操作系統安全：我的地盤我做主

　電腦安全問題一直以來都是個最重要的一個問題，也是電腦愛好者最關心的一個問題。它是個大話題涉及到電腦的方方面面，三言兩語是說不清楚的，也不是幾天就能夠學會的。在這裡我總結了一些系統安全配置方面的知識，希望對大家有所幫助。因為只有一台安全的電腦才可以預防病毒的騷擾、抵禦黑客的入侵。

　　下面就開始我們的安全之旅吧。

　　一、安裝過程

　　1、有選擇性地安裝組件

　　安裝操作系統時請用NTFS格式， 不要按Windows 2000的默認安裝組件，本著「最少的服務+最小的許可權=最大的安全」原則，只選擇安裝需要的服務即可。例如:不作為Web伺服器或FTP伺服器就不安裝IIS。常用Web伺服器需要的最小組件是: Internet 服務管理器、WWW伺服器和與其有關的輔助服務。如果是默認安裝了IIS服務自己又不需要的就將其卸載。卸載辦法:開始---->設置---->控制面板---->添加刪除程序---->添加/刪除Windows組件，在「windows組件嚮導」的「組件(C):」中將「Internet信息服務(IIS)」前面小框中的√去掉，然後「下一步」就卸載了IIS。

　　2、網路連接

　　在安裝完成Windows 2000/XP操作系統后，不要立即連入網路，因為這時系統上的各種程序還沒有打上補丁，存在各種漏洞，非常容易感染病毒和被入侵，此時應該安裝殺毒軟體和防火牆。殺毒軟體和防火牆推薦使用卡巴斯基、諾頓企業版客戶端(若做伺服器則用服務端)和ZoneAlarm防火牆。接著，再把下面的事情做完后再上網。

　　二、正確設置和管理賬戶

　　1、停止使用Guest賬戶，並給Guest 加一個複雜的密碼。所謂的複雜密碼就是密碼含大小寫字母、數字、特殊字元(～!@￥%《》，。?)等。比如象:「G7Y3，^)y。

　　2、賬戶要儘可能少，並且要經常用一些掃描工具查看一下系統賬戶、賬戶許可權及密碼。刪除停用的賬戶，常用的掃描軟體有:流光、HSCAN、X-SCAN、STAT　SCANNER等。正確配置賬戶的許可權，密碼至少應不少於8位，比如:"3H.4d&j1)~w",呵呵……讓他破吧!!這樣的密碼他可能把機子跑爛也跑不出來哦 ^_^

　　3、增加登錄的難度，在「賬戶策略→密碼策略」中設定:「密碼複雜性要求啟用」，「密碼長度最小值8位」，「強制密碼歷史5次」，「最長存留期 30天」;在「賬戶策略→賬戶鎖定策略」設定:「賬戶鎖定3次錯誤登錄」，「鎖定時間30分鐘」，「複位鎖定計數30分鐘」等，增加了登錄的難度對系統的安全大有好處。

　　4、把系統Administrator賬號改名，名稱不要帶有Admin等字樣; 創建一個陷阱帳號，如創建一個名為「Administrator」的本地帳戶，把許可權設置成最低，什麼事也幹不了，並且加上一個超過10位的超級複雜密碼。這樣可以讓那些「不法之徒」忙上一段時間了，並且可以藉此發現他們的入侵企圖。

　　三、正確地設置目錄和文件許可權(這步可以在以後做)

　　為了控制好伺服器上用戶的許可權，同時也為了預防以後可能的入侵和溢出，還必須非常小心地設置目錄和文件的訪問許可權。Windows 2000/XP Pro的訪問許可權分為:讀取、寫入、讀取及執行、修改、列目錄、完全控制。在默認的情況下，大多數的文件夾對所有用戶(Everyone這個組)是完全控制的(Full Control)，您需要根據應用的需要重新設置許可權。在進行許可權控制時，請記住以下幾個原則:

　　①許可權是累計的，如果一個用戶同時屬於兩個組，那麼他就有了這兩個組所允許的所有許可權。

　　②拒絕的許可權要比允許的許可權高(拒絕策略會先執行)。如果一個用戶屬於一個被拒絕訪問某個資源的組，那麼不管其他的許可權設置給他開放了多少許可權，他也一定不能訪問這個資源。

　　③文件許可權比文件夾許可權高。

　　④利用用戶組來進行許可權控制是一個成熟的系統管理員必須具有的優良習慣。

　　⑤只給用戶真正需要的許可權，許可權的最小化原則是安全的重要保障。

　　⑥預防ICMP攻擊。ICMP的風暴攻擊和碎片攻擊是NT主機比較頭疼的攻擊方法，而Windows 2000/2003應付的方法很簡單。Windows 2000/2003自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形。在這個工具中，我們可以輕易地定義輸入輸出包過濾器。如設定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文。

　　四、網路服務安全管理

　　1、關閉不需要的服務

　　只留必需的服務，多一些服務可能會給系統帶來更多的安全因素。如Windows 2000/2003的Terminal Services(終端服務)、IIS(web服務)、RAS(遠程訪問服務)等，這些都有產生漏洞的可能。

　　2、關閉不用的埠。

　　3、只開放服務需要的埠與協議。

　　具體方法為:按順序打開「網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→TCP/IP篩選→屬性」，添加需要的TCP、UDP埠以及IP協議即可。根據服務開設口.

