系统安全设置速查手册
系统安全特辑
提到“系统安全”,相信多数人会想到各种防火墙工具、防病毒软件等,并且认为只要在系统中有了它们的存在,便可高枕无忧。其实,电脑系统的安全单纯靠被动的“防”是防不住的,还需要我们有足够的安全意识,并采取主动防御的措施。
一、安全保障从安装开始
系统安装,请将硬盘分区为NTFS格式,这是系统安全的基础,然后请注意以下问题:
1.有选择性地安装组件
(1)最小组件安装
安装操作系统时,本着“最少的服务+最小的权限=最大的安全”原则,只选择安装需要的服务即可。例如:不作为Web服务器或FTP服务器就不安装IIS。常用Web服务器需要的最小组件是:Internet服务管理器、WWW服务器和与其有关的辅助服务。
(2)删除多余组件
如果默认安装了IIS服务而自己又不需要,就将其卸载。卸载方法是:“开始菜单→设置→控制面板→添加删除程序→添加/删除Windows组件”,在“Windows组件向导”的组件中将“Internet信息服务(IIS)”前面小框中的√去掉,然后点击“下一步”按钮就卸载了IIS,如图1所示。
2.网络连接注意事项
在安装完成Windows XP操作系统后,不要立即连入网络,因为这时系统上的各种程序还没有打上补丁,存在各种漏洞,非常容易感染病毒和被入侵,此时应该安装杀毒软件和防火墙。杀毒软件和防火墙推荐使用诺顿安全特警。
接下来的工作是连网升级杀毒软件和防火墙,然后从开始菜单打开Windows update,打好系统所有的补丁,这个过程有点漫长,需耐心等待。
二、设置和管理用户账户
账户管理是电脑系统管理中最必要且最经常的工作。如果有人掌握了系统本地管理员账户,就能够在你的电脑上造成一场大灾难。管理好帐户能够让你的系统更加安全,应做好以下几点:
①在“计算机管理→本地用户和组→用户”中停止使用Guest账户或者给Guest 加一个复杂的密码,如图2所示。所谓复杂密码就是密码中含大小写字母、数字、特殊字符。
②账户要尽可能少,删除停用的账户,并且要经常用一些扫描工具查看一下系统账户、账户权限及密码有无漏洞。常用的扫描软件有:流光、HSCAN、X-SCAN、STAT SCANNER等。
③正确配置账户的权限,密码至少不应少于8位。首先在开始菜单中显示“管理工具”组,方法是:“右键点击工具栏→属性→[开始]菜单→经典[开始]菜单→自定义→勾选‘显示管理工具’”。
然后在“开始菜单→程序→管理工具→本地安全策略→账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值8位”,“强制密码历史5次”,“最长存留期30天”;在“账户锁定策略”设定:“账户锁定3次错误登录”,“锁定时间30分钟”,“复位锁定计数30分钟”等,增加登录的难度对系统的安全大有好处,如图3所示。
④把系统Administrator账号改名,名称不要带有Admin等字样。再创建一个陷阱账号,如创建一个名为“Administrator”的本地账户,把权限设置成最低,什么事也干不了,并且加上一个超过10位的超级复杂密码。这样可以让那些“不法之徒”忙上一段时间了,并且可以借此发现他们的入侵企图。
三、设置目录与文件权限
为了控制好用户的权限,同时也为了预防以后可能的入侵和溢出,必须非常小心地设置目录和文件的访问权限。Windows XP的访问权限分为:完全控制、更改、读取。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全控制的(Full Control),如图4所示,你需要根据应用的需要重新设置权限。
1.了解安全权限
安全权限有以下六种,如图5所示:
①完全控制(Full Control):该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等。拥有完全控制权限就等于拥有了其他所有的权限。
②修改(Modify):该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限。
③读取和运行(Read & Execute):该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资源中进行移动和查看,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径。
④列出文件夹目录(List Folder Contents):该权限允许用户查看资源中的子文件夹与文件名称。
⑤读取(Read):该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等。
