電腦安全問(wèn)題一直以來(lái)都是個(gè)最重要的一個(gè)問(wèn)題,也是電腦愛(ài)好者最關(guān)心的一個(gè)問(wèn)題。它是個(gè)大話題涉及到電腦的方方面面,三言?xún)烧Z(yǔ)是說(shuō)不清楚的,也不是幾天就能夠?qū)W會(huì)的。在這里我總結(jié)了一些系統(tǒng)安全配置方面的知識(shí),希望對(duì)大家有所幫助。因?yàn)橹挥幸慌_(tái)安全的電腦才可以預(yù)防病毒的騷擾、抵御黑客的入侵。
下面就開(kāi)始我們的安全之旅吧。
一、安裝過(guò)程
1、有選擇性地安裝組件
安裝操作系統(tǒng)時(shí)請(qǐng)用NTFS格式, 不要按Windows 2000的默認(rèn)安裝組件,本著“最少的服務(wù)+最小的權(quán)限=最大的安全”原則,只選擇安裝需要的服務(wù)即可。例如:不作為Web服務(wù)器或FTP服務(wù)器就不安裝IIS。常用Web服務(wù)器需要的最小組件是: Internet 服務(wù)管理器、WWW服務(wù)器和與其有關(guān)的輔助服務(wù)。如果是默認(rèn)安裝了IIS服務(wù)自己又不需要的就將其卸載。卸載辦法:開(kāi)始---->設(shè)置---->控制面板---->添加刪除程序---->添加/刪除Windows組件,在“windows組件向?qū)А钡摹敖M件(C):”中將“Internet信息服務(wù)(IIS)”前面小框中的√去掉,然后“下一步”就卸載了IIS。
2、網(wǎng)絡(luò)連接
在安裝完成Windows 2000/XP操作系統(tǒng)后,不要立即連入網(wǎng)絡(luò),因?yàn)檫@時(shí)系統(tǒng)上的各種程序還沒(méi)有打上補(bǔ)丁,存在各種漏洞,非常容易感染病毒和被入侵,此時(shí)應(yīng)該安裝殺毒軟件和防火墻。殺毒軟件和防火墻推薦使用卡巴斯基、諾頓企業(yè)版客戶(hù)端(若做服務(wù)器則用服務(wù)端)和ZoneAlarm防火墻。接著,再把下面的事情做完后再上網(wǎng)。
二、正確設(shè)置和管理賬戶(hù)
1、停止使用Guest賬戶(hù),并給Guest 加一個(gè)復(fù)雜的密碼。所謂的復(fù)雜密碼就是密碼含大小寫(xiě)字母、數(shù)字、特殊字符(~!@#¥%《》,。?)等。比如象:“G7Y3,^)y。
2、賬戶(hù)要盡可能少,并且要經(jīng)常用一些掃描工具查看一下系統(tǒng)賬戶(hù)、賬戶(hù)權(quán)限及密碼。刪除停用的賬戶(hù),常用的掃描軟件有:流光、HSCAN、X-SCAN、STAT SCANNER等。正確配置賬戶(hù)的權(quán)限,密碼至少應(yīng)不少于8位,比如:"3H.#4d&j1)~w",呵呵……讓他破吧!!這樣的密碼他可能把機(jī)子跑爛也跑不出來(lái)哦 ^_^
3、增加登錄的難度,在“賬戶(hù)策略→密碼策略”中設(shè)定:“密碼復(fù)雜性要求啟用”,“密碼長(zhǎng)度最小值8位”,“強(qiáng)制密碼歷史5次”,“最長(zhǎng)存留期 30天”;在“賬戶(hù)策略→賬戶(hù)鎖定策略”設(shè)定:“賬戶(hù)鎖定3次錯(cuò)誤登錄”,“鎖定時(shí)間30分鐘”,“復(fù)位鎖定計(jì)數(shù)30分鐘”等,增加了登錄的難度對(duì)系統(tǒng)的安全大有好處。
4、把系統(tǒng)Administrator賬號(hào)改名,名稱(chēng)不要帶有Admin等字樣; 創(chuàng)建一個(gè)陷阱帳號(hào),如創(chuàng)建一個(gè)名為“Administrator”的本地帳戶(hù),把權(quán)限設(shè)置成最低,什么事也干不了,并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些“不法之徒”忙上一段時(shí)間了,并且可以借此發(fā)現(xiàn)他們的入侵企圖。
三、正確地設(shè)置目錄和文件權(quán)限(這步可以在以后做)
為了控制好服務(wù)器上用戶(hù)的權(quán)限,同時(shí)也為了預(yù)防以后可能的入侵和溢出,還必須非常小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限。Windows 2000/XP Pro的訪問(wèn)權(quán)限分為:讀取、寫(xiě)入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下,大多數(shù)的文件夾對(duì)所有用戶(hù)(Everyone這個(gè)組)是完全控制的(Full Control),您需要根據(jù)應(yīng)用的需要重新設(shè)置權(quán)限。在進(jìn)行權(quán)限控制時(shí),請(qǐng)記住以下幾個(gè)原則:
㈠權(quán)限是累計(jì)的,如果一個(gè)用戶(hù)同時(shí)屬于兩個(gè)組,那么他就有了這兩個(gè)組所允許的所有權(quán)限。
