第3章--Windows系统安全加固技术课件.ppt

《第3章--Windows系统安全加固技术课件.ppt》由会员分享，可在线阅读，更多相关《第3章--Windows系统安全加固技术课件.ppt（117页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、13.1 个人防火墙设置3.2 IE 安全设置3.3 帐号和口令的安全设置3.4 文件系统安全设置3.5 关闭默认共享3.6 小结习题3第3章 Windows系统安全加固技术23.1 个人防火墙设置所谓的“防火墙”，是一种特殊的访问控制设施，是一道介于内部网络和Internet 之间的安全屏障(图3-1 描述了防火墙在网络中所处的位置)。防火墙既可以是一组硬件，也可以是一组软件，还可以是软件和硬件的组合。3图3-1 防火墙在网络中所处的位置4在个人计算机中，不可能使用像在企业网络中所用到的价值几万，甚至十几万的硬件防火墙，而是采用软件类型的防火墙。所谓个人防火墙驻留在用户主机上，只保护用户的一

2、台主机，而不能起到保护网络中其他主机的作用。Windows 操作系统自带有个人防火墙，除此之外，还有很多第三方个人防火墙(通常是与防病毒软件集成在一起的)也得到广泛的应用。本节主要介绍Windows XP 系统中的Windows 防火墙，以及诺顿防病毒软件中防火墙的使用。其他个人防火墙的配置方法类似，参照即可。53.1.1 启用与禁用Windows防火墙Windows 防火墙是Windows XP 和Windows Server 2003 系统中自带的一个功能组件，可以起到一定的保护计算机的作用。在实际应用中，我们建议启用它，在没有安装任何其他防火墙软件的情况下，Windows 防火墙可以取得

3、非常好的效果，当然，最好能够同时安装第三方防火墙，进一步增强操作系统的安全性能。6要使用Windows 防火墙，首先是启动它。Windows 防火墙是随系统安装而安装的，无须另外安装，只需启动。单击“开始”“所有程序”“附件”“系统工具”“安全中心”，可打开Windows 安全中心的窗口，如图3-2 所示。也可以通过控制面板找到“Windows 防火墙”，如图3-3 所示。然后单击“Windows 防火墙”，打开如图3-4 所示的对话框，选择“启用”单选按钮，单击“确定”按钮即可完成Windows 防火墙的启动。如果不想用Windows 防火墙，则选择“关闭”单选按钮即可。7图3-2 Wind

4、ows 安全中心窗口8图3-3 通过控制面板找到Windows 防火墙9图3-4“Windows 防火墙”对话框的“常规”选项卡10启用Windows 防火墙后，当用户在本地运行一个应用程序并将其作为Internet 服务器提供服务时，Windows 防火墙将会弹出一个新的安全警报对话框。通过对话框中的选项可以将此应用程序或服务添加到Windows 防火墙的例外项中(选择“解除阻止此程序”)。Windows 防火墙的例外项配置将允许特定的进站连接。当然，也可以通过手工添加程序到例外项或者添加端口到例外项中，具体的添加方法参见后面的防火墙选项设置。113.1.2 设置Windows防火墙“例外”

5、默认情况下，Windows 防火墙会拦截所有外网传入的通信连接，以及发自内网不信任软件发起的网络通信连接。这对于单机状态没什么问题，但如果要与局域网中的其他用户进行通信连接，如文件和打印机共享、进行Ping 测试操作、远程协助、远程网络管理等，Windows 防火墙就会阻止，使以上网络应用无法进行。这时我们就要考虑设置“例外”了。设置例外的目的就是告诉Windows 防火墙不要阻挡选定的例外所发起的连接。例外可以是程序，可以是服务，还可以是特定端口。12在控制面板中找到并打开“Windows 防火墙”(如图3-4 所示)。在这里可以看到“不允许例外”选项，许多读者误以为勾选该项会限制浏览网页、

6、收发邮件和聊天等所有上网活动。其实并非如此，它只会阻止来自外界的连接请求，比如禁止他人访问用户共享文件或打印机，而不会阻止用户主动发起的连接请求。因此，在公共场所上网时推荐勾选该项。131设置“例外”的方法(1)在如图3-4 所示的对话框中确认没有选择“不允许例外”复选框，然后单击选择“例外”选项卡，如图3-5 所示。我们只要把需要当作例外的程序、服务、端口添加到这个“程序和服务”列表中即可，图3-5 中前面打勾的复选项表示已经加入“例外”中。14图3-5“Windows 防火墙”对话框的“例外”选项卡15(2)如果要让Windows 不阻止某个程序或服务，则单击“添加程序”按钮，打开如图3-

