Windows下安全权限设置详解
一?Windows下安全權限設置詳解
【簡 介】
隨著動網論壇的廣泛應用和動網上傳漏洞的被發現以及SQL注入式攻擊越來越多的被使用,WEBSHELL讓防火墻形同虛設,一臺即使打了所有微軟補丁、只讓80端口對外開放的WEB服務器也逃不過被黑的命運。難道我們真的無能為力了嗎?其實,只要你弄明白了NTFS系統下的權限設置問題,我們可以對crackers們說:NO!?
Windows NT里,用戶被分成許多組,組和組之間都有不同的權限,當然,一個組的用戶和用戶之間也可以有不同的權限。下面我們來談談NT中常見的用戶組。?
Administrators,管理員組,默認情況下,Administrators中的用戶對計算機/域有不受限制的完全訪問權。分配給該組的默認權限允許對整個系統進行完全控制。所以,只有受信任的人員才可成為該組的成員。?
Power Users,高級用戶組,Power Users 可以執行除了為 Administrators 組保留的任務外的其他任何操作系統任務。分配給 Power Users 組的默認權限允許 Power Users 組的成員修改整個計算機的設置。但Power Users 不具有將自己添加到 Administrators 組的權限。在權限設置中,這個組的權限是僅次于Administrators的。?
Users:普通用戶組,這個組的用戶無法進行有意或無意的改動。因此,用戶可以運行經過驗證的應用程序,但不可以運行大多數舊版應用程序。Users 組是最安全的組,因為分配給該組的默認權限不允許成員修改操作系統的設置或用戶資料。Users 組提供了一個最安全的程序運行環境。在經過 NTFS 格式化的卷上,默認安全設置旨在禁止該組的成員危及操作系統和已安裝程序的完整性。用戶不能修改系統注冊表設置、操作系統文件或程序文件。Users 可以關閉工作站,但不能關閉服務器。Users 可以創建本地組,但只能修改自己創建的本地組。?
Guests:來賓組,按默認值,來賓跟普通Users的成員有同等訪問權,但來賓帳戶的限制更多。?
Everyone:顧名思義,所有的用戶,這個計算機上的所有用戶都屬于這個組。?
其實還有一個組也很常見,它擁有和Administrators一樣、甚至比其還高的權限,但是這個組不允許任何用戶的加入,在察看用戶組的時候,它也不會被顯示出來,它就是SYSTEM組。系統和系統級的服務正常運行所需要的權限都是靠它賦予的。由于該組只有這一個用戶SYSTEM,也許把該組歸為用戶的行列更為貼切。
權限是有高低之分的,有高權限的用戶可以對低權限的用戶進行操作,但除了Administrators之外,其他組的用戶不能訪問 NTFS 卷上的其他用戶資料,除非他們獲得了這些用戶的授權。而低權限的用戶無法對高權限的用戶進行任何操作。?
我們平常使用計算機的過程當中不會感覺到有權限在阻撓你去做某件事情,這是因為我們在使用計算機的時候都用的是Administrators中的用戶登陸的。這樣有利也有弊,利當然是你能去做你想做的任何一件事情而不會遇到權限的限制。弊就是以 Administrators 組成員的身份運行計算機將使系統容易受到特洛伊木馬、病毒及其他安全風險的威脅。訪問 Internet 站點或打開電子郵件附件的簡單行動都可能破壞系統。不熟悉的 Internet 站點或電子郵件附件可能有特洛伊木馬代碼,這些代碼可以下載到系統并被執行。如果以本地計算機的管理員身份登錄,特洛伊木馬可能使用管理訪問權重新格式化您的硬盤,造成不可估量的損失,所以在沒有必要的情況下,最好不用Administrators中的用戶登陸。?
Administrators中有一個在系統安裝時就創建的默認用戶—-Administrator,Administrator 帳戶具有對服務器的完全控制權限,并可以根據需要向用戶指派用戶權利和訪問控制權限。因此強烈建議將此帳戶設置為使用強密碼。永遠也不可以從 Administrators 組刪除 Administrator 帳戶,但可以重命名或禁用該帳戶。由于大家都知道“管理員”存在于許多版本的 Windows 上,所以重命名或禁用此帳戶將使惡意用戶嘗試并訪問該帳戶變得更為困難。對于一個好的服務器管理員來說,他們通常都會重命名或禁用此帳戶。Guests用戶組下,也有一個默認用戶—-Guest,但是在默認情況下,它是被禁用的。如果沒有特別必要,無須啟用此賬戶。我們可以通過“控制面板”–“管理工具”–“計算機管理”–“用戶和用戶組”來查看用戶組及該組下的用戶。?
我們用鼠標右鍵單擊一個NTFS卷或NTFS卷下的一個目錄,選擇“屬性”–“安全”就可以對一個卷,或者一個卷下面的目錄進行權限設置,此時我們會看到以下七種權限:完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入、和特別的權限。“完全控制”就是對此卷或目錄擁有不受限制的完全訪問。地位就像Administrators在所有組中的地位一樣。選中了“完全控制”,下面的五項屬性將被自動被選中。“修改”則像Power users,選中了“修改”,下面的四項屬性將被自動被選中。下面的任何一項沒有被選中時,“修改”條件將不再成立。“讀取和運行”就是允許讀取和運行在這個卷或目錄下的任何文件,“列出文件夾目錄”和“讀取”是“讀取和運行”的必要條件。“列出文件夾目錄”是指只能瀏覽該卷或目錄下的子目錄,不能讀取,也不能運行。“讀取”是能夠讀取該卷或目錄下的數據。“寫入”就是能往該卷或目錄下寫入數據。而“特別”則是對以上的六種權限進行了細分。讀者可以自行對“特別”進行更深的研究,鄙人在此就不過多贅述了。?
希望各個新手管理員能合理給你的服務器數據進行分類,這樣不光是查找起來方便,更重要的是這樣大大的增強了服務器的安全性,因為我們可以根據需要給每個卷或者每個目錄都設置不同的權限,一旦發生了網絡安全事故,也可以把損失降到最低。當然,也可以把網站的數據分布在不同的服務器上,使之成為一個服務器群,每個服務器都擁有不同的用戶名和密碼并提供不同的服務,這樣做的安全性更高。不過愿意這樣做的人都有一個特點—-有錢:)。好了,言歸正傳,該服務器的數據庫為MS-SQL,MS-SQL的服務軟件SQL2000安裝在d:/ms-sqlserver2K目錄下,給SA賬戶設置好了足夠強度的密碼,安裝好了SP3補丁。
為了方便網頁制作員對網頁進行管理,該網站還開通了FTP服務,FTP服務軟件使用的是SERV-U 5.1.0 .0,安裝在d:/ftpservice/serv-u目錄下。殺毒軟件和防火墻用的分別是Norton Antivirus和BlackICE,路徑分別為d:/nortonAV和d:/firewall/blackice,病毒庫已經升級到最新,防火墻規則庫定義只有80端口和21端口對外開放。網站的內容是采用動網7.0的論壇,網站程序在e:/www/bbs下。細心的讀者可能已經注意到了,安裝這些服務軟件的路徑我都沒有采用默認的路徑或者是僅僅更改盤符的默認路徑,這也是安全上的需要,因為一個黑客如果通過某些途徑進入了你的服務器,但并沒有獲得管理員權限,他首先做的事情將是查看你開放了哪些服務以及安裝了哪些軟件,因為他需要通過這些來提升他的權限。
一個難以猜解的路徑加上好的權限設置將把他阻擋在外。相信經過這樣配置的WEB服務器已經足夠抵擋大部分學藝不精的黑客了。讀者可能又會問了:“這根本沒用到權限設置嘛!我把其他都安全工作都做好了,權限設置還有必要嗎?”當然有!智者千慮還必有一失呢,就算你現在已經把系統安全做的完美無缺,你也要知道新的安全漏洞總是在被不斷的發現。權限將是你的最后一道防線!那我們現在就來對這臺沒有經過任何權限設置,全部采用Windows默認權限的服務器進行一次模擬攻擊,看看其是否真的固若金湯。?
假設服務器外網域名為http://www.webserver.com,用掃描軟件對其進行掃描后發現開放WWW和FTP服務,并發現其服務軟件使用的是IIS 5.0和Serv-u 5.1,用一些針對他們的溢出工具后發現無效,遂放棄直接遠程溢出的想法。打開網站頁面,發現使用的是動網的論壇系統,于是在其域名后面加個/upfile.asp,發現有文件上傳漏洞,便抓包,把修改過的ASP木馬用NC提交,提示上傳成功,成功得到WEBSHELL,打開剛剛上傳的ASP木馬,發現有MS-SQL、Norton Antivirus和BlackICE在運行,判斷是防火墻上做了限制,把SQL服務端口屏蔽了。通過ASP木馬查看到了Norton Antivirus和BlackICE的PID,又通過ASP木馬上傳了一個能殺掉進程的文件,運行后殺掉了Norton Antivirus和BlackICE。再掃描,發現1433端口開放了,到此,便有很多種途徑獲得管理員權限了,可以查看網站目錄下的conn.asp得到SQL的用戶名密碼,再登陸進SQL執行添加用戶,提管理員權限。也可以抓SERV-U下的ServUDaemon.ini修改后上傳,得到系統管理員權限。還可以傳本地溢出SERV-U的工具直接添加用戶到Administrators等等。大家可以看到,一旦黑客找到了切入點,在沒有權限限制的情況下,黑客將一帆風順的取得管理員權限。?
