《设置系统提高安全.ppt》由会员分享,可在线阅读,更多相关《设置系统提高安全.ppt(41页珍藏版)》请在三一办公上搜索。
1、第一章 设置系统提高安全 建立防御基地 操作系统是用户与电脑交流的接口,是各应用软件在电脑中赖以生存、协调工作的基地。操作系统的安全关系到用户重要资料的安全性以及整机系统的稳定性。下面就来看看如何提高操作系统的安全防御能力。,第一节 系统密码登录安全 系统密码主要包括系统登录密码、屏保密码、电源管理密码等,它们就像用户家里的钥匙,只有拥有正确的密码,才能进入系统中进行相应的操作。所以登录密码是保护系统安全的第一道屏障。,一、使用Windows登录账户 除BIOS密码外,登录密码是用户进入系统的第一道防线。加强操作系统的安全性,设置系统密码是必需的,否则就等于为入侵者敞开了方便之门。window
2、s 2000 xPServer 2003Vista用户登录密码的设置方法类似,下面以在Windows xP中设置用户登录密码为例进行介绍。第1步,在桌面上用鼠标右键单击“我的电脑”,选择“管理”菜单项,打开“计算机管理”窗口。策2步,展开“本地用户和组”“用户”,在窗口右侧选中登录用户,单击鼠标右键,选择“设置密码”菜单项,弹出密码设置窗口,两次输入将要设置的密码,单击“确定”按钮退出即可。第3步,重新启动电脑让设置的密码生效。,二、屏幕保护程序密码 在网吧、学校机房等公共场所使用电脑,暂时离开电脑时,启用屏保程序可以防止他人使用电脑。Windows 982000XPServer 2003Vi
3、sta都提供了屏保功能,下面以在Windows xP中设置屏保及屏保密码为例进行介绍。,1、在桌面上任意地方单击鼠标右键,选择“属性”菜单 项,打开”显示属性”窗口。2、切换到“屏幕保护程序”选项卡,选择一个喜欢的屏保 程序,并设置用户在操作后等待多长时间启用屏保程序,建议等待时间设置短暂一些。3、勾选“在恢复时使用密码保护”复选框,即用户在恢复 使用电脑时,需要输入登录密码才能进入系统。注:对使用Windows 2000XPServer 2005Vista 的用户来 说,当需要暂时离开电脑时,可按下“Ctrl+Alt+计DeI”组合键锁定电脑,对使用Windows 98的用户来说,则只能借助
4、屏幕保护的方法,保证自己在离开座位的时候电脑不被别人使用。,三、电源管理密码 对Windows系统的电源管理设置密码后,当系统从节能状态返回时,只有输入正确的密码后,才能令电脑从“挂起”状态返回正常状态,这样才能进一步地保证电脑的安全。下面以在Windows XP中设置电源管理密码为例进行介绍。第1步,单击菜单“开始”“控制面板”,打开“控制面板”窗口。第2步,双击“电源选项”图标,打开“电源选项属性”窗口,切换到“电源使用方案”选项卡“系统待机”下拉列表中选择系统持机的时间。第3步,切换到“高级”选项卡,在“选项”组合框中勾选“在计算机从待机状态恢复时,提示输入密码”复选框。设置好后单击“确
5、定”按钮返回即可。这样当电脑从节能状态返回时就会要求用户输入密码。,四、密码设置原则与技巧 Windows操作系统的密码(口令)十分重要,它是抵抗攻击的第一道防线,用户必须把密码安全作为安全策略的第一步。如果攻击者未能窃取到系统密码,那么采取的入侵方法也就不多了,因此,必须设置安全的系统密码。通常,用户在设置系统密码时应遵循以下原则:密码字符数足够多,最好不少于8个字符。不适应常用的单词、中英文昵称、生日、电话号码等作为系统 密码。密码中同时包含多种类型的字符,比如大写字母(A,B,C,Z)、小写字母(a,b,c,.,z)、数字(0,1,2,9)、标点符号(,#,!,$,%,&,)。密码中不含
6、有重复的字母或数字。定期修改密码。,第二节 安全设置 在病毒、木马、恶意软件盛行的互联网上,保证电脑绝对安全虽然难以做到,但配置相对安全的系统可以最大程度降低系统被攻击的几率。本节就来介绍操作系统的常用安全设置方法与技巧。,一、隐私保护 为系统设置密码固然重要,但也不是万事大吉。总有不法分子在千方百计地想攻克用户密码。因此加固系统密码,对保护自己的隐私非常重要。Windows XP真正的超级管理员账号是安全模式下的“Administrator”账户,而不是正常模式下的“Administrator”账户。在默认情况下,安全模式下的“Administrator”密码为空。无论用户在正常模式下将“A