7、6 所示的对话框。其中的列表中显示了在程序菜单中显示的程序，可以直接选择；如果所要添加的程序或服务不在列表中，则可以在“路径”栏中通过单击“浏览”按钮查找选择。所选择的必须是可执行文件。最后单击“确定”按钮即可添加一个允许通信的程序或服务。添加后返回到如图3-5 所示的对话框。此时一定要记住再次选择刚才所添加的程序或服务，然后再单击“确定”按钮使所做设置生效。16图3-6“添加程序”对话框 17(3)如果要允许某个特定端口(通常对应特定的服务)的通信，则要在图3-5 所示的对话框中单击“添加端口”按钮，打开如图3-7 所示的对话框。在这里首先要配置一个用于识别的名称(通常是相应端口通信的服务名

8、称)，然后在“端口号”文本框中输入允许通信的端口号(telnet 服务所用的23端口为TCP 类型的，所以选择“TCP”单选按钮)，最后单击“确定”按钮即可添加一个允许通信的端口。添加后同样返回到如图3-5所示的对话框。此时也一定要记得再次选择刚才所添加的程序或服务项，然后再单击“确定”按钮使所做设置生效。18图3-7“添加端口”对话框 19(4)在图3-6 和图3-7 所示的两个对话框中都有一个“更改范围”按钮，单击它后打开一个如图3-8 所示的对话框。前面我们已经说明，本节和3.1.2节所进行的设置将同时作用于当前计算机上的所有网络连接。通过如图3-8 所示的对话框可以一次把所做的设置应用

9、于网络中多台计算机，甚至一个子网，或者整个网络。20图3-8“更改范围”对话框21如果要将上述设置应用于任何网络计算机(包括来自因特网的计算机，如远程网络连接)，则选择“任何计算机”单选按钮，这是默认选择。通过选择这个单选按钮，将同时允许本地和远程网络用户访问本机共享资源。但是这样做是比较危险的，所以建议不要这样选择。如果要应用于本机所在网络或子网，则选择“仅我的网络(子网)”单选按钮，通过选择这样一个选项，用户可以仅让局域网内的用户访问其共享资源，而因特网上的计算机则不能访问，这是比较安全的选择。如果要应用于网络中特定的IP 地址，或者子网上的计算机，则要选择“自定义列表”单选按钮，然后在文

10、本框中输入IP 地址、或者子网，多个IP 地址或子网之间以逗号分隔。22每次将程序、系统服务或端口添加到例外列表时，都会使计算机更容易受到攻击。常见的网络攻击使用端口扫描软件识别端口处于打开和未受保护状态的计算机。将很多程序、系统服务和端口添加到例外列表，将会使防火墙的用途失效，并增加了计算机的攻击面。在为多个不同角色配置服务器并且需要打开许多端口以满足每个服务器角色的要求时，通常会发生该问题。用户应该仔细评估需要打开许多端口的任何服务器的设计。在单位内部，为许多角色配置的或被配置提供许多服务的服务器可能是关键故障点，通常表明基础结构设计不完善。232降低安全风险的准则要降低安全风险，应遵守以

11、下准则：(1)仅在需要例外时创建例外。如果认为某个程序或系统服务可能需要通过某个端口接收非请求传入通信，那么只有在确定该应用程序或系统服务已试图侦听非请求传入通信后，才可以将该程序或系统服务添加到例外列表。默认情况下，程序试图侦听非请求通信时，Windows 防火墙会显示通知。还可以使用安全事件日志确定系统服务是否已试图侦听非请求通信。24(2)对于不认识的程序从不允许例外。如果 Windows 防火墙通知某个程序已试图侦听非请求通信，在将该程序添加到例外列表之前，请检查该程序的名称和可执行文件(.exe 文件)。同样，如果使用安全事件日志识别已试图侦听非请求通信的系统服务，在为该系统服务向例

12、外列表添加端口之前，请确定该服务是合法的系统服务。(3)不再需要例外时删除例外。在服务器上将程序、系统服务或端口添加到例外列表后，如果更改该服务器的角色或重新配置该服务器上的服务和应用程序，请确保更新例外列表，并删除已不必要的所有例外。253其他最佳操作除了通常用于管理例外的准则以外，在将程序、系统服务或端口添加到例外列表时，还请使用下列最佳操作。(1)添加程序。在尝试添加端口之前，始终先尝试将程序(.exe 文件)或在.exe 文件内运行的系统服务添加到例外列表。将程序添加到例外列表时，Windows 防火墙将动态地打开该程序所需的端口。该程序运行时，Windows 防火墙允许传入的通信通过

