第一章 设置系统提高安全

第一章设置系统提高安全——建立防御基地操作系统是用户与电脑交流的接口，是各应用软件在电脑中赖以生存、协调工作的基地。操作系统的安全关系到用户重要资料的安全性以及整机系统的稳定性。下面就来看看如何提高操作系统的安全防御能力。第一节系统密码登录安全系统密码主要包括系统登录密码、屏保密码、电源管理密码等，它们就像用户家里的钥匙，只有拥有正确的密码，才能进入系统中进行相应的操作。所以登录密码是保护系统安全的第一道屏障。一、使用Windows登录账户除BIOS密码外，登录密码是用户进入系统的第一道防线。加强操作系统的安全性，设置系统密码是必需的，否则就等于为入侵者敞开了方便之门。windows2000／xP／Server2003／Vista用户登录密码的设置方法类似，下面以在WindowsxP中设置用户登录密码为例进行介绍。第1步，在桌面上用鼠标右键单击“我的电脑”，选择“管理”菜单项，打开“计算机管理”窗口。策2步，展开“本地用户和组”→“用户”，在窗口右侧选中登录用户，单击鼠标右键，选择“设置密码”菜单项，弹出密码设置窗口，两次输入将要设置的密码，单击“确定”按钮退出即可。第3步，重新启动电脑让设置的密码生效。二、屏幕保护程序密码在网吧、学校机房等公共场所使用电脑，暂时离开电脑时，启用屏保程序可以防止他人使用电脑。Windows98／2000／XP／Server2003／Vista都提供了屏保功能，下面以在WindowsxP中设置屏保及屏保密码为例进行介绍。1、在桌面上任意地方单击鼠标右键，选择“属性”菜单项，打开”显示属性”窗口。2、切换到“屏幕保护程序”选项卡，选择一个喜欢的屏保程序，并设置用户在操作后等待多长时间启用屏保程序，建议等待时间设置短暂一些。3、勾选“在恢复时使用密码保护”复选框，即用户在恢复使用电脑时，需要输入登录密码才能进入系统。注：对使用Windows2000／XP／Server2005／Vista的用户来说，当需要暂时离开电脑时，可按下“Ctrl+Alt+计DeI”组合键锁定电脑，对使用Windows98的用户来说，则只能借助屏幕保护的方法，保证自己在离开座位的时候电脑不被别人使用。三、电源管理密码对Windows系统的电源管理设置密码后，当系统从节能状态返回时，只有输入正确的密码后，才能令电脑从“挂起”状态返回正常状态，这样才能进一步地保证电脑的安全。下面以在WindowsXP中设置电源管理密码为例进行介绍。第1步，单击菜单“开始”→“控制面板”，打开“控制面板”窗口。第2步，双击“电源选项”图标，打开“电源选项属性”窗口，切换到“电源使用方案”选项卡“系统待机”下拉列表中选择系统持机的时间。第3步，切换到“高级”选项卡，在“选项”组合框中勾选“在计算机从待机状态恢复时，提示输入密码”复选框。设置好后单击“确定”按钮返回即可。这样当电脑从节能状态返回时就会要求用户输入密码。四、密码设置原则与技巧Windows操作系统的密码(口令)十分重要，它是抵抗攻击的第一道防线，用户必须把密码安全作为安全策略的第一步。如果攻击者未能窃取到系统密码，那么采取的入侵方法也就不多了，因此，必须设置安全的系统密码。通常，用户在设置系统密码时应遵循以下原则：①密码字符数足够多，最好不少于8个字符。②不适应常用的单词、中英文昵称、生日、电话号码等作为系统密码。③密码中同时包含多种类型的字符，比如大写字母(A，B，C，…，Z)、小写字母（a,b,c,...,z)、数字(0，1，2，…，9)、标点符号(@，#，!，$，%，&，…)。④密码中不含有重复的字母或数字。⑤定期修改密码。第二节安全设置在病毒、木马、恶意软件盛行的互联网上，保证电脑绝对安全虽然难以做到，但配置相对安全的系统可以最大程度降低系统被攻击的几率。本节就来介绍操作系统的常用安全设置方法与技巧。一、隐私保护为系统设置密码固然重要，但也不是万事大吉。总有不法分子在千方百计地想攻克用户密码。因此加固系统密码，对保护自己的隐私非常重要。