在离开办公桌的时候,为确保计算机的安全,需要锁定您的计算机,这样只有输入密码才能够再次使用。如果您的计算机已经登录到域中,只需按下 “Ctrl + Alt + Delete” 组合键,然后点击 “ 锁定计算机 ” 按钮即可。当您返回后,再次按下 “Ctrl + Alt + Delete” 组合键,输入密码即可。如果是在没有登录域的情况下,按下 “ + L” 组合键,无需关闭所有应用程序即回到登录界面。当您返回时,选择您的账户名并输入相应密码即可。
6 、设定锁定快捷方式
如果在使用电脑的过程中,有急事需要短暂离开电脑的话,很多人都知道可以通过使用 CTRL+ALT+DEL 组合键或屏幕保护程序来达到锁定屏幕的目的。如果觉得有些复杂的话,我们还可以简单通过鼠标双击桌面的快捷方式或通过在 “ 开始 ” 菜单中选择某一选项的方法来锁定计算机。参照如下的过程:打开您希望放置这一快捷方式的文件夹,在文件夹中单击右键,选择 “ 新建 ”*“ 快捷方式 ” 。在弹出的 “ 创建快捷方式 ” 对话框中,输入 “rundll32.exe user32.dll,LockWorkStation”( 在 ‘.exe’ 后有一个空格 ) ,然后点击 “ 下一步 ” 按钮,输入快捷方式的名字,点击 “ 完成 ” 按钮就可以。如果您不喜欢这种快捷方式的图标,要改变一下也很容易,右键单击该图标,选择 “ 属性 ” 选项,在 “ 属性 ” 对话框的 “ 快捷方式 ” 选项卡中点击 “ 更改图标 ” 按钮,然后点击 “ 浏览 ” 按钮,在列表中选择一个喜欢的图标文件,并连续单击 2 次 “ 确定 ” 按钮即为该快捷方式分配新的图标了。怎么样?是不是很方便啊!
7 、后备选项锁定
有时候我们需要暂时离开计算机,但经常又会忘记了锁定系统 ―― 怎么办呢?其实解决这个问题很简单,可以设定在屏幕保护、系统挂起或是休眠的情况下自动锁定系统。这些设置在默认情况下是激活的,您可以再检查一下。右键单击桌面,选择 “ 属性 ” 选项,在 “ 显示属性 ” 对话框的 “ 屏幕保护程序 ” 选项卡中,选择一个屏幕保护程序 ( 如果需要 ) 。确认等待的时间设定并选中 “ 在恢复时显示欢迎屏幕 ” 或 “ 在恢复时使用密码保护 ” 复选项。打开控制面板,如果您使用的是 “ 分类视图 ” 模式,点击 “ 性能和维护 ” 链接。然后,单击或双击 “ 电源管理 ”( 视系统设置而定 ) ,进入 “ 电源选项属性 ” 对话框,在 “ 高级 ” 选项卡中选中 “ 在计算机从待机状态恢复时,提示输入密码 ” 复选框(如图 5 ),点击 “ 确定 ” 按钮即可。这一切都简单明了,根本不用懂什么注册表,也不用使用什么复杂的软件,你说简单不简单?
九、设置安全的
Windows 2000
操作系统【编者按】
Windows 2000 server 含有很多的安全功能和选项,如果你合理的配置它们,那么 windows 2000 server 将会是一个很安全的操作系统。首先我们应将 Windows 2000 server 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留 15 天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
Windows 2000 server 含有很多的安全功能和选项,如果你合理的配置它们,那么 windows 2000 server 将会是一个很安全的操作系统。首先我们应将 Windows 2000 server 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留 15 天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。我们可以停掉 Guest 帐号、创建 2 个管理员用帐号、把系统 administrator 帐号改名、设置屏幕保护密码等确保安全,也可以利用 win2000 的安全配置工具来配置策略、关闭不必要的服务、关闭不必要的端口、禁止建立空连接和安装微软最新的补丁程序等措施来加强 Windows 2000 Server 安全。要攻击 Windows 2000 系统,首先需要知道帐号和密码,因此保障 Windows 2000 系统的安全中,保障其帐号和密码的安全是关键,但通常密码可以通过穷举法等方法破解,所以 Windows 2000 帐号的安全非常重要。
下面几种方法可以有效保障 Windows 2000 系统中帐号的安全:
方法一:禁止枚举帐号
由于 Windows 2000 的默认安装允许任何用户通过空用户得到系统所有帐号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,任何一个远程用户通过同样的方法都能得到帐户列表,使用非法手段破解帐户密码后,对我们的电脑进行攻击,所以必须采用以下方法禁止这种行为。
1 、通过修改注册表禁用空用户连接,操作步骤如下:
单击 " 开始 "->" 运行 " 打开 " 运行 " 对话框;输入 "Regedit" 并单击确定打开注册表编辑器;在注册表编辑器中逐层进入 [HKEY_LOCAL_MACHINES\SYSTEM\CurentControlSet\control\Lsa] ;
将 RestrictAnonymous 的值设置为 1 ,这样可以禁止空用户连接。
2 、修改本地安全策略,操作步骤如下:
进入 Windows 2000 的 " 控制面板 " ;单击 " 管理工具 " ,单击 " 本地安全策略 " ,进入 " 本地安全设置 " 对话框。
选择 " 安全设置 "->" 本地策略 "->" 安全选项 " ;双击 " 对匿名连接的额外限制 " 项;并选择 " 本地策略设置 " 列表,列表中出现三个选项。
(1)" 无,依赖于默认许可权限 " 选项:这是系统默认值,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。
(2)" 不允许枚举 SAM 账号和共享 " 选项:这个值是只允许非 NULL 用户存取 SAM 账号信息和共享信息,一般选择此项。
(3)" 没有显式匿名权限就无法访问 " 选项:这个值是最安全的一个,但是如果使用了这个值,就不能再共享资源了,所以还是推荐设为 " 不允许枚举 SAM 账号和共享 " 比较好。我们选择 " 不允许枚举 SAM 账号和共享 " 项,并确定。
此时,我们就禁止了用户枚举帐号的操作。
方法二: Administrator 账号更名
非法用户找不到用户列表,我们的系统就一定安全吗 ? 不一定。有经验的用户知道, Windows 2000 系统的 Administrator 账号是不能被停用的,也不能设置安全策略,这样非法用户可以一遍又一遍地尝试这个账户的密码,直到破解,所以我们可以在 " 计算机管理 " 中把 Administrator 账户更名来防止这一点。具体操作步骤如下:
进入系统 " 控制面板 "->" 计算机管理 " ,进入 " 计算机管理 " 窗口,如图所示。选择 " 本地用户和组 "->" 用户 " ;在窗口右面使用鼠标右键单击 Administrator ,在右键菜单中选择 " 重命名 " ;重新输入一个名称。
最好不要使用 Admin 、 Root 之类的名字,如果使用改了等于没改。尽量把它伪装成普通用户,比如改成: Guestlll ,别人怎么也想不到这个帐户是超级用户。然后另建一个 "Administrator" 的陷阱帐号,不赋予任何权限,加上一个超过 10 位的超级复杂密码,并对该帐户启用审核。这样那些非法用户忙了半天也可能进不来,或是即便进来了也什么都得不到,还留下我们跟踪的线索。
方法三:禁止登录屏幕上显示上次登录的用户名
非法用户也可以通过本地或者 Terminal Service 的登录界面看到用户名,然后去猜密码。
所以要禁止显示登录的用户名。操作步骤如下:
选择 " 控制面板 "->" 管理工具 "->" 本地安全策略 "->" 本地策略 "->" 安全选项 " 。
在窗口右侧双击 " 登录屏幕上不要显示上次登录的用户名 " 一项;选中 " 已启用 " 。
也可以通过修改注册表来实现,找到注册表 HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn 项中的 Don't Display Last User Name 串,将其数据修改为 1 。