13、所需的端口；程序不运行时，Windows 防火墙将阻止发送到这些端口的所有传入通信。26(2)添加系统服务。如果系统服务在 Svchost.exe 内运行，请不要将该系统服务添加到例外列表。将Svchost.exe 添加到例外列表就是允许在 Svchost.exe 的每个实例内运行的任何系统服务都接收非请求传入通信。只有当系统服务在.exe 文件中运行时或者能够启用预配置的 Windows 防火墙系统服务例外(例如“UPnP 框架”例外或“文件和打印机共享”例外)时，才应该将系统服务添加到例外列表。(3)添加端口。将端口添加到例外列表应当是最后的手段。将端口添加到例外列表时，不管是否有程序或系

14、统服务在该端口上侦听传入的通信，Windows 防火墙都允许传入的通信通过该端口。273.1.3 Windows防火墙的高级设置在图3-5 所示对话框中单击选择“高级”选项卡，如图3-9所示。在此可进一步配置一些高级设置，其中就包括为每个网络连接单独配置例外、设置安全记录日志、ICMP(因特网控制消息协议)消息共享设置以及恢复默认设置。下面分别予以介绍。28图3-9“Windows 防火墙”对话框的“高级”选项卡291为每个网络连接设置例外在3.1.2节我们介绍了Windows 防火墙的例外设置，但那里的设置是应用于本机中所有网络连接的，如果要对每个网络连接设置不同的例外服务项，则需要在如图3

15、-9 所示的“网络连接设置”栏中进行设置。设置每个网络连接单独的例外服务方法如下：(1)在“网络连接设置”列表框中选择要单独设置例外的网络连接项，然后单击“设置”按钮，打开如图3-10 所示的对话框。在其中也列出了一些常见的例外服务选项(如HTTP、FTP、POP3 和SMTP 等)，可根据需要选择对应例外项前面的复选框即可。30图3-10“高级设置”对话框的“服务”选项卡31如果一台服务器上安装了多块网卡，想让每块网卡承担特定的服务，如一块专门用于提供Web 服务，另一块专门用来提供FTP 服务，还有一块专门用来提供POP3 和SMTP 邮件服务，则我们可以分别在这3块网卡所对应的网络连接的

16、对话框选择“Web 服务器(HTTP)”、“FTP 服务器”、“Post-Office 协议版本3(POP3)”和“Internet 邮件服务器(SMTP)”例外服务项即可，如图3-10 所示。另外，如果不想让远程用户通过服务器中某块网卡进行远程桌面连接，则只需在对应网卡的对话框中取消选择“远程桌面”例外服务项即可，如图3-10 所示。32(2)如果要添加其他的例外服务，则单击“添加”按钮，打开如图3-11 所示的对话框。在其中输入相应的服务信息，如服务器名、服务提供主机、内外部服务端口和端口类型。如图3-11 所示是代理服务器配置的例子。(3)添加好后单击“确定”按钮，即可把所增加的例外服务

17、添加到如图3-10 所示的例外列表中，并且自动选择。(4)再在如图3-10 所示的对话框中点击“ICMP”选项卡，如图3-12 所示。33图3-11“服务设置”对话框34图3-12“高级设置”对话框“ICMP”选项卡35在这里可以设置哪类ICMP 消息可以共享显示。选择对应选项后，会在对话框下面显示相应选项的用途，以方便用户的选择。如选择“允许传入的回显请求”复选框，则会在发送消息的用户计算机显示同样的信息，如进行Ping 操作时的回显消息。362设置安全日志记录进行“安全日志记录”的设置时，在如图3-9 所示对话框中的“安全日志记录”栏中单击“设置”按钮，在打开的如图3-13 所示对话框中进

18、行设置。在这里可以设置日志记录的事件，可以记录被丢弃的数据包，也可以记录成功的链接，一般都是记录被丢弃的数据包。另外，在“名称”栏中可以设置Windows 防火墙日志文件的存放路径和文件名，在“大小限制”栏可以设置日志文件的最大值。37图3-13“日志设置”对话框383ICMP设置在如图3-9 所示对话框中单击“ICMP”栏中的“设置”按钮，打开如图3-12 所示的对话框，也是用来设置ICMP 消息回显的。前面已作详细介绍，这里就不再赘述。393.1.4 通过组策略设置Windows防火墙通过组策略可以控制Windows 防火墙状态和设置允许的例外，方法如下：(1)执行“开始”“运行”菜单命令