那我們現在就來看看Windows 2000的默認權限設置到底是怎樣的。對于各個卷的根目錄,默認給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統卷下有三個目錄比較特殊,系統默認給了他們有限制的權限,這三個目錄是Documents and settings、Program files和Winnt。對于Documents and settings,默認的權限是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運,列和讀權限;Power users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對于Program files,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Terminal server users擁有完全控制權,Users有讀&運,列和讀權限。對于Winnt,Administrators擁有完全控制權;Creator owner擁有特殊權限;Power users有完全控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統卷下的所有目錄都將繼承其父目錄的權限,也就是Everyone組完全控制權!?
現在大家知道為什么我們剛剛在測試的時候能一帆風順的取得管理員權限了吧?權限設置的太低了!一個人在訪問網站的時候,將被自動賦予IUSR用戶,它是隸屬于Guest組的。本來權限不高,但是系統默認給的Everyone組完全控制權卻讓它“身價倍增”,到最后能得到Administrators了。那么,怎樣設置權限給這臺WEB服務器才算是安全的呢?大家要牢記一句話:“最少的服務+最小的權限=最大的安全”對于服務,不必要的話一定不要裝,要知道服務的運行是SYSTEM級的哦,對于權限,本著夠用就好的原則分配就是了。對于WEB服務器,就拿剛剛那臺服務器來說,我是這樣設置權限的,大家可以參考一下:各個卷的根目錄、Documents and settings以及Program files,只給Administrator完全控制權,或者干脆直接把Program files給刪除掉;給系統卷的根目錄多加一個Everyone的讀、寫權;給e:/www目錄,也就是網站目錄讀、寫權。?
最后,還要把cmd.exe這個文件給挖出來,只給Administrator完全控制權。經過這樣的設置后,再想通過我剛剛的方法入侵這臺服務器就是不可能完成的任務了。可能這時候又有讀者會問:“為什么要給系統卷的根目錄一個Everyone的讀、寫權?網站中的ASP文件運行不需要運行權限嗎?”問的好,有深度。是這樣的,系統卷如果不給Everyone的讀、寫權的話,啟動計算機的時候,計算機會報錯,而且會提示虛擬內存不足。當然這也有個前提—-虛擬內存是分配在系統盤的,如果把虛擬內存分配在其他卷上,那你就要給那個卷Everyone的讀、寫權。ASP文件的運行方式是在服務器上執行,只把執行的結果傳回最終用戶的瀏覽器,這沒錯,但ASP文件不是系統意義上的可執行文件,它是由WEB服務的提供者—-IIS來解釋執行的,所以它的執行并不需要運行的權限。
經過上面的講解以后,你一定對權限有了一個初步了了解了吧?想更深入的了解權限,那么權限的一些特性你就不能不知道了,權限是具有繼承性、累加性、優先性、交叉性的。?
繼承性是說下級的目錄在沒有經過重新設置之前,是擁有上一級目錄權限設置的。這里還有一種情況要說明一下,在分區內復制目錄或文件的時候,復制過去的目錄和文件將擁有它現在所處位置的上一級目錄權限設置。但在分區內移動目錄或文件的時候,移動過去的目錄和文件將擁有它原先的權限設置。?
累加是說如一個組GROUP1中有兩個用戶USER1、USER2,他們同時對某文件或目錄的訪問權限分別為“讀取”和“寫入”,那么組GROUP1對該文件或目錄的訪問權限就為USER1和USER2的訪問權限之和,實際上是取其最大的那個,即“讀取”+“寫入”=“寫入”。 又如一個用戶USER1同屬于組GROUP1和GROUP2,而GROUP1對某一文件或目錄的訪問權限為“只讀”型的,而GROUP2對這一文件或文件夾的訪問權限為“完全控制”型的,則用戶USER1對該文件或文件夾的訪問權限為兩個組權限累加所得,即:“只讀”+“完全控制”=“完全控制”。?
優先性,權限的這一特性又包含兩種子特性,其一是文件的訪問權限優先目錄的權限,也就是說文件權限可以越過目錄的權限,不顧上一級文件夾的設置。另一特性就是“拒絕”權限優先其它權限,也就是說“拒絕”權限可以越過其它所有其它權限,一旦選擇了“拒絕”權限,則其它權限也就不能取任何作用,相當于沒有設置。?
交叉性是指當同一文件夾在為某一用戶設置了共享權限的同時又為用戶設置了該文件夾的訪問權限,且所設權限不一致時,它的取舍原則是取兩個權限的交集,也即最嚴格、最小的那種權限。如目錄A為用戶USER1設置的共享權限為“只讀”,同時目錄A為用戶USER1設置的訪問權限為“完全控制”,那用戶USER1的最終訪問權限為“只讀”。?
權限設置的問題我就說到這了,在最后我還想給各位讀者提醒一下,權限的設置必須在NTFS分區中才能實現的,FAT32是不支持權限設置的。同時還想給各位管理員們一些建議:?
1.養成良好的習慣,給服務器硬盤分區的時候分類明確些,在不使用服務器的時候將服務器鎖定,經常更新各種補丁和升級殺毒軟件。?
2.設置足夠強度的密碼,這是老生常談了,但總有管理員設置弱密碼甚至空密碼。?
3.盡量不要把各種軟件安裝在默認的路徑下?
二、關閉 Windows 遠程注冊表服務
默認情況下Windows系統有幾個服務需要關閉才能更有效的保護服務器。其中一個服務就是遠程注冊表服務,如果黑客連接到我們的計算機并且計算機啟用了遠程注冊表服務(Remote Registry)的話他還可以通過遠程注冊表操作系統任意服務,因此遠程注冊表服務要得到特別保護。當然不要以為僅僅將該服務關閉就可以高枕無憂,黑客可以通過命令行指令將服務輕松開啟。
要想徹底關閉遠程注冊表服務可以采用如下方法:
一、通過任務欄的“開始->運行”,輸入regedit進入注冊表編輯器。
二、找到注冊表中HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下的“RemoteRegistry”項。
三、右鍵點擊“RemoteRegistry”項,選擇“刪除”。
三、設置登錄系統時不顯示上次登錄的用戶名
用戶在登錄Windows 2003時,Windows 2003會自動在在登錄對話框中顯示出上次登錄的用戶名稱,如果這是一臺公共計算機,就有可能造成用戶名的泄露,從而給一些不懷好意的人以可乘之機。
如果你是系統管理員,你可以采用下面的方法將在登錄對話框中顯示上次登錄用戶名的功能取消,這樣Windows 2003就會要求用戶每次登錄時都必須鍵入用戶名,從而提高計算機的使用安全性。
不顯示上次登錄的用戶名
一、打開“我的電腦”——“控制面板”,雙擊打開“管理工具”。
二、在“管理工具”界面中,雙擊打開“本地安全策略”。
三、在彈出的“本地安全設置”對話框中,選擇“安全選項”。
四、在“安全選項”列表中,選擇“交互式登錄:不顯示上次的用戶名”。
五、單擊右鍵,選擇“屬性”。
六、在彈出的“交互式登錄:不顯示上次的用戶名屬性”選項框中,選擇“已啟用”,單擊“確定”按鈕,完成設置。
三、設置注冊表防止系統隱私信息被泄露
在Windows系統運行出錯的時候,系統內部有一個DR.WATSON程序會自動將系統調用的隱私信息保存下來。隱私信息將保存在user.dmp和drwtsn32.log文件中。攻擊者可以通過破解這個程序而了解系統的隱私信息。因此我們要阻止該程序將信息泄露出去。
找到“HKEY_LOACL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ AeDebug”,將AUTO鍵值設置為0,現在DR.WATSON就不會記錄系統運行時的出錯信息了。
在注冊表中進行設置
一、單擊“開始”——“運行”,輸入“regedit”打開注冊表編輯器。
二、在注冊表編輯器中找到“HKEY_LOACL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ AeDebug”項。
三、在右邊對應的鍵值中找到“AUTO”,右鍵單擊,在彈出的菜單中,選擇“修改”。
四、在彈出的“編輯字符串”對話框,“數值數據”下輸入“0”,點擊“確定”按鈕,設置完成。
四、四個方面談Windows 2000的安全設置
在用戶安全設置方面?
1.禁用Guest賬號。不論工作組模式還是域模式,都應該禁用此賬號。惟一的例外就是極少數量(10臺以下)的機器之間用網上鄰居互訪共享文件夾,且不和公網相連,可以繼續保持此賬號。?
2.限制不必要的用戶。此時需注意:
(1)在工作組模式中,默認賬號有Administrator、Guest。如果要用IIS(Internet Information Server)建設各類站點,則IUSER_computername和IWAM_computername也是默認賬號,不能停用。因前者是IIS匿名訪問賬號,后者是IIS匿名執行腳本的賬號。這兩個賬號默認有密碼,是由系統分配的,用戶不要更改其密碼,更不要刪除,否則IIS不能匿名訪問和執行腳本;如果有終端服務則TsInternetUser也是默認賬號,不能停用。?
(2)在域模式中,Administrator組中會增加Domain Admins和Enterprise Admins兩個組中的成員,另外還會有Krbtgt賬號,默認是被禁用的,這個賬號是密鑰分發賬號。?
3.開啟用戶策略。其中有用戶鎖定閥值設置,將它設置為多少才合適呢?用戶在登錄時,Windows會采用加密協議加密用戶的用戶名和密碼。在域環境中,如果只是單純的系統(即什么軟件都不裝),用戶進行登錄時,Windows會嘗試用Kerbos協議驗證,不成功則會再用Ntlm驗證,此時的驗證的方式有兩種;如果該賬戶同時又是Outlook的用戶,驗證的方式將有6種之多,也就是說用戶在登錄時如果密碼輸入錯誤,一次登錄就要浪費掉6次賬戶鎖定值。因此,微軟技術支持中心的工程師建議將這個鎖定值設置為13,這樣才可以實現錯誤輸入密碼3次再鎖定賬戶的目的。?
在密碼安全設置方面?