方法四:禁用 Guest 帐号
Guest 帐号是一个非常危险的漏洞,因为非法用户可以使用这个帐号登录你的机器。禁用该帐号的操作步骤如下:
选择 " 控制面板 "->" 管理工具 "->" 计算机管理 " ;在计算机管理的 " 本地用户和组 " 项,选择 " 用户 " ,用鼠标右键单击右侧列表里的 "Guest" 帐号,在右键菜单中选择 " 属性 " 或是双击 "Guest" 帐号,在属性对话框中,在 " 帐户已停用 " 一项前打勾,这样就无法用 Guest 帐号登录你的系统了。
如果还需要提供共享打印服务时,则需要在 " 本地安全策略 " 的 " 用户权利指派 " 中的 " 在本地登录 " 项里设置 Guest 帐号不能登录本机(去掉 Guest 项后面的勾)。
经常检查本地用户和组,删除不用的帐户,不要给非法用户和黑客留下可乘之机,经过以上的步骤,我们的系统应该相对安全了许多。
十、安全设置组策略有效阻止黑客攻击【简
介】
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
Windows 2000 server 含有很多的安全功能和选项,如果你合理的配置它们,那么 windows 2000 server 将会是一个很安全的操作系统。首先我们应将 Windows 2000 server 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留 15 天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
Windows 2000 server 含有很多的安全功能和选项,如果你合理的配置它们,那么 windows 2000 server 将会是一个很安全的操作系统。首先我们应将 Windows 2000 server 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留 15 天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。我们可以停掉 Guest 帐号、创建 2 个管理员用帐号、把系统 administrator 帐号改名、设置屏幕保护密码等确保安全,也可以利用 win2000 的安全配置工具来配置策略、关闭不必要的服务、关闭不必要的端口、禁止建立空连接和安装微软最新的补丁程序等措施来加强 Windows 2000 Server 安全。要攻击 Windows 2000 系统,首先需要知道帐号和密码,因此保障 Windows 2000 系统的安全中,保障其帐号和密码的安全是关键,但通常密码可以通过穷举法等方法破解,所以 Windows 2000 帐号的安全非常重要。
下面几种方法可以有效保障 Windows 2000 系统中帐号的安全:
方法一:禁止枚举帐号
由于 Windows 2000 的默认安装允许任何用户通过空用户得到系统所有帐号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,任何一个远程用户通过同样的方法都能得到帐户列表,使用非法手段破解帐户密码后,对我们的电脑进行攻击,所以必须采用以下方法禁止这种行为。
1 、通过修改注册表禁用空用户连接,操作步骤如下:
单击 " 开始 "->" 运行 " 打开 " 运行 " 对话框;输入 "Regedit" 并单击确定打开注册表编辑器;在注册表编辑器中逐层进入 [HKEY_LOCAL_MACHINES\SYSTEM\CurentControlSet\control\Lsa] ;
将 RestrictAnonymous 的值设置为 1 ,这样可以禁止空用户连接。
2 、修改本地安全策略,操作步骤如下:
进入 Windows 2000 的 " 控制面板 " ;单击 " 管理工具 " ,单击 " 本地安全策略 " ,进入 " 本地安全设置 " 对话框。
选择 " 安全设置 "->" 本地策略 "->" 安全选项 " ;双击 " 对匿名连接的额外限制 " 项;并选择 " 本地策略设置 " 列表,列表中出现三个选项。
(1)" 无,依赖于默认许可权限 " 选项:这是系统默认值,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。
(2)" 不允许枚举 SAM 账号和共享 " 选项:这个值是只允许非 NULL 用户存取 SAM 账号信息和共享信息,一般选择此项。
(3)" 没有显式匿名权限就无法访问 " 选项:这个值是最安全的一个,但是如果使用了这个值,就不能再共享资源了,所以还是推荐设为 " 不允许枚举 SAM 账号和共享 " 比较好。我们选择 " 不允许枚举 SAM 账号和共享 " 项,并确定。
此时,我们就禁止了用户枚举帐号的操作。
方法二: Administrator 账号更名
非法用户找不到用户列表,我们的系统就一定安全吗 ? 不一定。有经验的用户知道, Windows 2000 系统的 Administrator 账号是不能被停用的,也不能设置安全策略,这样非法用户可以一遍又一遍地尝试这个账户的密码,直到破解,所以我们可以在 " 计算机管理 " 中把 Administrator 账户更名来防止这一点。具体操作步骤如下:
进入系统 " 控制面板 "->" 计算机管理 " ,进入 " 计算机管理 " 窗口,如图所示。选择 " 本地用户和组 "->" 用户 " ;在窗口右面使用鼠标右键单击 Administrator ,在右键菜单中选择 " 重命名 " ;重新输入一个名称。
最好不要使用 Admin 、 Root 之类的名字,如果使用改了等于没改。尽量把它伪装成普通用户,比如改成: Guestlll ,别人怎么也想不到这个帐户是超级用户。然后另建一个 "Administrator" 的陷阱帐号,不赋予任何权限,加上一个超过 10 位的超级复杂密码,并对该帐户启用审核。这样那些非法用户忙了半天也可能进不来,或是即便进来了也什么都得不到,还留下我们跟踪的线索。
方法三:禁止登录屏幕上显示上次登录的用户名
非法用户也可以通过本地或者 Terminal Service 的登录界面看到用户名,然后去猜密码。
所以要禁止显示登录的用户名。操作步骤如下:
选择 " 控制面板 "->" 管理工具 "->" 本地安全策略 "->" 本地策略 "->" 安全选项 " 。
在窗口右侧双击 " 登录屏幕上不要显示上次登录的用户名 " 一项;选中 " 已启用 " 。
也可以通过修改注册表来实现,找到注册表 HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn 项中的 Don't Display Last User Name 串,将其数据修改为 1 。
方法四:禁用 Guest 帐号
Guest 帐号是一个非常危险的漏洞,因为非法用户可以使用这个帐号登录你的机器。禁用该帐号的操作步骤如下:
选择 " 控制面板 "->" 管理工具 "->" 计算机管理 " ;在计算机管理的 " 本地用户和组 " 项,选择 " 用户 " ,用鼠标右键单击右侧列表里的 "Guest" 帐号,在右键菜单中选择 " 属性 " 或是双击 "Guest" 帐号,在属性对话框中,在 " 帐户已停用 " 一项前打勾,这样就无法用 Guest 帐号登录你的系统了。
如果还需要提供共享打印服务时,则需要在 " 本地安全策略 " 的 " 用户权利指派 " 中的 " 在本地登录 " 项里设置 Guest 帐号不能登录本机(去掉 Guest 项后面的勾)。
经常检查本地用户和组,删除不用的帐户,不要给非法用户和黑客留下可乘之机,经过以上的步骤,我们的系统应该相对安全了许多。
十、安全设置组策略有效阻止黑客攻击【简
介】
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