　　常用的TCP口有:80口用於Web服務;21用於FTP服務;25口用於SMTP;23口用於Telnet服務;110口用於POP3(郵件服務)。

　　常用的UDP埠有:53口-DNS域名解析服務;161口-snmp簡單的網路管理協議。8000、4000用於OICQ，伺服器用8000來接收信息，客戶端用4000發送信息。如果沒有上面這些服務就沒有必要打開這些埠。

　　4、禁止建立空連接

　　Windows 2000/XP的默認安裝允許任何用戶可通過空連接連上伺服器，枚舉賬號並猜測密碼。空連接用的埠是139，通過空連接，可以複製文件到遠端伺服器，計劃執行一個任務，這就是一個漏洞。可以通過以下兩種方法禁止建立空連接:

　　A:修改註冊表中Local_Machine \System \CurrentControlSet \Control \LSA-RestrictAnonymous 的值為1。

　　B:修改Windows 2000的本地安全策略。設置「本地安全策略→本地策略→選項」中的RestrictAnonymous(匿名連接的額外限制)為「不容許枚舉SAM賬號和共享」。

　　Windows 2000/XP的默認安裝允許任何用戶通過空連接得到系統所有賬號和共享列表，這本來是為了方便區域網用戶共享資源和文件的，但是，同時任何一個遠程用戶也可以通過同樣的方法得到您的用戶列表，並可能使用暴力法破解用戶密碼給整個網路帶來破壞。很多人都只知道更改註冊表Local_Machine \System \CurrentControlSet \Control \LSA-RestrictAnonymous = 1來禁止空用戶連接，實際上Windows 2000/XP的本地安全策略里(如果是域伺服器就是在域伺服器安全和域安全策略里)就有RestrictAnonymous選項，其中有三個值:「0」這個值是系統默認的，沒有任何限制，遠程用戶可以知道您機器上所有的賬號、組信息、共享目錄、網路傳輸列表(NetServerTransportEnum)等;「1」這個值是只允許非NULL用戶存取SAM賬號信息和共享信息;「2」這個值只有Windows 2000/XP才支持，需要注意的是，如果使用了這個值，就不能再共享資源了，所以還是推薦把數值設為「1」比較好。

　　五、關閉無用埠和修改3389埠

　　Windows的每一項服務都對應相應的埠，比如眾如周知的www服務的埠是80，smtp是25，ftp是21，win2000/XP安裝中這些服務都是默認開啟的。對於個人用戶來說確實沒有必要，關掉埠也就是關閉了無用的服務。

　　關閉這些無用的服務可以通過「控制面板」的「管理工具」中的「服務」中來配置。

　　1、關閉7.9等等埠:關閉Simple TCP/IP Service,支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。

　　2、關閉80口:關掉WWW服務。在「服務」中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 信息服務的管理單元提供 Web 連接和管理。

　　3、關掉25埠:關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網傳送電子郵件。

　　4、關掉21埠:關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。

　　5、關掉23埠:關閉Telnet服務，它允許遠程用戶登錄到系統並且使用命令行運行控制台程序。

　　6、還有一個很重要的就是關閉server服務，此服務提供 RPC 支持、文件、列印以及命名管道共享。關掉它就關掉了win2k的默認共享，比如ipc$、c$、admin$等等，此服務關閉不影響您的共他操作。

　　7、還有一個就是139埠，139埠是NetBIOS　Session埠，用來文件和列印共享，注意的是運行samba的unix機器也開放了139埠，功能一樣。以前流光2000用來判斷對方主機類型不太準確，估計就是139埠開放既認為是NT機，現在好了。

　　關閉139埠的方法是在「網路和撥號連接」——「本地連接」中選取「Internet協議(TCP/IP)」屬性，進入「高級TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139埠。

　　對於個人用戶來說，可以在以上各項服務屬性設置中設為「禁用」，以免下次重啟服務也重新啟動后埠再次打開。現在你不用擔心你的埠和默認共享了。

　　8、修改3389:打開註冊表HKEY_LOCAL_MACHINE \System \CurrentControlSet \Control \Terminal Server \Wds \Repwd \Tds \Tcp, 看到那個PortNumber沒有?0xd3d，這個是16進位，就是3389啦。我改XXXX這個值是RDP(遠程桌面協議)的默認值，也就是說用來配置以後新建的RDP服務的，要改已經建立的RDP服務，我們去下一個鍵值:HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control \TerminalServer \WinStations這裡應該有一個或多個類似RDP-TCP的子健(取決於你建立了多少個RDP服務)，一樣改掉PortNumber。