在給賬號設置密碼時,不是密碼位數越多越好,在符合密碼復雜性原則的基礎上,7位和14位的密碼是最好的。這個結論是微軟全球技術支持中心的工程師給出的,它是由密碼所采用的加密算法決定的。?
有一點大家需注意:屏幕保護存在一個安全漏洞,即他人可以在不進入系統的情況下,利用DOS模式將Cmd.exe命令更名為你所選用的屏幕保護程序的名稱而將其替換掉。此后,只要這個“屏幕保護程序”一運行,Cmd窗口就會彈出且以系統身份運行,默認是最大權限。因此,采用設置屏幕保護密碼的做法并不安全,正確的做法應是網管員離開工位時要鎖定計算機(Windows 2000下,按Ctrl+Alt+Del,在彈出的“關機”菜單中選擇“鎖定計算機”即可)。?
在系統安全設置方面?
1.使用NTFS格式分區。NTFS分區要比FAT分區安全很多,且只有使用NTFS分區才能真正發揮Windows 2000的作用。Windows 2000自帶了轉換NTFS分區的工具Convert。在命令提示符?蔥蠧onvert x /FS NTFS(x 為所要轉換的盤符),執行時如果轉換的是非*作系統所在分區,則立即執行分區轉換;如果轉換的是*作系統所在分區,則重啟后執行分區轉換。注意:此轉換過程是單向不可逆的,即只能由FAT轉換至NTFS。雖然可用第三方工具做分區格式之間的轉換,但這樣做不能保證絕對安全,在某些情況下會導致分區不可用,所以建議只用Convert命令來轉換分區格式;如果非要用第三方工具,一定要事先做好備份。另外,據我個人經驗,并不需要將所有分區都做成NTFS分區,而應保留一個分區為FAT32,用于存放一些常用工具,并可方便Ghost備份。?
2.到微軟網站下載最新的補丁程序。強烈建議!這是每一個網絡管理員都應該有的好習慣。這里說明一點:微軟每隔一定時間推出的Servicespacks是針對近期推出的Hotfix的綜合,如果你經常做Hotfix補丁,那么當后一版的Servicespacks推出后可能會和你的Hotfix沖突。因為Servicespacks也是要經過測試的,而測試階段可能又有新的Hotfix推出,當你做了新的Hotfix補丁后再打舊版的Servicespacks補丁時就會產生沖突。?
3.關閉默認共享。這里必須要修改注冊表,否則每次重啟之后默認共享還會出現。在注冊表“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下,在右欄空白位置點擊鼠標右鍵,選擇“新建”,再選“字符串值”,名稱中輸入:“delipc$”,這里的名字可以隨便取,然后雙擊它就會彈出一個窗口來,輸入:“net share ipc$/del”,下次開機就可自動刪掉默認共享。修改注冊表后需要重新啟動機器。同樣的方法還可以刪掉AMDIN$。?
4.鎖住注冊表。Windows 2000提供了一個叫Regedt32.exe的工具,它也是一個注冊表編輯器。與Regedit.exe不同的是它有一個“安全”選項,可以給注冊表的每一個鍵值設置權限。因此用戶可以將許多敏感的鍵值賦權,例如設置成只有Administrator才能讀取和修改,不給其他人可乘之機。?
在服務安全設置方面?
1.關閉不必要的端口。可惜Windows 2000并不支持關閉端口的選項,我們只好選用第三方工具,關閉一些關鍵端口,比如Telnet等。?
2.設置好安全記錄的訪問。Windows 2000*作系統自帶了審核工具,默認不開啟。如果一旦開啟了審核策略,用戶可以在事件日志里查看安全日志,里面會有詳細的審核記錄,審核通常為成功和失敗兩種。不過,建議平時不要常開安全審核,因為審核量很大,通常一個錯誤的密碼輸入就可以在日志中記錄一頁多的條目,非常浪費系統資源。建議只在懷疑系統受到攻擊時才開啟審核。在“開始”菜單的“運行”中輸入“Eventvwr.msc”查看安全日志,就可以看到審核的消息。注:具體如何實現請參見微軟知識庫文章“Microsoft Knowledge Base Article – 300549” (網址是:http://support.microsoft.com。?
3.把敏感文件存放在另外的文件服務器中。出于對性能和安全的雙重考慮,建議有條件的用戶將域控制器與Web服務器、數據庫服務器等其他重要服務器分開,即不要用同一臺服務器運行多種服務。同時,一定要進行及時、有效的備份,最好有一個詳盡的備份計劃。
五、鎖定/解除 Windows 注冊表編輯器
注冊表是Windows操作系統中的一個核心數據庫,其中存放著各種參數,直接控制著Windows的啟動、硬件驅動程序的裝載以及一些Windows應用程序的運行,從而在整個系統中起著核心作用。這些作用包括了軟、硬件的相關配置和狀態信息,比如注冊表中保存有應用程序和資源管理器外殼的初始條件、首選項和卸載數據等,聯網計算機的整個系統的設置和各種許可,文件擴展名與應用程序的關聯,硬件部件的描述、狀態和屬性,性能記錄和其他底層的系統狀態信息,以及其他數據等。
惡意網站往往通過修改注冊表來破壞我們的系統,甚至禁用注冊表,也就是通過修改注冊表來給注冊表自身加鎖,當注冊表被鎖定以后,我們也可以在系統中解除鎖定。
一、單擊“開始”-“運行”,輸入“gpedit.msc”,打開組策略編輯器。
二、在“組策略編輯器”對話框中,選擇“‘本地計算機’策略”-“用戶配置”-“管理模塊”-“系統”。
三、在“系統”右邊對應的選項列表中,選擇“阻止訪問注冊表編輯工具”。
四、右鍵單擊“阻止訪問注冊表編輯工具”,選擇“屬性”。
五、在彈出的“阻止訪問注冊表編輯工具屬性”對話框中,將默認設置“未配置”改為“已啟用”,單擊“確定”按鈕。鎖定注冊表編輯器。
六、在彈出的“阻止訪問注冊表編輯工具屬性”對話框中,將默認設置“未配置”改為“已禁用”,單擊“確定”按鈕。解除鎖定注冊表編輯器。
六、修改系統注冊表防止SYN洪水攻擊
SYN攻擊屬于DOS攻擊的一種,它利用TCP協議缺陷,通過發送大量的半連接請求,耗費CPU和內存資源。SYN攻擊除了能影響主機外,還可以危害路由器、防火墻等網絡系統,事實上SYN攻擊并不管目標是什么系統,只要這些系統打開TCP服務就可以實施。從上圖可看到,服務器接收到連接請求(syn=j),將此信息加入未連接隊列,并發送請求包給客戶(syn=k,ack=j+1),此時進入SYN_RECV狀態。當服務器未收到客戶端的確認包時,重發請求包,一直到超時,才將此條目從未連接隊列刪除。配合IP欺騙,SYN攻擊能達到很好的效果,通常,客戶端在短時間內偽造大量不存在的IP地址,向服務器不斷地發送syn包,服務器回復確認包,并等待客戶的確認,由于源地址是不存在的,服務器需要不斷的重發直至超時,這些偽造的SYN包將長時間占用未連接隊列,正常的SYN請求被丟棄,目標系統運行緩慢,嚴重者引起網絡堵塞甚至系統癱瘓。
為防范SYN攻擊,win2000系統的tcp/ip協議棧內嵌了SynAttackProtect機制,Win2003系統也采用此機制。SynAttackProtect機制是通過關閉某些socket選項,增加額外的連接指示和減少超時時間,使系統能處理更多的SYN連接,以達到防范SYN攻擊的目的。默認情況下,Win2000操作系統并不支持SynAttackProtect保護機制,需要在注冊表以下位置增加SynAttackProtect鍵值:HKLM/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
當SynAttackProtect值(如無特別說明,本文提到的注冊表鍵值都為十六進制)為0或不設置時,系統不受SynAttackProtect保護。
當SynAttackProtect值為2時,系統通過減少重傳次數和延遲未連接時路由緩沖項(route cache entry)防范SYN攻擊。
修改注冊表,防止SYN攻擊
一、單擊“開始”——“運行”輸入“regedit”,單擊“確定”按鈕,打開注冊表。
二、找到注冊表位置:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名為SynAttackProtect。
三、點擊右鍵修改 SynAttackProtec t鍵值的屬性。
三、在彈出的“編輯DWORD值”對話框數值數據欄中輸入“2”
四、單擊“確定”,繼續在注冊表中添加下列鍵值,防范SYN洪水攻擊。
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
七、在注冊表中關閉默認共享保證系統安全
默認安裝WINDOWS系統的情況下,所有的硬盤都是隱藏共享,據說是為了管理方便,把系統安裝分區自動進行共享,這樣可以在網絡中訪問你的資源,不過這些默認共享的目錄是只有系統管理員才能夠在網絡中查看的,因為在在共享名后邊加上了美元號($),除非別人知道這個共享,否則他是找不著的。雖然對其訪問還需要超級用戶的密碼,但這是潛在的安全隱患,從服務器的安全考慮,最好關閉這個“默認共享”,以保證系統安全。
?