你可以在采用 Windows XP 、 2000 和 Server 2003 操作系统的本地计算机上使用这些方法,或者在 Server 2003 和 2000 中的 OU 域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于 Windows Server 2003 的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏 Windows 的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验 ( 如果你很幸运有一个测试环境的话 ) 。
如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台 (GPMC) 来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载 GPMC ,扩展你的域名,用鼠标右键点击 “ 缺省域名策略 ” ,然后选择 “ 编辑 ” 。这样就装载了组策略对象编辑器。如果你要以更快的速度或者 “ 次企业级 ” 的方式编辑你的域名组策略对象,你可以在 “ 开始 ” 菜单中运行 “gpedit.msc” 。
1. 确定一个缺省的口令策略,使你的机构设置位于 “ 计算机配置 /Windows 设置 / 安全设置 / 账号策略 / 口令策略 ” 之下。
2. 为了防止自动口令破解,在 “ 计算机配置 /Windows 设置 / 安全设置 / 账号策略 / 账号关闭策略 ” 中进行如下设置 :
・ 账号关闭持续时间 ( 确定至少 5-10 分钟 )
・ 账号关闭极限 ( 确定最多允许 5 至 10 次非法登录 )
・ 随后重新启动关闭的账号 ( 确定至少 10-15 分钟以后 )
3. 在 “ 计算机配置 /Windows 设置 / 安全设置 / 本地策略 / 检查策略 ” 中启用如下功能 :
・ 检查账号管理
・ 检查登录事件
・ 检查策略改变
・ 检查权限使用
・ 检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。 Roberta Bragg 在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4. 作为增强 Windows 安全的最佳做法和为攻击者设置更多的障碍以减少对 Windows 的攻击,你可以在 “ 计算机配置 /Windows 设置 / 安全设置 / 本地策略 / 安全选项 ” 中进行如下设置 :
・ 账号 : 重新命名管理员账号 -- 不是要求更有效而是增加一个安全层 ( 确定一个新名字 )
・ 账号 : 重新命名客户账号 ( 确定一个新名字 )
・ 交互式登录 : 不要显示最后一个用户的名字 ( 设置为启用 )
・ 交互式登录 : 不需要最后一个用户的名字 ( 设置为关闭 )
・ 交互式登录 : 为企图登录的用户提供一个消息文本 ( 确定为让用户阅读 banner text( 旗帜文本 ) ,内容大致为 “ 这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。 -- 首先让你的律师运行这个程序 )
・ 交互式登录 : 为企图登录的用户提供的消息题目 -- 在警告 !!! 后面写的东西
・ 网络接入 : 不允许 SAM 账号和共享目录 ( 设置为 “ 启用 ”)
・ 网络接入 : 将 “ 允许每一个人申请匿名用户 ” 设置为关闭
・ 网络安全 :“ 不得存储局域网管理员关于下一个口令变化的散列值 ” 设置为 “ 启用 ”
・ 关机 :“ 允许系统在没有登录的情况下关闭 ” 设置为 “ 关闭 ”
・ 关机 :“ 清除虚拟内存的页面文件 ” 设置为 “ 启用 ”
如果你没有 Windows Server 2003 域名控制器,你在这里可以找到有哪些 Windows XP 本地安全设置的细节,以及这里有哪些详细的 Windows 2000 Server 组策略的设置。要了解更多的有关 Windows Server 2003 组策略的信息,请查看微软的专门网页。
你可以在采用 Windows XP 、 2000 和 Server 2003 操作系统的本地计算机上使用这些方法,或者在 Server 2003 和 2000 中的 OU 域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于 Windows Server 2003 的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏 Windows 的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验 ( 如果你很幸运有一个测试环境的话 ) 。
如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台 (GPMC) 来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载 GPMC ,扩展你的域名,用鼠标右键点击 “ 缺省域名策略 ” ,然后选择 “ 编辑 ” 。这样就装载了组策略对象编辑器。如果你要以更快的速度或者 “ 次企业级 ” 的方式编辑你的域名组策略对象,你可以在 “ 开始 ” 菜单中运行 “gpedit.msc” 。
1. 确定一个缺省的口令策略,使你的机构设置位于 “ 计算机配置 /Windows 设置 / 安全设置 / 账号策略 / 口令策略 ” 之下。
2. 为了防止自动口令破解,在 “ 计算机配置 /Windows 设置 / 安全设置 / 账号策略 / 账号关闭策略 ” 中进行如下设置 :
・ 账号关闭持续时间 ( 确定至少 5-10 分钟 )
・ 账号关闭极限 ( 确定最多允许 5 至 10 次非法登录 )
・ 随后重新启动关闭的账号 ( 确定至少 10-15 分钟以后 )
3. 在 “ 计算机配置 /Windows 设置 / 安全设置 / 本地策略 / 检查策略 ” 中启用如下功能 :
・ 检查账号管理
・ 检查登录事件
・ 检查策略改变
・ 检查权限使用
・ 检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。 Roberta Bragg 在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4. 作为增强 Windows 安全的最佳做法和为攻击者设置更多的障碍以减少对 Windows 的攻击,你可以在 “ 计算机配置 /Windows 设置 / 安全设置 / 本地策略 / 安全选项 ” 中进行如下设置 :
・ 账号 : 重新命名管理员账号 -- 不是要求更有效而是增加一个安全层 ( 确定一个新名字 )
・ 账号 : 重新命名客户账号 ( 确定一个新名字 )
・ 交互式登录 : 不要显示最后一个用户的名字 ( 设置为启用 )
・ 交互式登录 : 不需要最后一个用户的名字 ( 设置为关闭 )
・ 交互式登录 : 为企图登录的用户提供一个消息文本 ( 确定为让用户阅读 banner text( 旗帜文本 ) ,内容大致为 “ 这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。 -- 首先让你的律师运行这个程序 )
・ 交互式登录 : 为企图登录的用户提供的消息题目 -- 在警告 !!! 后面写的东西
・ 网络接入 : 不允许 SAM 账号和共享目录 ( 设置为 “ 启用 ”)
・ 网络接入 : 将 “ 允许每一个人申请匿名用户 ” 设置为关闭
・ 网络安全 :“ 不得存储局域网管理员关于下一个口令变化的散列值 ” 设置为 “ 启用 ”
・ 关机 :“ 允许系统在没有登录的情况下关闭 ” 设置为 “ 关闭 ”
・ 关机 :“ 清除虚拟内存的页面文件 ” 设置为 “ 启用 ”
如果你没有 Windows Server 2003 域名控制器,你在这里可以找到有哪些 Windows XP 本地安全设置的细节,以及这里有哪些详细的 Windows 2000 Server 组策略的设置。要了解更多的有关 Windows Server 2003 组策略的信息,请查看微软的专门网页。
十一、如何设置
IE
中的安全设置选项按钮?问
:
我在
Windows 2000
桌面右击
IE
图标并选择
“
属性
”
,选择了
“
安全
”
标签后,发现
“
自定义级别
”
和
“
默认级别
”
按钮变成灰色不可选状态,无法改变
IE
的安全等级。请问该如何解决?
