Windows 操作系統(tǒng)常見(jiàn)安全問(wèn)題解決方法

Windows操作系統(tǒng)常見(jiàn)安全問(wèn)題解決方法（1）作者：未知 文章來(lái)源：未知 點(diǎn)擊數(shù)：199更新時(shí)間：2006-6-21使用Windows的人非常多，而Windows系統(tǒng)的安全問(wèn)題也越來(lái)越被人們關(guān)注。雖然Windows的漏洞眾多，安全隱患也很多，不過(guò)經(jīng)過(guò)適當(dāng)?shù)脑O(shè)置和調(diào)整，你還是可以用上相對(duì)安全的Windows的。本文就為你詳細(xì)講述了Windows的安全調(diào)整，希望對(duì)你有用。這篇文章將針對(duì)一些常見(jiàn)的安全問(wèn)題給你一些解決方法，其中大部分的操作都是針對(duì)Windows2000/XP的，不保證在Windows98/Me上可行。準(zhǔn)備活動(dòng)給系統(tǒng)安裝補(bǔ)丁程序的重要性是不言而喻的，尤其是一些重要的安全補(bǔ)丁和針對(duì)IE，OE漏洞的補(bǔ)?。词鼓悴⒉淮蛩闶褂盟鼈儯?。微軟會(huì)經(jīng)常的發(fā)布一些已知漏洞的修補(bǔ)程序，這些東西一般都可以通過(guò)WindowsUpdate來(lái)安裝。你需要做的只是經(jīng)常性的訪問(wèn)WindowsUpdate網(wǎng)站?；蛘咧苯狱c(diǎn)擊開(kāi)始菜單中WindowsUpdate的快捷方式。而WindowsXP和最新的Windows2000更加進(jìn)步了，可以自動(dòng)檢查更新，在后臺(tái)下載，完成后通知你下載完成并詢(xún)問(wèn)是否開(kāi)始安裝。對(duì)于Windows2000/XP的用戶(hù)，微軟還提供了一個(gè)檢查安全性的實(shí)用工具：基準(zhǔn)安全分析器（MicrosoftBaselineSecurityAnalyzer），這個(gè)程序可以自動(dòng)對(duì)你的系統(tǒng)進(jìn)行安全性檢測(cè)，并且對(duì)于出現(xiàn)的問(wèn)題，都可以提供一個(gè)完整的解決方案。非常適合對(duì)于安全性要求高的用戶(hù)使用。你可以在這里詳細(xì)了解和下載這個(gè)工具。在你安裝了所有的補(bǔ)丁程序后，下面開(kāi)始我們的調(diào)整設(shè)置。重命名和禁用默認(rèn)的帳戶(hù)安裝好Windows后，系統(tǒng)會(huì)自動(dòng)建立兩個(gè)賬戶(hù)：Administrator和Guest，其中Administrator擁有最高的權(quán)限，Guest則只有基本的權(quán)限并且默認(rèn)是禁用的。而這種默認(rèn)的帳戶(hù)在給你帶來(lái)方便的同時(shí)也嚴(yán)重危害到了你的系統(tǒng)安全。如果有黑客入侵或者其他什么問(wèn)題，他將輕易的得知你的超級(jí)用戶(hù)的名稱(chēng)，剩下的就是尋找密碼了。因此，安全的做法是把Administrator賬戶(hù)的名稱(chēng)改掉，然后再建立一個(gè)幾乎沒(méi)有任何權(quán)限的假Administrator賬戶(hù)。具體的方法是：在運(yùn)行中輸入secpol.msc然后回車(chē)，打開(kāi)“LocalSecuritySettings（本地安全設(shè)置）”對(duì)話(huà)框，依次展開(kāi)LocalPolicies（本地策略）-SecurityOptions（安全選項(xiàng)），在右側(cè)窗口有一個(gè)“Accounts:Renameadministrator（guest）account（賬戶(hù)：重命名Administrator/Guest賬戶(hù)）”的策略，雙擊打開(kāi)后可以給Administrator重新設(shè)置一個(gè)不是很引人注目的用戶(hù)名。然后還可以再新建一個(gè)名稱(chēng)為Administrator的受限制用戶(hù)，以迷惑闖入者。安全選項(xiàng)的設(shè)置同樣是在LocalSecuritySettings中，展開(kāi)LocalPolicies-SecurityOptions，這里還有很多其它的設(shè)置，經(jīng)過(guò)合理的配置，可以使你的系統(tǒng)更加安全。一下列舉的選項(xiàng)最好全部禁止：Interactivelogon：DonotrequireCTRL+ALT+DEL，交互式登錄：不需要按Ctrl+Alt+Del。Networkaccess:AllowanonymousSID/nametranslation，網(wǎng)絡(luò)訪問(wèn)：允許匿名SID/名稱(chēng)轉(zhuǎn)換。Networkaccess:LetEveryonepermissionsapplytoanonymoususers，網(wǎng)絡(luò)訪問(wèn)：讓Everyone權(quán)限應(yīng)用到匿名用戶(hù)。Recoveryconsole：Allowautomaticadministrativelogon,故障恢復(fù)控制臺(tái)：允許自動(dòng)系統(tǒng)管理級(jí)登錄。