修改注冊表防范IPC$攻擊:
一、單擊“開始”——“運行”,輸入“regedit”單擊“確定”按鈕,打開注冊表。
二、防范IPC$攻擊,查找注冊表中“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA”的“RestrictAnonymous”項。
三、單擊右鍵,選擇“修改”。
四、在彈出的“編輯DWORD值”對話框中數值數據框中添入“1”,將“RestrictAnonymous”項設置為“1”,這樣就可以禁止IPC$的連接,單擊“確定”按鈕。
修改注冊表關閉默認共享
一、對于c$、d$和admin$等類型的默認共享則需要在注冊表中找到“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters”項。在該項的右邊空白處,單擊右鍵選擇新建DWORD值。
二、添加鍵值“AutoShareServer”(類型為“REG_DWORD”,值為“0”)。
注:如果系統為Windows 2000 Server或Windows 2003,則要在該項中添加鍵值“AutoShareServer”(類型為“REG_DWORD”,值為“0”)。如果系統為Windows 2000 PRO,則應在該項中添加鍵值“AutoShareWks”(類型為“REG_DWORD”,值為“0”)。
八、一步一步學Windows XP安全設置
【簡 介】
作為用戶來說,可采用必要的安全設置來解決問題,而使用密碼來保護系統則是首要的。下面介紹Windows XP中如何進行密碼的保護,和一些使用方法。
目前使用Windows XP的用戶越來越多。由于開發者微軟公司(Microsoft)在Windows操作系統和瀏覽器上留下了大量的安全漏洞,使得襲擊個人電腦成為一件異常容易的事情。即便是你安裝了Windows XP最新的補丁程序Service Pack 2,你的個人電腦仍難免會受到侵襲。如何才能保障系統的安全呢?作為用戶來說,可采用必要的安全設置來解決問題,而使用密碼來保護系統則是首要的。下面介紹Windows XP中如何進行密碼的保護,和一些使用方法。?
1、如何設置可靠的密碼?
如何才能設置一個可靠的密碼呢?其實在Win XP系統中通過本地安全設置就可以完成。在“開始”→“運行”窗口中輸入“secpol.msc”并回車就可以打開“本地安全設置窗口”。或者通過“控制面板”→“管理工具”→“本地安全策略”來打開這個設置界面。在“本地安全設置”窗口的左側展開“賬戶策略”→“密碼策略”,在右邊窗格中就會出現一系列的密碼設置項(如圖1),經過這里的配置,就可以建立一個完備的密碼策略,使密碼得到最大限度的保護。在設置項中時,首先要啟用“密碼必須符合復雜性要求”策略,然后設置“密碼最短存留期”,最后開啟“強制密碼歷史”。設置好后,在“控制面板”中重新設置管理員的密碼,這時的密碼不僅是安全的(不低于6位且包含不同類別的字符),而且以后修改密碼時也不易出現與以前重復的情況。?
?
2、密碼提示不可忽視?
由于工作繁忙或其它什么原因,當我們忘記了自己的密碼時,雖說可以找到管理員來修改用戶的密碼,但有這樣做是很麻煩的!其實在Windows XP中是允許用戶創建一個提示的,以便在用戶忘記密碼的時候能夠獲得一些線索。打開“控制面板”,單擊或雙擊“用戶賬戶”圖標(如圖2),接下來的步驟需要根據您系統的設置來進行。?
?如果您是系統管理員,選擇您的賬戶名后,點擊“更改我的密碼”或“創建密碼”鏈接(如果您沒有設置密碼如圖3),輸入您的當前密碼(如果已經設置)、新密碼以及密碼提示。即使您只是想添加密碼提示信息,仍然需要在頂端文本框中輸入當前的密碼。不過,設置密碼提示時還要注意: 你要確保密碼提示在不暴露密碼的同時,可以幫助您清楚地回憶起密碼,因為所有人都能夠看到您的密碼提示。當您完成以上的操作后,點擊“更改密碼”或“創建密碼”按鈕。這樣,當再次出現登錄時忘記密碼的情況,點擊密碼提示右邊的“?”號按鈕就可以看到您設定的密碼提示了。?
?如果密碼提示沒有起作用的話,Windows還提供了另外一種解決方法。打開控制面板,單擊或雙擊“用戶賬戶”圖標(根據您的系統的設置)。如果您是系統管理員,點擊您的賬戶名,并且在“用戶賬戶”對話框的左邊“相關任務”欄中,找到“阻止一個已忘記的密碼”鏈接。點擊這一鏈接,打開“忘記密碼向導”對話框,這一向導將創建一個“密碼重設盤”,使您能夠在忘記密碼時使用此盤創建一個新的密碼。 如果您的計算機已經登錄到網絡域中,注銷后重新登錄到本機(此方法只適用于Windows登錄密碼,不適用于域用戶密碼)。按住“Ctrl+Alt+Delete”組合鍵,然后點擊“更改密碼”按鈕,最后,點擊“備份”按鈕啟動“忘記密碼向導”。 這一向導同時對您提出警告,因為“密碼重設盤”的創建,含有一定的危險性,任何人都可以使用這一張“密碼重設盤”來登錄Windows XP,都可以以該用戶的名義進入用戶帳戶,并操作真正用戶所能操作的一切。鑒于這一提示,當您點擊“完成”按鈕創建完成密碼重設盤后,應該將此盤放在一個適當的地方,以防丟失或失泄密。不過這種方法也有一個缺點,就是需要軟盤,并且要求在設密碼時建立密碼重設盤,對于沒有軟驅的機器就沒辦法了。?
?
3、重設帳戶密碼?
即使您忘記了Windows登錄密碼,并且沒有創建密碼重設盤,也不是完全沒有可能來解決這個問題的。如果您的計算有一個系統管理員賬戶,您可以使用此賬戶登錄Windows并為其他賬戶重設密碼。首先,打開控制面板,單擊或雙擊“用戶賬戶”圖標(根據您的系統的設置),選擇忘記密碼的賬戶名并點擊“重設密碼”和“更改密碼”(選項名稱視您是否連接到域而定)。根據提示輸入2次新的密碼,然后點擊“確定”。(注意:“重設密碼”按鈕對于登錄到域環境的用戶有可能無效,這一操作只適用于修改Windows登錄密碼,不適用于修改域登錄密碼。)重設Windows密碼可能會導致登錄站點和網絡連接的密碼丟失,但是至少您不會因為忘記密碼而無法進行任何操作了。?
4、確保可信的登陸界面?
將您的計算機設置成登錄Windows之前必須按“Ctrl+Alt+Delete”組合鍵,是為了保護計算機免受某些特洛伊木馬的攻擊。一些特洛伊木馬程序可以模仿Windows登錄界面,欺騙用戶輸入用戶名和密碼。使用“Ctrl+Alt+Delete”組合鍵可以確保您看到的是真實可信的Windows登錄界面。為了使連接到域中計算機的這一設置有效,您需要使用管理員身份登錄,在控制面板中打開“用戶賬戶”圖標,選擇“高級”選項卡,在“安全登錄”項目中,選中“要求用戶按Ctrl+Alt+Delete”復選框,然后點擊“確定”按鈕。?
5、組合鍵鎖定計算機?
在離開辦公桌的時候,為確保計算機的安全,需要鎖定您的計算機,這樣只有輸入密碼才能夠再次使用。如果您的計算機已經登錄到域中,只需按下“Ctrl+Alt+Delete”組合鍵,然后點擊“鎖定計算機”按鈕即可。當您返回后,再次按下“Ctrl+Alt+Delete”組合鍵,輸入密碼即可。如果是在沒有登錄域的情況下,按下“+L”組合鍵,無需關閉所有應用程序即回到登錄界面。當您返回時,選擇您的賬戶名并輸入相應密碼即可。?
6、設定鎖定快捷方式?
如果在使用電腦的過程中,有急事需要短暫離開電腦的話,很多人都知道可以通過使用CTRL+ALT+DEL組合鍵或屏幕保護程序來達到鎖定屏幕的目的。如果覺得有些復雜的話,我們還可以簡單通過鼠標雙擊桌面的快捷方式或通過在“開始”菜單中選擇某一選項的方法來鎖定計算機。參照如下的過程:打開您希望放置這一快捷方式的文件夾,在文件夾中單擊右鍵,選擇“新建”*“快捷方式”。在彈出的“創建快捷方式”對話框中,輸入“rundll32.exe user32.dll,LockWorkStation”(在‘.exe’后有一個空格),然后點擊“下一步”按鈕,輸入快捷方式的名字,點擊“完成”按鈕就可以。如果您不喜歡這種快捷方式的圖標,要改變一下也很容易,右鍵單擊該圖標,選擇“屬性”選項,在“屬性”對話框的“快捷方式”選項卡中點擊“更改圖標”按鈕,然后點擊“瀏覽”按鈕,在列表中選擇一個喜歡的圖標文件,并連續單擊2次“確定”按鈕即為該快捷方式分配新的圖標了。怎么樣?是不是很方便啊!?
7、后備選項鎖定?
有時候我們需要暫時離開計算機,但經常又會忘記了鎖定系統——怎么辦呢?其實解決這個問題很簡單,可以設定在屏幕保護、系統掛起或是休眠的情況下自動鎖定系統。這些設置在默認情況下是激活的,您可以再檢查一下。右鍵單擊桌面,選擇“屬性”選項,在“顯示屬性”對話框的“屏幕保護程序”選項卡中,選擇一個屏幕保護程序(如果需要)。確認等待的時間設定并選中“在恢復時顯示歡迎屏幕”或“在恢復時使用密碼保護”復選項。打開控制面板,如果您使用的是“分類視圖”模式,點擊“性能和維護”鏈接。然后,單擊或雙擊“電源管理”(視系統設置而定),進入“電源選項屬性”對話框,在“高級”選項卡中選中“在計算機從待機狀態恢復時,提示輸入密碼”復選框(如圖5),點擊“確定”按鈕即可。這一切都簡單明了,根本不用懂什么注冊表,也不用使用什么復雜的軟件,你說簡單不簡單??
??