答 : 出现这个问题的原因是系统在注册表中添加了一个 “SecChangeSettings” 键进行了限制。请打开注册表编辑器,找到 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] ,将右侧窗口中的 “SecChangeSettings” 键删除后,重启 IE 即可解决问题。
十二、 FAT32 转换为 NTFS 如果要使用文件访问权限,文件还必须位于 NTFS 文件系统的分区上。跟 FAT 和 FAT32 文件系统相比, NTFS 文件系统可以在保持簇大小不变的情况下支持更大的分区,还有一系列的安全特性,建议使用。不过 DOS 和 Windows 9x 操作系统并不能支持这种文件系统。有两种方法获得 NTFS 文件系统的分区:创建一个分区,然后格式化为 NTFS 文件系统;或者把现有的 FAT 或者 FAT32 文件系统的分区在保留数据的前提下转化为 NTFS 文件系统。这个转化可以使用 Windows 自带的 convert.exe 程序,在命令行状态下输入 “convert c:/fs:ntfs” 并回车就可以把 C 盘转换,其他盘需要替换 C 为相应的盘符。另外要注意,转换系统盘可能需要你重启动系统才能完成。
十三、用组策略从十大方面保护 Windows 安全 Windows 操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给 Windows 系统练就一身金钟罩。
�� 一、给我们的 IP 添加安全策略
在 “ 计算机配置 ” → “Windows 设置 ” → “ 安全设置 ” → “IP 安全策略,在本地计算机 ” 下与有与网络有关的几个设置项目 ( 如图 1) 。如果大家对 Internet 较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在 Windows 上运行网络程序或者畅游 Internet 时将会更加安全。
小提示 : 由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
答 : 出现这个问题的原因是系统在注册表中添加了一个 “SecChangeSettings” 键进行了限制。请打开注册表编辑器,找到 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] ,将右侧窗口中的 “SecChangeSettings” 键删除后,重启 IE 即可解决问题。
十二、 FAT32 转换为 NTFS 如果要使用文件访问权限,文件还必须位于 NTFS 文件系统的分区上。跟 FAT 和 FAT32 文件系统相比, NTFS 文件系统可以在保持簇大小不变的情况下支持更大的分区,还有一系列的安全特性,建议使用。不过 DOS 和 Windows 9x 操作系统并不能支持这种文件系统。有两种方法获得 NTFS 文件系统的分区:创建一个分区,然后格式化为 NTFS 文件系统;或者把现有的 FAT 或者 FAT32 文件系统的分区在保留数据的前提下转化为 NTFS 文件系统。这个转化可以使用 Windows 自带的 convert.exe 程序,在命令行状态下输入 “convert c:/fs:ntfs” 并回车就可以把 C 盘转换,其他盘需要替换 C 为相应的盘符。另外要注意,转换系统盘可能需要你重启动系统才能完成。
十三、用组策略从十大方面保护 Windows 安全 Windows 操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给 Windows 系统练就一身金钟罩。
�� 一、给我们的 IP 添加安全策略
在 “ 计算机配置 ” → “Windows 设置 ” → “ 安全设置 ” → “IP 安全策略,在本地计算机 ” 下与有与网络有关的几个设置项目 ( 如图 1) 。如果大家对 Internet 较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在 Windows 上运行网络程序或者畅游 Internet 时将会更加安全。
小提示 : 由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
二、隐藏驱动器
�� 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择 “ 用户配置→管理模板→ Windows 组件→ Windows 资源管理器 ” 。
�� 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择 “ 用户配置→管理模板→ Windows 组件→ Windows 资源管理器 ” 。
三、禁用指定的文件类型
�� 在 “ 组策略 ” 中,我们可以禁用 SHS 、 MSI 、 BAT 、 CMD 、 COM 、 EXE 等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的 REG 文件,不让系统运行 REG 文件,具体操作方法如下:
��1. 打开组策略,点击 “ 计算机配置→ Windows 设置→安全设置→软件限制策略 ” ,在弹出的右键菜单上选择 “ 创建软件限制策略 ” ,即生成 “ 安全级别 ” 、 “ 其他规则 ” 及 “ 强制 ” 、 “ 指派的文件类型 ” 、 “ 受信任的出版商 ” 项。
�� 在 “ 组策略 ” 中,我们可以禁用 SHS 、 MSI 、 BAT 、 CMD 、 COM 、 EXE 等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的 REG 文件,不让系统运行 REG 文件,具体操作方法如下:
��1. 打开组策略,点击 “ 计算机配置→ Windows 设置→安全设置→软件限制策略 ” ,在弹出的右键菜单上选择 “ 创建软件限制策略 ” ,即生成 “ 安全级别 ” 、 “ 其他规则 ” 及 “ 强制 ” 、 “ 指派的文件类型 ” 、 “ 受信任的出版商 ” 项。
��2.
双击
“
指派的文件类型
”
打开
“
指派的文件类型属性
”
窗口,只留下
REG
文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在
“
文件扩展名
”
空白栏里输入要禁用的文件类型,将它添加上去。
��3. 双击 “ 安全级别→不允许的 ” 项,点击 “ 设为默认 ” 按钮。然后注销系统或者重新启动系统,此策略即生效,运行 REG 文件时,会提示 “ 由于一个软件限制策略的阻止, Windows 无法打开此程序 ” 。
��4. 要取消此软件限制策略的话,双击 “ 安全级别→不受限的 ” ,打开 “ 不受限的 属性 ” 窗口,按 “ 设为默认值 ” 即可。
�� 如果你鼠标右键点击 “ 计算机配置→ Windows 设置→安全设置→软件限制策略→其他规则 ” ,你会看到它可以建立哈希规则、 Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用 “ 路径规则 ” 可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为 “ 不允许的 ” ,以防止电子邮件病毒。
�� 提示:为了避免 “ 软件限制策略 ” 将系统管理员也限制,我们可以双击 “ 强制 ” ,选择 “ 除本地管理员以外的所有用户 ” 。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
�� 四、未经许可,不得在本机登录
�� 使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂 POPO 等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过 “ 组策略 ” 来禁止一些账户在本机上登录,让对方只能通过网络登录。
�� 在 “ 组策略 ” 窗口中依次打开 “ 计算机配置→ Windows 设置→安全设置→本地策略→用户权限分配 ” ,然后双击右侧窗格的 “ 拒绝本地登录 ” 项,在弹出的窗口中添加要禁止的用户或组即可实现。
��3. 双击 “ 安全级别→不允许的 ” 项,点击 “ 设为默认 ” 按钮。然后注销系统或者重新启动系统,此策略即生效,运行 REG 文件时,会提示 “ 由于一个软件限制策略的阻止, Windows 无法打开此程序 ” 。
��4. 要取消此软件限制策略的话,双击 “ 安全级别→不受限的 ” ,打开 “ 不受限的 属性 ” 窗口,按 “ 设为默认值 ” 即可。
�� 如果你鼠标右键点击 “ 计算机配置→ Windows 设置→安全设置→软件限制策略→其他规则 ” ,你会看到它可以建立哈希规则、 Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用 “ 路径规则 ” 可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为 “ 不允许的 ” ,以防止电子邮件病毒。
�� 提示:为了避免 “ 软件限制策略 ” 将系统管理员也限制,我们可以双击 “ 强制 ” ,选择 “ 除本地管理员以外的所有用户 ” 。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
�� 四、未经许可,不得在本机登录
�� 使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂 POPO 等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过 “ 组策略 ” 来禁止一些账户在本机上登录,让对方只能通过网络登录。
