Windows安全加固简介

前言

   该文是根据《Hardening Windows NT》翻译而成，其中也根据自己的一些体会及现实情况进行了一些调整。原文可以再参考文献中获得。

 

目前，Windows系统已经占据了绝大部分的桌面市场，同时在服务器市场也占有较大比重。长期以来，由于病毒攻击、黑客入侵等原因，给人们留下了易受攻击的不好印象。但Windows是否能够变得安全一点成为人们争论的热点，本文将就加固Windows安全进行讨论。

 

一、病毒防护产品

在很久以前，病毒防护产品真的是很稀有的东西，那时候计算机病毒也真的很少。但现在不同，几乎每一刻都有新的病毒产生。制作病毒的目的破坏公司的数据安全到窃取私人用户的密码、卡号或者银行信息，各有不同。

对于家庭用户，杀毒软件已经成为必不可少的装备，即使只是一台WEB服务器，没有杀软也是不可想象的，很多病毒或蠕虫都是靠135，139传播的。

选择正确的杀软是非常必要的，但不同的杀软有不同的工作机制，一些杀软仅仅是比其他一些表现的好一点点。选择一个杀毒软件，可以从以下几个方面进行衡量：病毒识别率、更新周期、CPU占用率及效率，WEB恶意代码检测，用户友好及产品漏洞。

   病毒识别率主要是指杀软能够识别出现有病毒的百分比，该指标是杀软最重要的衡量指标。因此搞清杀软将什么作为病毒很重要。但脚本小子经常采用加壳的方式来逃避杀软的追杀。目前大部分杀软能够对现有的一些常见的壳进行识别，并进行病毒查杀。

  更新周期就是病毒特征库的更新周期，这一点同时体现了杀软厂商本身的技术能力。

  CPU占用率及效率，这个对普通用户来说非常敏感，就是杀毒要能合理占用资源，不要太耗系统资源；

  WEB恶意代码检测主要是针对网站访问、邮件收发时恶意脚本防护，一旦用户访问了恶意网站，能够对恶意代码进行报警及清除；

  用户友好当然就是指用户体验，杀软当然是在用户使用上不要太复杂，界面及操作用户。

  产品漏洞，这一点其实也很重要，用户肯定不想使用带有安全漏洞的安全产品，不想发生杀软居然被恶意代码搞掉的事情，这也就不用对金山对前段时间发出来的漏洞极力掩盖的事情感到意外了。

  一旦选择了合适的杀软，一定要至少做到如下设置：

  (1) 对所有从Internet下载的文件进行杀毒

  (2) 启用及时通信工具的杀毒选项，如MSN

  (3) 对所有邮件进行病毒查杀，目前大部分软件客户端都具备这个功能

  (4) 开机自启动

  (5) 主动扫描

  (6) 删除所有被感染的文件

  (7) 及时自动更新

  (8) 定时扫描

 

二、密码安全

  密码安全应该是信息安全的重要组成部分，但更应该说是人的因素，从某种程度上来说，仅仅是指系统管理员要设置具有一定口令复杂度的密码及密码策略。

  为设置符合一定复杂度要求的口令，需做到以下几点：

  (1) 口令长度最好大于12位，尽管许多人建议密码长度只要8位就可以，但鉴于分布式计算已经很普及，8位长度的口令很容易被破解；

  (2) 不要使用英文字典里的单词

  (3) 不同的系统不要使用同样的口令，这一点应该说是最严重的安全威胁，很多人在不同的系统上的口令都一致。笔者曾经截取过一个数据库，发现数据库里用户的邮箱密码和该系统的密码一致，当然也有的使用生日做口令的；

  (4) 不要认为简单的加些前缀（如“123”）就可以使口令更加安全，其实它们并没有显着增加系统安全性.很多系统管理员增加“123”到口令中，使其变得强壮些，但由于如此之多的系统管理员都这样处理以至于这种行为成为可预测事件；

  (5) 不要告诉别人你的密码或者提示信息

  (6) 利用密码短语取得密码

 

破解密码的常用手段

（1）嗅探， 这个在局域网环境比较常用，像一些常用的嗅探工具如：Cain&Abel、Wireshark, Sniffer等，

  （2）偷看，这个可能在熟人环境中比较多，或者现在的ATM机上，摄像头比较多的地方比较容易发生；

   (3) 破解， 如果电脑被入侵，黑客可能获得SAM文件，或者获得数据库中 加密的用户口令，如果口令的加密算法为标准的MD5而且口令长度小于12位，这将是很容易被破解的，目前在Internet上可以找到很多这样的MD5破解网站，而且这样的工具也很多，当然也有彩虹表

  (4) 获取缓存密码， 一些软件会将用户密码缓存中电脑本地磁盘或者内存中，因此可以利用软件获取这些口令，当然这也意味着黑客需要从物理上接触电脑；

  (5) 猜测，通常人们总会采用易于记忆的事情作为口令，这也就为口令猜测留下了空间，可以利用生日，兴趣、组织名称缩写等进行口令猜测；

  (6) 告知，有些时候人们可能非常乐意告诉其他人自己的口令，但这也是很危险的事情。在公司的安全策略里需要告知公司员工，禁止员工告诉他人自己口令；

  (7) 窃取数据库，SQL注入成为WEB应用软件最大的安全威胁之一，很多黑客就是利用数据库注入手段获取数据库中的用户名和密码。

 

 密码被破解的风险

如果一个非授权的用户设法获得的员工密码，即使这个用户没有什么特殊权限，他们仍然会使用该用户对系统发起匿名攻击，因为Windows本身有很多漏洞可以利用来进行本地提权。但最大的威胁在于它可能获取你整个系统的控制权限，而且没有比这个更糟糕的。  

 

  更换密码

密码在系统中经常以hash的形式保存，重要数据在系统中应该以加密形式保存，至少理论上应该这样。

  但如果黑客设法获得了加密的hash, 明文密码就更不安全了，如果黑客设法利用多台可以进行Hash破解的机器，获得明文密码仅仅是时间问题。

  因此密码需要经常更换，很多安全专家建议密码最好每3个月更换一次。但通常这种策略并不是能经常满足需求。利用多台机器和有效的密码破解软件，黑客在一个月时间内几乎可以破解任何密码，如果密码强度够强，这个的破解时间可能会稍微长一点。因此最好没有更换密码，如果可能的话，将更换密码的周期变的更短些。

  更换密码时最好遵从以下原则：

  (1) 遵从上面设置密码的所有规则；