而以下的選項(xiàng)最好啟用：Devices：RestrictCD-ROMaccesstolocallylogged-onuseronly，設(shè)備：只有本地登錄的用戶(hù)才能訪問(wèn)CD-ROM。Devices：Restrictfloppyaccesstolocallylogged-onuseronly，設(shè)備：只有本地登錄的用戶(hù)才能訪問(wèn)軟驅(qū)。Interactivelogon：Donotdisplaylastusername，交互式登錄：不顯示上一次使用的用戶(hù)名。Networkaccess:DonotallowanonymousenumerationofSAMaccounts，網(wǎng)絡(luò)訪問(wèn)：不允許匿名SAM帳戶(hù)的匿名枚舉。Networkaccess:DonotallowanonymousenumerationofSAMaccounts&shares，網(wǎng)絡(luò)訪問(wèn):不允許SAM賬戶(hù)和共享的匿名枚舉。Networksecurity:DonotstoreLANManagerhashvalueonnextpasswordchange，網(wǎng)絡(luò)安全：不要在下次更改密碼時(shí)存儲(chǔ)LANManager的Hash值。Systemobjects：Strengthendefaultpermissionsofinternalsystemobjects（e.g.，SymbolicLinks），系統(tǒng)對(duì)象：增強(qiáng)內(nèi)部系統(tǒng)對(duì)象的默認(rèn)權(quán)限（例如SymbolicLinks）?？煽康拿艽a盡管絕對(duì)安全的密碼時(shí)不存在的，但是相對(duì)安全的密碼還是可以實(shí)現(xiàn)的。這個(gè)還是需要運(yùn)行secpol.msc來(lái)配置LocalSecuritySettings。展開(kāi)到AccountPolicies-PasswordPolicy，經(jīng)過(guò)這里的配置，你就可以建立一個(gè)完備密碼策略，并且你的密碼也可以得到最大限度的保護(hù)。Enforcepasswordhistory（強(qiáng)制密碼歷史）。這個(gè)設(shè)置決定了保存用戶(hù)曾經(jīng)用過(guò)的密碼的個(gè)數(shù)。很多人知道要經(jīng)常性的更換自己的密碼，可是換來(lái)?yè)Q去就是有限的幾個(gè)在輪換，配置這個(gè)策略就可以知道用戶(hù)更換的密碼是否是以前曾經(jīng)使用過(guò)的。如果再配合Maximumpasswordage這個(gè)策略，就能保證密碼安全了。默認(rèn)情況下，這個(gè)策略不保存用戶(hù)的密碼，你可以自己設(shè)置，建議保存5個(gè)以上，而最多可以保存24個(gè)。Maximumpasswordage（密碼最長(zhǎng)存留期）。這個(gè)策略決定了一個(gè)密碼可以使用多久，之后就會(huì)過(guò)期，并要求用戶(hù)更換密碼。如果設(shè)置為0，則密碼永不過(guò)期。一般情況下設(shè)置為30到60天左右就可以了，具體的過(guò)期時(shí)間要看你的系統(tǒng)對(duì)安全的要求有多嚴(yán)格。而最長(zhǎng)可以設(shè)置999天。Minimumpasswordage（密碼最短存留期）。這個(gè)策略決定了一個(gè)密碼要在使用了多久之后才能再次被使用。跟上面講到的Enforcepasswordhistory結(jié)合起來(lái)就可以得知新的密碼是否是以前使用過(guò)的，如果是，則不能繼續(xù)使用這個(gè)密碼。如果設(shè)置為0則表示一個(gè)密碼可以被無(wú)限制的重復(fù)使用，而最大值為999。Minimumpasswordlength（密碼長(zhǎng)度最小值）。這個(gè)策略決定了一個(gè)密碼的長(zhǎng)度，有效值在0到14之間。如果設(shè)置為0，則表示不需要密碼。建議的密碼長(zhǎng)度不能小于6位。Passwordmustmeetcomplexityrequirements（密碼必須符合復(fù)雜性要求）。如果啟用了這個(gè)策略，則在設(shè)置和更改一個(gè)密碼的時(shí)候，系統(tǒng)將會(huì)按照下面的規(guī)則檢查密碼是否有效：密碼不能包含全部或者部分的用戶(hù)名。最少包括6個(gè)字符。并且在字符的使用上還要遵循以下的規(guī)則，密碼必須是：英文字母，A-Z，大小寫(xiě)敏感?；镜?0個(gè)數(shù)字，0-9。不能包含特殊字符，例如！，$，#，%等等。如果啟用了這個(gè)策略，相信你的密碼就會(huì)比較安全了。Storepasswordusingreversibleencryptionforallusersinthedomain（為域中的所有用戶(hù)使用可還原的加密來(lái)存儲(chǔ)密碼）。很明顯，這個(gè)策略最好不要啟用Windows操作系統(tǒng)常見(jiàn)安全問(wèn)題解決方法（1）作者：未知 文章來(lái)源：未知 點(diǎn)擊數(shù)：200更新時(shí)間：2006-6-21安全使用InternetExplorerInternetExplorer是當(dāng)今最流行的瀏覽器軟件。