�� 在 “ 组策略 ” 窗口中依次打开 “ 计算机配置→ Windows 设置→安全设置→本地策略→用户权限分配 ” ,然后双击右侧窗格的 “ 拒绝本地登录 ” 项,在弹出的窗口中添加要禁止的用户或组即可实现。
如果我们想反其道而行之,禁止用户从网络登录,只能从本地登录,可以双击
“
拒绝从网络访问这台计算机
”
项将用户加上去。
�
五、给
“
休眠
”
和
“
待机
”
加个密码
�� 只有 “ 屏幕保护 ” 有密码是远远不够安全的,我们还要给 “ 休眠 ” 和 “ 待机 ” 加上密码,这样才会更安全。让我们来给 “ 休眠 ” 和 “ 待机 ” 加上密码吧。在 “ 组策略 ” 窗口中展开 “ 用户配置→管理模板→系统→电源管理 ” ,在右边的窗格中双击 “ 从休眠 / 挂起恢复时提示输入密码 ” ,将其设置为 “ 已启用 ”( 图 5) ,那么当我们从 “ 待机 ” 或 “ 休眠 ” 状态返回时将会要求你输入用户密码。
�� 只有 “ 屏幕保护 ” 有密码是远远不够安全的,我们还要给 “ 休眠 ” 和 “ 待机 ” 加上密码,这样才会更安全。让我们来给 “ 休眠 ” 和 “ 待机 ” 加上密码吧。在 “ 组策略 ” 窗口中展开 “ 用户配置→管理模板→系统→电源管理 ” ,在右边的窗格中双击 “ 从休眠 / 挂起恢复时提示输入密码 ” ,将其设置为 “ 已启用 ”( 图 5) ,那么当我们从 “ 待机 ” 或 “ 休眠 ” 状态返回时将会要求你输入用户密码。
�
六、自动给操作做个记录
��
在
“
计算机配置→
Windows
设置→安全设置→本地策略→审核策略
”
上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等
(
图
6)
。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。
��
我们应该养成经常在
“
控制面板→管理工具→事件查看器
”
里查看事件的好习惯。比如,当你修改过
“
组策略
”
后,系统就发生了问题,此时
“
事件查看器
”
就会及时告诉你改了哪些策略。在
“
登录事件
”
里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期
……
而要启用哪些审核,只要双击相应的项目,选中
“
成功
”
和
“
失败
”
两个选项即可。
�� 注意: Windows XP Home Edition 没有 “ 组策略 ” ,只有 Windows XP Professional 版本才有 “ 组策略 ” ,这一点注意。
七、限制 IE 浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢 ? 具体方法为:选择 “ 用户设置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” → “ 浏览器菜单 ” 分支。双击右侧窗格中的 “‘ 文件 ’ 菜单:禁用 ‘ 另存为 …’ 菜单项 ” ,在打开的设置窗口中选中 “ 已启用 ” 单选按钮 ( 如图 7) 。
提示 : 我们还可以对 “‘ 文件 ’ 菜单:禁用另存为网页菜单项 ” 、 “‘ 查看 ’ 菜单:禁用 ‘ 源文件 ’ 菜单项 ” 和 “ 禁用上下文菜单 ” 等策略项目进行修改,这样我们的 IE 将会安全一些。
�� 注意: Windows XP Home Edition 没有 “ 组策略 ” ,只有 Windows XP Professional 版本才有 “ 组策略 ” ,这一点注意。
七、限制 IE 浏览器的保存功能
当多人共用一台计算机时,为了保持硬盘的整洁,需要对浏览器的保存功能进行限制使用,那么如何才能实现呢 ? 具体方法为:选择 “ 用户设置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” → “ 浏览器菜单 ” 分支。双击右侧窗格中的 “‘ 文件 ’ 菜单:禁用 ‘ 另存为 …’ 菜单项 ” ,在打开的设置窗口中选中 “ 已启用 ” 单选按钮 ( 如图 7) 。
提示 : 我们还可以对 “‘ 文件 ’ 菜单:禁用另存为网页菜单项 ” 、 “‘ 查看 ’ 菜单:禁用 ‘ 源文件 ’ 菜单项 ” 和 “ 禁用上下文菜单 ” 等策略项目进行修改,这样我们的 IE 将会安全一些。
八、禁止修改
IE
浏览器的主页
如果您不希望他人或网络上的一些恶意代码对自己设定的 IE 浏览器主页进行随意更改的话,我们可以选择 “ 用户配置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” 分支,然后在右侧窗格中,双击 “ 禁用更改主页设置 ” 策略启用即可。
(1) 在图 8 ,还提供了更改历史记录设置、更改颜色设置和更改 Internet 临时文件设置等项目的禁用功能。如果启用了这个策略,在 IE 浏览器的 “Internet 选项 ” 对话框中,其 “ 常规 ” 选项卡的 “ 主页 ” 区域的设置将变灰。
(2) 如果设置了位于 “ 用户配置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” → “Internet 控制面板 ” 中的 “ 禁用常规页 ” 策略,则无需设置该策略,因为 “ 禁用常规页 ” 策略将删除界面上的 “ 常规 ” 选项卡。
(3) 逐级展开 “ 用户设置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” 分支,我们可以在其下发现 “Internet 控制面板 ” 、 “ 脱机页 ” 、 “ 浏览器菜单 ” 、 “ 工具栏 ” 、 “ 持续行为 ” 和 “ 管理员认可的控件 ” 等策略选项。利用它可以充分打造一个极有个性和安全的 IE 。
九、把 Administrator 藏起来
��Windows 系统默认的系统管理员账户名是 Administrator 。因此,为了避免有人恶意破解系统管理员 Administrator 账户的密码,我们可以将 Administrator 改为其他名字以加强安全。点击 “ 开始→运行 ” ,输入 gpedit.msc ,打开 “ 组策略 ” ,如图 9 所示,选择 “ 计算机配置→ Windows 设置→安全设置→本地策略→安全选项 ” ,在右边窗格里双击 “ 账户:重命名系统管理员账户 ” 项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个 Guest 用户,用户名为 Administrator ,然后再加上十分复杂的密码就更安全。
如果您不希望他人或网络上的一些恶意代码对自己设定的 IE 浏览器主页进行随意更改的话,我们可以选择 “ 用户配置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” 分支,然后在右侧窗格中,双击 “ 禁用更改主页设置 ” 策略启用即可。
(1) 在图 8 ,还提供了更改历史记录设置、更改颜色设置和更改 Internet 临时文件设置等项目的禁用功能。如果启用了这个策略,在 IE 浏览器的 “Internet 选项 ” 对话框中,其 “ 常规 ” 选项卡的 “ 主页 ” 区域的设置将变灰。
(2) 如果设置了位于 “ 用户配置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” → “Internet 控制面板 ” 中的 “ 禁用常规页 ” 策略,则无需设置该策略,因为 “ 禁用常规页 ” 策略将删除界面上的 “ 常规 ” 选项卡。
(3) 逐级展开 “ 用户设置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” 分支,我们可以在其下发现 “Internet 控制面板 ” 、 “ 脱机页 ” 、 “ 浏览器菜单 ” 、 “ 工具栏 ” 、 “ 持续行为 ” 和 “ 管理员认可的控件 ” 等策略选项。利用它可以充分打造一个极有个性和安全的 IE 。
九、把 Administrator 藏起来
��Windows 系统默认的系统管理员账户名是 Administrator 。因此,为了避免有人恶意破解系统管理员 Administrator 账户的密码,我们可以将 Administrator 改为其他名字以加强安全。点击 “ 开始→运行 ” ,输入 gpedit.msc ,打开 “ 组策略 ” ,如图 9 所示,选择 “ 计算机配置→ Windows 设置→安全设置→本地策略→安全选项 ” ,在右边窗格里双击 “ 账户:重命名系统管理员账户 ” 项,在上面输入你想要的用户名。重新启动计算机后,输入的新用户名即刻生效。如果再新建一个 Guest 用户,用户名为 Administrator ,然后再加上十分复杂的密码就更安全。
��
提示:为了避免让人在
Windows
的登录框中看到曾经登录过的用户名,就要双击
“
交互式登录:不显示上次的用户名
”
子项,选择
“
已启用
”
将该策略启用。这样上次登录到计算机的用户名就不会显示在
Windows
的登录画面中。
十 . 禁用 IE 组件自动安装
选择 “ 计算机配置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” 项目,双击右边窗口中 “ 禁用 Internet Explorer 组件的自动安装 ” 项目,在打开的窗口中选择 “ 已启用 ” 单选按钮 ( 如图 10) ,将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改 IE 的行为也会得到遏制 ! 相对来说 IE 也会安全许多 !