7、dministrator”密码设置得多么复杂,只要是没有设置安全模式下“Administrator”的密码,该用户的电脑就毫无秘密可言。在安全模式下设置“Administrator”用户密码的方法与正常模式下普通用户密码的设置方法一样,可参照本章第一节的有关内容。注:为了系统更加安全,建议对系统默认的超级用户名“Administrator”进行改名,然后再设置一个足够复杂的密码。停用或删除一切不必要的系统用户。,二、安全共享 共享文件文件夹,为用户电脑互访提供了方便,同时也带来了一定的安全隐患。下面就来看看如何对系统中的共享资源进行安全设置。(1)批处理自启动法 打开记事本并输入以下内容:ne
8、t share C$delete net share D$delete(根据实际盘符数进行输入)net share ipc$delete net share admin$delete 保存该文件为“*bat”文件,然后把该文件添加到启动选项即可。(2)停止共享服务 第1步,在桌面上用鼠标右键单击“我的电脑”,选择“管理”菜单项,打开“计算机管理”窗口。第2步,展开左侧的“服务和应用程序”,“服务”,在窗口的右侧找到共享服务对应的名称是“Server”(在进程中的名称为“services”)。第3步,双击“Server”服务项,在弹出的窗口中选择“常规”选项卡,把“启动类型”更改为“已禁用”。在
9、“服务状态”区域单击“停止”按钮。设置好后单击“确定”按钮即可。,注:访问Windows XP默认共享非常简单:单击菜单“开始”“运行”,输入“计算机名或IP地址D$或admin$”即可。也可在IE等浏览器的地址栏中输入上述的命令或“File:10803455d$”来进行访问。4、关闭不用的共享端口 139端口、445端口是常用的共享打印机、共享文件夹端口,如果用户不需要访问共享资源,可将这些端口关闭,防止黑客通过这些端口扫描到系统中的共享资源。其关闭方法在本章第三节中详述。,三、注册表安全设置 注册表(Registry)整合、集成了全部系统和应用程序的初始化信息。其中包含硬件设备的说明、相互
10、关联的应用程序与文档文件、窗口显示方式、网络连接参数、甚至关系到电脑安全的网络设置。病毒、木马、黑客程序等攻击用户电脑时,都会对注册表进行一定的修改,因此注册表的安全设置非常重要。,1、抵御BackDoor(后门程序)破环 BackDoor是黑客程序中的一种后门程序,专门针对系统的漏洞进行攻击。为防止这种程序对系统造成破坏,用户有必要通过相应的设置来进行预防。打开注册表编辑器。展开分支到“HKEYLOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun”,如果在窗口右边发现有“Notepad“键值,将它删除即可达到预防的目的。,2、禁用控制面板
11、 控制面板是Windows系统的控制中心,可以对设备属性,文件系统,安全口令等系统关键属性进行修改。用户可以根据需要隐藏和禁止使用控制面板。打开注册表编辑器,展开“HKEYCURRENTUSERSoftwareMlcrosoftWindowsCurrentVersionPoliciesSystem”,在窗口右侧新建一个“DWORD”类型的子健“NoDispCPL”,修改其值为“1”即可。,3、锁定桌面 桌面设置包括壁纸、图标以及快捷方式,它们的设置一般都是用户经过精心选择才设定好的。大多数情况下,用户都不希望他人随意修改桌面设置或随意删除快捷方式。那怎么办呢?其实,修改注册表就可以帮用户锁定桌