②拒絕的權(quán)限要比允許的權(quán)限高(拒絕策略會(huì)先執(zhí)行)。如果一個(gè)用戶(hù)屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組,那么不管其他的權(quán)限設(shè)置給他開(kāi)放了多少權(quán)限,他也一定不能訪問(wèn)這個(gè)資源。
③文件權(quán)限比文件夾權(quán)限高。
④利用用戶(hù)組來(lái)進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣。
⑤只給用戶(hù)真正需要的權(quán)限,權(quán)限的最小化原則是安全的重要保障。
⑥預(yù)防ICMP攻擊。ICMP的風(fēng)暴攻擊和碎片攻擊是NT主機(jī)比較頭疼的攻擊方法,而Windows 2000/2003應(yīng)付的方法很簡(jiǎn)單。Windows 2000/2003自帶一個(gè)Routing & Remote Access工具,這個(gè)工具初具路由器的雛形。在這個(gè)工具中,我們可以輕易地定義輸入輸出包過(guò)濾器。如設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來(lái)ICMP報(bào)文。
四、網(wǎng)絡(luò)服務(wù)安全管理
1、關(guān)閉不需要的服務(wù)
只留必需的服務(wù),多一些服務(wù)可能會(huì)給系統(tǒng)帶來(lái)更多的安全因素。如Windows 2000/2003的Terminal Services(終端服務(wù))、IIS(web服務(wù))、RAS(遠(yuǎn)程訪問(wèn)服務(wù))等,這些都有產(chǎn)生漏洞的可能。
2、關(guān)閉不用的端口。
3、只開(kāi)放服務(wù)需要的端口與協(xié)議。
具體方法為:按順序打開(kāi)“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級(jí)→選項(xiàng)→TCP/IP篩選→屬性”,添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務(wù)開(kāi)設(shè)口.
常用的TCP口有:80口用于Web服務(wù);21用于FTP服務(wù);25口用于SMTP;23口用于Telnet服務(wù);110口用于POP3(郵件服務(wù))。
常用的UDP端口有:53口-DNS域名解析服務(wù);161口-snmp簡(jiǎn)單的網(wǎng)絡(luò)管理協(xié)議。8000、4000用于OICQ,服務(wù)器用8000來(lái)接收信息,客戶(hù)端用4000發(fā)送信息。如果沒(méi)有上面這些服務(wù)就沒(méi)有必要打開(kāi)這些端口。
4、禁止建立空連接
Windows 2000/XP的默認(rèn)安裝允許任何用戶(hù)可通過(guò)空連接連上服務(wù)器,枚舉賬號(hào)并猜測(cè)密碼。空連接用的端口是139,通過(guò)空連接,可以復(fù)制文件到遠(yuǎn)端服務(wù)器,計(jì)劃執(zhí)行一個(gè)任務(wù),這就是一個(gè)漏洞。可以通過(guò)以下兩種方法禁止建立空連接:
A:修改注冊(cè)表中Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。
B:修改Windows 2000的本地安全策略。設(shè)置“本地安全策略→本地策略→選項(xiàng)”中的RestrictAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號(hào)和共享”。
Windows 2000/XP的默認(rèn)安裝允許任何用戶(hù)通過(guò)空連接得到系統(tǒng)所有賬號(hào)和共享列表,這本來(lái)是為了方便局域網(wǎng)用戶(hù)共享資源和文件的,但是,同時(shí)任何一個(gè)遠(yuǎn)程用戶(hù)也可以通過(guò)同樣的方法得到您的用戶(hù)列表,并可能使用暴力法破解用戶(hù)密碼給整個(gè)網(wǎng)絡(luò)帶來(lái)破壞。很多人都只知道更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止空用戶(hù)連接,實(shí)際上Windows 2000/XP的本地安全策略里(如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里)就有RestrictAnonymous選項(xiàng),其中有三個(gè)值:“0”這個(gè)值是系統(tǒng)默認(rèn)的,沒(méi)有任何限制,遠(yuǎn)程用戶(hù)可以知道您機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等;“1”這個(gè)值是只允許非NULL用戶(hù)存取SAM賬號(hào)信息和共享信息;“2”這個(gè)值只有Windows 2000/XP才支持,需要注意的是,如果使用了這個(gè)值,就不能再共享資源了,所以還是推薦把數(shù)值設(shè)為“1”比較好。
