安”出来的精彩
1.尽量安装英文版的操作系统
如果只是为了提高操作系统的安全性,笔者强烈推荐大家安装英文原版 Windows ,因为当一个新漏洞被发现后,通常是英文版的漏洞补丁先行,其他语言版本的补丁要滞后一段时间。这段时间也许就能决定系统的“生”或“死”。
2.不安装无用的组件
Windows 系统在安装时,会提示我们选择安装的组件。一般来说,那些一时用不到的组件,尽量不要安装。比如对于那些既不打算架设个人站点,又不太可能用本地计算机调试ASP等脚本的普通用户来说,完全没有必要安装 Windows 2000/XP的Internet信息服务(IIS),自然也就可以避免诸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通过IIS来进行的外部攻击。
3.选择安全的文件格式
对于 Windows 2000/XP的用户而言,NTFS文件格式是最佳选择。因为无论是从文件检索速度、系统资源权限控制上来看,NTFS都明显要优于FAT系统。我们可以在采用了NTFS格式的磁盘分区上单击鼠标右键,从弹出的菜单中选择“属性”,就会看到NTFS格式下的磁盘属性中多了“配额”和“安全”两个选项卡,用户通过这两个选项卡可以详细地设置系统中每个用户对该逻辑盘的访问权限!
“定”出来的彩虹
1.定制系统服务
Windows 2000/XP系统正常启动后,会为用户提供很多服务,但绝大多数用户并不需要所有的服务。显然,多余的服务只能增加系统负荷和不稳定性。我们可以在桌面上用鼠标右键单击 “我的 电脑 →管理”,然后在打开的界面左侧窗口中选择“服务和应用程序→服务”,我们可以在这里关掉那些不必要的服务,以提高系统稳定性、安全性并加快系统运行速度。需要特别说明的是,Remote Registry Service、Telnet等几个高风险的服务是一定要停止的:用鼠标双击相应项目,然后在打开的窗口中将它们设置为“手动”或“禁止”即可。
2.定制默认账号
我们说过,凡是默认的,都是不安全的,至少系统账号是这样的,先不说现在大多数朋友使用的密码都简单得可怜,使用空密码的用户也不在少数。重要的是在已知用户名的情况下,从理论上讲密码很难逃脱被暴力破解的厄运。
在桌面上用鼠标右键单击 “我的 电脑 →管理”,然后在打开的界面左侧窗口中选择“系统工具→本地用户和组”。然后为“用户”或“组”下面的“Administrators”账号更名。对于那些系统自带的、我们不使用的用户,最好也设置密码,避免被恶意程序或者攻击者利用。
3.定制安全日志和审核策略
在一场灾难到来之前,我们可以为避免灾难做大量的准备,但是却绝对不能不去考虑如果灾难真的降临,我们该怎么办?对于系统加固来说,我们同样要做好完全准备,日志和审核策略就是专门针对这个工作的。注意,操作系统在默认情况下不会打开任何安全审核!
单击“开始→运行”,键入“Gpedit.msc”后按下回车键,在打开的组策略窗口中依次展开“计算机配置→ Windows 设置→安全设置→本地策略→审核策略”,然后双击右侧窗口中的“账户管理”,打开如图1所示的窗口,将“成功”、“失败”前的复选框全部选中,再“确定”退出。用同样的方法将“登录事件”、“策略更改”、“系统事件”、“账户登录事件”均设置为“成功”、“失败”,将“对象访问”、“特权使用”、“目录服务访问”设置为“失败”即可。
接下来在“账户策略→密码策略”中,将“密码复杂性要求”设置为“启用”;将“密码长度最小值”设置为“6位”;将“强制密码历史”设置为“5次”,将“最长存留期”设置为“30天”。
在“账户策略→账户锁定策略”中,将“账户锁定”设置为“3次错误登录”;将“锁定时间”设置为“20分钟”;将“复位锁定计数”设置为“20分钟”。
系统安全三剑客
1.用WSU提升系统权限
在默认情况下, Windows 2000及以上的操作系统不允许我们删除系统默认账号。但实际上,如果用户取得了System权限,就能删除这些拥有Administrator权限所不能删除的系统默认账号了!
先去 http://www.binglesite.net 下载WSU这个小工具,该软件适用于 Windows NT4/2000/XP/2003,它是一个能以其他用户身份或进程身份创建新的进程的小程序,你可以用其他用户身份创建新的进程,而不论你是否知道该用户密码,也不需要该用户当前有程序在运行。当然,前提是你必须以系统管理员身份登录。
安装并下载软件后,在控制台(DOS模式)下输入“WSU REGEDIT”,然后在打开的注册表编辑器中找到“GUEST”键,将它删除即可!
同理,我们可以用这个方法对系统内置的其他用户进行操作。来完成我们的灵活定制系统的初衷。
2.为“视窗”加个窗帘
在使用WSU调整过系统默认账号后,我们有效地防止了来自系统以外的破解方式为主的攻击、破坏,有力地加强了系统的稳定性。不过,由于操作系统本身设计的原因,我们仍然需要使用Internet防火墙来保证系统安全。
3.及时发现操作系统漏洞
在我们完成前面的种种设置后,最好还是自己来动手进行一次安全评估。从http://www.ttian.net下载Retina Network Security Scanner后,程序会要求大家立即升级程序的漏洞库。漏洞库升级完毕后,我们可以在程序主界面左上角找到地址栏,输入本机的IP地址(或者是需要检测的IP地址后)后回车,即可开始扫描。看到界面右侧的情况分析了吗?这里很详细地给出了系统所存在的各种安全隐患,用鼠标单击任何一个条目,程序都会自动出现最佳加固策略供用户参考。
成败皆在一念间
1.尽量安装英文版的操作系统
如果只是为了提高操作系统的安全性,笔者强烈推荐大家安装英文原版 Windows ,因为当一个新漏洞被发现后,通常是英文版的漏洞补丁先行,其他语言版本的补丁要滞后一段时间。这段时间也许就能决定系统的“生”或“死”。
2.不安装无用的组件
Windows 系统在安装时,会提示我们选择安装的组件。一般来说,那些一时用不到的组件,尽量不要安装。比如对于那些既不打算架设个人站点,又不太可能用本地计算机调试ASP等脚本的普通用户来说,完全没有必要安装 Windows 2000/XP的Internet信息服务(IIS),自然也就可以避免诸如 .PRINTER、 .IDQ、.IDA、WEBDEV等等通过IIS来进行的外部攻击。
3.选择安全的文件格式
对于 Windows 2000/XP的用户而言,NTFS文件格式是最佳选择。因为无论是从文件检索速度、系统资源权限控制上来看,NTFS都明显要优于FAT系统。我们可以在采用了NTFS格式的磁盘分区上单击鼠标右键,从弹出的菜单中选择“属性”,就会看到NTFS格式下的磁盘属性中多了“配额”和“安全”两个选项卡,用户通过这两个选项卡可以详细地设置系统中每个用户对该逻辑盘的访问权限!
“定”出来的彩虹
1.定制系统服务
Windows 2000/XP系统正常启动后,会为用户提供很多服务,但绝大多数用户并不需要所有的服务。显然,多余的服务只能增加系统负荷和不稳定性。我们可以在桌面上用鼠标右键单击 “我的 电脑 →管理”,然后在打开的界面左侧窗口中选择“服务和应用程序→服务”,我们可以在这里关掉那些不必要的服务,以提高系统稳定性、安全性并加快系统运行速度。需要特别说明的是,Remote Registry Service、Telnet等几个高风险的服务是一定要停止的:用鼠标双击相应项目,然后在打开的窗口中将它们设置为“手动”或“禁止”即可。
2.定制默认账号
我们说过,凡是默认的,都是不安全的,至少系统账号是这样的,先不说现在大多数朋友使用的密码都简单得可怜,使用空密码的用户也不在少数。重要的是在已知用户名的情况下,从理论上讲密码很难逃脱被暴力破解的厄运。
在桌面上用鼠标右键单击 “我的 电脑 →管理”,然后在打开的界面左侧窗口中选择“系统工具→本地用户和组”。然后为“用户”或“组”下面的“Administrators”账号更名。对于那些系统自带的、我们不使用的用户,最好也设置密码,避免被恶意程序或者攻击者利用。
3.定制安全日志和审核策略
在一场灾难到来之前,我们可以为避免灾难做大量的准备,但是却绝对不能不去考虑如果灾难真的降临,我们该怎么办?对于系统加固来说,我们同样要做好完全准备,日志和审核策略就是专门针对这个工作的。注意,操作系统在默认情况下不会打开任何安全审核!
单击“开始→运行”,键入“Gpedit.msc”后按下回车键,在打开的组策略窗口中依次展开“计算机配置→ Windows 设置→安全设置→本地策略→审核策略”,然后双击右侧窗口中的“账户管理”,打开如图1所示的窗口,将“成功”、“失败”前的复选框全部选中,再“确定”退出。用同样的方法将“登录事件”、“策略更改”、“系统事件”、“账户登录事件”均设置为“成功”、“失败”,将“对象访问”、“特权使用”、“目录服务访问”设置为“失败”即可。
接下来在“账户策略→密码策略”中,将“密码复杂性要求”设置为“启用”;将“密码长度最小值”设置为“6位”;将“强制密码历史”设置为“5次”,将“最长存留期”设置为“30天”。
在“账户策略→账户锁定策略”中,将“账户锁定”设置为“3次错误登录”;将“锁定时间”设置为“20分钟”;将“复位锁定计数”设置为“20分钟”。
系统安全三剑客
1.用WSU提升系统权限
在默认情况下, Windows 2000及以上的操作系统不允许我们删除系统默认账号。但实际上,如果用户取得了System权限,就能删除这些拥有Administrator权限所不能删除的系统默认账号了!
先去 http://www.binglesite.net 下载WSU这个小工具,该软件适用于 Windows NT4/2000/XP/2003,它是一个能以其他用户身份或进程身份创建新的进程的小程序,你可以用其他用户身份创建新的进程,而不论你是否知道该用户密码,也不需要该用户当前有程序在运行。当然,前提是你必须以系统管理员身份登录。
安装并下载软件后,在控制台(DOS模式)下输入“WSU REGEDIT”,然后在打开的注册表编辑器中找到“GUEST”键,将它删除即可!
同理,我们可以用这个方法对系统内置的其他用户进行操作。来完成我们的灵活定制系统的初衷。
2.为“视窗”加个窗帘
在使用WSU调整过系统默认账号后,我们有效地防止了来自系统以外的破解方式为主的攻击、破坏,有力地加强了系统的稳定性。不过,由于操作系统本身设计的原因,我们仍然需要使用Internet防火墙来保证系统安全。
3.及时发现操作系统漏洞
在我们完成前面的种种设置后,最好还是自己来动手进行一次安全评估。从http://www.ttian.net下载Retina Network Security Scanner后,程序会要求大家立即升级程序的漏洞库。漏洞库升级完毕后,我们可以在程序主界面左上角找到地址栏,输入本机的IP地址(或者是需要检测的IP地址后)后回车,即可开始扫描。看到界面右侧的情况分析了吗?这里很详细地给出了系统所存在的各种安全隐患,用鼠标单击任何一个条目,程序都会自动出现最佳加固策略供用户参考。
成败皆在一念间
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7178747/viewspace-161272/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/7178747/viewspace-161272/
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