12、面,这里“锁定”的含义是对他人的修改不做储存,无论别人怎么改,重新启动电脑后,用户原来的设置就会原封不动地出现。打开注册表编辑器,展开“HKEYCURRENTUSERSoftwareMlcrosoftWindowsCurentVersionPolioiesExplores”,双击子健“No Save Setting”,将其键值从“0”改为“1”既可。,4、禁止远程修改注册表 如果黑客能连接到用户的电脑,而且电脑启用了远程注册表服务(Remote Registry),那么黑客就可远程设置注册表中的服务,因此远程注册表服务需要特别保护。如果用户仅仅将远程注册表服务(RemoteRegistry)的
13、启动方式设置为“禁用”,黑客在入侵电脑后,仍然可以通过简单的操作将该服务从“禁用”改为“自动启动”。因此有必要将该服务删除。打开注册表编辑器,展开“HKEYLOCALMACHINESYSTEMCurrentControlSetServices”,找到“RemoteRegistry”项。右键单击该项,选择“删除”菜单项,将该键删除,这样,以后就无法启动该服务了。,5、禁止病毒启动服务 目前,病毒不但可以通过注册表的“RUN”或“MSCONFIG”中的项目进行加载,而且部分高级病毒会通过系统服务进行加载。那么,我们能不能使病毒或木马没有启动服务的相应权限呢?当然可以。单击菜单“开始”“运行”,输入
14、“regedt32”启用带权限分配功能的注册表编辑器。展开“HKEYLOCALMACHINESYSTEMCurrentControlSetServices”分支,用鼠标右键单击“Services”,选择“权限”菜单项,弹出“Services权限设置”窗口。单击“添加”按钮,添加“Everyone”账号。选中“Everyone”账号,将该账号的“读取”权限设置为“允许”,并取消“完全控制”权限。现在任何木马或病毒都无法自行启动系统服务了。,6、禁止病毒自行启动 很多病毒都是通过注册表中的“RUN”值进行加载而实现随操作系统的启动而启动的,用户可以按照“禁止病毒启动服务“中介绍的方法将病毒和木马对
15、该键值的修改权限去掉。运行“regedt32”命令,启动注册表编辑器。展开“HKEYCURRENTMACHINESOFTWAREMicrosoftWindowsCurrentVersionRUN”分支,将“Everyone”对该分支的“读取”权限设置为“允许”,取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。,四、组策略安全设置 Windows 2000XPServer 2003Vista自带“本地安全策略”,是一个不错的系统安全管理工具,通过对账户、密码、安全选项的合理设置,可以提供系统的高安全性。下面以Windows xP为例介绍最主要的安全设置。,1、密码安全策略
16、 密码是系统安全的一大隐患,通过组策略可以设置更安全的系统密码。第1步,单击菜单“开始”“运行”,在弹出的窗口中输入“gpedit.msc”命令,打开“组策略”窗口。第2步,展开“计算机配置”“Windows设置”“安全设置”“账户策略”“密码策略”,在窗口右侧会出现一系列的密码设置项,经过这里的配置,可以建立一个完备的密码策略,使密码得到最大限度地保护。,(1)强制密码历史。该设置项决定了保存用户曾经用过的密码个数。经常更换密码可以提高密码的安全性,但由于个人习惯,常常换来换去就是有限的几个密码。配置该策略就可以让系统记住用户曾经使用过的密码,如果更换的新密码与系统“记忆”中的重复,系统就会
17、给出提示。默认情况下,这个策略不保存用户的密码,可以根据自己的习惯进行设置,建议保存5个以上(最多可以保存24个)。(2)密码最长存留期。这个策略决定了一个密码可以使用多久,之后就会过期,密码过期时系统会要求用户更换密码。如果设置为“0”,则密码永不过期。一般情况下可设置为3060天,最长可以设置999天。,(3)密码最短存留期 这个策略决定了一个密码要在使用多久之后才能被修改。设置为“0“表示一个密码可以被无限制地重复使用,最大值为“999”。这个策略与“强制密码历史”结合起来,可以得知新的密码是否是以前使用过的,如果是,则不能继续使用这个密码。如果“密码最短存留期”为“0”天,即密码永不过