五、關(guān)閉無(wú)用端口和修改3389端口
Windows的每一項(xiàng)服務(wù)都對(duì)應(yīng)相應(yīng)的端口,比如眾如周知的www服務(wù)的端口是80,smtp是25,ftp是21,win2000/XP安裝中這些服務(wù)都是默認(rèn)開(kāi)啟的。對(duì)于個(gè)人用戶(hù)來(lái)說(shuō)確實(shí)沒(méi)有必要,關(guān)掉端口也就是關(guān)閉了無(wú)用的服務(wù)。
關(guān)閉這些無(wú)用的服務(wù)可以通過(guò)“控制面板”的“管理工具”中的“服務(wù)”中來(lái)配置。
1、關(guān)閉7.9等等端口:關(guān)閉Simple TCP/IP Service,支持以下 TCP/IP 服務(wù):Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關(guān)閉80口:關(guān)掉WWW服務(wù)。在“服務(wù)”中顯示名稱(chēng)為"World Wide Web Publishing Service",通過(guò) Internet 信息服務(wù)的管理單元提供 Web 連接和管理。
3、關(guān)掉25端口:關(guān)閉Simple Mail Transport Protocol (SMTP)服務(wù),它提供的功能是跨網(wǎng)傳送電子郵件。
4、關(guān)掉21端口:關(guān)閉FTP Publishing Service,它提供的服務(wù)是通過(guò) Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。
5、關(guān)掉23端口:關(guān)閉Telnet服務(wù),它允許遠(yuǎn)程用戶(hù)登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。
6、還有一個(gè)很重要的就是關(guān)閉server服務(wù),此服務(wù)提供 RPC 支持、文件、打印以及命名管道共享。關(guān)掉它就關(guān)掉了win2k的默認(rèn)共享,比如ipc$、c$、admin$等等,此服務(wù)關(guān)閉不影響您的共他操作。
7、還有一個(gè)就是139端口,139端口是NetBIOS Session端口,用來(lái)文件和打印共享,注意的是運(yùn)行samba的unix機(jī)器也開(kāi)放了139端口,功能一樣。以前流光2000用來(lái)判斷對(duì)方主機(jī)類(lèi)型不太準(zhǔn)確,估計(jì)就是139端口開(kāi)放既認(rèn)為是NT機(jī),現(xiàn)在好了。
關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號(hào)連接”——“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性,進(jìn)入“高級(jí)TCP/IP設(shè)置”“WINS設(shè)置”里面有一項(xiàng)“禁用TCP/IP的NETBIOS”,打勾就關(guān)閉了139端口。
對(duì)于個(gè)人用戶(hù)來(lái)說(shuō),可以在以上各項(xiàng)服務(wù)屬性設(shè)置中設(shè)為“禁用”,以免下次重啟服務(wù)也重新啟動(dòng)后端口再次打開(kāi)。現(xiàn)在你不用擔(dān)心你的端口和默認(rèn)共享了。
8、修改3389:打開(kāi)注冊(cè)表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那個(gè)PortNumber沒(méi)有?0xd3d,這個(gè)是16進(jìn)制,就是3389啦。我改XXXX這個(gè)值是RDP(遠(yuǎn)程桌面協(xié)議)的默認(rèn)值,也就是說(shuō)用來(lái)配置以后新建的RDP服務(wù)的,要改已經(jīng)建立的RDP服務(wù),我們?nèi)ハ乱粋€(gè)鍵值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations這里應(yīng)該有一個(gè)或多個(gè)類(lèi)似RDP-TCP的子健(取決于你建立了多少個(gè)RDP服務(wù)),一樣改掉PortNumber。
六、本地安全策略
1、通過(guò)建立IP策略來(lái)阻止端口連接
TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導(dǎo))
UDP端口:1434(這個(gè)就不用說(shuō)了吧)
阻止所有ICMP,即阻止PING命令
2、在這里我用關(guān)閉135端口來(lái)實(shí)例講解
七、審核策略
具體方法:控制面板→管理工具→本地安全策略→本地策略→審核策略,然后右鍵點(diǎn)擊下列各項(xiàng),選擇“安全性”來(lái)設(shè)置就可以了。
審核策略更改:成功,失敗
審核登錄事件:成功,失敗
審核對(duì)象訪問(wèn):失敗
審核對(duì)象追蹤:成功,失敗
審核目錄服務(wù)訪問(wèn):失敗
審核特權(quán)使用:失敗
審核系統(tǒng)事件:成功,失敗
審核賬戶(hù)登錄事件:成功,失敗
審核賬戶(hù)管理:成功,失敗
密碼策略:啟用“密碼必須符合復(fù)雜性要求","密碼長(zhǎng)度最小值"為6個(gè)字符,"強(qiáng)制密碼歷史"為5次,"密碼最長(zhǎng)存留期"為30天。
在賬戶(hù)鎖定策略中設(shè)置:"復(fù)位賬戶(hù)鎖定計(jì)數(shù)器"為30分鐘之后,"賬戶(hù)鎖定時(shí)間"為30分鐘,"賬戶(hù)鎖定值"為30分鐘。
安全選項(xiàng)設(shè)置:本地安全策略→本地策略→安全選項(xiàng)→對(duì)匿名連接的額外限制,雙擊對(duì)其中有效策略進(jìn)行設(shè)置,選擇"不允許枚舉SAM賬號(hào)和共享",因?yàn)檫@個(gè)值是只允許非NULL用戶(hù)存取SAM賬號(hào)信息和共享信息,一般選擇此項(xiàng),然后再禁止登錄屏幕上顯示上次登錄的用戶(hù)名。
禁止登錄屏幕上顯示上次登錄的用戶(hù)名也可以改注冊(cè)表HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn項(xiàng)中的Don’t Display Last User Name串,將其數(shù)據(jù)修改為1
八、Windows日志文件的保護(hù)
日志文件對(duì)我們?nèi)绱酥匾虼瞬荒芎鲆晫?duì)它的保護(hù),防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。
1. 修改日志文件存放目錄
Windows日志文件默認(rèn)路徑是“%systemroot%\system32\config”,我們可以通過(guò)修改注冊(cè)表來(lái)改變它的存儲(chǔ)目錄,來(lái)增強(qiáng)對(duì)日志的保護(hù)。
點(diǎn)擊“開(kāi)始→運(yùn)行”,在對(duì)話框中輸入“Regedit”,回車(chē)后彈出注冊(cè)表編輯器,依次展開(kāi)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog后,下面的Application、Security、System幾個(gè)子項(xiàng)分別對(duì)應(yīng)應(yīng)用程序日志、安全日志、系統(tǒng)日志。
我以應(yīng)用程序日志為例,將其轉(zhuǎn)移到“d:\abc”目錄下。首先選中Application子項(xiàng),在右欄中找到File鍵,其鍵值為應(yīng)用程序日志文件的路徑“%SystemRoot%system32configAppEvent.Evt”,將它修改為“d:abc\AppEvent.Evt”。接著在D盤(pán)新建“abc”目錄,將“AppEvent.Evt”拷貝到該目錄下,重新啟動(dòng)系統(tǒng),這樣就完成了應(yīng)用程序日志文件存放目錄的修改。其它類(lèi)型日志文件路徑修改方法相同,只是在不同的子項(xiàng)下操作。
2. 設(shè)置文件訪問(wèn)權(quán)限
修改了日志文件的存放目錄后,日志還是可以被清空的,下面通過(guò)修改日志文件訪問(wèn)權(quán)限,防止這種事情發(fā)生,前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。
右鍵點(diǎn)擊D盤(pán)的CCE目錄,選擇“屬性”,切換到“安全”標(biāo)簽頁(yè)后,首先取消“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”選項(xiàng)勾選。接著在賬號(hào)列表框中選中“Everyone”賬號(hào),只給它賦予“讀取”權(quán)限;然后點(diǎn)擊“添加”按鈕,將“System”賬號(hào)添加到賬號(hào)列表框中,賦予除“完全控制”和“修改”以外的所有權(quán)限,最后點(diǎn)擊“確定”按鈕。這樣當(dāng)用戶(hù)清除Windows日志時(shí),就會(huì)彈出錯(cuò)誤對(duì)話框。
九、寫(xiě)在最后的話
現(xiàn)在你可以連接上網(wǎng)了,但是暫時(shí)不要打開(kāi)IE瀏覽器。接下來(lái)工作是升級(jí)殺毒軟件和防火墻,并設(shè)置好,具體設(shè)置方法請(qǐng)參照締造論壇的相關(guān)教程。然后從開(kāi)始菜單打開(kāi)Windows update 打好系統(tǒng)所有的補(bǔ)丁,這個(gè)過(guò)程有點(diǎn)漫長(zhǎng),耐心等待吧。當(dāng)你打好系統(tǒng)所有補(bǔ)丁后再備份好系統(tǒng),呵呵……上網(wǎng)吧你安全了(注意!沒(méi)有絕對(duì)的安全哦)!
