新手也能對(duì)付病毒:配好系統(tǒng)事半功倍

小明 2006-09-29

展開全文

電腦安全問題一直以來都是個(gè)最重要的一個(gè)問題，也是電腦愛好者最關(guān)心的一個(gè)問題。它是個(gè)大話題涉及到電腦的方方面面，三言兩語是說不清楚的，也不是幾天就能夠?qū)W會(huì)的。在這里我總結(jié)了一些系統(tǒng)安全配置方面的知識(shí)，希望對(duì)大家有所幫助。因?yàn)橹挥幸慌_(tái)安全的電腦才可以預(yù)防病毒的騷擾、抵御黑客的入侵。

　　下面就開始我們的安全之旅吧。

　　一、安裝過程

　　1、有選擇性地安裝組件

　　安裝操作系統(tǒng)時(shí)請(qǐng)用NTFS格式，不要按Windows 2000的默認(rèn)安裝組件，本著“最少的服務(wù)+最小的權(quán)限=最大的安全”原則，只選擇安裝需要的服務(wù)即可。例如:不作為Web服務(wù)器或FTP服務(wù)器就不安裝IIS。常用Web服務(wù)器需要的最小組件是: Internet 服務(wù)管理器、WWW服務(wù)器和與其有關(guān)的輔助服務(wù)。如果是默認(rèn)安裝了IIS服務(wù)自己又不需要的就將其卸載。卸載辦法:開始---->設(shè)置---->控制面板---->添加刪除程序---->添加/刪除Windows組件，在“windows組件向?qū)?#8221;的“組件(C):”中將“Internet信息服務(wù)(IIS)”前面小框中的√去掉，然后“下一步”就卸載了IIS。

　　2、網(wǎng)絡(luò)連接

　　在安裝完成Windows 2000/XP操作系統(tǒng)后，不要立即連入網(wǎng)絡(luò)，因?yàn)檫@時(shí)系統(tǒng)上的各種程序還沒有打上補(bǔ)丁，存在各種漏洞，非常容易感染病毒和被入侵，此時(shí)應(yīng)該安裝殺毒軟件和防火墻。殺毒軟件和防火墻推薦使用卡巴斯基、諾頓企業(yè)版客戶端(若做服務(wù)器則用服務(wù)端)和ZoneAlarm防火墻。接著，再把下面的事情做完后再上網(wǎng)。

　　二、正確設(shè)置和管理賬戶

　　1、停止使用Guest賬戶，并給Guest 加一個(gè)復(fù)雜的密碼。所謂的復(fù)雜密碼就是密碼含大小寫字母、數(shù)字、特殊字符(～!@#￥%《》，。?)等。比如象:“G7Y3，^)y。

　　2、賬戶要盡可能少，并且要經(jīng)常用一些掃描工具查看一下系統(tǒng)賬戶、賬戶權(quán)限及密碼。刪除停用的賬戶，常用的掃描軟件有:流光、HSCAN、X-SCAN、STAT　SCANNER等。正確配置賬戶的權(quán)限，密碼至少應(yīng)不少于8位，比如:"3H.#4d&j1)~w",呵呵……讓他破吧!!這樣的密碼他可能把機(jī)子跑爛也跑不出來哦 ^_^

　　3、增加登錄的難度，在“賬戶策略→密碼策略”中設(shè)定:“密碼復(fù)雜性要求啟用”，“密碼長度最小值8位”，“強(qiáng)制密碼歷史5次”，“最長存留期 30天”;在“賬戶策略→賬戶鎖定策略”設(shè)定:“賬戶鎖定3次錯(cuò)誤登錄”，“鎖定時(shí)間30分鐘”，“復(fù)位鎖定計(jì)數(shù)30分鐘”等，增加了登錄的難度對(duì)系統(tǒng)的安全大有好處。

　　4、把系統(tǒng)Administrator賬號(hào)改名，名稱不要帶有Admin等字樣; 創(chuàng)建一個(gè)陷阱賬號(hào)，如創(chuàng)建一個(gè)名為“Administrator”的本地帳戶，把權(quán)限設(shè)置成最低，什么事也干不了，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。這樣可以讓那些“不法之徒”忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)他們的入侵企圖。

　　三、正確地設(shè)置目錄和文件權(quán)限(這步可以在以后做)