十 . 禁用 IE 组件自动安装
选择 “ 计算机配置 ” → “ 管理模板 ” → “Windows 组件 ” → “Internet Explorer” 项目,双击右边窗口中 “ 禁用 Internet Explorer 组件的自动安装 ” 项目,在打开的窗口中选择 “ 已启用 ” 单选按钮 ( 如图 10) ,将会禁止 Internet Explorer 自动安装组件。这样可以防止 Internet Explorer 在用户访问到需要某个组件的网站时下载该组件,篡改 IE 的行为也会得到遏制 ! 相对来说 IE 也会安全许多 !
小提示
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择 “ 安装 ” 则往往会出问题。网上的很多恶意代码往往都是这样工作的。
如果禁用该策略或不对其进行配置,则用户在访问需要某个组件的网站时,将会收到一则消息,提示用户下载并安装该组件。有时用户看也不看就选择 “ 安装 ” 则往往会出问题。网上的很多恶意代码往往都是这样工作的。
十四、 Windows 2000 安全检查清单
在网上偶尔看到这篇关于
Window 2000
安全的问题,虽然有点老了,但觉得还是挺实用的,于是就转过来了,希望大家有所帮助。注意:很多操作请不要在服务器上直接尝试,因为操作不当可能会引起服务器很多功能出错或无法使用,建议您在个人的机器上操作成功后再试。
---51windows(
海娃
)
前段时间,中美网络大战,我看了一些被黑的服务器,发现绝大部分被黑的服务器都是
Nt/win2000
的机器,真是惨不忍睹。
Windows2000
真的那么不安全么?其实,
Windows2000
含有很多的安全功能和选项,如果你合理的配置它们,那么
windows 2000
将会是一个很安全的操作系统
.
我抽空翻了一些网站,翻译加凑数的整理了一篇
checklist
出来。希望对
win2000
管理员有些帮助。本文并没有什么高深的东西,所谓的清单,也并不完善,很多东西要等以后慢慢加了,希望能给管理员作一参考。
具体清单如下:
初级安全篇
1.
物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留
15
天以上的摄像记录。另外,机箱
,
键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.
停掉
Guest
帐号
在计算机管理的用户里面把
guest
帐号停用掉,任何时候都不允许
guest
帐号登陆系统。为了保险起见,最好给
guest
加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符
,
数字,字母的长字符串,然后把它作为
guest
帐号的密码拷进去。
3
.限制不必要的用户数量
去掉所有的
duplicate user
帐户
,
测试用帐户
,
共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的
nt/2000
主机,如果系统帐户超过
10
个,一般都能找出一两个弱口令帐户。我曾经发现一台主机
197
个帐户中竟然有
180
个帐号都是弱口令帐户。
4
.创建
2
个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有
Administrators
权限的帐户只在需要的时候使用。可以让管理员使用
“ RunAS”
命令来执行一些需要特权才能作的一些工作,以方便管理。
5
.把系统
administrator
帐号改名
大家都知道,
windows 2000
的
administrator
帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把
Administrator
帐户改名可以有效的防止这一点。当然,请不要使用
Admin
之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:
guestone
。
6
.创建一个陷阱帐号
什么是陷阱帐号
? Look!>
创建一个名为
” Administrator”
的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过
10
位的超级复杂密码。这样可以让那些
Scripts s
忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的
login scripts
上面做点手脚。嘿嘿,够损!
7
.把共享文件的权限从
”everyone”
组改成
“
授权用户
”
“everyone”
在
win2000
中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成
”everyone”
组。包括打印共享,默认的属性就是
”everyone”
组的,一定不要忘了改。
8
.使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得
N
简单,比如
“welcome” “iloveyou” “letmein”
或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在
IRC
和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花
43
天或者更长的时间才能破解出来,而你的密码策略是
42
天必须改密码。
9
.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用
OpenGL
和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10
.
使用
NTFS
格式分区
把服务器的所有分区都改成
NTFS
格式。
NTFS
文件系统要比
FAT,FAT32
的文件系统安全得多。这点不必多说,想必大家得服务器都已经是
NTFS
的了。
11
.运行防毒软件
我见过的
Win2000/Nt
服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,
“
黑客
”
们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12
.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1
.利用
win2000
的安全配置工具来配置策略
微软提供了一套的基于
MMC(
管理控制台
)
安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
[url]www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp[/url]
[url]www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp[/url]
2
.关闭不必要的服务
windows 2000
的
Terminal Services
(终端服务),
IIS ,
和
RAS
都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性
(
每天
)
的检查他们。下面是
C2
级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3
.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。
\system32\drivers\etc\services
文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居 > 属性 > 本地连接 > 属性 >internet 协议 (tcp/ip)> 属性 > 高级 > 选项 >tcp/ip 筛选 > 属性 打开 tcp/ip 筛选,添加需要的 tcp,udp, 协议即可。
网上邻居 > 属性 > 本地连接 > 属性 >internet 协议 (tcp/ip)> 属性 > 高级 > 选项 >tcp/ip 筛选 > 属性 打开 tcp/ip 筛选,添加需要的 tcp,udp, 协议即可。
4
.打开审核策略
开启安全审核是
win2000
最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码
,
改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5
.开启密码密码策略
策略
设置
密码复杂性要求 启用
密码长度最小值 6 位
强制密码历史 5 次
强制密码历史 42 天
密码复杂性要求 启用
密码长度最小值 6 位
强制密码历史 5 次
强制密码历史 42 天
6
.开启帐户策略
策略
设置
复位帐户锁定计数器 20 分钟
帐户锁定时间 20 分钟
帐户锁定阈值 3 次
复位帐户锁定计数器 20 分钟
帐户锁定时间 20 分钟
帐户锁定阈值 3 次
7
.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有
Administrator
和系统帐户才有权访问。
8
.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据
(
文件,数据表,项目文件等
)
存放在另外一个安全的服务器中,并且经常备份它们。
9.