因?yàn)槭褂玫娜硕?，因此IE被發(fā)現(xiàn)的安全性問(wèn)題也就最多，不過(guò)沒(méi)關(guān)系，看過(guò)本節(jié)，你完全可以使你的IE更加安全。需要注意的是，以下的敘述全部以IE6.0版為準(zhǔn)，如果你使用了較低的版本，有些細(xì)節(jié)方面可能會(huì)不一樣。打開(kāi)InternetExplorer，依次點(diǎn)擊工具-Internet選項(xiàng)，然后打開(kāi)安全選項(xiàng)卡。在安全選項(xiàng)卡中選擇“Internet”，就可以針對(duì)Internet區(qū)域的一些安全選項(xiàng)進(jìn)行設(shè)置。雖然有不同級(jí)別的默認(rèn)設(shè)置，不過(guò)我們最好根據(jù)自己的實(shí)際情況親自調(diào)整一下。點(diǎn)擊下方的CustomLevel（自定義級(jí)別）。會(huì)出現(xiàn)圖三的窗口，這里顯示了所有的IE安全設(shè)置。DownloadsignedActiveXcontrols（下載已簽名的ActiveX控件）。經(jīng)過(guò)第三方的認(rèn)證機(jī)構(gòu)簽名證明該ActiveX控件是安全的，并且你可以設(shè)置為允許下載這種控件，除非你不想安裝任何ActiveX控件，或者你想自己從一些網(wǎng)站下載，例如WindowsUpdate，還有播放Flash的插件等。DownloadunsignedActiveXcontrols（下載未簽名的ActiveX控件）。跟經(jīng)過(guò)簽名認(rèn)證的ActiveX控件相比，未經(jīng)簽名認(rèn)證的可能會(huì)包含潛在的安全隱患因此這個(gè)選項(xiàng)你最好不要設(shè)置為啟用，或禁用，或者設(shè)置為詢(xún)問(wèn)，這樣你可以根據(jù)正在訪問(wèn)的站點(diǎn)的性質(zhì)自己決定是否下載安裝未經(jīng)認(rèn)證的控件。Initialize&scriptActiveXcontrolsnotmarkedassafe（對(duì)沒(méi)有標(biāo)記為安全的ActiveX控件進(jìn)行初始化和腳本運(yùn)行）。跟前面的設(shè)置類(lèi)似的，如果你之前都設(shè)置為禁用，那么這個(gè)選項(xiàng)同樣禁用就可以，否則可以設(shè)置為詢(xún)問(wèn)（建議的設(shè)置）或者允許（不建議）來(lái)禁止那些為經(jīng)簽名的控件運(yùn)行。RunActiveXcontrols&plug-ins（運(yùn)行ActiveX控件和插件）。假設(shè)你已經(jīng)禁止了所有ActiveX控件和插件的運(yùn)行，那么這個(gè)選項(xiàng)就可以放心的設(shè)置為管理員認(rèn)可。這里不建議設(shè)置為允許。ScriptActiveXcontrolsmarkedsafeforscripting（對(duì)標(biāo)記為可安全執(zhí)行腳本的ActiveX控件執(zhí)行腳本）。這個(gè)設(shè)置可以設(shè)置的跟前面的選項(xiàng)相同。Activescripting（活動(dòng)腳本）?，F(xiàn)在各種的腳本程序非常流行，通過(guò)腳本程序可以建立很多實(shí)用的網(wǎng)頁(yè)，例如WindowsUpdate網(wǎng)頁(yè)，就是通過(guò)腳本程序來(lái)判斷你需要下載的補(bǔ)丁的。因此如果禁用掉腳本程序，一些網(wǎng)頁(yè)將不能正常瀏覽。這里建議你設(shè)置為禁用，至于少數(shù)重要的但是不能正常瀏覽的網(wǎng)頁(yè)，我們將在后面看到解決辦法。Allowpasteoperationsviascript（允許通過(guò)腳本進(jìn)行粘貼操作）。這個(gè)選項(xiàng)允許網(wǎng)頁(yè)通過(guò)腳本把文件復(fù)制進(jìn)你的剪貼板，為了安全考慮最好禁用。ScriptingofJavaapplets（JAVA小程序腳本）。javascript是一種公開(kāi)的，多平臺(tái)，面向?qū)ο蟮哪_本語(yǔ)言。很多網(wǎng)頁(yè)中都使用了JAVA腳本，但是安全起見(jiàn)最好禁用它。如果以上的設(shè)置會(huì)影響到少數(shù)你必須要訪問(wèn)的站點(diǎn)（例如WindowsUpdate網(wǎng)站），但是安全起見(jiàn)你又不想把Internet區(qū)域的安全級(jí)別設(shè)置的太低，那么你可以把一些你信任的站點(diǎn)添加到Trustedsites（信任站點(diǎn)）中去。方法是：在Internet選項(xiàng)的安全選項(xiàng)卡下，點(diǎn)擊Trustedsites（信任站點(diǎn)），然后點(diǎn)擊Sites（站點(diǎn)）按鈕，會(huì)出現(xiàn)圖四的窗口，在新窗口中輸入我們希望添加的網(wǎng)絡(luò)地址（例如https://）然后點(diǎn)擊右側(cè)的Add（添加），這樣就可以了?，F(xiàn)在，打開(kāi)Internet選項(xiàng)中的Content（內(nèi)容）選項(xiàng)卡，點(diǎn)擊AutoComplete（自動(dòng)完成），在這里也有一些東西需要調(diào)整。