　　為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，還必須非常小心地設(shè)置目錄和文件的訪問權(quán)限。Windows 2000/XP Pro的訪問權(quán)限分為:讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對(duì)所有用戶(Everyone這個(gè)組)是完全控制的(Full Control)，您需要根據(jù)應(yīng)用的需要重新設(shè)置權(quán)限。在進(jìn)行權(quán)限控制時(shí)，請(qǐng)記住以下幾個(gè)原則:

　?、鍣?quán)限是累計(jì)的，如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限。

　?、诰芙^的權(quán)限要比允許的權(quán)限高(拒絕策略會(huì)先執(zhí)行)。如果一個(gè)用戶屬于一個(gè)被拒絕訪問某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個(gè)資源。

　?、畚募?quán)限比文件夾權(quán)限高。

　?、芾糜脩艚M來進(jìn)行權(quán)限控制是一個(gè)成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣。

　?、葜唤o用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障。

　　⑥預(yù)防ICMP攻擊。ICMP的風(fēng)暴攻擊和碎片攻擊是NT主機(jī)比較頭疼的攻擊方法，而Windows 2000/2003應(yīng)付的方法很簡單。Windows 2000/2003自帶一個(gè)Routing & Remote Access工具，這個(gè)工具初具路由器的雛形。在這個(gè)工具中，我們可以輕易地定義輸入輸出包過濾器。如設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報(bào)文。

　　四、網(wǎng)絡(luò)服務(wù)安全管理

　　1、關(guān)閉不需要的服務(wù)

　　只留必需的服務(wù)，多一些服務(wù)可能會(huì)給系統(tǒng)帶來更多的安全因素。如Windows 2000/2003的Terminal Services(終端服務(wù))、IIS(web服務(wù))、RAS(遠(yuǎn)程訪問服務(wù))等，這些都有產(chǎn)生漏洞的可能。

　　2、關(guān)閉不用的端口。

　　3、只開放服務(wù)需要的端口與協(xié)議。

　　具體方法為:按順序打開“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級(jí)→選項(xiàng)→TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務(wù)開設(shè)口.

　　常用的TCP口有:80口用于Web服務(wù);21用于FTP服務(wù);25口用于SMTP;23口用于Telnet服務(wù);110口用于POP3(郵件服務(wù))。

　　常用的UDP端口有:53口-DNS域名解析服務(wù);161口-snmp簡單的網(wǎng)絡(luò)管理協(xié)議。8000、4000用于OICQ，服務(wù)器用8000來接收信息，客戶端用4000發(fā)送信息。如果沒有上面這些服務(wù)就沒有必要打開這些端口。

　　4、禁止建立空連接

　　Windows 2000/XP的默認(rèn)安裝允許任何用戶可通過空連接連上服務(wù)器，枚舉賬號(hào)并猜測(cè)密碼?？者B接用的端口是139，通過空連接，可以復(fù)制文件到遠(yuǎn)端服務(wù)器，計(jì)劃執(zhí)行一個(gè)任務(wù)，這就是一個(gè)漏洞。可以通過以下兩種方法禁止建立空連接:

　　A:修改注冊(cè)表中Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。

　　B:修改Windows 2000的本地安全策略。設(shè)置“本地安全策略→本地策略→選項(xiàng)”中的RestrictAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號(hào)和共享”。

　　Windows 2000/XP的默認(rèn)安裝允許任何用戶通過空連接得到系統(tǒng)所有賬號(hào)和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時(shí)任何一個(gè)遠(yuǎn)程用戶也可以通過同樣的方法得到您的用戶列表，并可能使用暴力法破解用戶密碼給整個(gè)網(wǎng)絡(luò)帶來破壞。很多人都只知道更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接，實(shí)際上Windows 2000/XP的本地安全策略里(如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里)就有RestrictAnonymous選項(xiàng)，其中有三個(gè)值:“0”這個(gè)值是系統(tǒng)默認(rèn)的，沒有任何限制，遠(yuǎn)程用戶可以知道您機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等;“1”這個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息;“2”這個(gè)值只有Windows 2000/XP才支持，需要注意的是，如果使用了這個(gè)值，就不能再共享資源了，所以還是推薦把數(shù)值設(shè)為“1”比較好。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：小明 > 《網(wǎng)絡(luò)安全》

舉報(bào)/認(rèn)領(lǐng)