⑥写入(Write):该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
2.安全权限设置原则
在进行权限控制设置时,请记住以下几个原则:
(1)拒绝优于允许原则
“拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,例如,“y”这个用户既属于“yy”用户组,也属于“yyy”用户组,当我们对“yyy”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“y”账户将自动拥有“写入”的权限。
但令人奇怪的是,“y”账户明明拥有对这个资源的“写入”权限,为什么实际操作中却无法执行呢?原来,在“yy”组中同样也对“yy”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,“y”在“yy”组中被 “拒绝写入”的权限将优先于“yyy”组中被赋予的允许“写入”权限被执行。因此,在实际作中,“y”用户无法对这个资源进行“写入”作。
(2)权限最小化原则
Windows XP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常必要的。这条原则可以确保资源得到最大的安全保障,而且可以尽量让用户不能访问或不必要访问的资源得到有效的权限限制。
基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝的权限。例如系统中新建的受限用户“y”在默认状态下对“vista”目录是没有任何权限的,现在需要为这个用户赋予对“vista”目录有“读取”的权限,那么就必须在“vista”目录的权限列表中为“y”用户添加“读取”权限。
(3)权限继承性原则
权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个“vista”目录,在这个目录中有“vista 1”、“vista 2”、“vista 3”等子目录,现在需要对vista目录及其下的子目录均设置“y”用户有“写入”权限。因为有继承性原则,所以只需对“vista”目录设置“y”用户有“写入”权限,其下的所有子目录将自动继承这个权限的设置。
(4)累加原则
这个原则比较好理解,假设现在“yc”用户既属于“A”用户组,也属于“B”用户组,它在A用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“yc”用户的实际权限将会是“读取+写入”两种。
显然,“拒绝优于允许”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦。
注意:在Windows XP中,“Administrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)的权力,也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力。例如受限用户“yc”建立了一个vista目录,并只赋予自己拥有读取权力,这看似周到的权限设置都可被“Administrators”组的全部成员通过“夺取所有权”等方法获得这个权限。
四、设置应用程序使用权限
Windows XP操作系统在文件管理方面的功能设计上颇为多样、周全和智能化。这里通过“程序文件使用权限设置”、将“授权多个用户访问加密文件”和了解“系统日志的访问权限”三个例子给大家解释一下如何进行日常设置应用。
1.程序文件权限使用设置
要了解Windows XP中关于程序文件的访问权限,我们应首先了解一下Windows XP在这方面的两个设计,一是组策略中软件限制策略的设计;二是临时分配程序文件使用权限的设计。
(1)软件限制策略
在“运行”栏中输入“Gpedit.msc”命令打开组策略窗口后,在“计算机配置→Windows设置→安全设置”分支中,右键选中“软件限制策略”,在弹出的快捷菜单中选择新建一个策略后,就可以从“软件限制策略”下新出现的“安全级别”中看到有两种安全级别的存在了。
这两条安全级别于程序文件与用户权限之间是有密切联系的:
①不允许的:从其解释中可以看出,无论用户的访问权如何,软件都不会运行。
②不受限的:这是默认的安全级别,其解释为“软件访问权由用户的访问权来决定”。显然,之所以在系统中可以设置各种权限,是因为有这个默认安全策略在背后默默支持的缘故。如果想把“不允许的”安全级别设置为默认状态,只需双击进入其属性界面后点击“设为默认值”按钮即可。
(2)临时分配程序文件