19、，在打开的“运行”窗口中输入“gpedit.msc”，然后单击“确定”按钮，即可打开如图3-14 所示的组策略编辑器管理单元。40图3-14 组策略编辑器41(2)在左侧导航窗口中依次展开“计算机配置管理模块网络网络连接Windows 防火墙”，参见图3-14。在右边的“Windows 防火墙”窗格中可以看到两个分支，一个是域配置文件，另一个是标准配置文件。如果当前计算机是加入到域文件中的，则是域文件起作用，相反，则是标准配置文件起作用。即使没有配置标准配置文件，默认的值也会生效，在此以个人计算机的标准配置文件为例进行介绍，如图3-15 所示。42图3-15 标准配置文件窗口43(3)系统默认

20、的是没有配置任何选项。首先看一下“保护所有网络连接”策略项，双击后可打开配置对话框，如图3-16所示，选择“已启用”单选按钮，然后单击“确定”按钮即可启用“保护所有网络连接”策略项。启用这个策略项后，相当于在所有网络连接上启用Windows 防火墙保护功能，如果禁用此策略设置，Windows 防火墙将不会运行。其他策略项配置对话框的打开方法也是如此。44图3-16“保护所有网络连接”配置窗口453.2 IE安全设置IE 浏览器是我们最常用的因特网浏览器，但也是网络安全威胁的最大隐患。本节的学习主要用来防止来自恶意网页的攻击。以目前应用最广的IE 7.0 为基础介绍一些与安全有关的主要安全设置。

21、463.2.1 Internet安全选项设置一般恶意网页都是因为加入了恶意代码才具有破坏力的。这些恶意代码通常是诸如VBScript、JavaScript 脚本和ActiveX控件之类的小程序，只要打开了含有这类代码的网页，恶意代码就会被运行，当然就可能被这些代码攻击。为了避免遭到攻击，只能想办法来禁止打开包含这些恶意代码的网页，这个办法就是在浏览器中进行相应的安全设置。但在实际应用中，像脚本和控件之类的程序并非全都是恶意的，一些正常的网页也需要利用这些程序来实现某种网页效果，因此，在防范包含恶意代码的网页的攻击中，可能会使一些正常网页的运行受到影响。如何才能二者兼顾，一直是困扰人们的难题。下

22、面是一般的配置方法。47(1)运行IE 浏览器，执行“工具”“Internet 选项”菜单命令，在打开的对话框中选择“安全”选项卡，如图3-17 所示。在这里可以对不同区域进行安全设置。微软默认划分的区域有以下4种。Internet 区域。在默认情况下，该区域包含不在受信任和受限制区域中的所有站点。“Internet”区域的默认安全级别为“中”，用户可以在“Internet 选项”的“隐私”选项卡上更改“Internet”区域的隐私设置。48图3-17“Internet 选项”对话框的“安全”选项卡49 本地Intranet 区域。该区域通常包含安装系统管理员定义的不需要代理服务器的所有地址。

23、这包括在“连接”选项卡上指定的站点、网络路径和本地Intranet 站点(通常是不包括句点的地址，如http:/inernal)。用户可以将站点分配到该区域。“本地Intranet”区域的默认安全级别是“中”，因此，IE 允许该区域中的网站在计算机上保存Cookie，并且由创建Cookie 的网站读取。50 可信站点。该区域包括用户信任的站点，也就是说，用户相信可以直接从这里下载或运行文件，而不必担心危害计算机或数据。用户可以将站点分配到该区域。“可信站点”区域的默认安全级别是“低”，因此，IE 允许该区域中的网站在计算机上保存Cookie，并且由创建Cookie 的网站读取。受限站点区域。该

24、区域包含用户不信任的站点，也就是说，用户不能肯定是否可以从该站点下载或运行文件而不损害计算机或数据。用户可将站点分配到该区域。“受限站点”区域的默认安全级别为“高”，因此，IE 将阻止该区域中网站的所有Cookie。51(2)在图3-17 所示的窗口中选择“Internet”选项(表示设置Internet 区域)，然后单击“自定义级别”按钮，打开如图3-18所示的对话框。(3)在图3-18 所示对话框的列表中列出了许多与Internet 安全有关的设置选项。通常与恶意代码相关的选项包括以下几个，按如下配置即可。52图3-18“安全设置”对话框53 ActiveX 控件和插件。ActiveX 是

25、Microsoft 对于一系列策略性面向对象程序技术和工具的总称，其中主要的技术是组建对象模型(COM)。ActiveX 控件或插件(具有.ocx 文件扩展名)是采用COM 技术创建的可重用的小对象。ActiveX 控件广泛应用于Internet，它们可以通过提供视频、动画内容等来增加浏览的乐趣。但是，这些程序可能会出现问题或者向用户提供不需要的内容。在某些情况下，这些程序可被用来以用户不允许的方式从计算机收集信息，破坏用户计算机上的数据，在未经用户同意的情况下在用户的计算机上安装软件或者允许他人远程控制用户的计算机。54考虑到这些风险，用户应该在完全信任发行商的前提下才能安装这些程序。因为A