WindowsXP真正的超级管理员账号是安全模式下的“Administrator”账户，而不是正常模式下的“Administrator”账户。在默认情况下，安全模式下的“Administrator”密码为空。无论用户在正常模式下将“Administrator”密码设置得多么复杂，只要是没有设置安全模式下“Administrator”的密码，该用户的电脑就毫无秘密可言。在安全模式下设置“Administrator”用户密码的方法与正常模式下普通用户密码的设置方法一样，可参照本章第一节的有关内容。注：为了系统更加安全，建议对系统默认的超级用户名“Administrator”进行改名，然后再设置一个足够复杂的密码。停用或删除一切不必要的系统用户。二、安全共享共享文件／文件夹，为用户电脑互访提供了方便，同时也带来了一定的安全隐患。下面就来看看如何对系统中的共享资源进行安全设置。(1)批处理自启动法打开记事本并输入以下内容：netshareC$／deletenetshareD$／delete……(根据实际盘符数进行输入)netshareipc$／deletenetshareadmin$／delete保存该文件为“*．bat”文件，然后把该文件添加到启动选项即可。(2)停止共享服务第1步，在桌面上用鼠标右键单击“我的电脑”，选择“管理”菜单项，打开“计算机管理”窗口。第2步，展开左侧的“服务和应用程序”，→“服务”，在窗口的右侧找到共享服务对应的名称是“Server”(在进程中的名称为“services”)。第3步，双击“Server”服务项，在弹出的窗口中选择“常规”选项卡，把“启动类型”更改为“已禁用”。在“服务状态”区域单击“停止”按钮。设置好后单击“确定”按钮即可。注：访问WindowsXP默认共享非常简单：单击菜单“开始”→‘“运行”，输入“＼＼计算机名或IP地址＼D$或admin$”即可。也可在IE等浏览器的地址栏中输入上述的命令或“File：／／10．80．34．55／d$”来进行访问。4、关闭不用的共享端口139端口、445端口是常用的共享打印机、共享文件夹端口，如果用户不需要访问共享资源，可将这些端口关闭，防止黑客通过这些端口扫描到系统中的共享资源。其关闭方法在本章第三节中详述。三、注册表安全设置注册表(Registry)整合、集成了全部系统和应用程序的初始化信息。其中包含硬件设备的说明、相互关联的应用程序与文档文件、窗口显示方式、网络连接参数、甚至关系到电脑安全的网络设置。病毒、木马、黑客程序等攻击用户电脑时，都会对注册表进行一定的修改，因此注册表的安全设置非常重要。1、抵御BackDoor(后门程序)破环BackDoor是黑客程序中的一种后门程序，专门针对系统的漏洞进行攻击。为防止这种程序对系统造成破坏，用户有必要通过相应的设置来进行预防。打开注册表编辑器。展开分支到“HKEY—LOCAL—MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”，如果在窗口右边发现有“Notepad“键值，将它删除即可达到预防的目的。2、禁用控制面板控制面板是Windows系统的控制中心，可以对设备属性，文件系统，安全口令等系统关键属性进行修改。用户可以根据需要隐藏和禁止使用控制面板。打开注册表编辑器，展开“HKEY—CURRENT—USER＼Software＼Mlcrosoft＼Windows＼CurrentVersion＼Policies＼System”，在窗口右侧新建一个“DWORD”类型的子健“NoDispCPL”，修改其值为“1”即可。3、锁定桌面桌面设置包括壁纸、图标以及快捷方式，它们的设置一般都是用户经过精心选择才设定好的。大多数情况下，用户都不希望他人随意修改桌面设置或随意删除快捷方式。那怎么办呢?其实，修改注册表就可以帮用户锁定桌面，这里“锁定”的含义是对他人的修改不做储存，无论别人怎么改，重新启动电脑后，用户原来的设置就会原封不动地出现。打开注册表编辑器，展开“HKEY—CURRENT—USER＼Software＼Mlcrosoft＼Windows＼CurentVersion＼Polioies＼Explores”，双击子健“NoSaveSetting”，将其键值从“0”改为“1”既可。4、禁止远程修改注册表如果黑客能连接到用户的电脑，而且电脑启用了远程注册表服务(RemoteRegistry)，那么黑客就可远程设置注册表中的服务，因此远程注册表服务需要特别保护。如果用户仅仅将远程注册表服务(RemoteRegistry)的启动方式设置为“禁用”，黑客在入侵电脑后，仍然可以通过简单的操作将该服务从“禁用”改为“自动启动”。因此有必要将该服务删除。打开注册表编辑器，展开“HKEY—LOCAL—MACHINE＼SYSTEM＼CurrentControlSet＼Services”,找到“RemoteRegistry”项。右键单击该项，选择“删除”菜单项，将该键删除，这样，以后就无法启动该服务了。5、禁止病毒启动服务目前，病毒不但可以通过注册表的“RUN”或“MSCONFIG”中的项目进行加载，而且部分高级病毒会通过系统服务进行加载。那么，我们能不能使病毒或木马没有启动服务的相应权限呢?当然可以。单击菜单“开始”→“运行”，输入“regedt32”启用带权限分配功能的注册表编辑器。展开“HKEY—LOCAL—MACHINE＼SYSTEM＼CurrentControlSet＼Services”分支，用鼠标右键单击“Services”，选择“权限”菜单项，弹出“Services权限设置”窗口。单击“添加”按钮，添加“Everyone”账号。选中“Everyone”账号，将该账号的“读取”权限设置为“允许”，并取消“完全控制”权限。现在任何木马或病毒都无法自行启动系统服务了。6、禁止病毒自行启动很多病毒都是通过注册表中的“RUN”值进行加载而实现随操作系统的启动而启动的，用户可以按照“禁止病毒启动服务“中介绍的方法将病毒和木马对该键值的修改权限去掉。·运行“regedt32”命令，启动注册表编辑器。展开“HKEY—CURRENT—MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RUN”分支，将“Everyone”对该分支的“读取”权限设置为“允许”，取消对“完全控制”权限的选择。这样病毒和木马就无法通过该键值启动自身了。四、组策略安全设置Windows2000／XP／Server2003／Vista自带“本地安全策略”，是一个不错的系统安全管理工具，通过对账户、密码、安全选项的合理设置，可以提供系统的高安全性。下面以WindowsxP为例介绍最主要的安全设置。1、密码安全策略密码是系统安全的一大隐患，通过组策略可以设置更安全的系统密码。第1步，单击菜单“开始”→“运行”，在弹出的窗口中输入“gpedit.msc”命令，打开“组策略”窗口。第2步，展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“密码策略”，在窗口右侧会出现一系列的密码设置项，经过这里的配置，可以建立一个完备的密码策略，使密码得到最大限度地保护。(1)强制密码历史。该设置项决定了保存用户曾经用过的密码个数。经常更换密码可以提高密码的安全性，但由于个人习惯，常常换来换去就是有限的几个密码。配置该策略就可以让系统记住用户曾经使用过的密码，如果更换的新密码与系统“记忆”中的重复，系统就会给出提示。默认情况下，这个策略不保存用户的密码，可以根据自己的习惯进行设置，建议保存5个以上(最多可以保存24个)。(2)密码最长存留期。这个策略决定了一个密码可以使用多久，之后就会过期，密码过期时系统会要求用户更换密码。如果设置为“0”，则密码永不过期。一般情况下可设置为30—60天，最长可以设置999天。(3)密码最短存留期这个策略决定了一个密码要在使用多久之后