九、設置安全的Windows 2000操作系統
【編者按】
Windows 2000 server含有很多的安全功能和選項,如果你合理的配置它們,那么windows 2000 server將會是一個很安全的操作系統。首先我們應將Windows 2000 server服務器應該安放在安裝了監視器的隔離房間內,并且監視器要保留15天以上的攝像記錄。另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全的地方。
Windows 2000 server含有很多的安全功能和選項,如果你合理的配置它們,那么windows 2000 server將會是一個很安全的操作系統。首先我們應將Windows 2000 server服務器應該安放在安裝了監視器的隔離房間內,并且監視器要保留15天以上的攝像記錄。另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全的地方。我們可以停掉Guest 帳號、創建2個管理員用帳號、把系統administrator帳號改名、設置屏幕保護密碼等確保安全,也可以利用win2000的安全配置工具來配置策略、關閉不必要的服務、關閉不必要的端口、禁止建立空連接和安裝微軟最新的補丁程序等措施來加強Windows 2000 Server安全。要攻擊Windows 2000系統,首先需要知道帳號和密碼,因此保障Windows 2000系統的安全中,保障其帳號和密碼的安全是關鍵,但通常密碼可以通過窮舉法等方法破解,所以Windows 2000帳號的安全非常重要。?
下面幾種方法可以有效保障Windows 2000系統中帳號的安全:?
方法一:禁止枚舉帳號?
由于Windows 2000的默認安裝允許任何用戶通過空用戶得到系統所有帳號和共享列表,這本來是為了方便局域網用戶共享資源和文件的,但是,任何一個遠程用戶通過同樣的方法都能得到帳戶列表,使用非法手段破解帳戶密碼后,對我們的電腦進行攻擊,所以必須采用以下方法禁止這種行為。?
1、通過修改注冊表禁用空用戶連接,操作步驟如下:?
單擊”開始”->”運行”打開”運行”對話框;輸入”Regedit”并單擊確定打開注冊表編輯器;在注冊表編輯器中逐層進入[HKEY_LOCAL_MACHINES/SYSTEM/CurentControlSet/control/Lsa];?
將RestrictAnonymous的值設置為1,這樣可以禁止空用戶連接。?
2、修改本地安全策略,操作步驟如下:?
進入Windows 2000的”控制面板”;單擊”管理工具”,單擊”本地安全策略”,進入”本地安全設置”對話框。 ?
選擇”安全設置”->”本地策略”->”安全選項”;雙擊”對匿名連接的額外限制”項;并選擇”本地策略設置”列表,列表中出現三個選項。 ?
(1)”無,依賴于默認許可權限”選項:這是系統默認值,沒有任何限制,遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網絡傳輸列表等,對服務器來說這樣的設置非常危險。?
(2)”不允許枚舉SAM賬號和共享”選項:這個值是只允許非NULL用戶存取SAM賬號信息和共享信息,一般選擇此項。?
(3)”沒有顯式匿名權限就無法訪問”選項:這個值是最安全的一個,但是如果使用了這個值,就不能再共享資源了,所以還是推薦設為”不允許枚舉SAM賬號和共享”比較好。我們選擇”不允許枚舉SAM賬號和共享”項,并確定。?
此時,我們就禁止了用戶枚舉帳號的操作。?
方法二:Administrator賬號更名?
非法用戶找不到用戶列表,我們的系統就一定安全嗎?不一定。有經驗的用戶知道,Windows 2000系統的Administrator賬號是不能被停用的,也不能設置安全策略,這樣非法用戶可以一遍又一遍地嘗試這個賬戶的密碼,直到破解,所以我們可以在”計算機管理”中把Administrator賬戶更名來防止這一點。具體操作步驟如下:?
進入系統”控制面板”->”計算機管理”,進入”計算機管理”窗口,如圖所示。選擇”本地用戶和組”->”用戶”;在窗口右面使用鼠標右鍵單擊Administrator,在右鍵菜單中選擇”重命名”;重新輸入一個名稱。?
最好不要使用Admin、Root之類的名字,如果使用改了等于沒改。盡量把它偽裝成普通用戶,比如改成:Guestlll,別人怎么也想不到這個帳戶是超級用戶。然后另建一個”Administrator”的陷阱帳號,不賦予任何權限,加上一個超過10位的超級復雜密碼,并對該帳戶啟用審核。這樣那些非法用戶忙了半天也可能進不來,或是即便進來了也什么都得不到,還留下我們跟蹤的線索。
方法三:禁止登錄屏幕上顯示上次登錄的用戶名?
非法用戶也可以通過本地或者Terminal Service的登錄界面看到用戶名,然后去猜密碼。?
所以要禁止顯示登錄的用戶名。操作步驟如下:?
選擇”控制面板”->”管理工具”->”本地安全策略”->”本地策略”->”安全選項”。?
在窗口右側雙擊”登錄屏幕上不要顯示上次登錄的用戶名”一項;選中”已啟用”。 ?
也可以通過修改注冊表來實現,找到注冊表HKEY_LOCAL_MACHINE/SOFTTWARE/Microsoft/WindowsNT/CurrentVesion/Winlogn項中的Don’t Display Last User Name串,將其數據修改為1。?
?
方法四:禁用Guest帳號?
Guest帳號是一個非常危險的漏洞,因為非法用戶可以使用這個帳號登錄你的機器。禁用該帳號的操作步驟如下:?
選擇”控制面板”->”管理工具”->”計算機管理”;在計算機管理的”本地用戶和組”項,選擇”用戶”,用鼠標右鍵單擊右側列表里的”Guest”帳號,在右鍵菜單中選擇”屬性”或是雙擊”Guest”帳號,在屬性對話框中,在”帳戶已停用”一項前打勾,這樣就無法用Guest帳號登錄你的系統了。?
如果還需要提供共享打印服務時,則需要在”本地安全策略”的”用戶權利指派”中的”在本地登錄”項里設置Guest帳號不能登錄本機(去掉Guest項后面的勾)。?
經常檢查本地用戶和組,刪除不用的帳戶,不要給非法用戶和黑客留下可乘之機,經過以上的步驟,我們的系統應該相對安全了許多。
十、安全設置組策略有效阻止黑客攻擊
【簡 介】
在本篇技術指南中,將概要介紹你如何修改最重要的組策略安全設置。
在本篇技術指南中,將概要介紹你如何修改最重要的組策略安全設置。?
你可以在采用Windows XP、2000和Server 2003操作系統的本地計算機上使用這些方法,或者在Server 2003和2000中的OU域名級上使用這些方法。為了簡明扼要和提供最新的信息,我準備介紹一下如何設置基于Windows Server 2003的域名。請記住,這些只是你在你的域名中能夠設置的組策略對象中最有可能出現問題的。按照我的觀點,這些設置可以保持或者破壞Windows的安全。而且由于設置的不同,你的進展也不同。因此,我鼓勵你在使用每一個設置之前都進行深入的研究,以確保這些設置能夠兼容你的網絡。如果有可能的話,對這些設置進行試驗(如果你很幸運有一個測試環境的話)。?
如果你沒有進行測試,我建議你下載和安裝微軟的組策略管理控制臺(GPMC)來做這些改變。這個程序能夠把組策略管理任務集中到一個單一的界面讓你更全面地查看你的域名。要開始這個編輯流程,你就上載GPMC,擴展你的域名,用鼠標右鍵點擊“缺省域名策略”,然后選擇“編輯”。這樣就裝載了組策略對象編輯器。如果你要以更快的速度或者“次企業級”的方式編輯你的域名組策略對象,你可以在“開始”菜單中運行“gpedit.msc”。?
1.確定一個缺省的口令策略,使你的機構設置位于“計算機配置/Windows設置/安全設置/賬號策略/口令策略”之下。?
2.為了防止自動口令破解,在“計算機配置/Windows設置/安全設置/賬號策略/賬號關閉策略”中進行如下設置:?
·賬號關閉持續時間(確定至少5-10分鐘)?
·賬號關閉極限(確定最多允許5至10次非法登錄)?
·隨后重新啟動關閉的賬號(確定至少10-15分鐘以后)?
3.在“計算機配置/Windows設置/安全設置/本地策略/檢查策略”中啟用如下功能:?
·檢查賬號管理?
·檢查登錄事件?
·檢查策略改變?
·檢查權限使用?
·檢查系統事件?
理想的情況是,你要啟用記錄成功和失敗的登錄。但是,這取決于你要保留什么類型的記錄以及你是否能夠管理這些記錄。Roberta Bragg在這里介紹了一些普通的檢查記錄設置。要記住,啟用每一種類型的記錄都需要你的系統處理器和硬盤提供更多的資源。?
4.作為增強Windows安全的最佳做法和為攻擊者設置更多的障礙以減少對Windows的攻擊,你可以在“計算機配置/Windows設置/安全設置/本地策略/安全選項”中進行如下設置:?
·賬號:重新命名管理員賬號–不是要求更有效而是增加一個安全層(確定一個新名字)?
·賬號:重新命名客戶賬號(確定一個新名字)?
·交互式登錄:不要顯示最后一個用戶的名字(設置為啟用)?
·交互式登錄:不需要最后一個用戶的名字(設置為關閉)?
·交互式登錄: 為企圖登錄的用戶提供一個消息文本(確定為讓用戶閱讀banner text(旗幟文本),內容大致為“這是專用和受控的系統。?
如果你濫用本系統,你將受到制裁。–首先讓你的律師運行這個程序)?
·交互式登錄: 為企圖登錄的用戶提供的消息題目–在警告!!!后面寫的東西?
·網絡接入:不允許SAM賬號和共享目錄(設置為“啟用”)?
·網絡接入:將“允許每一個人申請匿名用戶”設置為關閉?
·網絡安全:“不得存儲局域網管理員關于下一個口令變化的散列值”設置為“啟用”?
·關機:“允許系統在沒有登錄的情況下關閉”設置為“關閉”?
·關機:“清除虛擬內存的頁面文件”設置為“啟用”?
如果你沒有Windows Server 2003域名控制器,你在這里可以找到有哪些Windows XP本地安全設置的細節,以及這里有哪些詳細的Windows 2000 Server組策略的設置。要了解更多的有關Windows Server 2003組策略的信息,請查看微軟的專門網頁。?
