|
|
知识路径: > 操作系统安全保护 > Windows操作系统安全分析与防护 > Windows操作系统安全防护(系统安全增强技术方法与流程、系统安全增强工具与产品、系统常见漏洞与解决方法等) >
|
|
相关知识点:46个
|
|
|
|
|
|
|
非法用户若能以软盘及光盘启动计算机,那他就可以随意在DOS状态下对系统进行攻击。因此,用户必须关闭软盘及光盘的启动功能。设置方法为:启动计算机,在系统自检时进入系统的CMOS设置功能,然后将系统的启动选项设置为“C only”(即仅允许从C盘启动),同时为COMS设置必要的密码。
|
|
|
|
|
|
在很多时候,用户账号与口令是攻击者入侵系统的突破口,系统的账号越多,攻击者得到合法用户的权限可能性就越大。因此,为了增强Windows 2000的安全,应加强用户账号与口令的安全管理,具体安全增强措施如下。
|
|
|
|
|
|
在计算机管理的用户里把guest账号停用,任何时候都不允许guest账号登录系统。另外,最好给guest加一个复杂的口令。
|
|
|
|
|
|
去掉所有的duplicate user账号、测试账号、共享账号、普通部门账号等。给用户组策略设置相应权限,并且经常检查系统的账号,删除已经不再使用的账号。
|
|
|
|
|
|
把Administrator账号换成不易猜测到的账号名,这样可以有效地防止口令尝试攻击。注意,请不要使用Admin之类的名字。
|
|
|
|
|
|
创建一个名为Administrator的本地账号,把它的权限设置成最低,并且加上一个超过10位的复杂口令。这样可以增加攻击者的攻击强度,并且可以借此发现他们的入侵企图。
|
|
|
|
|
|
设置安全复杂的口令,使得攻击者在短时间内无法破解出来,并且定期更换口令。
|
|
|
|
|
|
|
|
|
|
默认情况下,终端服务接入服务器时,登录对话框中会显示上次登录的账号名,本地的登录对话框也是一样。这使得攻击者可以轻易得到系统的一些用户名,进而做口令猜测。为增强系统安全,通过修改注册表,不让对话框里显示上次登录的用户名,具体修改操作是:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName下,把REG_SZ的键值改成“1”。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
攻击者常利用系统的漏洞来进行入侵。因此,必须密切关注微软或其他网站发布的漏洞和补丁信息,及时为系统安装上最新的补丁,这样有助于保护操作系统免受新出现的攻击方法和新漏洞的危害。
|
|
|
|
|
|
攻击Windows 2000的主要途径来自网络,为了防止网络攻击,Windows 2000一般从以下几个方面进行安全增强。
|
|
|
|
|
|
默认情况下,任何用户都可以通过空连接连上服务器,进而枚举出账号,猜测口令。禁止建立空连接的方法是修改注册表LSA-RestrictAnonymous的键值为1,具体操作为:将Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成“1”即可,如下图所示。
|
|
|
|
|
|
|
|
|
|
Windows 2000安装好以后,系统会创建一些隐藏的共享,用户可以在命令窗口下用NET SHARE查看。要禁止这些共享,操作的方法是:打开管理工具→计算机管理→共享文件夹→共享,在相应的共享文件夹上右击停止共享即可。
|
|
|
|
|
|
网络服务和端口的开放就意味着增加系统的安全风险。为此,应尽量避免打开不需要的网络服务和网络端口。可以启用Windows 2000的“TCP/IP筛选”机制关闭服务和端口。若开放Web服务器,只允许外部对TCP 80号端口的连接请求,即在“TCP端口”栏设定成80。“TCP/IP筛选”的操作方法为:在“本地连接属性”对话框中,双击“Internet协议(TCP/IP)”后,选定对话框右下侧的“高级”按钮;然后选择“高级TCP/IP设置”→“选项”→“TCP/IP筛选”,弹出“TCP/IP筛选”对话框,在此对话框中将TCP端口号设置为80,如下图所示。
|
|
|
|
|
|
|
|
|
|
虽然Windows自身已经提供了安全功能,例如Windows XP SP2自带了防火墙,但仍然存在着一些局限。使用第三方防护软件,例如个人PC防火墙、个人PC入侵检测IDS、反间谍软件、杀病毒软件以及漏洞扫描工具等,都能有效地提高Windows系统的安全性。
|
|
|