不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把
REG_SZ
的键值改成
1 .
10
.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous
的值改成
” 1”
即可。
11
.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的
2000
不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的
service pack
和漏洞补丁,是保障服务器长久安全的唯一方法。
高级篇
1
.关闭
DirectDraw
这是
C2
级安全标准对视频卡和内存的要求。关闭
DirectDraw
可能对一些需要用到
DirectX
的程序有影响(比如游戏,在服务器上玩星际争霸?我晕
..$%$^%^&??
),但是对于绝大多数的商业站点都应该是没有影响的。
修改注册表
HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI
的
Timeout(REG_DWORD)
为
0
即可。
2
.关闭默认共享
win2000
安装好以后,系统会创建一些隐藏的共享,你可以在
cmd
下打
net share
查看他们。网上有很多关于
IPC
入侵的文章,相信大家一定对它不陌生。要禁止这些共享
,打开
管理工具
>
计算机管理
>
共享文件夹
>
共享
在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。 Win2000 Pro 版中,只有 Administrator
和 Backup Operators 组成员才可连接, Win2000 Server 版本
Server Operatros 组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向 Win2000 的安装路径,比如 c:\winnt
FAX$ 在 Win2000 Server 中, FAX$ 在 fax 客户端发传真的时候会到。
IPC$ 空连接。 IPC$ 共享提供了登录到系统的能力。
NetLogon 这个共享在 Windows 2000 服务器的 Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机
具体操作可以参考: 去掉win2000中的c$共享
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。 Win2000 Pro 版中,只有 Administrator
和 Backup Operators 组成员才可连接, Win2000 Server 版本
Server Operatros 组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向 Win2000 的安装路径,比如 c:\winnt
FAX$ 在 Win2000 Server 中, FAX$ 在 fax 客户端发传真的时候会到。
IPC$ 空连接。 IPC$ 共享提供了登录到系统的能力。
NetLogon 这个共享在 Windows 2000 服务器的 Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机
具体操作可以参考: 去掉win2000中的c$共享
3
.禁止
dump file
的产生
dump
文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料
(
不然我就照字面意思翻译成垃圾文件了
)
。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开控制面板
>
系统属性
>
高级
>
启动和故障恢复
把
写入调试信息
改成无。要用的时候,可以再重新打开它。
4
.使用文件加密系统
EFS
Windows2000
强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用
EFS,
而不仅仅是单个的文件。
有关
EFS
的具体信息可以查看
[url]www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp[/url]
5
.加密
temp
文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到
temp
文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除
temp
文件夹的内容。所以,给
temp
文件夹加密可以给你的文件多一层保护。
6
.锁住注册表
在
windows2000
中,只有
administrators
和
Backup Operators
才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
[url]http://support.microsoft.com/support/kb/articles/Q153/1/83.asp[/url]
[url]http://support.microsoft.com/support/kb/articles/Q153/1/83.asp[/url]
7
.关机时清除掉页面文件
页面文件也就是调度文件,是
win2000
用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。要在关机的时候清楚页面文件,可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把 ClearPageFileAtShutdown 的值设置成 1 。
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把 ClearPageFileAtShutdown 的值设置成 1 。
8
.禁止从软盘和
CD Rom
启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9
.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到
10phtcrack
等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10
.考虑使用
IPSec
正如其名字的含义,
IPSec
提供
IP
数据包的安全性。
IPSec
提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用
IPSec
可以使得系统的安全性能大大增强。有关
IPSes
的详细信息可以参考:
[url]http://www.microsoft.com/china/technet/security/ipsecloc.asp[/url]
十五、如何限制从远程计算机访问注册表
限制对注册表的网络访问
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。
Microsoft
不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
注意:在 Windows 2000 和更高版本中,只有管理员和备份操作员具有对注册表的默认网络访问权限。对于某些特定情况,此部分可能不适用。要限制对注册表的网络访问,请执行下列步骤来创建下面的注册表项 :
注意:在 Windows 2000 和更高版本中,只有管理员和备份操作员具有对注册表的默认网络访问权限。对于某些特定情况,此部分可能不适用。要限制对注册表的网络访问,请执行下列步骤来创建下面的注册表项 :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
名称: Description
类型 :REG_SZ
值 :Registry Server
名称: Description
类型 :REG_SZ
值 :Registry Server
在此项中设置的安全权限规定了哪些用户或组可以连接到系统以对注册表进行远程访问。默认的
Windows
安装会定义此项,并按如下所示设置
“
访问控制列表
”
以限制对注册表的远程访问:
管理员拥有完全控制权限
Windows
的默认配置只允许管理员对注册表进行远程访问。为使用户可以对注册表进行远程访问而对此项进行的更改要在重新启动系统后才能生效。
要创建注册表项以限制对注册表的访问,请执行下列步骤:
要创建注册表项以限制对注册表的访问,请执行下列步骤:
|
1.
|
启动注册表编辑器
(Regedt32.exe)
并转到下面的子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
|
|
2.
|
在编辑菜单中,单击添加项。
|
|
3.
|
输入下列数值:
项名称
:SecurePipeServers 类型 :REG_SZ |
|
4.
|
转到下面的子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers
|
|
5.
|
在编辑菜单中,单击添加项。
|
|
6.
|
输入下列数值:
项名称
:winreg 类型 :REG_SZ |
|
7.
|
转到下面的子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
|
|
8.
|
在编辑菜单上,单击添加数值。
|
|
9.
|
输入下列数值:
数值名称
数据类型 :REG_SZ 字符串 :Registry Server |
|
10.
|
转到下面的子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
|
|
11.
|
选择
“winreg”
。单击安全,然后单击权限。添加要向其授予访问权限的用户或组。
|
|
12.
|
退出注册表编辑器并重新启动
Windows
。
|
|
13.