十一、如何設置IE中的安全設置選項按鈕?
問:我在Windows 2000桌面右擊IE圖標并選擇“屬性”,選擇了“安全”標簽后,發現“自定義級別”和“默認級別”按鈕變成灰色不可選狀態,無法改變IE的安全等級。請問該如何解決??
?
答:出現這個問題的原因是系統在注冊表中添加了一個“SecChangeSettings”鍵進行了限制。請打開注冊表編輯器,找到[HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/Control Panel],將右側窗口中的“SecChangeSettings”鍵刪除后,重啟IE即可解決問題。
十二、FAT32轉換為NTFS
如果要使用文件訪問權限,文件還必須位于NTFS文件系統的分區上。跟FAT和FAT32文件系統相比,NTFS文件系統可以在保持簇大小不變的情況下支持更大的分區,還有一系列的安全特性,建議使用。不過DOS和Windows 9x操作系統并不能支持這種文件系統。有兩種方法獲得NTFS文件系統的分區:創建一個分區,然后格式化為NTFS文件系統;或者把現有的FAT或者FAT32文件系統的分區在保留數據的前提下轉化為NTFS文件系統。這個轉化可以使用Windows自帶的convert.exe程序,在命令行狀態下輸入“convert c:/fs:ntfs”并回車就可以把C盤轉換,其他盤需要替換C為相應的盤符。另外要注意,轉換系統盤可能需要你重啟動系統才能完成。
十三、用組策略從十大方面保護Windows安全
Windows操作系統中組策略的應用無處不在,如何讓系統更安全,也是一個常論不休的話題,下面就讓我們一起來看看通過組策略如何給Windows系統練就一身金鐘罩。?
一、給我們的IP添加安全策略??
在“計算機配置”→“Windows設置”→“安全設置”→“IP?安全策略,在本地計算機”下與有與網絡有關的幾個設置項目(如圖1)。如果大家對Internet較為熟悉,那也可以通過它來添加或修改更多的網絡安全設置,這樣在Windows上運行網絡程序或者暢游Internet時將會更加安全。?
????? 小提示?:由于此項較為專業,其間會涉及到很多的專業概念,一般用戶用不到,在這里只是給網絡管理員們提個醒,因此在此略過。
二、隱藏驅動器?
平時我們隱藏文件夾后,別人只需在文件夾選項里顯示所有文件,就可以看見了,我們可以在組策略里刪除這個選項:選擇“用戶配置→管理模板→Windows組件→Windows資源管理器”。
三、禁用指定的文件類型?
在“組策略”中,我們可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件類型,而且不影響系統的正常運行。這里假設我們要禁用注冊表的REG文件,不讓系統運行REG文件,具體操作方法如下:?
1.?打開組策略,點擊“計算機配置→Windows設置→安全設置→軟件限制策略”,在彈出的右鍵菜單上選擇“創建軟件限制策略”,即生成“安全級別”、“其他規則”及“強制”、“指派的文件類型”、“受信任的出版商”項。
2.?雙擊“指派的文件類型”打開“指派的文件類型屬性”窗口,只留下REG文件類型,將其他的文件全部刪除,如果還有其他的文件類型要禁用,可以再次打開這個窗口,在“文件擴展名”空白欄里輸入要禁用的文件類型,將它添加上去。?
3.?雙擊“安全級別→不允許的”項,點擊“設為默認”按鈕。然后注銷系統或者重新啟動系統,此策略即生效,運行REG文件時,會提示“由于一個軟件限制策略的阻止,Windows無法打開此程序”。?
4.要取消此軟件限制策略的話,雙擊“安全級別→不受限的”,打開“不受限的?屬性”窗口,按“設為默認值”即可。?
如果你鼠標右鍵點擊“計算機配置→Windows設置→安全設置→軟件限制策略→其他規則”,你會看到它可以建立哈希規則、Internet?區域規則、路徑規則等策略,利用這些規則我們可以讓系統更加安全,比如利用“路徑規則”可以為電子郵件程序用來運行附件的文件夾創建路徑規則,并將安全級別設置為“不允許的”,以防止電子郵件病毒。?
提示:為了避免“軟件限制策略”將系統管理員也限制,我們可以雙擊“強制”,選擇“除本地管理員以外的所有用戶”。如果用你的是文件類型限制策略,此選項可以確保管理員有權運行被限制的文件類型,而其他用戶無權運行。?
四、未經許可,不得在本機登錄?
使用電腦時,我們有時要離開座位一段時間。如果有很多正在打開的文檔還沒有處理完成或者正在下載東西、掛POPO等等,為了避免有人動用電腦,我們一般會把電腦鎖定。但是在局域網中,為了方便網絡登錄,我們有時候會建立一些來賓賬戶,如果對方利用這些賬戶來注銷當前賬戶登錄到別的賬戶,那就麻煩了。既然我們不能刪除或禁用這些賬戶,那么我們可以通過“組策略”來禁止一些賬戶在本機上登錄,讓對方只能通過網絡登錄。?
在“組策略”窗口中依次打開“計算機配置→Windows設置→安全設置→本地策略→用戶權限分配”,然后雙擊右側窗格的“拒絕本地登錄”項,在彈出的窗口中添加要禁止的用戶或組即可實現。
如果我們想反其道而行之,禁止用戶從網絡登錄,只能從本地登錄,可以雙擊“拒絕從網絡訪問這臺計算機”項將用戶加上去。
五、給“休眠”和“待機”加個密碼?
只有“屏幕保護”有密碼是遠遠不夠安全的,我們還要給“休眠”和“待機”加上密碼,這樣才會更安全。讓我們來給“休眠”和“待機”加上密碼吧。在“組策略”窗口中展開“用戶配置→管理模板→系統→電源管理”,在右邊的窗格中雙擊“從休眠/掛起恢復時提示輸入密碼”,將其設置為“已啟用”(圖5),那么當我們從“待機”或“休眠”狀態返回時將會要求你輸入用戶密碼。
六、自動給操作做個記錄
在“計算機配置→Windows設置→安全設置→本地策略→審核策略”上,我們可以看到它可以審核策略更改、登錄事件、對象訪問、過程追蹤、目錄服務訪問、特權使用等(圖6)。這些審核可以記錄下你某年某月某日某時某分某秒做過了什么操作:幾時登錄、關閉系統或更改過哪些策略等等。
我們應該養成經常在“控制面板→管理工具→事件查看器”里查看事件的好習慣。比如,當你修改過“組策略”后,系統就發生了問題,此時“事件查看器”就會及時告訴你改了哪些策略。在“登錄事件”里,你可以查看到詳細的登錄事件,知道有人曾嘗試使用禁用的賬戶登錄、誰的賬戶密碼已過期……而要啟用哪些審核,只要雙擊相應的項目,選中“成功”和“失敗”兩個選項即可。?
注意:Windows?XP?Home?Edition沒有“組策略”,只有Windows?XP?Professional版本才有“組策略”,這一點注意。?
七、限制IE瀏覽器的保存功能??
當多人共用一臺計算機時,為了保持硬盤的整潔,需要對瀏覽器的保存功能進行限制使用,那么如何才能實現呢?具體方法為:選擇“用戶設置”→“管理模板”→“Windows組件”→“Internet?Explorer”→“瀏覽器菜單”分支。雙擊右側窗格中的“‘文件’菜單:禁用‘另存為…’菜單項”,在打開的設置窗口中選中“已啟用”單選按鈕(如圖7)。
提示? : 我們還可以對“‘文件’菜單:禁用另存為網頁菜單項”、“‘查看’菜單:禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目進行修改,這樣我們的IE將會安全一些。?
八、禁止修改IE瀏覽器的主頁??
如果您不希望他人或網絡上的一些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話,我們可以選擇“用戶配置”→“管理模板”→“Windows?組件”→“Internet?Explorer”分支,然后在右側窗格中,雙擊“禁用更改主頁設置”策略啟用即可。?
(1)在圖8,還提供了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。如果啟用了這個策略,在IE瀏覽器的“Internet?選項”對話框中,其“常規”選項卡的“主頁”區域的設置將變灰。??
(2)如果設置了位于“用戶配置”→“管理模板”→“Windows?組件”→“Internet?Explorer”→“Internet?控制面板”中的“禁用常規頁”策略,則無需設置該策略,因為“禁用常規頁”策略將刪除界面上的“常規”選項卡。??
(3)逐級展開“用戶設置”→“管理模板”→“Windows組件”→“Internet?Explorer”分支,我們可以在其下發現“Internet控制面板”、“脫機頁”、“瀏覽器菜單”、“工具欄”、“持續行為”和“管理員認可的控件”等策略選項。利用它可以充分打造一個極有個性和安全的IE。??
九、把Administrator藏起來?
Windows系統默認的系統管理員賬戶名是Administrator。因此,為了避免有人惡意破解系統管理員Administrator賬戶的密碼,我們可以將Administrator改為其他名字以加強安全。點擊“開始→運行”,輸入gpedit.msc,打開“組策略”,如圖9所示,選擇“計算機配置→Windows設置→安全設置→本地策略→安全選項”,在右邊窗格里雙擊“賬戶:重命名系統管理員賬戶”項,在上面輸入你想要的用戶名。重新啟動計算機后,輸入的新用戶名即刻生效。如果再新建一個Guest用戶,用戶名為Administrator,然后再加上十分復雜的密碼就更安全。
提示:為了避免讓人在Windows的登錄框中看到曾經登錄過的用戶名,就要雙擊“交互式登錄:不顯示上次的用戶名”子項,選擇“已啟用”將該策略啟用。這樣上次登錄到計算機的用戶名就不會顯示在Windows的登錄畫面中。??