對(duì)于所列出來(lái)的每一項(xiàng)，自動(dòng)完成功能都會(huì)保存特定的內(nèi)容，其中Webaddress（Web地址）會(huì)保存你在IE地址欄中輸入過(guò)的內(nèi)容;Forms（表單）會(huì)保存你在網(wǎng)頁(yè)中填寫(xiě)的資料，例如論壇上的發(fā)言（除用戶(hù)名和密碼），搜索引擎中使用過(guò)的關(guān)鍵字;Usernamesandpasswordsonforms（表單上的用戶(hù)名和密碼）會(huì)保存你登陸論壇或其它網(wǎng)頁(yè)時(shí)輸入的用戶(hù)名和密碼。自動(dòng)完成可以幫助你節(jié)省很多時(shí)間，但是同時(shí)也帶來(lái)了很大的安全隱患。一旦有人使用你的賬號(hào)登陸，你登陸網(wǎng)站的用戶(hù)名和密碼等資料就有可能全部被別人看到。因此你可以根據(jù)你的電腦的使用情況適當(dāng)?shù)恼{(diào)整，決定哪些內(nèi)容可以自動(dòng)保存，哪些不行?，F(xiàn)在我們轉(zhuǎn)到Internet選項(xiàng)的高級(jí)選項(xiàng)卡。這里有一下幾點(diǎn)需要注意：UsePassiveFTP（forfirewall&DSLmodemcompatibility）（使用被動(dòng)FTP，為防火墻和DSL調(diào)制解調(diào)器兼容性），這個(gè)設(shè)置將會(huì)允許在使用IE瀏覽FTP服務(wù)器時(shí)使用被動(dòng)模式，這種模式更加安全，因?yàn)榉?wù)器方無(wú)法獲得你的IP地址，如果某些FTP服務(wù)器你不能正常訪問(wèn)，就可以試試啟用或者禁用這個(gè)設(shè)置。Checkforpublisher,scertificaterevocation（檢查發(fā)行商的證書(shū)吊銷(xiāo)），如果選擇了這個(gè)選項(xiàng)，當(dāng)你訪問(wèn)某些需要認(rèn)證的站點(diǎn)時(shí)，IE會(huì)首先檢查給站點(diǎn)提供的證書(shū)是否依然有效。一般情況下，建議你啟用這個(gè)設(shè)置。Checkforservercertificaterevocation（檢查服務(wù)器的證書(shū)吊銷(xiāo)），這個(gè)選項(xiàng)將會(huì)使IE檢查站點(diǎn)服務(wù)器的證書(shū)是否仍然有效，一般也應(yīng)該啟用這個(gè)設(shè)置。Checkforsignaturesondownloadedprograms（檢查下載的程序的簽名），如果啟用了這個(gè)設(shè)置，在你下載了程序后IE會(huì)通過(guò)簽名自動(dòng)檢查程序是否被非法改動(dòng)過(guò)。一般應(yīng)當(dāng)啟用這個(gè)設(shè)置。Donotsaveencryptedpagetodisk（不將加密的頁(yè)面存入硬盤(pán)），啟用了這個(gè)選項(xiàng)后，對(duì)于加密頁(yè)面（主要是URL以https打頭的）將不會(huì)保存到Internet臨時(shí)文件夾中。如果多人共用同一臺(tái)電腦，這個(gè)選項(xiàng)是很有必要的，這樣別人就無(wú)法通過(guò)Internet臨時(shí)文件窺探到你訪問(wèn)過(guò)的加密網(wǎng)頁(yè)了（例如某些電子商務(wù)網(wǎng)站的信用卡付費(fèi)頁(yè)面）。接下來(lái)的三個(gè)設(shè)置：UseSSL2.0，UseSSL3.0&UseTLS1.0（使用SSL2.0，使用SSL3.0和使用TLS1.0）都跟在Internet上通過(guò)協(xié)議加密數(shù)據(jù)有關(guān)。例如一些網(wǎng)站的身分認(rèn)證和重要數(shù)據(jù)的傳輸，在這過(guò)程中都會(huì)使用到SSL加密。因此最佳建議是這三個(gè)選項(xiàng)全部啟用。但是如果啟用后你訪問(wèn)某些加密站點(diǎn)時(shí)出現(xiàn)錯(cuò)誤，那么可以禁用除SSL2.0之外的其它兩個(gè)協(xié)議，因?yàn)椴煌姹局g可能會(huì)有沖突，而SSL2.0是被采用的最廣泛的，一般的加密站點(diǎn)都會(huì)支持。Warnaboutinvalidsitecertificates（對(duì)無(wú)效站點(diǎn)證書(shū)發(fā)出警告），啟用這個(gè)設(shè)置之后，在遇到無(wú)效的站點(diǎn)證書(shū)時(shí)IE就會(huì)發(fā)出警告，提醒你注意。一般情況下可以啟用這個(gè)。Warnaboutchangingbetweensecure¬securemode（在安全和非安全模式之間轉(zhuǎn)換時(shí)發(fā)出警告），當(dāng)啟用這個(gè)設(shè)置之后，如果你要從一個(gè)安全的網(wǎng)頁(yè)（可能是經(jīng)過(guò)SSL加密的）進(jìn)入到一個(gè)不安全的網(wǎng)頁(yè)的時(shí)候，IE會(huì)發(fā)出警告提醒你，以避免你在不知情的情況下泄漏一些私人的信息。Warnifformssubmittalisbeingredirected（重定向提交的表單時(shí)發(fā)出警告），啟用這個(gè)設(shè)置后，你在某些論壇或類(lèi)似的地方提交的一些信息如果被發(fā)送到了其它的服務(wù)器上，IE就會(huì)發(fā)出警報(bào)提醒你。所以安全起見(jiàn)這個(gè)也應(yīng)當(dāng)啟用。安全使用OutlookExpressOutlookExpress是Windows自帶的一個(gè)電子郵件程序，通過(guò)OE不僅可以收發(fā)電子郵件，還可以瀏覽新聞組，十分方便。不過(guò)很多人并不喜歡這個(gè)程序，還想千方百計(jì)的把它從自己的系統(tǒng)中卸載掉，主要是因?yàn)槭褂肙E容易傳染病毒。菜刀也容易傷人呢，但是每個(gè)家庭都得有個(gè)菜刀吧，所以，與其考慮怎么卸載OE還不如考慮一下怎么設(shè)置才能讓OE更安全。本節(jié)全部以O(shè)E6為主，如果你使用得是較低的版本，某些細(xì)節(jié)方面可能會(huì)不同。OE的主要設(shè)置都可以在工具-選項(xiàng)下看到，在這里我們主要關(guān)注的是安全選項(xiàng)卡。SelecttheInternetExplorersecurityzonetouse（選擇要使用的InternetExplorer安全區(qū)域），這個(gè)設(shè)置可以讓你決定把電子郵件（尤其是使用HTML語(yǔ)言的電子郵件）當(dāng)作什么安全區(qū)域?qū)Υㄒ簿褪俏覀冊(cè)贗nternetExplorer的Internet選項(xiàng)中設(shè)置的不同安全級(jí)別的區(qū)域）.把它設(shè)置為Restrictedsiteszone（受限制的區(qū)域）是比較明智和安全的做法。這樣，如果你收到的HTML郵件中含有一些有害的代碼就不會(huì)危害到你的系統(tǒng)了。Warnmewhenotherapplicationstrytosendmailasme（當(dāng)其他程序以我的名義發(fā)送電子郵件時(shí)提醒我），這也是一個(gè)很有效的安全策略，曾經(jīng)有很多病毒都是通過(guò)OE的地址簿中的聯(lián)系人地址來(lái)發(fā)送含病毒的右鍵來(lái)擴(kuò)散的，而啟用這個(gè)設(shè)置就可以有效的解決這個(gè)問(wèn)題。一旦有其他程序通過(guò)OE發(fā)送電子郵件，OE會(huì)首先詢(xún)問(wèn)你是否發(fā)送，對(duì)于那些可疑的右鍵，只要取消發(fā)送就可以了。Donotallowattachmentstobesavedoropenedthatcouldpotentiallybeavirus（不允許可能包含病毒的附件被保存或者被打開(kāi)），當(dāng)啟用這個(gè)設(shè)置后，電子郵件中某些格式的附件就不能被保存和打開(kāi)了，這時(shí)如果你收到了含有附件的右鍵，保存和打開(kāi)附件的選項(xiàng)將為不可用，進(jìn)一步增強(qiáng)了安全性。Windows操作系統(tǒng)常見(jiàn)安全問(wèn)題解決方法（1）作者：未知 文章來(lái)源：未知 點(diǎn)擊數(shù)：201 更新時(shí)間：2006-6-21加固你的Internet連接默認(rèn)情況下，為了建立網(wǎng)絡(luò)連接，Windows會(huì)安裝很多協(xié)議和運(yùn)行很多服務(wù)其中一些協(xié)議和服務(wù)都不是必須的，例如NetBIOS.文件和打印機(jī)共享等，而“最小的服務(wù)+最小的權(quán)限=最大的安全”這個(gè)等式是永遠(yuǎn)成立的，因此我們有必要關(guān)掉不需要的服務(wù)，卸載不需要的協(xié)議，來(lái)增強(qiáng)我們的系統(tǒng)安全。對(duì)于Windows9x/Me的系統(tǒng)在控制面板中雙擊網(wǎng)絡(luò)圖標(biāo)選擇Microsoft網(wǎng)絡(luò)客戶(hù)端，然后點(diǎn)擊卸載禁用文件和打印機(jī)共享，如果你確實(shí)需要共享，可以給它們?cè)O(shè)置一個(gè)密碼選擇TCP/IP，然后點(diǎn)擊屬性按鈕，打開(kāi)NetBIOS選項(xiàng)卡，取消對(duì)“我要在TCP/IP上使用NetBIOS的選擇。然后選擇DNS設(shè)置選項(xiàng)卡，并選擇禁用DNS（如果你確實(shí)不需要的話(huà)）。在WINS設(shè)置選項(xiàng)卡下，選中禁用WINS解析確定，然后重啟動(dòng)電腦對(duì)于Windows2000/XP的系統(tǒng)打開(kāi)控制面板中的網(wǎng)絡(luò)連接，右鍵點(diǎn)擊Internet連接，選擇屬性如果你不需要共享文件和打印機(jī)，那么選中并卸載（可以不卸載，但是至少不要再使用）Windows網(wǎng)絡(luò)的文件和打印機(jī)共享雙擊Internet協(xié)議（TCP/IP），然后點(diǎn)擊高級(jí)按鈕打開(kāi)WINS選項(xiàng)卡，取消對(duì)啟用LMHOSTS查詢(xún)的選擇，然后選擇禁用TCP/IP上的NetBIOS在運(yùn)行中輸入Services.msc然后回車(chē)找到TCP/IPNetBIOSHelper這個(gè)服務(wù)，把這個(gè)服務(wù)停止掉，并且設(shè)置啟動(dòng)類(lèi)型為手動(dòng)或者禁止重啟動(dòng)電腦防火墻和殺毒軟件不管你做了怎樣的設(shè)置，只要你連接在Internet上，防火墻都是必要的。防火墻可以完全保護(hù)你的系統(tǒng)，把網(wǎng)絡(luò)上有害的東西擋在門(mén)外。推薦你使用的防火墻主要有兩種，一是Symantec公司的NortonInternetSecurity，這個(gè)軟件不僅包含網(wǎng)絡(luò)防火墻，還包含NortonAntivirus，一個(gè)著名的殺毒軟件。NortonInternetSecurity的功能非常強(qiáng)大，不僅可以防病毒，防黑客，還可以幫助你過(guò)濾瀏覽網(wǎng)頁(yè)時(shí)看到的廣告，過(guò)濾收到的電子郵件，過(guò)濾網(wǎng)絡(luò)中的一些色情和其它非法內(nèi)容。不過(guò)NortonInternetSecurity對(duì)系統(tǒng)的要求比較高老的電腦運(yùn)行起來(lái)可能會(huì)慢一些。這樣的話(huà)你可以試試ZoneAlarm或者國(guó)產(chǎn)的天網(wǎng)，他們對(duì)系統(tǒng)的要求都不錯(cuò)，功能也夠強(qiáng)大，還有一點(diǎn)，他們兩者都可以從互聯(lián)網(wǎng)上免費(fèi)下載到。對(duì)于使用WindowsXP的用戶(hù)也可以用系統(tǒng)自帶的防火墻，雖然沒(méi)有那么多花哨的功能，不過(guò)最基本的防護(hù)還是可以勝任的。啟用的方法是：打開(kāi)控制面板-網(wǎng)絡(luò)和Internet連接，雙擊網(wǎng)絡(luò)連接打開(kāi)屬性對(duì)話(huà)框，在高級(jí)選項(xiàng)卡下，選中在我的電腦上使用Internet連接防火墻，之后還可以點(diǎn)擊設(shè)置進(jìn)行更進(jìn)一步的配置?？偨Y(jié)：經(jīng)過(guò)以上的設(shè)置，你的系統(tǒng)安全應(yīng)該提高不少了，不過(guò)需要注意的是，不管在系統(tǒng)和軟件上做怎樣的防護(hù)，正確的使用習(xí)慣才是最重要的，因此從現(xiàn)在就開(kāi)始養(yǎng)成良好的使用習(xí)慣的，否則在怎么防護(hù)也是白搭。希望你能有一個(gè)安全的系統(tǒng)WindowsInternet服務(wù)器安全配置作者：未知文章來(lái)源：天天安全網(wǎng)點(diǎn)擊數(shù)：71 更新時(shí)間：2006-6-22原理篇我們將從入侵者入侵的各個(gè)環(huán)節(jié)來(lái)作出對(duì)應(yīng)措施一步步的加固windows系統(tǒng).加固windows系統(tǒng).一共歸于幾個(gè)方面端口限制設(shè)置ACL權(quán)限關(guān)閉服務(wù)或組件包過(guò)濾審計(jì)我們現(xiàn)在開(kāi)始從入侵者的第一步開(kāi)始.對(duì)應(yīng)的開(kāi)始加固已有的windows系統(tǒng).1.掃描這是入侵者在剛開(kāi)始要做的第一步.比如搜索有漏洞的服務(wù).對(duì)應(yīng)措施:端口限制以下所有規(guī)則.都需要選擇鏡像,否則會(huì)導(dǎo)致無(wú)法連接我們需要作的就是打開(kāi)服務(wù)所需要的端口.而將其他的端口一律屏蔽下載信息這里主要是通過(guò)URLSCAN來(lái)過(guò)濾一些非法請(qǐng)求對(duì)應(yīng)措施:過(guò)濾相應(yīng)包我們通過(guò)安全URLSCAN并且設(shè)置urlscan.ini中的DenyExtensions字段來(lái)阻止特定結(jié)尾的文件的執(zhí)行上傳文件入侵者通過(guò)這步上傳WEBSHELL,提權(quán)軟件，運(yùn)行cmd指令等等.對(duì)應(yīng)措施:取消相應(yīng)服務(wù)和功能，設(shè)置ACL權(quán)限如果有條件可以不使用FSO的.通過(guò)regsvr32/uc:\windows\system32\scrrun.dll來(lái)注銷(xiāo)掉相關(guān)的DLL.如果需要使用.那就為每個(gè)站點(diǎn)建立一個(gè)user用戶(hù)對(duì)每個(gè)站點(diǎn)相應(yīng)的目錄.只給這個(gè)用戶(hù)讀，寫(xiě)，執(zhí)行權(quán)限，給administrators全部權(quán)限安裝殺毒軟件.實(shí)時(shí)殺除上傳上來(lái)的惡意代碼.個(gè)人推薦MCAFEE或者卡巴斯基如果使用MCAFEE對(duì)WINDOWS目錄所有添加與修改文件的行為進(jìn)行阻止.WebShell入侵者上傳文件后.需要利用WebShell來(lái)執(zhí)行可執(zhí)行程序.或者利用WebShell進(jìn)行更加方便的文件操作.對(duì)應(yīng)措施:取消相應(yīng)服務(wù)和功能一般WebShell用到以下組件WScript.NetworkWScript.Network.1WScript.ShellWScript.Shell.1Shell.ApplicationShell.Application.1我們?cè)谧?cè)表中將以上鍵值改名或刪除同時(shí)需要注意按照這些鍵值下的CLSID鍵的內(nèi)容從/HKEY_CLASSES_ROOT/CLSID下面對(duì)應(yīng)的鍵值刪除執(zhí)行SHELL入侵者獲得shell來(lái)執(zhí)行更多指令對(duì)應(yīng)措施:設(shè)置ACL權(quán)限windows的命令行控制臺(tái)位于\WINDOWS\SYSTEM32\CMD.EXE我們將此文件的ACL修改為某個(gè)特定管理員帳戶(hù)(比如administrator)擁有全部權(quán)限.其他用戶(hù).包括system用戶(hù),administrators組等等一律無(wú)權(quán)限訪問(wèn)此文件.利用已有用戶(hù)或添加用戶(hù)入侵者通過(guò)利用修改已有用戶(hù)或者添加windows正式用戶(hù).向獲取管理員權(quán)限邁進(jìn)對(duì)應(yīng)措施:設(shè)置ACL權(quán)限.修改用戶(hù)將除管理員外所有用戶(hù)的終端訪問(wèn)權(quán)限去掉.限制CMD.EXE的訪問(wèn)權(quán)限.限制SQLSERVER內(nèi)的XP_CMDSHELL登陸圖形終端入侵者登陸TERMINALSERVER或者RADMIN等等圖形終端，獲取許多圖形程序的運(yùn)行權(quán)限.由于WINDOWS系統(tǒng)下絕大部分應(yīng)用程序都是GUI的.所以這步是每個(gè)入侵WINDOWS的入侵者都希望獲得的對(duì)應(yīng)措施:端口限制入侵者可能利用3389或者其他的木馬之類(lèi)的獲取對(duì)于圖形界面的訪問(wèn).我們?cè)诘谝徊降亩丝谙拗浦?對(duì)所有從內(nèi)到外的訪問(wèn)一律屏蔽也就是為了防止反彈木馬.所以在端口限制中.由本地訪問(wèn)外部網(wǎng)絡(luò)的端口越少越好.如果不是作為MAILSERVER可以不用加任何由內(nèi)向外的端口.阻斷所有的反彈木馬.擦除腳印入侵者在獲得了一臺(tái)機(jī)器的完全管理員權(quán)限后就是擦除腳印來(lái)隱藏自身.對(duì)應(yīng)措施:審計(jì)首先我們要確定在windows日志中打開(kāi)足夠的審計(jì)項(xiàng)目.如果審計(jì)項(xiàng)目不足.入侵者甚至都無(wú)需去刪除windows事件.其次我們可以用自己的cmd.exe以及net.exe來(lái)替換系統(tǒng)自帶的.將運(yùn)行的指令保存下來(lái).了解入侵者的行動(dòng).對(duì)于windows日志我們可以通過(guò)將日志發(fā)送到遠(yuǎn)程日志服務(wù)器的方式來(lái)保證記錄的完整性.evtsys工具(/ECN/Resources/Documents)提供將windows日志轉(zhuǎn)換成syslog格式并且發(fā)送到遠(yuǎn)程服務(wù)器上的功能.使用此用具.并且在遠(yuǎn)程服務(wù)器上開(kāi)放syslogd，如果遠(yuǎn)程服務(wù)器是windows系統(tǒng).推薦使用kiwisyslogdeamon.我們要達(dá)到的目的就是不讓入侵者掃描到主機(jī)弱點(diǎn)即使掃描到了也不能上傳文件即使上傳文件了不能操作其他目錄的文件即使操作了其他目錄的文件也不能執(zhí)行shell即使執(zhí)行了shell也不能添加用戶(hù)即使添加用戶(hù)了也不能登陸圖形終端即使登陸了圖形終端.擁有系統(tǒng)控制權(quán).他的所作所為還是會(huì)被記錄下來(lái).額外措施：我們可以通過(guò)增加一些設(shè)備和措施來(lái)進(jìn)一步加強(qiáng)系統(tǒng)安全性.代理型防火墻.如ISA2004代理型防火墻可以對(duì)進(jìn)出的包進(jìn)行內(nèi)容過(guò)濾.設(shè)置對(duì)HTTPREQUEST內(nèi)的requeststring或者form內(nèi)容進(jìn)行過(guò)濾將SELECT.DROPDELETE.INSERT等都過(guò)濾掉.因?yàn)檫@些關(guān)鍵詞在客戶(hù)提交的表單或者內(nèi)容中是不可能出現(xiàn)的.過(guò)濾了以后可以說(shuō)從根本杜絕了SQL注入用SNORT建立IDS用另一臺(tái)服務(wù)器建立個(gè)SNORT.對(duì)于所有進(jìn)出服務(wù)器的包都進(jìn)行分析和記錄特別是FTP上傳的指令以及HTTP對(duì)ASP文件的請(qǐng)求可以特別關(guān)注一下.本文提到的部分軟件在提供下載的RAR中包含包括COM命令行執(zhí)行記錄URLSCAN2.5以及配置好的配置文件IPSEC導(dǎo)出的端口規(guī)則evtsys一些注冊(cè)表加固的注冊(cè)表項(xiàng).實(shí)踐篇下面我用的例子.將是一臺(tái)標(biāo)準(zhǔn)的虛擬主機(jī).系統(tǒng):windows2003服務(wù):[IIS][SERVU][IMAIL][SQLSERVER2000][PHP][MYSQL]描述:為了演示，綁定了最多的服務(wù).大家可以根據(jù)實(shí)際情況做篩減1.WINDOWS本地安全策略端口限制對(duì)于我們的例子來(lái)說(shuō).