-- 作者:ynboyinkm
-- 时间:2006/8/22 2:16:04
-- 使用Windows系统必看
使用Windows的人非常多,而Windows系统的安全问题也越来越被人们关注。虽然Windows的漏洞众多,安全隐患也很多,不过经过适当的设置和调整,你还是可以用上相对安全的Windows的。本文就为你详细讲述了Windows的安全调整,希望对你有用。
这篇文章将针对一些常见的安全问题给你一些解决方法,其中大部分的操作都是针对Windows 2000/XP的,不保证在Windows 98/Me上可行。
准备活动
给系统安装补丁程序的重要性是不言而喻的,尤其是一些重要的安全补丁和针对IE,OE漏洞的补丁(即使你并不打算使用它们)。微软会经常的发布一些已知漏洞的修补程序,这些东西一般都可以通过Windows Update来安装。你需要做的只是经常性地访问Windows Update网站,地址是: http://windowsupdate.microsoft.com 。或者直接点击开始菜单中Windows Update的快捷方式。而Windows XP和安装了SP3的Windows 2000就更加进步了,可以自动检查更新,在后台下载,下载完成后才通知你并询问是否开始安装。对于Windows 2000/XP的用户,微软还提供了一个检查安全性的实用免费工具:基准安全分析器(Microsoft Baseline Security Analyzer),这个程序可以自动对你的系统进行安全性检测,并且对于出现的问题,都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。你可以在这里详细了解和下载这个工具。
在你安装了所有的补丁程序后,下面开始我们的调整设置。
重命名和禁用默认的帐户
安装好Windows后,系统会自动建立两个账户:Administrator和Guest,其中Administrator拥有最高的权限,Guest则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题,他将轻易的得知你的超级用户的名称,剩下的就是寻找密码了。因此,安全的做法是把Administrator账户的名称改掉,然后再建立一个几乎没有任何权限的假Administrator账户。具体的方法是:
在运行中输入“secpol.msc”然后回车,打开“本地安全设置”对话框,依次展开“本地策略-安全选项”,在右侧窗口有一个“账户:重命名系统管理员账户”的策略,双击打开后可以给Administrator重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为Administrator的受限制用户,以迷惑闯入者。
安全选项的设置
同样是在本地安全设置中,展开“本地策略-安全选项”,这里还有很多其它的设置,经过合理的配置,可以使你的系统更加安全。以下列举的选项最好全部禁止:
交互式登录:不需要按Ctrl+Alt+Del。
网络访问:允许匿名SID/名称转换。
网络访问:让Everyone权限应用到匿名用户。
故障恢复控制台:允许自动系统管理级登录。
而以下的选项最好启用:
设备:只有本地登录的用户才能访问CD-ROM。
设备:只有本地登录的用户才能访问软驱。
交互式登录:不显示上一次使用的用户名。
网络访问:不允许匿名SAM帐户的匿名枚举。
网络访问:不允许SAM账户和共享的匿名枚举。
网络安全:不要在下次更改密码时存储LAN Manager的Hash值。
系统对象:增强内部系统对象的默认权限(例如Symbolic Links)。
可靠的密码
尽管绝对安全的密码是不存在的,但是相对安全的密码还是可以实现。这个还是需要运行secpol.msc来配置本地安全设置。展开到“帐户策略-密码策略”,经过这里的配置,你就可以建立一个完备密码策略,并且你的密码也可以得到最大限度的保护。
强制密码历史,这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码,可是换来换去就是有限的几个在轮换,配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合“密码最长使用期限”这个策略,就能保证密码安全了。默认情况下,这个策略不保存用户的密码,你可以自己设置,建议保存5个以上,而最多可以保存24个。
密码最长使用期限,这个策略决定了一个密码可以使用多久,之后就会过期,并要求用户更换密码。如果设置为0,则密码永不过期。一般情况下设置为30到60天左右就可以了,具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。
密码最短使用期限,这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的“强制密码历史”结合起来就可以得知新的密码是否是以前使用过的,如果是,则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用,而最大值为999。
密码长度最小值,这个策略决定了一个密码的长度,有效值在0到14之间。如果设置为0,则表示不需要密码。建议的密码长度不能小于6位。
密码必须符合复杂性要求,如果启用了这个策略,则在设置和更改一个密码的时候,系统将会按照下面的规则检查密码是否有效:
密码不能包含全部或者部分的用户名。
最少包括6个字符。
并且在字符的使用上还要遵循以下的规则,密码必须是:
英文字母,A-Z,大小写敏感。
基本的10个数字,0-9。
不能包含特殊字符,例如!,$,#,%等等。
如果启用了这个策略,相信你的密码就会比较安全了。
为域中的所有用户使用可还原的加密来存储密码,很明显,这个策略最好不要启用。
安全使用Internet Explorer
Internet Explorer是当今最流行的浏览器软件。因为使用的人多,因此IE被发现的安全性问题也就最多,不过没关系,看过本节,你完全可以使你的IE更加安全。需要注意的是,以下的叙述全部以IE 6.0+SP1为准,如果你使用了较低的版本,有些细节方面可能会不一样。
打开Internet Explorer,依次点击工具-Internet选项,然后打开安全选项卡。
在安全选项卡中选择“Internet”,就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置,不过我们最好根据自己的实际情况亲自调整一下。点击下方的“自定义级别”。会出现图三的窗口,这里显示了所有的IE安全设置。
|
|