18、期,这时设置“强制密码历史”则无效。要使“强制密码历史”有效,应该将“密码最短存留期”的值设为大于“0”。(4)密码长度最小值 这个策略决定了一个密码的长度,有效值在“0”到“14”之间。如果设置为“0”,则表示不需要密码,为系统的默认值。从安全角度来考虑,建议密码长度不小于6位。,(5)密码必须符合复杂性要求 如果启用了这个策略,则在设置和更改一个密码时,系统将会按照下面的规则检查密码是否有效:密码不能包含全部或者部分的用户名。最少包括6个字符。密码必须包含以下四个类别中的三个类别:大写英文字母Az、小写英文字母az、数字09、特殊字符,例如“!”,“$”等。启用该策略,设置的密码会比较安全
19、,因为系统会强制用户使用这种安全性高的密码。如果在创建或修改密码时没有达到这个要求,系统会给出提示并要求重新输入符合要求的安全密码。,2、用户权限指派 在“组策略”窗口中展开“计算机配置”“Windows设置”“安全设置”“本地策略”“用户权利指派”,在窗口右边便能看到“用户权利指派”下的所有设置。例如,拒绝某个用户从网络访问这台计算机,则双击“拒绝从网络访问这台计算机”设置项,在弹出对话框中选中该用户,如“guest”,然后单击“删除”按钮进行删除即可。此外,在这里还可给用户添加许多权限,例如给“guest”添加远程关机权限、给一般用户添加更改系统时间的权限等。,3、重命名和禁用默认的账户
20、安装好Windows后,系统会自动建立两个账户:“Administrator”和“Guest”,其中“Administrator”拥有最高权限,“Guest”则只有基本的权限,且默认是禁用的。这样的账户设置虽然方便,但却严重危害到了系统的安全。如果黑客入侵或者遭遇其他恶意破坏,系统的超级用户名会立刻暴露出来,破坏者会马上有针对性地寻找密码。为系统安全起见,可以更改“Administrator”账户名称,然后建立一个几乎没有任何权限的假“Administrator”账户。具体的方法如下。在“组策略”窗口中展开“计算机配置”“Windows设置”“安全设置”“本地策略”“安全选项”,在窗口右边双击
21、“账户:重命名系统管理员账户”策略,在弹出的窗口中为“Administrator”重新设置一个平淡的用户名。然后新建一个名称为“Administrator”的受限制用户,以迷惑入侵者。,4、禁止访问注朋表编辑工具 该策略将禁用“Regeditexe”,以禁用Windows注册表编辑器。这样可以在很大程度上防止网页上的恶意代码篡改IE。在“组策略”窗口中,展开“用户配置”“管理模板”“系统”,双击“阻止访问注册表编辑工具”,在弹出的窗口中选中“已启用”单选项,单击“确定“按钮即可。,5、锁定无效登录 为了防止他人进入电脑时,反复用猜测密码的方式登录,用户可以锁定无效登录,当密码输入错误达设定次数
22、后,便锁定此账户,在一定时间内不能再以该账户登录。在“组策略”窗口中展开“计算机配置”“Windows设置”“安全设置”“账户策略”“账户锁定策略”,在窗口右边双击“账户锁定阀值”,在弹出的设置对话框中输入无效登录的次数(一般设3次为宜),单击“确定”按钮,系统自动将锁定时间和计数器清零的时间设置为“30分钟。,用户可以根据需要打开这两个策略修改时间。经过以上设置,就能够阻止靠猜密码登录的非法用户了。,6、设置账户保密 默认情况下,在系统登录框中会保留上次登录的用户名,这方便了该用户的登录,但却留下了安全隐患,特别是对管理员账户,暴露账户名称非常危险。在组策略中隐藏上次登录账户的设置方法如下:
23、在“组策略”窗口中展开“计算机配置”“Windows设置”“安全设置”“本地策略”“安全选项”,在窗口右边找到“在登录屏幕上不要显示上次登录的用户名”,双击此策略,在弹出的窗口中将其设置为“已启用”。进行此项设置后,系统启动或注销后,登录框中用户名为空,必须输入完整有效的用户名和密码才能登录。,五、系统防火墙设置 为增加系统的安全性,抵御病毒、黑客的攻击,Windows 2000 xPServer 2003Vista都带有防火墙功能。安装好操作系统后,系统防火墙默认被启动,是电脑抵御攻击的有效防护措施。下面以设置Windows xP SP3防火墙为例进行介绍。第1步,打开“控制面板”窗口,双击