26、ctiveX 控件可能对用户的计算机有害，所以用户决定在计算机上安装该控件前，应该确定用户信任该ActiveX 控件的发行商。但有时运行一些程序或商务应用时必须要安装有某个控件或插件(如银行的用户身份验证，否则用户帐户信息都不能输入)，所以不能一味地说ActiveX 控件和插件就是安全隐患。55在这里又有许多具体的安全设置，综合设置为：启用自动提示；启用有安全标记的ActiveX 控件和插件；禁用无安全标记的 ActiveX 控件和插件；禁止下载未签名的 ActiveX 控件和插件；提示已签名的 ActiveX 控件和插件；允许 ActiveX 控件和插件最好启用或提示，因为现在许多网页是采用

27、ASP.net 技术制作的；禁用二进制和脚本行为。如果一律选择禁用，则在打开一些包含 ActiveX 控件和插件的网页时，会弹出错误提示。如果在运行 ActiveX 控件和插件时选择的是提示，在打开网页中有需要运行 ActiveX 控件和插件时，就会弹出如图3-19 所示的提示。56图3-19 运行ActiveX 控件和插件的提示框57 脚本。这里主要有5个主要选项：Java 小程序脚本建议禁用或提示，千万别直接启用；活动脚本建议启用，否则有些网页会变成乱码显示；允许对剪贴板进行编程访问建议禁用；允许网站使用脚本窗口提示获得信息和允许状态栏通过脚本更新建议都设置为禁用。如果以上禁用设置影响到所

28、需要的某些网页的正常显示或运行，则可临时启用，使用完再重新设置为禁用或提示。这样可以最大限度地保证不受恶意网页的侵害，一般来说，对绝大多数的正常浏览不会有太大的影响。58(4)其他。在“其他”栏中的安全选项，特别要注意的是要启用“使用弹出窗口阻止程序”项，否则所浏览的网站会弹出很多广告；建议启用“使用仿冒网站筛选”；其他选项按中级默认设置即可。(5)启用.NET Framework 安装程序。(6)下载。(7)用户验证。59最后一个安全栏就是用户验证的登录设置。对于Internet 区域一定不要选择“匿名登录”和“自动使用当前用户名和密码登录”选项，否则黑客就可以轻易地入侵到用户的计算机中。其

29、他选项的设置按照中等级别默认的安全设置即可。603.2.2 本地Intranet安全选项设置在IE 的安全性设置中还可以设定本地Intranet、受信任的站点和受限制的站点的安全级别，一般来说，采用默认的设置即可。当然也可以自定义针对局域网的安全设置，设置方法与3.2.1节介绍的一样。相对因特网来说，局域网的安全性要求略低，所以可以对3.2.1节介绍的一些主要安全设置选项进行放宽设置。对于一些经常遭受攻击的网站，要把它加在“受限站点”中，具体添加方法是在如图3-17 所示对话框窗口列表中选择“受限站点”选项，然后单击“站点”按钮，打开如图3-20 所示对话框，在其中就可以添加受限的站点了。61

30、图3-20“受限站点”对话框623.2.3 Internet隐私设置所说的隐私设置是针对来自因特网的Cookie 文件的设置，因为Cookie 文件会把计算机中的用户信息反馈回网站，存在一定的安全风险。特别是对一些小的、不健康的网站，更加要注意。但有时我们又不能全部禁止网站的Cookie 功能，否则有些操作无法进行。其实，到目前为止仍没有一个有效的方法区分Cookie 是善意的还是恶意的。隐私设置的方法是在如图3-17 所示对话框中单击“隐私”选项卡，如图3-21 所示。在这里可以设置隐私保护的级别(直接通过拖动滑杆调节即可)，还可以设置允许或者禁止Cookie文件的站点。同时，在这里还可以设

31、置弹出窗口的阻止。设置方法如下。63图3-21“Internet 选项”对话框的“隐私”选项卡64(1)在如图3-21 所示的对话框中直接拖动滑杆，调节到自己的隐私级别。隐私级别默认划分为阻止所有的Cookie、高、中高、中、低和接受所有的Cookie 六级。(2)要限制或者允许某个站点的全部Cookie 文件，而不考虑上一步所设置的安全级别，则在如图3-21 所示的对话框中单击“站点”按钮，打开如图3-22 所示的对话框。在这里可以输入要限制或者允许的站点地址(如)，然后单击“拒绝”(限制)或“允许”按钮添加到站点列表中，然后单击“确定”按钮使设置生效。65图3-22“每站点的隐私操作”对话

32、框66(3)单击“高级”按钮，打开如图3-23 所示的对话框。在这里可以对是否接收第一方和第三方站点的Cookie 文件进行设置。67图3-23“高级隐私策略设置”对话框68选择“替代自动Cookie 处理”复选框，然后指定IE 如何处理第一方和第三方网站(当前正在查看的网站之外的网站)的Cookie。要指定IE 始终在计算机上保存Cookie，选择“接收”单选按钮。要指定IE 不允许在计算机上保存Cookie，选择“拒绝”单选按钮。要指定IE 询问用户是否在计算机上保存Cookie，选择“提示”单选按钮。如果要让IE 始终允许在计算机上保存Cookie(关闭IE 时将从计算机上删除Cooki

33、e)，请单击“总是允许会话cookie”复选框，多数情况下建议不要选择。69(4)要阻止弹出广告，首先要在IE 浏览器中执行“工具”“弹出窗口阻止程序”“启用弹出窗口阻止程序”，如果见到的是“关闭弹出窗口阻止程序”菜单，则说明当前已打开了弹出窗口阻止程序，无需再打开了。然后在如图3-21所示的对话框中选择“打开弹出窗口阻止程序”复选框，单击“设置”按钮，打开如图3-24 所示的对话框。在这里可以设置例外允许的弹出窗口站点，如自己喜欢的站点或必须使用弹出窗口的网站。70图3-24“弹出窗口阻止程序设置”对话框71如果想在有弹出窗口被阻止时播放声音，则要选择“阻止弹出窗口时播放声音”复选框；如果想

34、要在有弹出窗口被阻止时在状态栏显示消息提示，则要选择“阻止弹出窗口时显示信息栏”复选框。在“筛选级别”下拉列表中有3个级别选项。高：阻止所有弹出窗口(“Ctrl+Alt”覆盖)。如果用户希望在该设置开启时看到被阻止的弹出窗口，请在窗口打开时按住“Ctrl+Alt”键。中：阻止大多数自动弹出窗口。72 低：允许来自安全站点的弹出窗口。有时，读者可能会发现，在打开弹出窗口阻止程序并设置了阻止所有的弹出窗口后，却仍会看到一些弹出窗口，其原因可能有以下几个方面：计算机上可能有某些打开弹出窗口的软件，如广告软件或间谍软件。要阻止这些弹出窗口，必须找到打开弹出窗口的软件，将其删除或者更改其设置，使其不再打

35、开弹出窗口。某些带有活动内容的窗口不会被阻止。73 对于本地 Intranet 或受信任的站点内容区域中的网站，Internet Explorer 将不会阻止其中的弹出窗口。如果要阻止来自这些网站的弹出窗口，必须删除来自这些区域的网站。有关详细信息，请参阅相关主题中的“了解安全区域”。Internet Explorer 将不会阻止来自已添加到允许有弹出窗口的站点列表的弹出窗口。743.3 帐号和口令的安全设置设置帐号和口令是最常用的安全措施之一，如果管理不当则会带来巨大的安全隐患。3.3.1 帐号的安全加固图3-25 和图3-26 列出了Windows 2000/XP 操作系统中常见的帐户和帐

36、户组。75图3-25 Windows 2000/XP 操作系统中常见的帐户76图3-26 Windows 2000/XP 操作系统中常见的帐户组77如系统开放的帐户太多，增大了弱口令存在的概率。所以从系统加固的角度来看，应该尽可能关掉不常用的帐户或者开放尽可能少的帐户，具体操作如下：(1)禁用Guest 帐户。在计算机管理的用户里可把Guest 帐号禁用。为保险起见，最好给Guest 加一个复杂的密码。打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest 用户的密码拷进去即可。(2)限制不必要的用户：关掉所有的Duplicate User 帐户、测试帐户和共享帐

37、户等，删除已经不再使用的帐户。这些帐户很多时候是黑客入侵系统的突破口。(3)创建两个管理员帐户，一个是一般权限，另一个有administrators 权限。78(4)创建一个“陷阱”帐户administrator，把其权限设置为最低，并且加上一个10位以上的复杂密码，入侵者即使破解也无所作为，还可以借此发现他们的企图。(5)开机时设置为“不自动显示上次登录帐户”。Windows 默认设置开机时自动显示上次登录的帐户名，许多用户也采用了这一设置，这对系统来说是很不安全的，攻击者会从本地或Terminal Service 的登录界面看到用户名。要禁止显示上次的登录用户名，可做如下设置：单击“开始”

38、“设置”“控制面板”“管理工具”“本地安全策略”“本地策略”“安全选项”，打开的界面如图3-27 所示。在图3-27所示窗口的右侧列表中选择“交互式登录：不显示上次的用户名”选项，弹出图3-28 所示的对话框，选择“已启用”选项，完成设置。79图3-27“本地安全设置”窗口80图3-28“本地安全策略设置”对话框81(6)禁止枚举帐户名。为了便于远程用户共享本地文件，Windows 默认设置远程用户可以通过空连接枚举出所有本地帐户名，这给了攻击者可乘之机。要禁止枚举帐户名，可执行以下操作：单击“本地安全策略”“安全选项”，如图3-29 所示，在右侧列表中选择“不允许枚举SAM 帐户和共享的匿名

39、枚举”，弹出图3-30 所示的对话框，选择“已启用”选项，完成设置。82图3-29“本地安全设置”窗口83图3-30“本地安全策略设置”对话框843.3.2 帐号口令的安全加固目前，针对各类口令的破解工具层出不穷。管理员(Administrator)的口令可以在本地破解(如使用LC5 等软件)，也能以远程的方式破解(如使用ida-snake)等工具。无论是本地破解还是远程破解，大都采用了暴力破解的方式。原因是存储在SAM 数据库中的信息并未经过加密，而仅仅进行了哈希(Hash)运算，这样就为黑客通过反复尝试进行口令破解留下了可能性。目前，针对密码的加固手段主要有3类：安全的密码策略、安全的帐户

40、锁定策略和启用syskey 命令对帐户信息加密。851安全的密码策略安全的密码策略要求系统中的各帐户都采用复杂的口令，目的是延长破解口令所需的时间，提高口令的安全性。但是，只要有足够长的时间，再复杂的口令也能被破解。所以，安全的密钥策略要求每个用户都能定期地更换口令。为了防止用户设置不安全的口令，系统管理员应该对操作系统进行强制管理。操作过程如下：“开始”“设置”“控制面板”“管理工具”“本地安全策略”“帐户策略”“密码策略”，打开的界面如图3-31 所示。图3-31 中“密码策略”的参数含义及安全配置方法如表3-1所示。86图3-31“密码策略”设置界面87882安全的帐户锁定策略黑客之所以

41、能够采用暴力猜解的方法来破解用户口令，一个重要原因是在很多情况下，操作系统允许他们进行无限次的尝试。虽然Windows 系统提供了限制机制，但在默认安装的状态下，这些机制并未被启用。从安全的角度看，限制机制只给攻击者为数不多的几次尝试机会，一旦失败的次数超过了事先设定的门槛值，该帐户将被锁定，从而避免被破解。系统管理员可以通过如下的操作对操作系统的帐户锁定策略进行设置：“开始”“设置”“控制面板”“管理工具”“本地安全策略”“帐户策略”“帐户锁定策略”，打开的界面如图3-32 所示。89图3-32“帐户锁定策略”设置界面90图3-32 中“帐户锁定策略”的参数含义及安全配置方法如表3-2 所示

42、。91923启用Syskey命令Syskey 是从Windows NT SP3 版本开始提供的一个工具，使用它能对帐户密码数据文件(SAM)进行二次加密，防止用户口令被远程或本地破解，这样更能保证系统的安全。同时，Syskey 还能设置启动密码，这个密码先于用户密码之前输入，因此起到双重保护的功能。Syskey 的设置方法如下：(1)选择“开始”“运行”，输入Syskey 就可以启动加密的窗口(这里以Windows XP 为例)，如图3-33 所示。(2)选择“更新”选项，弹出如图3-34 所示的界面。93图3-33 Syskey 的启动界面 94 图3-34“启动密码”对话框 95如果我们选

43、择“密码启动”，输入一个密码，然后单击“确定”按钮，这样做将使Windows XP 在启动时需要多输入一次密码，起到了二次加密的作用。当操作系统启动时，通常我们输入用户名和密码之前系统会出现窗口提示“本台计算机需要密码才能启动，请输入启动密码”。这便是用 Syskey 刚刚创建的第一重密码保护。如果我们选择“在软盘上保存启动密码”，这样将生成一个密码软盘，没有这张软盘，谁也不能进入操作系统。如果在这之前设置了Syskey 系统启动密码，这里还会需要我们再次输入那个密码，以获得相应的授权。963.4 文件系统安全设置3.4.1 目录和文件权限的管理为了实现更细致的权限管理，建议把服务器的所有分区