　　六、本地安全策略

　　1、通過建立IP策略來阻止埠連接

　　TCP埠:21(FTP,換FTP埠)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389

　　TCP埠:1080,3128,6588,8080(以上為代理埠).25(SMTP),161(SNMP),67(引導)

　　UDP埠:1434(這個就不用說了吧)

　　阻止所有ICMP,即阻止PING命令

　　2、在這裡我用關閉135埠來實例講解

　　具體見我的帖子《使用本地安全策略關閉埠(TCP/IP篩選)》

　　七、審核策略

　　具體方法:控制面板→管理工具→本地安全策略→本地策略→審核策略，然後右鍵點擊下列各項，選擇「安全性」來設置就可以了。

　　審核策略更改:成功,失敗

　　審核登錄事件:成功,失敗

　　審核對象訪問:失敗

　　審核對象追蹤:成功,失敗

　　審核目錄服務訪問:失敗

　　審核特權使用:失敗

　　審核系統事件:成功,失敗

　　審核賬戶登錄事件:成功,失敗

　　審核賬戶管理:成功,失敗

　　密碼策略:啟用「密碼必須符合複雜性要求","密碼長度最小值"為6個字元,"強制密碼歷史"為5次,"密碼最長存留期"為30天。

　　在賬戶鎖定策略中設置:"複位賬戶鎖定計數器"為30分鐘之後,"賬戶鎖定時間"為30分鐘,"賬戶鎖定值"為30分鐘。

　　安全選項設置:本地安全策略→本地策略→安全選項→對匿名連接的額外限制，雙擊對其中有效策略進行設置，選擇"不允許枚舉SAM賬號和共享"，因為這個值是只允許非NULL用戶存取SAM賬號信息和共享信息，一般選擇此項，然後再禁止登錄屏幕上顯示上次登錄的用戶名。

　　禁止登錄屏幕上顯示上次登錄的用戶名也可以改註冊表HKEY_LOCAL_MACHINE \SOFTTWARE \Microsoft \WindowsNT \CurrentVesion \Winlogn項中的Don't Display Last User Name串，將其數據修改為1

　　八、Windows日誌文件的保護

　　日誌文件對我們如此重要，因此不能忽視對它的保護，防止發生某些「不法之徒」將日誌文件清洗一空的情況。

　　1. 修改日誌文件存放目錄

　　Windows日誌文件默認路徑是「%systemroot% \system32 \config」，我們可以通過修改註冊表來改變它的存儲目錄，來增強對日誌的保護。

　　點擊「開始→運行」，在對話框中輸入「Regedit」，回車后彈出註冊表編輯器，依次展開HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \Eventlog后，下面的Application、Security、System幾個子項分別對應應用程序日誌、安全日誌、系統日誌。

　　我以應用程序日誌為例，將其轉移到「d: \abc」目錄下。首先選中Application子項，在右欄中找到File鍵，其鍵值為應用程序日誌文件的路徑「%SystemRoot%system32configAppEvent.Evt」，將它修改為「d:abc \AppEvent.Evt」。接著在D盤新建「abc」目錄，將「AppEvent.Evt」拷貝到該目錄下，重新啟動系統，這樣就完成了應用程序日誌文件存放目錄的修改。其它類型日誌文件路徑修改方法相同，只是在不同的子項下操作。

　　2. 設置文件訪問許可權

　　修改了日誌文件的存放目錄后，日誌還是可以被清空的，下面通過修改日誌文件訪問許可權，防止這種事情發生，前提是Windows系統要採用NTFS文件系統格式。

　　右鍵點擊D盤的CCE目錄，選擇「屬性」，切換到「安全」標籤頁后，首先取消「允許將來自父系的可繼承許可權傳播給該對象」選項勾選。接著在賬號列表框中選中「Everyone」賬號，只給它賦予「讀取」許可權;然後點擊「添加」按鈕，將「System」賬號添加到賬號列表框中，賦予除「完全控制」和「修改」以外的所有許可權，最後點擊「確定」按鈕。這樣當用戶清除Windows日誌時，就會彈出錯誤對話框。

　　九、寫在最後的話

　　現在你可以連接上網了，但是暫時不要打開IE瀏覽器。接下來工作是升級殺毒軟體和防火牆，並設置好，具體設置方法請參照締造論壇的相關教程。然後從開始菜單打開Windows update 打好系統所有的補丁，這個過程有點漫長，耐心等待吧。當你打好系統所有補丁后再備份好系統，呵呵……上網吧你安全了(注意！沒有絕對的安全哦)