十.禁用IE組件自動安裝??
選擇“計算機配置”→“管理模板”→“Windows組件”→“Internet?Explorer”項目,雙擊右邊窗口中“禁用Internet?Explorer組件的自動安裝”項目,在打開的窗口中選擇“已啟用”單選按鈕(如圖10),將會禁止?Internet?Explorer?自動安裝組件。這樣可以防止?Internet?Explorer?在用戶訪問到需要某個組件的網站時下載該組件,篡改IE的行為也會得到遏制!相對來說IE也會安全許多!?
小提示??
如果禁用該策略或不對其進行配置,則用戶在訪問需要某個組件的網站時,將會收到一則消息,提示用戶下載并安裝該組件。有時用戶看也不看就選擇“安裝”則往往會出問題。網上的很多惡意代碼往往都是這樣工作的。?
十四、Windows 2000?安全檢查清單
在網上偶爾看到這篇關于Window 2000安全的問題,雖然有點老了,但覺得還是挺實用的,于是就轉過來了,希望大家有所幫助。注意:很多操作請不要在服務器上直接嘗試,因為操作不當可能會引起服務器很多功能出錯或無法使用,建議您在個人的機器上操作成功后再試。 —51windows(海娃)
前段時間,中美網絡大戰,我看了一些被黑的服務器,發現絕大部分被黑的服務器都是Nt/win2000的機器,真是慘不忍睹。Windows2000 真的那么不安全么?其實,Windows2000 含有很多的安全功能和選項,如果你合理的配置它們,那么windows 2000將會是一個很安全的操作系統.我抽空翻了一些網站,翻譯加湊數的整理了一篇checklist出來。希望對win2000管理員有些幫助。本文并沒有什么高深的東西,所謂的清單,也并不完善,很多東西要等以后慢慢加了,希望能給管理員作一參考。
具體清單如下:
初級安全篇
1.物理安全
服務器應該安放在安裝了監視器的隔離房間內,并且監視器要保留15天以上的攝像記錄。另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全的地方。
2.停掉Guest 帳號
在計算機管理的用戶里面把guest帳號停用掉,任何時候都不允許guest帳號登陸系統。為了保險起見,最好給guest 加一個復雜的密碼,你可以打開記事本,在里面輸入一串包含特殊字符,數字,字母的長字符串,然后把它作為guest帳號的密碼拷進去。
3.限制不必要的用戶數量
去掉所有的duplicate user 帳戶, 測試用帳戶, 共享帳號,普通部門帳號等等。用戶組策略設置相應權限,并且經常檢查系統的帳戶,刪除已經不在使用的帳戶。這些帳戶很多時候都是黑客們入侵系統的突破口,系統的帳戶越多,黑客們得到合法用戶的權限可能性一般也就越大。國內的nt/2000主機,如果系統帳戶超過10個,一般都能找出一兩個弱口令帳戶。我曾經發現一臺主機197個帳戶中竟然有180個帳號都是弱口令帳戶。
4.創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。創建一個一般權限帳號用來收信以及處理一些日常事物,另一個擁有Administrators 權限的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執行一些需要特權才能作的一些工作,以方便管理。
5.把系統administrator帳號改名
大家都知道,windows 2000 的administrator帳號是不能被停用的,這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然,請不要使用Admin之類的名字,改了等于沒改,盡量把它偽裝成普通用戶,比如改成:guestone 。
6.創建一個陷阱帳號
什么是陷阱帳號? Look!>創建一個名為” Administrator”的本地帳戶,把它的權限設置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了,并且可以借此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿,夠損!
7.把共享文件的權限從”everyone”組改成“授權用戶”
“everyone” 在win2000中意味著任何有權進入你的網絡的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成”everyone”組。包括打印共享,默認的屬性就是”everyone”組的,一定不要忘了改。
8.使用安全密碼
一個好的密碼對于一個網絡是非常重要的,但是它是最容易被忽略的。前面的所說的也許已經可以說明這一點了。一些公司的管理員創建帳號的時候往往用公司名,計算機名,或者一些別的一猜就到的東西做用戶名,然后又把這些帳戶的密碼設置得N簡單,比如 “welcome” “iloveyou” “letmein”或者和用戶名相同等等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼,還要注意經常更改密碼。前些天在IRC和人討論這一問題的時候,我們給好密碼下了個定義:安全期內無法破解出來的密碼就是好密碼,也就是說,如果人家得到了你的密碼文檔,必須花43天或者更長的時間才能破解出來,而你的密碼策略是42天必須改密碼。
9.設置屏幕保護密碼
很簡單也很有必要,設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序,浪費系統資源,讓他黑屏就可以了。還有一點,所有系統用戶所使用的機器也最好加上屏幕保護密碼。
10. 使用NTFS格式分區
把服務器的所有分區都改成NTFS格式。NTFS文件系統要比FAT,FAT32的文件系統安全得多。這點不必多說,想必大家得服務器都已經是NTFS的了。
11.運行防毒軟件
我見過的Win2000/Nt服務器從來沒有見到有安裝了防毒軟件的,其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒,還能查殺大量木馬和后門程序。這樣的話,“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫
12.保障備份盤的安全
一旦系統資料被破壞,備份盤將是你恢復資料的唯一途徑。備份完資料后,把備份盤防在安全的地方。千萬別把資料備份在同一臺服務器上,那樣的話,還不如不要備份。
中級安全篇:
1.利用win2000的安全配置工具來配置策略
微軟提供了一套的基于MMC(管理控制臺)安全配置和分析工具,利用他們你可以很方便的配置你的服務器以滿足你的要求。具體內容請參考微軟主頁:
www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp
2.關閉不必要的服務
windows 2000 的 Terminal Services(終端服務),IIS ,和RAS都可能給你的系統帶來安全漏洞。為了能夠在遠程方便的管理服務器,很多機器的終端服務都是開著的,如果你的也開了,要確認你已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。要留意服務器上面開啟的所有服務,中期性(每天)的檢查他們。下面是C2級別安裝的默認服務:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.關閉不必要的端口
關閉端口意味著減少功能,在安全和功能上面需要你作一點決策。如果服務器安裝在防火墻的后面,冒的險就會少些,但是,永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統所開放的端口,確定開放了哪些服務是黑客入侵你的系統的第一步。/system32/drivers/etc/services 文件中有知名端口和服務的對照表可供參考。具體方法為:
網上鄰居>屬性>本地連接>屬性>internet 協議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性 打開tcp/ip篩選,添加需要的tcp,udp,協議即可。
4.打開審核策略
開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式(如嘗試用戶密碼,改變帳戶策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道,直到系統遭到破壞。下面的這些審核是必須開啟的,其他的可以根據需要增加:
策略 設置
審核系統登陸事件 成功,失敗
審核帳戶管理 成功,失敗
審核登陸事件 成功,失敗
審核對象訪問 成功
審核策略更改 成功,失敗
審核特權使用 成功,失敗
審核系統事件 成功,失敗
5.開啟密碼密碼策略
策略 設置
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5 次
強制密碼歷史 42 天
6.開啟帳戶策略
策略 設置
復位帳戶鎖定計數器 20分鐘
帳戶鎖定時間 20分鐘
帳戶鎖定閾值 3次
7.設定安全記錄的訪問權限
安全記錄在默認情況下是沒有保護的,把他設置成只有Administrator和系統帳戶才有權訪問。
8.把敏感文件存放在另外的文件服務器中
雖然現在服務器的硬盤容量都很大,但是你還是應該考慮是否有必要把一些重要的用戶數據(文件,數據表,項目文件等)存放在另外一個安全的服務器中,并且經常備份它們。
9.不讓系統顯示上次登陸的用戶名
默認情況下,終端服務接入服務器時,登陸對話框中會顯示上次登陸的帳戶明,本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名,進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名,具體是: HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/DontDisplayLastUserName 把 REG_SZ 的鍵值改成 1 .
