一些Windows系統安全配置方法

逛了許多論壇，入了許多QQ群，發現很多朋友總喜歡談論入侵呀攻擊呀之類的話題。呵呵……我就想問問這些朋友－－你的電腦安全嗎？你安全了嗎（真的值得懷疑）？   朋友！沒有一個安全的環境你什麼也做不了的！！   電腦安全問題一直以來都是個最重要的一個問題，也是電腦愛好者最關心的一個問題。它是個大話題涉及到電腦的方方面面，三言兩語是說不清楚的，也不是幾天就能夠學會的。在這裡我總結了一些系統安全配置方面的知識，希望對大家有所幫助。因為隻有一台安全的電腦才可以預防病毒的騷擾、抵禦黑客的入侵。   好了下面就開始我們的安全之旅吧。 一、安裝過程   1、有選擇性地安裝元件   安裝作業系統時請用NTFS格式， 不要按Windows 2000的預設安裝元件，本着“最少的服務+最小的權限=最大的安全”原則，隻選擇安裝需要的服務即可。例如：不作為Web伺服器或FTP伺服器就不安裝IIS。常用Web伺服器需要的最小元件是： Internet 服務管理器、WWW伺服器和與其有關的輔助服務。如果是預設安裝了IIS服務自己又不需要的就将其解除安裝。解除安裝辦法：開始---->設定---->控制台---->添加删除程式---->添加/删除Windows元件，在“windows元件向導”的“元件（C）：”中将“Internet資訊服務（IIS）”前面小框中的√去掉，然後“下一步”就解除安裝了IIS。---->---->---->---->   2、網絡連接配接   在安裝完成Windows 2000作業系統後，不要立即連入網絡，因為這時系統上的各種程式還沒有打上更新檔，存在各種漏洞，非常容易感染病毒和被入侵，此時應該安裝防毒軟體和[URL=http://www.bingdun.com]防火牆[/URL]。防毒軟體和[URL=http://www.bingdun.com]防火牆[/URL]推薦使用諾頓企業版用戶端（若做伺服器則用服務端）和黑冰（Blackice）[URL=http://www.bingdun.com]防火牆[/URL]。接着，再把下面的事情做完後再上網。 二、正确設定和管理賬戶   1、停止使用Guest賬戶，并給Guest 加一個複雜的密碼。所謂的複雜密碼就是密碼含大小寫字母、數字、特殊字元（～！@#￥％《》，。？）等。比如象：“G7Y3，^）y。   2、賬戶要盡可能少，并且要經常用一些掃描工具檢視一下系統賬戶、賬戶權限及密碼。删除停用的賬戶，常用的掃描軟體有：流光、HSCAN、X－SCAN、STAT　SCANNER等。正确配置賬戶的權限，密碼至少應不少于8位，比如："3H.#4d&j1)~w",呵呵……讓他破吧！！這樣的密碼他可能把機子跑爛也跑不出來哦^_^   3、增加登入的難度，在“賬戶政策→密碼政策”中設定：“密碼複雜性要求啟用”，“密碼長度最小值8位”，“強制密碼曆史5次”，“最長存留期 30天”；在“賬戶政策→賬戶鎖定政策”設定：“賬戶鎖定3次錯誤登入”，“鎖定時間30分鐘”，“複位鎖定計數30分鐘”等，增加了登入的難度對系統的安全大有好處。   4、把系統Administrator賬号改名，名稱不要帶有Admin等字樣; 建立一個陷阱帳号，如建立一個名為“Administrator”的本地帳戶，把權限設定成最低，什麼事也幹不了，并且加上一個超過10位的超級複雜密碼。這樣可以讓那些“不法之徒”忙上一段時間了，并且可以借此發現他們的入侵企圖。 三、正确地設定目錄和檔案權限（這步可以方在以後做）   為了控制好伺服器上使用者的權限，同時也為了預防以後可能的入侵和溢出，還必須非常小心地設定目錄和檔案的通路權限。Windows 2000的通路權限分為：讀取、寫入、讀取及執行、修改、列目錄、完全控制。在預設的情況下，大多數的檔案夾對所有使用者（Everyone這個組）是完全控制的（Full Control），您需要根據應用的需要重新設定權限。在進行權限控制時，請記住以下幾個原則：   1、權限是累計的，如果一個使用者同時屬于兩個組，那麼他就有了這兩個組所允許的所有權限。   2、拒絕的權限要比允許的權限高（拒絕政策會先執行）。如果一個使用者屬于一個被拒絕通路某個資源的組，那麼不管其他的權限設定給他開放了多少權限，他也一定不能通路這個資源。   3、 檔案權限比檔案夾權限高。   4、 利用使用者組來進行權限控制是一個成熟的系統管理者必須具有的優良習慣。   5、 隻給使用者真正需要的權限，權限的最小化原則是安全的重要保障。   6、 預防ICMP攻擊。ICMP的風暴攻擊和碎片攻擊是NT主機比較頭疼的攻擊方法，而Windows 2000應付的方法很簡單。Windows 2000自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形。在這個工具中，我們可以輕易地定義輸入輸出包過濾器。如設定輸入ICMP代碼255丢棄就表示丢棄所有的外來ICMP封包。 四、網絡服務安全管理   1、關閉不需要的服務 隻留必需的服務，多一些服務可能會給系統帶來更多的安全因素。如Windows 2000的Terminal Services（終端服務）、IIS（web服務）、RAS（遠端通路服務）等，這些都有産生漏洞的可能。   2、關閉不用的端口。   3、隻開放服務需要的端口與協定。   具體方法為：按順序打開“網路上的芳鄰→屬性→本地連接配接→屬性→Internet 協定→屬性→進階→選項→TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協定即可。根據服務開設口，常用的TCP口有：80口用于Web服務；21用于FTP服務；25口用于SMTP；23口用于Telnet服務；110口用于POP3。常用的UDP端口有：53口－DNS域名解析服務；161口－snmp簡單的網絡管理協定。8000、4000用于OICQ，伺服器用8000來接收資訊，用戶端用4000發送資訊。如果沒有上面這些服務就沒有必要打開這些端口。   4、禁止建立空連接配接   Windows 2000的預設安裝允許任何使用者可通過空連接配接連上伺服器，枚舉賬号并猜測密碼。空連接配接用的端口是139，通過空連接配接，可以複制檔案到遠端伺服器，計劃執行一個任務，這就是一個漏洞。可以通過以下兩種方法禁止建立空連接配接： （1） 修改系統資料庫中Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值為1。 （2）修改Windows 2000的本地安全政策。設定“本地安全政策→本地政策→選項”中的RestrictAnonymous（匿名連接配接的額外限制）為“不容許枚舉SAM賬号和共享”。   Windows 2000的預設安裝允許任何使用者通過空連接配接得到系統所有賬号和共享清單，這本來是為了友善區域網路使用者共享資源和檔案的，但是，同時任何一個遠端使用者也可以通過同樣的方法得到您的使用者清單，并可能使用暴力法破解使用者密碼給整個網絡帶來破壞。很多人都隻知道更改系統資料庫Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous = 1來禁止空使用者連接配接，實際上Windows 2000的本地安全政策裡（如果是域伺服器就是在域伺服器安全和域安全政策裡）就有RestrictAnonymous選項，其中有三個值：“0”這個值是系統預設的，沒有任何限制，遠端使用者可以知道您機器上所有的賬号、組資訊、共享目錄、網絡傳輸清單(NetServerTransportEnum)等；“1”這個值是隻允許非NULL使用者存取SAM賬号資訊和共享資訊；“2”這個值隻有Windows 2000才支援，需要注意的是，如果使用了這個值，就不能再共享資源了，是以還是推薦把數值設為“1”比較好。 五、關閉無用端口和修改3389端口   Windows的每一項服務都對應相應的端口，比如衆如周知的WWW服務的端口是80，smtp是25，ftp是21，win2000安裝中這些服務都是預設開啟的。對于個人使用者來說确實沒有必要，關掉端口也就是關閉了無用的服務。   關閉這些無用的服務可以通過“控制台”的“管理工具”中的“服務”中來配置。 1、關閉7.9等等端口：關閉Simple TCP/IP Service,支援以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 2、關閉80口：關掉WWW服務。在“服務”中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 資訊服務的管理單元提供 Web 連接配接和管理。 3、關掉25端口：關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網傳送電子郵件。 4、關掉21端口：關閉FTP Publishing Service,它提供的服務是通過 Internet 資訊服務的管理單元提供 FTP 連接配接和管理。 5、關掉23端口：關閉Telnet服務，它允許遠端使用者登入到系統并且使用指令行運作控制台程式。 6、還有一個很重要的就是關閉server服務，此服務提供 RPC 支援、檔案、列印以及命名管道共享。關掉它就關掉了win2k的預設共享，比如ipc[URL=http://hackbase.com/News/vip/#]$[/URL]、c[URL=http://hackbase.com/News/vip/#]$[/URL]、admin[URL=http://hackbase.com/News/vip/#]$[/URL]等等，此服務關閉不影響您的共他操作。 7、還有一個就是139端口，139端口是NetBIOS　Session端口，用來檔案和列印共享，注意的是運作samba的unix機器也開放了139端口，功能一樣。以前流光2000用來判斷對方主機類型不太準确，估計就是139端口開放既認為是NT機，現在好了。   關閉139口聽方法是在“網絡和撥接上網”中“本地連接配接”中選取“Internet協定(TCP/IP)”屬性，進入“進階TCP/IP設定”“WINS設定”裡面有一項“禁用TCP/IP的NETBIOS”，打勾就關閉了139端口。   對于個人使用者來說，可以在以上各項服務屬性設定中設為“禁用”，以免下次重新開機服務也重新啟動後端口再次打開。現在你不用擔心你的端口和預設共享了。 8、修改3389   打開系統資料庫HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/Wds/Repwd/Tds/Tcp, 看到那個PortNumber沒有?0xd3d，這個是16進制，就是3389啦。我改XXXX這個值是RDP(遠端桌面協定)的預設值，也就是說用來配置以後建立的RDP服務的，要改已經建立的RDP服務，我們去下一個鍵值：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations這裡應該有一個或多個類似RDP-TCP的子健（取決于你建立了多少個RDP服務），一樣改掉PortNumber。   好了現在你不用擔心你的預設共享了，安全了吧！别高興太早，下面還有呢。 六、本地安全政策 A、通過建立IP政策來阻止端口連接配接   TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389   TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導)   UDP端口:1434(這個就不用說了吧)  阻止所有ICMP,即阻止PING指令 B、在 這裡我用關閉135端口來執行個體講解 1.建立IP篩選器和篩選器操作   a."開始"->"程式"->"管理工具"->"本地安全政策".微軟建議使用本地安全政策進行IPsec的設定,因為本地安全政策隻應用到本地計算機上,而通常ipsec都是針對某台計算機量身定作的.  b.右擊"Ip安全政策,在本地機器",選擇"管理 IP 篩選器表和篩選器操作",啟動管理 IP 篩選器表和篩選器操作對話框.我們要先建立一個IP篩選器和相關操作才能夠建立一個相應的IPsec安全政策.  c.在"管理 IP 篩選器表"中,按"添加"按鈕建立新的IP篩選器:   1)在跳出的IP篩選器清單對話框内,填上合适的名稱,我們這兒使用"tcp135",描述随便填寫.單擊右側的"添加..."按鈕,啟動IP篩選器向導.   2)跳過歡迎對話框,下一步.   3)在IP通信源頁面,源地方選"任何IP位址",因為我們要阻止傳入的通路.下一步.   4)在IP通信目标頁面,目标位址選"我的IP位址".下一步.   5)在IP協定類型頁面,選擇"TCP".下一步.   6)在IP協定端口頁面,選擇"到此端口"并設定為"135",其它不變.下一步.   7)完成.關閉IP篩選器清單對話框.會發現tcp135IP篩選器出現在IP篩選器清單中.  d.選擇"管理篩選器操作"标簽,建立一個拒絕操作:  1)單擊"添加"按鈕,啟動"篩選器操作向導",跳過歡迎頁面,下一步.  2)在篩選器操作名稱頁面,填寫名稱,這兒填寫"拒絕".下一步.  3)在篩選器操作正常選項頁面,将行為設定為"阻止".下一步.  4)完成.   e、關閉"管理 IP 篩選器表和篩選器操作"對話框.   2.建立IP安全政策   1.右擊"Ip安全政策,在本地機器",選擇"建立IP安全政策",啟動IP安全政策向導.跳過歡迎頁面,下一步.   2.在IP安全政策名稱頁面,填寫合适的IP安全政策名稱,這兒我們可以填寫"拒絕對tcp135端口的通路",描述可以随便填寫.下一步.  3.在安全通信要求頁面,不選擇"激活預設響應規則".下一步.  4.在完成頁面,選擇"編輯屬性".完成.   5.在"拒絕對tcp135端口的通路屬性"對話框中進行設定.首先設定規則:   1)單擊下面的"添加..."按鈕,啟動安全規則向導.跳過歡迎頁面,下一步.   2)在隧道終結點頁面,選擇預設的"此規則不指定隧道".下一步.   3)在網絡類型頁面,選擇預設的"所有網絡連接配接".下一步.   4)在身份驗證方法頁面,選擇預設的"windows 2000預設值(Kerberos V5 協定)".下一步.  5)在IP篩選器清單頁面選擇我們剛才建立的"tcp135"篩選器.下一步.  6)在篩選器操作頁面,選擇我們剛才建立的"拒絕"操作.下一步.  7)在完成頁面,不選擇"編輯屬性",确定.  6.關閉"拒絕對tcp135端口的通路屬性"對話框. 3.指派和應用IPsec安全政策   1）預設情況下,任何IPsec安全政策都未被指派.首先我們要對建立立的安全政策進行指派.在本地安全政策MMC中,右擊我們剛剛建立的""拒絕對tcp135端口的通路屬性"安全政策,選擇"指派".   2）立即重新整理組政策.使用"secedit /refreshpolicy machine_policy"指令可立即重新整理組政策. 七、稽核政策   具體方法：控制台==》管理工具==》本地安全政策==》本地政策==》稽核政策，然後右鍵點選下列各項，選擇“安全性”來設定就可以了。   稽核政策更改:成功,失敗   稽核登入事件:成功,失敗   稽核對象通路:失敗   稽核對象追蹤:成功,失敗   稽核目錄服務通路:失敗   稽核特權使用:失敗   稽核系統事件:成功,失敗   稽核賬戶登入事件:成功,失敗   稽核賬戶管理:成功,失敗   密碼政策:啟用“密碼必須符合複雜性要求","密碼長度最小值"為6個字元,"強制密碼曆史"為5次,"密碼最長存留期"為30天.   在賬戶鎖定政策中設定:"複位賬戶鎖定計數器"為30分鐘之後,"賬戶鎖定時間"為30分鐘,"賬戶鎖定值"為30分鐘.   安全選項設定:本地安全政策==本地政策==安全選項==對匿名連接配接的額外限制,輕按兩下對其中有效政策進行設定,選擇"不允許枚舉SAM賬号和共享",因為這個值是隻允許非NULL使用者存取SAM賬号資訊和共享資訊,一般選擇此項，然後再禁止登入螢幕上顯示上次登入的使用者名。   禁止登入螢幕上顯示上次登入的使用者名也可以改系統資料庫HKEY_LOCAL_MACHINE/SOFTTWARE/Microsoft/WindowsNT/CurrentVesion/Winlogn項中的Don't Display Last User Name串，将其資料修改為1 八、Windows日志檔案的保護 　　日志檔案對我們如此重要，是以不能忽視對它的保護，防止發生某些“不法之徒”将日志檔案清洗一空的情況。 1． 修改日志檔案存放目錄 　　Windows日志檔案預設路徑是“%systemroot%/system32/config”，我們可以通過修改系統資料庫來改變它的存儲目錄，來增強對日志的保護。 　　點選“開始→運作”，在對話框中輸入“Regedit”，回車後彈出系統資料庫編輯器，依次展開“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Eventlog”後，下面的Application、Security、System幾個子項分别對應應用程式日志、安全日志、系統日志。 　　我以應用程式日志為例，将其轉移到“d:abc”目錄下。首先選中Application子項，在右欄中找到File鍵，其鍵值為應用程式日志檔案的路徑“%SystemRoot%system32configAppEvent.Evt”，将它修改為“d:abc/AppEvent.Evt”。接着在D盤建立“abc”目錄，将“AppEvent.Evt”拷貝到該目錄下，重新啟動系統，這樣就完成了應用程式日志檔案存放目錄的修改。其它類型日志檔案路徑修改方法相同，隻是在不同的子項下操作。 　　2． 設定檔案通路權限 　　修改了日志檔案的存放目錄後，日志還是可以被清空的，下面通過修改日志檔案通路權限，防止這種事情發生，前提是Windows系統要采用NTFS檔案系統格式。 　　右鍵點選D盤的CCE目錄，選擇“屬性”，切換到“安全”标簽頁後，首先取消“允許将來自父系的可繼承權限傳播給該對象”選項勾選。接着在賬号清單框中選中“Everyone”賬号，隻給它賦予“讀取”權限；然後點選“添加”按鈕，将“System”賬号添加到賬号清單框中，賦予除“完全控制”和“修改”以外的所有權限，最後點選“确定”按鈕。這樣當使用者清除Windows日志時，就會彈出錯誤對話框。   呵呵，現在你也不用擔心了！！下面我們繼續。 九、 上網  現在你可以連接配接上網了，但是暫時不要打開IE浏覽器。接下來工作是更新防毒軟體和[URL=http://www.bingdun.com]防火牆[/URL]，并設定好，具體設定方法請參照[URL=http://www.hackbase.com]黑基[/URL]教程。然後從開始菜單打開Windows update 打好系統所有的更新檔，這個過程有點漫長，耐心等待吧。當你打好系統所有更新檔後再備份好系統，呵呵……上網吧你安全了（注意！沒有絕對的安全哦）！！！   好了暫時就到這裡了，我在這裡總結出來的隻是安全問題中最基礎的一部分，其它的還要*大家自己去努力學習。大家碰到不懂的知識請多用搜尋引擎，那個才是你最忠實夥伴、最誠實朋友，也是你最好老師！   另外，若有不到之處還請各位前輩批評指正！！   總之，多看看、多動腦、多動手就沒有你學不會的東西！！！