24、“Windows防火墙”,打开“防火墙窗口”。第2步,在“常规”选项卡下有三个选项:启用(推荐)、不允许例外和关闭(不推荐),默认选择“启用”。如果勾选了“不允许例外”复选框,Windows防火墙将拦截所有的连接到用户计算机的网络请求,包括在“例外”选项卡中列表的应用程序和系统服务。另外,防火墙也将拦截文件和打印机共享,以及网络设备的侦测。使用“不允许例外”选项的Windows防火墙比较适用于连接在公共网络上的个人电脑,比如在宾馆和机场等公共场合使用的电脑。,第3步,切换到“例外”选项卡,在“程序和服务”列表中显示了连接到网络上的所有应用程序。用户可以手动设置允许连接的网络的程序:包括添加程序
25、、添加端口、编辑、删除。如果用户希望网络中(防火墙外)的其他客户端能够访问本地的某个特定程序或服务,而又不知道这个程序或服务将使用哪一个端口和哪一类型端口,这时可以将这个程序或者服务添加到Windows防火墙的例外项中,以保证它能被外部访问。如果知道程序所用的端口,也可为程序开启所需的端口。当然,如果需要禁止某程序访问网络,直接删除此规则即可。第4步,切换到“高级”选项卡,在这里,用户可以为每个连接设置不同的规则,以适应不同的要求。,第三节 系统漏洞 从微软推出Windows操作系统到windows vista系统,系统本身存在不可避免的漏洞,一直困扰着广大用户。因为各种黑客、病毒、木马程序侵
26、入电脑,经常是利用系统漏洞来进行的。一旦用户的系统在管理上出现了问题,就很容易被黑客光顾。因此,保护系统安全,抵御系统漏洞就显得尤为重要。,一、为系统打漏洞补丁程序 随着电脑技术的不断发展,病毒、木马程序的危害性也在不断升级,黑客们总在千方百计寻找Windows系统的漏洞,并利用发现的漏洞,对用户电脑进行攻击。为修复Windows新出现的漏洞,微软公司会不定期为操作系统推出补丁程序,以增加系统的安全性。目前,微软各操作系统的最新补丁程序如表1一1所示。表11 Windows操作系统补丁程序:为系统安装补丁程序,用户可选择在互联网上下载最新的补丁程序,然后进行安装,也可利用Windows提供的在
27、线更新功能,在线更新补丁程序。,1在线更新Windows xp 第1步,单击菜单“开始”“WindowsUpdate”,打开在线更新网页。单击“快速”按钮开始搜索最新的补丁程序。策2步,单击“立即下载和安装”按钮,开始下载最新补丁程序。安装完成后,安装程序提示已成功更新系统,单击“关闭”按钮即可。,2、下载安装Windows Vista SP1 第1步,到互联网上下载Windows Vista SP1。然后运行下载的程序包,安装程序开始自解压压缩包。直接单击“Next”按钮。第2步,在随后出现的窗口中单击“Next”按钮,出现安装许可协议窗口,勾选“I accept the temsof th
28、e licens agremment”复选框,单击“Next”按钮继续安装。第3步,安装过程中安装程序会对操作系统进行更新,安装完成后单击“Finsh”按钮即可。,二、系统端口漏洞防御 除了为系统安装最新的补丁程序来抵御系统漏洞外,在日常使用过程中,用户还需要采取一定的防御措施来堵住系统漏洞,如关闭不常用的服务端口。1、关闭不用的端口 每一项服务都对应相应的端口,比如“WWW服务”的端口是80端口,SMTP服务的端口是25端口,FTP服务的端口是21端口。在Windows系统安装过程中,在默认情况下这些服务端口都是自动开启的。对于个人用户来说,有些服务端口根本都用不上,开启端口反而引起黑客的注