10.禁止建立空連接
默認情況下,任何用戶通過通過空連接連上服務器,進而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接: Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成” 1” 即可。
11.到微軟網站下載最新的補丁程序
很多網絡管理員沒有訪問安全站點的習慣,以至于一些漏洞都出了很久了,還放著服務器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的2000不出一點安全漏洞,經常訪問微軟和一些安全站點,下載最新的service pack和漏洞補丁,是保障服務器長久安全的唯一方法。
高級篇
1.關閉 DirectDraw
這是C2級安全標準對視頻卡和內存的要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響(比如游戲,在服務器上玩星際爭霸?我暈..$%$^%^&??),但是對于絕大多數的商業站點都應該是沒有影響的。 修改注冊表 HKLM/SYSTEM/CurrentControlSet/Control/GraphicsDrivers/DCI 的Timeout(REG_DWORD)為 0 即可。
2.關閉默認共享
win2000安裝好以后,系統會創建一些隱藏的共享,你可以在cmd下打 net share 查看他們。網上有很多關于IPC入侵的文章,相信大家一定對它不陌生。要禁止這些共享 ,打開 管理工具>計算機管理>共享文件夾>共享 在相應的共享文件夾上按右鍵,點停止共享即可,不過機器重新啟動后,這些共享又會重新開啟的。
默認共享目錄 路徑和功能
C$ D$ E$ 每個分區的根目錄。Win2000 Pro版中,只有Administrator
和Backup Operators組成員才可連接,Win2000 Server版本
Server Operatros組也可以連接到這些共享目錄
ADMIN$ %SYSTEMROOT% 遠程管理用的共享目錄。它的路徑永遠都
指向Win2000的安裝路徑,比如 c:/winnt
FAX$ 在Win2000 Server中,FAX$在fax客戶端發傳真的時候會到。
IPC$ 空連接。IPC$共享提供了登錄到系統的能力。
NetLogon 這個共享在Windows 2000 服務器的Net Login 服務在處
理登陸域請求時用到
PRINT$ %SYSTEMROOT%/SYSTEM32/SPOOL/DRIVERS 用戶遠程管理打印機
具體操作可以參考:去掉win2000中的c$共享
3.禁止dump file的產生
dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而,它也能夠給黑客提供一些敏感信息比如一些應用程序的密碼等。要禁止它,打開控制面板>系統屬性>高級>啟動和故障恢復 把 寫入調試信息 改成無。要用的時候,可以再重新打開它。
4.使用文件加密系統EFS
Windows2000 強大的加密系統能夠給磁盤,文件夾,文件加上一層安全保護。這樣可以防止別人把你的硬盤掛到別的機器上以讀出里面的數據。記住要給文件夾也使用EFS,而不僅僅是單個的文件。 有關EFS的具體信息可以查看www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp
5.加密temp文件夾
一些應用程序在安裝和升級的時候,會把一些東西拷貝到temp文件夾,但是當程序升級完畢或關閉的時候,它們并不會自己清除temp文件夾的內容。所以,給temp文件夾加密可以給你的文件多一層保護。
6.鎖住注冊表
在windows2000中,只有administrators和Backup Operators才有從網絡上訪問注冊表的權限。如果你覺得還不夠的話,可以進一步設定注冊表訪問權限,詳細信息請參考:
http://support.microsoft.com/support/kb/articles/Q153/1/83.asp
7.關機時清除掉頁面文件
頁面文件也就是調度文件,是win2000用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中,頁面文件中也可能含有另外一些敏感的資料。要在關機的時候清楚頁面文件,可以編輯注冊表
HKLM/SYSTEM/CurrentControlSet/Control/Session Manager/Memory Management
把ClearPageFileAtShutdown的值設置成1。
8.禁止從軟盤和CD Rom啟動系統
一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的服務器對安全要求非常高,可以考慮使用可移動軟盤和光驅。把機箱鎖起來扔不失為一個好方法。
9.考慮使用智能卡來代替密碼
對于密碼,總是使安全管理員進退兩難,容易受到 10phtcrack 等工具的攻擊,如果密碼太復雜,用戶把為了記住密碼,會把密碼到處亂寫。如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。
10.考慮使用IPSec
正如其名字的含義,IPSec 提供 IP 數據包的安全性。IPSec 提供身份驗證、完整性和可選擇的機密性。發送方計算機在傳輸之前加密數據,而接收方計算機在收到數據之后解密數據。利用IPSec可以使得系統的安全性能大大增強。有關IPSes的詳細信息可以參考:http://www.microsoft.com/china/technet/security/ipsecloc.asp
十五、如何限制從遠程計算機訪問注冊表
限制對注冊表的網絡訪問
<script type=”text/javascript”> loadTOCNode(2, ‘moreinformation’); </script>?警告:注冊表編輯器使用不當可導致嚴重問題,可能需要重新安裝操作系統。Microsoft 不能保證您可以解決因注冊表編輯器使用不當而導致的問題。使用注冊表編輯器需要您自擔風險。
注意:在 Windows 2000 和更高版本中,只有管理員和備份操作員具有對注冊表的默認網絡訪問權限。對于某些特定情況,此部分可能不適用。要限制對注冊表的網絡訪問,請執行下列步驟來創建下面的注冊表項:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurePipeServers/winreg
名稱:Description
類型:REG_SZ
值:Registry Server
在此項中設置的安全權限規定了哪些用戶或組可以連接到系統以對注冊表進行遠程訪問。默認的 Windows 安裝會定義此項,并按如下所示設置“訪問控制列表”以限制對注冊表的遠程訪問:
管理員擁有完全控制權限
Windows 的默認配置只允許管理員對注冊表進行遠程訪問。為使用戶可以對注冊表進行遠程訪問而對此項進行的更改要在重新啟動系統后才能生效。
要創建注冊表項以限制對注冊表的訪問,請執行下列步驟:
| 1. | 啟動注冊表編輯器 (Regedt32.exe) 并轉到下面的子項:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control |
| 2. | 在編輯菜單中,單擊添加項。 |
| 3. | 輸入下列數值:項名稱:SecurePipeServers 類型:REG_SZ |
| 4. | 轉到下面的子項:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurePipeServers |
| 5. | 在編輯菜單中,單擊添加項。 |
| 6. | 輸入下列數值:項名稱:winreg 類型:REG_SZ |
| 7. | 轉到下面的子項:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurePipeServers/winreg |
| 8. | 在編輯菜單上,單擊添加數值。 |
| 9. | 輸入下列數值:數值名稱:Description 數據類型:REG_SZ 字符串:Registry Server |
| 10. | 轉到下面的子項:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurePipeServers/winreg |
| 11. | 選擇“winreg”。單擊安全,然后單擊權限。添加要向其授予訪問權限的用戶或組。 |
| 12. | 退出注冊表編輯器并重新啟動 Windows。 |
| 13. | 如果您以后想要更改可以訪問注冊表的用戶的列表,請重復步驟 10-12。 |
不使用訪問限制
<script type=”text/javascript”> loadTOCNode(2, ‘moreinformation’); </script>?某些服務需要遠程訪問注冊表才能正常工作。例如,目錄復制程序服務和后臺打印程序服務在通過網絡連接到打印機時需要訪問遠程注冊表。
您可以將運行該服務的帳戶名稱添加到“winreg”項的訪問列表中,也可以配置 Windows 以便不對某些特定項使用訪問限制,方法為:在 AllowedPaths 項下的 Machine 或 Users 值中列出這些項。
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SecurePipeServers/winreg/AllowedPaths
值:Machine 數值類型:REG_MULTI_SZ – 多字符串 默認數據:System/CurrentControlSet/Control/ProductOptions System/CurrentControlSet/Control/Print/Printers System/CurrentControlSet/Services/Eventlog Software/Microsoft/Windows NT/CurrentVersion System/CurrentControlSet/Services/Replicator 有效范圍:注冊表中某個位置的有效路徑。 描述:如果對于注冊表中 列出的位置不存在明確的訪問限制, 則允許計算機訪問該位置。 值:Users 數值類型:REG_MULTI_SZ – 多字符串 默認數據:(無) 有效范圍:注冊表中某個位置的有效路徑。 描述:如果對于注冊表中 列出的位置不存在明確的訪問限制, 則允許用戶訪問該位置。
在 Windows 2000 和更高版本中略有不同:
值:Machine 數值類型:REG_MULTI_SZ – 多字符串 默認數據:System/CurrentControlSet/Control/ProductOptions System/CurrentControlSet/Control/Print/Printers system/CurrentControlSet/control/Server Applications System/CurrentControlSet/Services/Eventlog Software/Microsoft/Windows NT/CurrentVersion 值:Users – 默認情況下不存在。
問:瀏覽網頁時經常碰到彈出淘寶網的廣告,奇怪的是,屏蔽廣告軟件對這種彈出廣告沒有任何效果。請問如何禁止它彈出呢?
答:這類彈出廣告的原理是利用瀏覽器的IE內核來調用IE窗口。據悉,淘寶網是由www.unionsky.cn網站代理的,各種彈出窗口也都是通過這個網站中轉到淘寶網的,我們只需在Hosts文件中禁止這個網站即可。在C:/WINDOWS/system32/drivers/etc/下找到hosts文件,用記事本打開它,加入“127.0.0.1 www.unionsky.cn”,然后以ANSI編碼的形式保存到原來位置。這一招不但在這里起作用,對諸多彈出窗口都可以起到禁止的作用,你只要將彈出網頁的地址以“ 0.0.0 .0 網頁地址”的形式依次加入就可以禁止想要禁止的彈出網頁了
很多情況下好多朋友都被惡意代碼煩透了吧,我在各個安全網站到處漫游,看能不能幫大家一把,終于讓我找到了這個好文章,大家可以參詳一下.不過我開拓進取在這里提醒一下大家,在修改注冊表之前一定要備份喔~并且要看準鍵咯~~`刪錯了可就……
備份注冊表文件、用軟件免疫、禁用js
顯然這些方法都不怎么理想,其實有一招簡單的方法是可以永遠免疫的,就是在注冊表中刪除惡意代碼會用到的一個id就可以了,那就是F935DC22-1CF0-11D0-ADB9-00C04FD58A0B,只要把它刪了,那你以后碰到惡意代碼,就再也不用擔心注冊表會再被修改了,它再注冊表里面的路徑是HKEY_CLASSES_ROOT/CLSID/{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},找到后把整個項刪掉就可以了,這個項刪掉不會對系統有任何影響,請放心刪除.
這里再介紹幾個對系統安全有隱患的ID
HKEY_CLASSES_ROOT/CLSID/{0D43FE01-F093-11CF-8940-00A0C9054228},網頁代碼可以利用他在硬盤里面生成文件
HKEY_CLASSES_ROOT/CLSID/{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B},可以生成命令格式,比如格式化硬盤,執行任何程序.
HKEY_CLASSES_ROOT/CLSID/{B83FC273-3522-4CC6-92EC-75CC86678DA4},這個好像是3721中文網址的,我發現很多朋友都覺得3721很霸道,刪了就不用管它了
如果不知道怎么刪或者嫌麻煩,可以來我的主頁http://www.J3J4.com,看一張網頁就幫你刪了,原理是一樣。
上次我陳述了四大病毒可以一勞永逸,有朋友提到如何防范?
1.在“我的電腦”—“工具”—“文件夾選項”對話框中,點擊“文件類型”,刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射?
2.在Windows目錄中,找到WScript.?exe和JScript.?exe,更改其名稱或者干脆刪除
總結
以上是生活随笔為你收集整理的Windows下安全权限设置详解的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C++语言——求圆柱表面积
- 下一篇: pyinstall Failed to