44、都格式化为NTFS 格式。NTFS 文件系统是从Windows NT 起开始支持的一种文件分配表的格式，它能提供比FAT 和FAT32 更多的安全功能，比如设置目录和文件的访问权限。这里举一个例子说明。对操作系统中的任何一个文件或者文件夹单击鼠标右键，选择“属性”，从弹出的“A VG Anti-Spyware 属性”对话框中选择“安全”标签，可见图3-35 所示的界面。97从图3-35 可见，我们可以对每个用户操作，对每个文件的权限做细致的规定。这个功能只有在NTFS 分区里才能提供，在FAT 或FAT32 格式的分区里是没有“安全”这个标签的。建议对一般用户赋予读取权限，而只给管理员和SYS

45、TEM 以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在更改前先找一台机器进行测试，然后再更改。98图3-35 文件权限设置界面99用同样的方法，还可以对任何一个文件夹，甚至是注册表的表项进行同样的权限设置。Windows 2000/XP 提供了一个叫regedt32.exe 的工具，它也是一个注册表编辑器，与regedit.exe不同的是它有一个“安全”选项，可以给注册表的每一个键值设置权限。因此用户可为许多敏感的键值设置权限，设置成只有Administrator 才能读取和修改，不给其他人可乘之机。

46、1003.4.2 文件和文件夹的加密Windows 2000 以上的操作系统(除了Windows XP Home 之外)本身就集成了EFS 加密功能。EFS 是加密文件系统(Encryption File System)的缩写，可以加密NTFS 分区上的文件和文件夹，防止对敏感数据进行未经允许的物理访问(偷取笔记本和硬盘等)。加密之后，就等于把文件或文件夹全部锁进了保险柜。EFS 采用了56位的数据加密标准，到目前为止还没有人能破解，所以具有很高的安全性。需要说明的是，EFS 只能对存储在磁盘上的数据进行加密，是一种安全的本地信息加密服务，而且只有NTFS 分区才支持EFS 的功能。101EF

47、S 加密操作非常简单，对加密文件的用户也是透明的，文件加密之后，不必在使用前手动解密，只有加密者才能打开加密文件，其他用户登录系统后，将无法打开加密文件。下面介绍加密的详细过程。(1)在“Windows 资源管理器”中找到要加密的文件或文件夹，然后用鼠标右键单击并从弹出的快捷菜单中选择“属性”，打开“属性”对话框，如图3-36 所示。(2)在“常规”选项卡上单击“高级”按钮，在弹出的“高级属性”对话框(如图3-37 所示)中勾选“加密内容以便保护数据”复选框，单击“确定”按钮退出。102图3-36“属性”对话框103图3-37“高级属性”对话框104(3)如果加密的是文件夹，此时会弹出一个对话

48、框，如图3-38 所示。我们可以根据需要，选择仅加密此文件夹还是将此目录下的子文件夹和文件也一起加密，选择之后，单击“确定”按钮，最后再单击“应用”完成。在默认情况下，经过EFS加密的文件或文件夹在资源管理器中显示的颜色会变为绿色，这表示它们已经被EFS 加密了。105图3-38“确认属性更改”对话框106(4)一旦有了一个经过加密的目录，以后要对某个文件或文件夹进行EFS 加密，只需要把它们移到该目录中，就会被自动加密。提示：FAT 分区上的文件和文件夹是不能被EFS 加密的；另外，标记为“系统”属性的文件，以及位于Windows 系统目录中的文件也无法被EFS 加密。1073.5 关闭默认

49、共享为了方便局域网用户之间的信息传输，Windows 提供了以下两种机制：(1)基于NetBIOS 服务的文件和打印共享功能。该服务主要通过137、138和139号端口提供。通常通过网络共享某个文件/文件夹，或者把连接到某台计算机上的打印机设置为通过网络共享，这些都是NetBIOS 提供的服务。(2)默认共享。Windows 操作系统在默认安装的情况下，把所有的磁盘分区都设置为默认共享。这样做的好处是系统管理员可以通过远程的方式对系统进行维护。108虽然共享能方便资源的使用，但是提供该服务的两种机制都存在缺陷：(1)NetBIOS 服务存在多种漏洞，所以137、138和139端口被公认为危险端

50、口。(2)系统为默认共享提供的唯一保护措施就是设置了访问权限，即对磁盘默认共享的访问一般需要管理员的授权。由于破解管理员口令的方法层出不穷，对默认共享提供这样的安全机制是远远不够的。鉴于这两种共享机制均存在安全缺陷，从系统安全的角度考虑，建议把它们关掉。1091关闭NetBIOS服务使用完文件或打印共享功能后，要随时将NetBIOS 服务关闭，以便堵住资源共享隐患，下面就是关闭共享功能的具体步骤。(1)用鼠标右键单击“本地连接”图标，在打开的快捷菜单中，单击“属性”命令，打开“本地连接属性”对话框，如图3-39 所示，在该界面取消“Microsoft 网络的文件和打印机共享”这个选项。110图