29、意,所以用户可以把无用的服务端口关闭掉。,第1步,打开“控制面板”窗口,双击“网络连接”,打开“网络连接”窗口。用鼠标右键单击“本地连接”,选择“属性”菜单项,打开该连接的属性窗口。第2步,选择“Internet协议(TCPIP)”,单击“属性”按钮,弹出“Internet协议(TCPIP)”窗口。单击“高级”按钮,弹出“高级TCPIP设置”窗口。切换到“选项”选项卡,单击“属性”按钮,弹出“TCPIP筛选”窗口。第3步,勾选“启用TCPIP筛选(所有适配器)”复选框。如果希望开放112端口,则在TCP端口上选择“只允许”选项,单击“添加“按钮,在弹出的“添加筛选器”对话框中输入要添加的112
30、端口。UDP端口设置同上,这样黑客要想入侵,必须从用户所允许开放的端口里侵入,其他关闭端口是无法入侵的。,2、远程服务尽量屏蔽 Windows 2000 xPServer 2003Vista系统在缺省状态下会自动启用一些远程服务,而有的远程服务,用户平时很少会用到。如果不及时屏蔽这些服务,黑客就可能利用这些服务来远程攻击用户系统。打开“控制面板”窗口,双击“管理工具”,双击“服务”,打开“服务”窗口,选中不需要的远程服务项目,如“Task Schedule”服务(Task Scheduler服务则允许你在计算机上配置和制定自动任务的日程;)、“Remote Registry Service”服
31、务(使远程用户能修改此计算机上的注册表设置)、“Telnet”服务(允许用户登录进入远程主机系统)等。双击选中的服务选项,弹出服务设置窗口。将“启动类型”设置为“已禁用”。设置好后单击“确定”按钮,使设置生效。,3、关闭139端口 用鼠标右键单击桌面上的“网上邻居”,选择“属性”菜单,打开“网络连接”窗口。用鼠标右键单击“本地连接”,打开其属性窗口。选择“Internet协议(TCPIP)”,单击“属性”按钮,在打开的窗口中单击“高级”按钮,弹出“高级TCPIP设置”窗口。选择“WINS”选项卡,选择“禁用TCPIP的NETBIOS”单选项即可关闭139端口。139端口是一种TCP端口,该端口
32、在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。139端口一旦被Internet上的某个攻击者利用的话,就能成为一个危害极大的安全漏洞。因为黑客要是与目标主机的139端口建立连接的话,就很有可能浏览到指定网段内所有工作站中的全部共享信息,甚至可以对目标主机中的共享文件夹进行各种编辑、删除操作,倘若攻击者还知道目标主机的IP地址和登录帐号的话,还能轻而易举地查看到目标主机中的隐藏共享信息。,4、关闭445端口 打 开 注 册 表 编 辑 器,展 开“HKEYLOCALMACHINESystemCurrentControlSetServicesNetBTParameters”,在
33、窗口右面新建一个“SMBDeviceEnabled”子健,其类型为“REGDWORD”,值为“0”。然后保存对注册表的修改即可。445端口也是一种TCP端口,该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说,它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。,三、利用专业工具查找、修复系统漏洞 Windows系统漏洞繁多
34、,仅用手动方法进行检测,不仅速度慢,而且容易遗漏掉某些重要漏洞。为了能做好系统的全面检测工作,可以借助一些安全工具来对系统进行检测,让用户更有效地保护系统。目前,像金山独霸2008套装、瑞星等杀毒软件都提供系统漏洞检测与修复功能。下面以金山独霸2008套装中的金山清理专家为例进行介绍。,启动“金山清理专家”,进入主窗口中,单击“漏洞修补”项,清理专家立刻对系统漏洞以及共享漏洞进行扫描,并将扫描结果显示在窗口右侧。如果发现有系统漏洞,选择需要修复的漏洞,单击“修复选中的漏洞”按钮进行修复。单击“共享漏洞”,查看系统目前共享的资源,用户可以根据实际取消对某些资源的共享。此外,现在很多安全厂商的官方网站也都提供了在线扫描功能,可以对系统进行安全检测。如天网安全阵线,打开IE浏览器进入到“http:pfwskynetcnscanhtml”网站页面,单击“马上检测”按钮。稍等一会就会以图形方式显示出系统当前的安全情况。,