|
如果您以后想要更改可以访问注册表的用户的列表,请重复步骤
10-12
。
|
不使用访问限制
某些服务需要远程访问注册表才能正常工作。例如,目录复制程序服务和后台打印程序服务在通过网络连接到打印机时需要访问远程注册表。
您可以将运行该服务的帐户名称添加到 “winreg” 项的访问列表中,也可以配置 Windows 以便不对某些特定项使用访问限制,方法为:在 AllowedPaths 项下的 Machine 或 Users 值中列出这些项。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
值
:Machine
数值类型
:REG_MULTI_SZ �C
多字符串
默认数据 :System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\Windows NT\CurrentVersion System\CurrentControlSet\Services\Replicator 有效范围 : 注册表中某个位置的有效路径。
描述 : 如果对于注册表中
列出的位置不存在明确的访问限制,
则允许计算机访问该位置。
值 :Users 数值类型 :REG_MULTI_SZ �C 多字符串
默认数据 : (无)
有效范围 : 注册表中某个位置的有效路径。
描述 : 如果对于注册表中
列出的位置不存在明确的访问限制,
则允许用户访问该位置。
在 Windows 2000 和更高版本中略有不同:
值 :Machine 数值类型 :REG_MULTI_SZ �C 多字符串
默认数据 :System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Print\Printers system\CurrentControlSet\control\Server Applications System\CurrentControlSet\Services\Eventlog Software\Microsoft\Windows NT\CurrentVersion 值 :Users �C 默认情况下不存在。
默认数据 :System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\Windows NT\CurrentVersion System\CurrentControlSet\Services\Replicator 有效范围 : 注册表中某个位置的有效路径。
描述 : 如果对于注册表中
列出的位置不存在明确的访问限制,
则允许计算机访问该位置。
值 :Users 数值类型 :REG_MULTI_SZ �C 多字符串
默认数据 : (无)
有效范围 : 注册表中某个位置的有效路径。
描述 : 如果对于注册表中
列出的位置不存在明确的访问限制,
则允许用户访问该位置。
在 Windows 2000 和更高版本中略有不同:
值 :Machine 数值类型 :REG_MULTI_SZ �C 多字符串
默认数据 :System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Print\Printers system\CurrentControlSet\control\Server Applications System\CurrentControlSet\Services\Eventlog Software\Microsoft\Windows NT\CurrentVersion 值 :Users �C 默认情况下不存在。
问:浏览网页时经常碰到弹出淘宝网的广告,奇怪的是,屏蔽广告软件对这种弹出广告没有任何效果。请问如何禁止它弹出呢?
答:这类弹出广告的原理是利用浏览器的 IE 内核来调用 IE 窗口。据悉,淘宝网是由 [url]www.unionsky.cn[/url] 网站代理的,各种弹出窗口也都是通过这个网站中转到淘宝网的,我们只需在 Hosts 文件中禁止这个网站即可。在 C:\WINDOWS\system32\drivers\etc\ 下找到 hosts 文件,用记事本打开它,加入 “127.0.0.1 [url]www.unionsky.cn[/url]” ,然后以 ANSI 编码的形式保存到原来位置。这一招不但在这里起作用,对诸多弹出窗口都可以起到禁止的作用,你只要将弹出网页的地址以 “ 0.0.0 .0 网页地址 ” 的形式依次加入就可以禁止想要禁止的弹出网页了
很多情况下好多朋友都被恶意代码烦透了吧 , 我在各个安全网站到处漫游 , 看能不能帮大家一把,终于让我找到了这个好文章 , 大家可以参详一下 . 不过我开拓进取在这里提醒一下大家 , 在修改注册表之前一定要备份喔 ~ 并且要看准键咯 ~~` 删错了可就 ……
备份注册表文件、用软件免疫、禁用 js
显然这些方法都不怎么理想 , 其实有一招简单的方法是可以永远免疫的 , 就是在注册表中删除恶意代码会用到的一个 id 就可以了 , 那就是 F935DC22-1CF0-11D0-ADB9 -00C 04FD 58A 0B, 只要把它删了 , 那你以后碰到恶意代码 , 就再也不用担心注册表会再被修改了 , 它再注册表里面的路径是 HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9 -00C 04FD 58A 0B}, 找到后把整个项删掉就可以了 , 这个项删掉不会对系统有任何影响 , 请放心删除 .
这里再介绍几个对系统安全有隐患的 ID
HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940 -00A 0C 9054228}, 网页代码可以利用他在硬盘里面生成文件
HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9 -00C 04FD 58A 0B}, 可以生成命令格式 , 比如格式化硬盘 , 执行任何程序 .
HKEY_CLASSES_ROOT\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}, 这个好像是 3721 中文网址的 , 我发现很多朋友都觉得 3721 很霸道 , 删了就不用管它了
如果不知道怎么删或者嫌麻烦 , 可以来我的主页 [url]http://www.J3J4.com[/url], 看一张网页就帮你删了 , 原理是一样。
上次我陈述了四大病毒可以一劳永逸,有朋友提到如何防范?
答:这类弹出广告的原理是利用浏览器的 IE 内核来调用 IE 窗口。据悉,淘宝网是由 [url]www.unionsky.cn[/url] 网站代理的,各种弹出窗口也都是通过这个网站中转到淘宝网的,我们只需在 Hosts 文件中禁止这个网站即可。在 C:\WINDOWS\system32\drivers\etc\ 下找到 hosts 文件,用记事本打开它,加入 “127.0.0.1 [url]www.unionsky.cn[/url]” ,然后以 ANSI 编码的形式保存到原来位置。这一招不但在这里起作用,对诸多弹出窗口都可以起到禁止的作用,你只要将弹出网页的地址以 “ 0.0.0 .0 网页地址 ” 的形式依次加入就可以禁止想要禁止的弹出网页了
很多情况下好多朋友都被恶意代码烦透了吧 , 我在各个安全网站到处漫游 , 看能不能帮大家一把,终于让我找到了这个好文章 , 大家可以参详一下 . 不过我开拓进取在这里提醒一下大家 , 在修改注册表之前一定要备份喔 ~ 并且要看准键咯 ~~` 删错了可就 ……
备份注册表文件、用软件免疫、禁用 js
显然这些方法都不怎么理想 , 其实有一招简单的方法是可以永远免疫的 , 就是在注册表中删除恶意代码会用到的一个 id 就可以了 , 那就是 F935DC22-1CF0-11D0-ADB9 -00C 04FD 58A 0B, 只要把它删了 , 那你以后碰到恶意代码 , 就再也不用担心注册表会再被修改了 , 它再注册表里面的路径是 HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9 -00C 04FD 58A 0B}, 找到后把整个项删掉就可以了 , 这个项删掉不会对系统有任何影响 , 请放心删除 .
这里再介绍几个对系统安全有隐患的 ID
HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940 -00A 0C 9054228}, 网页代码可以利用他在硬盘里面生成文件
HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9 -00C 04FD 58A 0B}, 可以生成命令格式 , 比如格式化硬盘 , 执行任何程序 .
HKEY_CLASSES_ROOT\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}, 这个好像是 3721 中文网址的 , 我发现很多朋友都觉得 3721 很霸道 , 删了就不用管它了
如果不知道怎么删或者嫌麻烦 , 可以来我的主页 [url]http://www.J3J4.com[/url], 看一张网页就帮你删了 , 原理是一样。
上次我陈述了四大病毒可以一劳永逸,有朋友提到如何防范?
1.
在
“
我的电脑
”―“
工具
”―“
文件夹选项
”
对话框中,点击
“
文件类型
”
,删除
VBS
、
VBE
、
JS
、
JSE
文件后缀名与应用程序的映射
2. 在 Windows 目录中,找到 WScript. exe 和 JScript. exe ,更改其名称或者干脆删除
2. 在 Windows 目录中,找到 WScript. exe 和 JScript. exe ,更改其名称或者干脆删除
本文来自:我是网管论坛
[url]http://bbs.54master.com/194724[/url],1,1