需要開(kāi)通以下端口外-＞本地80外-＞本地20外-＞本地21外-＞本地PASV所用到的一些端口外-＞本地25外-＞本地110外-＞本地3389然后按照具體情況.打開(kāi)SQLSERVER和MYSQL的端口外-＞本地1433外-＞本地3306接著是開(kāi)放從內(nèi)部往外需要開(kāi)放的端口按照實(shí)際情況，如果無(wú)需郵件服務(wù)，則不要打開(kāi)以下兩條規(guī)則本地-＞外53TCP，UDP本地-＞外25按照具體情況.如果無(wú)需在服務(wù)器上訪問(wèn)網(wǎng)頁(yè).盡量不要開(kāi)以下端口本地-＞外80。.除了明確允許的一律阻止.這個(gè)是安全規(guī)則的關(guān)鍵.外-＞本地所有協(xié)議阻止用戶(hù)帳號(hào)將administrator改名，例子中改為root取消所有除管理員root外所有用戶(hù)屬性中的遠(yuǎn)程控制-＞啟用遠(yuǎn)程控制以及終端服務(wù)配置文件-＞允許登陸到終端服務(wù)器將guest改名為administrator并且修改密碼除了管理員root,IUSER以及IWAM以及ASPNET用戶(hù)外.禁用其他一切用戶(hù).包括SQLDEBUG以及TERMINALUSER等等目錄權(quán)限將所有盤(pán)符的權(quán)限,全部改為只有administrators組全部權(quán)限system全部權(quán)限將C盤(pán)的所有子目錄和子文件繼承C盤(pán)的administrator（組或用戶(hù)）和SYSTEM所有權(quán)限的兩個(gè)權(quán)限然后做如下修改C:\ProgramFiles\CommonFiles開(kāi)放Everyone默認(rèn)的讀取及運(yùn)行列出文件目錄讀取三個(gè)權(quán)限C:\WINDOWS\開(kāi)放Everyone默認(rèn)的讀取及運(yùn)行列出文件目錄讀取三個(gè)權(quán)限C:\WINDOWS\Temp開(kāi)放Everyone修改，讀取及運(yùn)行，列出文件目錄，讀取，寫(xiě)入權(quán)限現(xiàn)在WebShell就無(wú)法在系統(tǒng)目錄內(nèi)寫(xiě)入文件了.當(dāng)然也可以使用更嚴(yán)格的權(quán)限.在WINDOWS下分別目錄設(shè)置權(quán)限.可是比較復(fù)雜.效果也并不明顯.4.IIS在IIS6下.應(yīng)用程序擴(kuò)展內(nèi)的文件類(lèi)型對(duì)應(yīng)ISAPI的類(lèi)型已經(jīng)去掉了IDQ,PRINT等等危險(xiǎn)的腳本類(lèi)型，在IIS5下我們需要把除了ASP以及ASA以外所有類(lèi)型刪除.安裝URLSCAN在[DenyExtensions]中一般加入以下內(nèi)容..htw.ida.idq.htr.idc.shtm.shtml.stm.printer這樣入侵者就無(wú)法下載.mdb數(shù)據(jù)庫(kù).這種方法比外面一些在文件頭加入特殊字符的方法更加徹底.因?yàn)榧幢阄募^加入特殊字符.還是可以通過(guò)編碼構(gòu)造出來(lái)的WEB目錄權(quán)限作為虛擬主機(jī).會(huì)有許多獨(dú)立客戶(hù)比較保險(xiǎn)的做法就是為每個(gè)客戶(hù)，建立一個(gè)windows用戶(hù)然后在IIS的響應(yīng)的站點(diǎn)項(xiàng)內(nèi)把IIS執(zhí)行的匿名用戶(hù).綁定成這個(gè)用戶(hù)并且把他指向的目錄權(quán)限變更為administrators全部權(quán)限system全部權(quán)限單獨(dú)建立的用戶(hù)（或者IUSER）選擇高級(jí)-＞打開(kāi)除完全控制，遍歷文件夾/運(yùn)行程序,取得所有權(quán)3個(gè)外的其他權(quán)限.如果服務(wù)器上站點(diǎn)不多.并且有論壇我們可以把每個(gè)論壇的上傳目錄去掉此用戶(hù)的執(zhí)行權(quán)限.只有讀寫(xiě)權(quán)限這樣入侵者即便繞過(guò)論壇文件類(lèi)型檢測(cè)上傳了webshell也是無(wú)法運(yùn)行的.MSSQLSERVER2000使用系統(tǒng)帳戶(hù)登陸查詢(xún)分析器運(yùn)行以下腳本usemasterexecsp_dropextendedproc'xp_cmdshell'execsp_dropextendedproc'xp_dirtree'execsp_dropextendedproc'xp_enumgroups'execsp_dropextendedproc'xp_fixeddrives'execsp_dropextendedproc'xp_loginconfig'execsp_dropextendedproc'xp_enumerrorlogs'execsp_dropextendedproc'xp_getfiledetails'execsp_dropextendedproc'Sp_OACreate'execsp_dropextendedproc'Sp_OADestroy'execsp_dropextendedproc'Sp_OAGetErrorInfo'execsp_dropextendedproc'Sp_OAGetProp