为什么要临时分配程序文件的管理权限呢?这是因为在Windows XP中,有许多很重要的程序都要求用户具有一定的管理权限才能使用,因此某些账户在使用权限不足以使用某些程序时,我们就需要临时分配一个访问程序的管理权限。为程序分配临时管理权限的方法很简单:右键点击要运行的程序图标,在弹出的快捷菜单中选择“运行方式”,在打开的“运行身份”对话框中选中“下列用户”选项,在“用户名”和“密码”右侧的文本框中指定用户及密码即可。
显然,这个临时切换程序文件管理权限的设计是十分有必要的,它可以很好地起到保护系统的目的。
2.授权多个用户访问加密文件
Windows XP在EFS上的改进之一就是可以允许多个用户访问加密文件,这些用户既可以是本地用户,也可以是域用户或受信任域的用户。由于无法将证书颁发给用户组,而只能颁发给用户,所以只能授权单个的账户访问加密文件。
要授权加密文件可以被多个用户访问,可以按照如下方法进行操作:
选中已经加密的文件,用鼠标右键点击该加密文件,选择“属性”,在打开的属性对话框中的“常规”选项卡下点击“高级”按钮,打开加密文件的高级属性对话框,点击其中的“详细信息”按钮(加密文件夹时此按钮无效),在打开的对话框中点击“添加”按钮添加一个或多个新用户即可(如果计算机加入了域,则还可以点击“寻找用户”按钮在整个域范围内寻找用户)。
如果要删除某个用户对加密文件的访问权限,那么只需选中此用户后点击“删除”按钮即可。
3.日志的访问权限
什么是日志?我们可以将日志理解为系统日记,这本“日记”可以按系统管理员预先的设定,自动将系统中发生的所有事件都一一记录在案,供管理员查询。既然日志信息具有如此重要的参考作用,就应该做好未经授权的用户修改或查看的权限控制。因此,我们非常有必要去了解一下日志的访问权限在Windows XP中是怎样设计的。一般来说,Administrators、SYSTEM、Everyone三种类型的账户可以访问日志。
这三种类型的账户对不同类型的日志拥有不同的访问权限,下面来看一下表格中具体的说明,请注意“√”表示拥有此权限;“×”表示无此权限。
通过对比,可以看出SYSTEM拥有的权限最高,可以对任意类型的日志进行读写和清除操作;Everyone用户则可以读取应用程序和系统日志,但对安全日志无法读取。这是因为安全日志相对其他几种类型的日志在安全性方面的要求要高一些,只有SYSTEM能够对之写入。
如果想为其他用户赋予管理审核安全日志的权限,那么可以在“运行”栏中输入“Gpedit.msc”命令打开组策略编辑器窗口后,依次进入“计算机配置→Windows设置→安全设置→本地策略→用户权利指派”,双击右侧的“管理审核和安全日志”项,在弹出的对话框中添加所需的用户即可。
五、设置网络安全策略
电脑连上网络,安全问题就越加棘手,一般需要从以下几点注意安全防范。
1.关闭不需要的服务
只留必需的服务,多的服务可能会给系统带来更多的不安全因素。如Windows XP的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。
2.只开放服务需要的端口与协议
根据服务开设端口,常用的TCP端口有:80端口用于Web服务;21端口用于FTP服务;25端口用于SMTP;23端口用于Telnet服务;110端口用于POP3。
常用的UDP端口有:53端口用于DNS域名解析服务;161端口用于snmp简单的网络管理协议。8000、4000端口用于QQ,服务器用8000端口来接收信息,客户端用4000端口发送信息。
如果没有上面这些服务就没有必要打开这些端口。
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可,如图6所示。
3.禁止建立空连接
Windows XP的默认安装允许任何用户可通过空连接连上服务器,枚举账号并猜测密码。这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下方法禁止建立空连接:
①修改注册表中Hkey_Local_Machine\System\CurrentControl Set\Control\LSA的RestrictAnonymous 的值为1,如图7所示。
②修改Windows XP的本地安全策略。从“开始菜单→程序→管理工具→本地安全策略→本地策略→安全选项”中设置“网络访问:不容许SAM账户和共享的匿名枚举”为启用。
六、设置系统审核策略
Windows XP可以使用审核策略跟踪用于访问文件或者其他对象的用户、登录尝试、系统关闭或重新启动以及类似事件,以此保护电脑安全。
具体方法:“开始菜单→程序→管理工具→本地安全策略→本地策略→审核策略”,然后右键点击下列各项,选择“安全性”来设置就可以了,如图8所示。
审核策略设置表:
