一些Windows系统安全配置方法

;;;;逛了许多论坛，入了许多QQ群，发现很多朋友总喜欢谈论入侵呀攻击呀之类的话题。呵呵……我就想问问这些朋友－－你的电脑安全吗？你安全了吗（真的值得怀疑）？  朋友！没有一个安全的环境你什么也做不了的！！  电脑安全问题一直以来都是个最重要的一个问题，也是电脑爱好者最关心的一个问题。它是个大话题涉及到电脑的方方面面，三言两语是说不清楚的，也不是几天就能够学会的。在这里我总结了一些系统安全配置方面的知识，希望对大家有所帮助。因为只有一台安全的电脑才可以预防病毒的骚扰、抵御黑客的入侵。  好了下面就开始我们的安全之旅吧。 一、安装过程  1、有选择性地安装组件  安装操作系统时请用NTFS格式， 不要按Windows 2000的默认安装组件，本着“最少的服务+最小的权限=最大的安全”原则，只选择安装需要的服务即可。例如：不作为Web服务器或FTP服务器就不安装IIS。常用Web服务器需要的最小组件是： Internet 服务管理器、WWW服务器和与其有关的辅助服务。如果是默认安装了IIS服务自己又不需要的就将其卸载。卸载办法：开始---->设置---->控制面板---->添加删除程序---->添加/删除Windows组件，在“windows组件向导”的“组件（C）：”中将“Internet信息服务（IIS）”前面小框中的√去掉，然后“下一步”就卸载了IIS。---->---->---->---->  2、网络连接  在安装完成Windows 2000操作系统后，不要立即连入网络，因为这时系统上的各种程序还没有打上补丁，存在各种漏洞，非常容易感染病毒和被入侵，此时应该安装杀毒软件和[URL=http://www.bingdun.com]防火墙[/URL]。杀毒软件和[URL=http://www.bingdun.com]防火墙[/URL]推荐使用诺顿企业版客户端（若做服务器则用服务端）和黑冰（Blackice）[URL=http://www.bingdun.com]防火墙[/URL]。接着，再把下面的事情做完后再上网。 二、正确设置和管理账户  1、停止使用Guest账户，并给Guest 加一个复杂的密码。所谓的复杂密码就是密码含大小写字母、数字、特殊字符（～！@#￥％《》，。？）等。比如象：“G7Y3，^）y。  2、账户要尽可能少，并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户，常用的扫描软件有：流光、HSCAN、X－SCAN、STAT　SCANNER等。正确配置账户的权限，密码至少应不少于8位，比如：'3H.#4d&j1)~w',呵呵……让他破吧！！这样的密码他可能把机子跑烂也跑不出来哦^_^  3、增加登录的难度，在“账户策略→密码策略”中设定：“密码复杂性要求启用”，“密码长度最小值8位”，“强制密码历史5次”，“最长存留期 30天”；在“账户策略→账户锁定策略”设定：“账户锁定3次错误登录”，“锁定时间30分钟”，“复位锁定计数30分钟”等，增加了登录的难度对系统的安全大有好处。  4、把系统Administrator账号改名，名称不要带有Admin等字样; 创建一个陷阱帐号，如创建一个名为“Administrator”的本地帐户，把权限设置成最低，什么事也干不了，并且加上一个超过10位的超级复杂密码。这样可以让那些“不法之徒”忙上一段时间了，并且可以借此发现他们的入侵企图。 三、正确地设置目录和文件权限（这步可以方在以后做）  为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。Windows 2000的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone这个组）是完全控制的（Full Control），您需要根据应用的需要重新设置权限。在进行权限控制时，请记住以下几个原则：  1、权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。  2、拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。  3、 文件权限比文件夹权限高。  4、 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。  5、 只给用户真正需要的权限，权限的最小化原则是安全的重要保障。  6、 预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法，而Windows 2000应付的方法很简单。Windows 2000自带一个Routing & Remote Access工具，这个工具初具路由器的雏形。在这个工具中，我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。 四、网络服务安全管理  1、关闭不需要的服务 只留必需的服务，多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services（终端服务）、IIS（web服务）、RAS（远程访问服务）等，这些都有产生漏洞的可能。  2、关闭不用的端口。  3、只开放服务需要的端口与协议。  具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口用于POP3。常用的UDP端口有：53口－DNS域名解析服务；161口－snmp简单的网络管理协议。8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。 4、禁止建立空连接  Windows 2000的默认安装允许任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139，通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两种方法禁止建立空连接： （1） 修改注册表中Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值为1。 （2）修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。  Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止空用户连接，实际上Windows 2000的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里）就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows 2000才支持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较好。 五、关闭无用端口和修改3389端口  Windows的每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中这些服务都是默认开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭了无用的服务。  关闭这些无用的服务可以通过“控制面板”的“管理工具”中的“服务”中来配置。 1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 2、关闭80口：关掉WWW服务。在“服务”中显示名称为'World Wide Web Publishing Service'，通过 Internet 信息服务的管理单元提供 Web 连接和管理。 3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。 4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。 5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc[URL=http://hackbase.com/News/vip/#]$[/URL]、c[URL=http://hackbase.com/News/vip/#]$[/URL]、admin[URL=http://hackbase.com/News/vip/#]$[/URL]等等，此服务关闭不影响您的共他操作。 7、还有一个就是139端口，139端口是NetBIOS　Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。  关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。  对于个人用户来说，可以在以上各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。 8、修改3389  打开注册表HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWdsRepwdTdsTcp, 看到那个PortNumber没有?0xd3d，这个是16进制，就是3389啦。我改XXXX这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStations这里应该有一个或多个类似RDP-TCP的子健（取决于你建立了多少个RDP服务），一样改掉PortNumber。  好了现在你不用担心你的默认共享了，安全了吧！别高兴太早，下面还有呢。 六、本地安全策略 A、通过建立IP策略来阻止端口连接  TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389  TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导)  UDP端口:1434(这个就不用说了吧) 阻止所有ICMP,即阻止PING命令 B、在 这里我用关闭135端口来实例讲解 1.创建IP筛选器和筛选器操作  a.'开始'->'程序'->'管理工具'->'本地安全策略'.微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的. b.右击'Ip安全策略,在本地机器',选择'管理 IP 筛选器表和筛选器操作',启动管理 IP 筛选器表和筛选器操作对话框.我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略. c.在'管理 IP 筛选器表'中,按'添加'按钮建立新的IP筛选器:  1)在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用'tcp135',描述随便填写.单击右侧的'添加...'按钮,启动IP筛选器向导.  2)跳过欢迎对话框,下一步.  3)在IP通信源页面,源地方选'任何IP地址',因为我们要阻止传入的访问.下一步.  4)在IP通信目标页面,目标地址选'我的IP地址'.下一步.  5)在IP协议类型页面,选择'TCP'.下一步.  6)在IP协议端口页面,选择'到此端口'并设置为'135',其它不变.下一步.  7)完成.关闭IP筛选器列表对话框.会发现tcp135IP筛选器出现在IP筛选器列表中. d.选择'管理筛选器操作'标签,创建一个拒绝操作: 1)单击'添加'按钮,启动'筛选器操作向导',跳过欢迎页面,下一步. 2)在筛选器操作名称页面,填写名称,这儿填写'拒绝'.下一步. 3)在筛选器操作常规选项页面,将行为设置为'阻止'.下一步. 4)完成.  e、关闭'管理 IP 筛选器表和筛选器操作'对话框. 2.创建IP安全策略  1.右击'Ip安全策略,在本地机器',选择'创建IP安全策略',启动IP安全策略向导.跳过欢迎页面,下一步.  2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写'拒绝对tcp135端口的访问',描述可以随便填写.下一步. 3.在安全通信要求页面,不选择'激活默认响应规则'.下一步. 4.在完成页面,选择'编辑属性'.完成.  5.在'拒绝对tcp135端口的访问属性'对话框中进行设置.首先设置规则:  1)单击下面的'添加...'按钮,启动安全规则向导.跳过欢迎页面,下一步.  2)在隧道终结点页面,选择默认的'此规则不指定隧道'.下一步.  3)在网络类型页面,选择默认的'所有网络连接'.下一步.  4)在身份验证方法页面,选择默认的'windows 2000默认值(Kerberos V5 协议)'.下一步. 5)在IP筛选器列表页面选择我们刚才建立的'tcp135'筛选器.下一步. 6)在筛选器操作页面,选择我们刚才建立的'拒绝'操作.下一步. 7)在完成页面,不选择'编辑属性',确定. 6.关闭'拒绝对tcp135端口的访问属性'对话框. 3.指派和应用IPsec安全策略  1）缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派.在本地安全策略MMC中,右击我们刚刚建立的''拒绝对tcp135端口的访问属性'安全策略,选择'指派'.  2）立即刷新组策略.使用'secedit /refreshpolicy machine_policy'命令可立即刷新组策略. 七、审核策略  具体方法：控制面板==》管理工具==》本地安全策略==》本地策略==》审核策略，然后右键点击下列各项，选择“安全性”来设置就可以了。  审核策略更改:成功,失败  审核登录事件:成功,失败  审核对象访问:失败  审核对象追踪:成功,失败  审核目录服务访问:失败  审核特权使用:失败  审核系统事件:成功,失败  审核账户登录事件:成功,失败  审核账户管理:成功,失败  密码策略:启用“密码必须符合复杂性要求','密码长度最小值'为6个字符,'强制密码历史'为5次,'密码最长存留期'为30天.  在账户锁定策略中设置:'复位账户锁定计数器'为30分钟之后,'账户锁定时间'为30分钟,'账户锁定值'为30分钟.  安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择'不允许枚举SAM账号和共享',因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项，然后再禁止登录屏幕上显示上次登录的用户名。  禁止登录屏幕上显示上次登录的用户名也可以改注册表HKEY_LOCAL_MACHINESOFTTWAREMicrosoftWindowsNTCurrentVesionWinlogn项中的Don't Display Last User Name串，将其数据修改为1 八、Windows日志文件的保护 日志文件对我们如此重要，因此不能忽视对它的保护，防止发生某些“不法之徒”将日志文件清洗一空的情况。 1． 修改日志文件存放目录 Windows日志文件默认路径是“%systemroot%system32config”，我们可以通过修改注册表来改变它的存储目录，来增强对日志的保护。 点击“开始→运行”，在对话框中输入“Regedit”，回车后弹出注册表编辑器，依次展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog”后，下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。 我以应用程序日志为例，将其转移到“d:abc”目录下。首先选中Application子项，在右栏中找到File键，其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”，将它修改为“d:abcAppEvent.Evt”。接着在D盘新建“abc”目录，将“AppEvent.Evt”拷贝到该目录下，重新启动系统，这样就完成了应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同，只是在不同的子项下操作。 2． 设置文件访问权限 修改了日志文件的存放目录后，日志还是可以被清空的，下面通过修改日志文件访问权限，防止这种事情发生，前提是Windows系统要采用NTFS文件系统格式。 右键点击D盘的CCE目录，选择“属性”，切换到“安全”标签页后，首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号，只给它赋予“读取”权限；然后点击“添加”按钮，将“System”账号添加到账号列表框中，赋予除“完全控制”和“修改”以外的所有权限，最后点击“确定”按钮。这样当用户清除Windows日志时，就会弹出错误对话框。  呵呵，现在你也不用担心了！！下面我们继续。 九、 上网 现在你可以连接上网了，但是暂时不要打开IE浏览器。接下来工作是升级杀毒软件和[URL=http://www.bingdun.com]防火墙[/URL]，并设置好，具体设置方法请参照[URL=http://www.hackbase.com]黑基[/URL]教程。然后从开始菜单打开Windows update 打好系统所有的补丁，这个过程有点漫长，耐心等待吧。当你打好系统所有补丁后再备份好系统，呵呵……上网吧你安全了（注意！没有绝对的安全哦）！！！  好了暂时就到这里了，我在这里总结出来的只是安全问题中最基础的一部分，其它的还要*大家自己去努力学习。大家碰到不懂的知识请多用搜索引擎，那个才是你最忠实伙伴、最诚实朋友，也是你最好老师！  另外，若有不到之处还请各位前辈批评指正！！  总之，多看看、多动脑、多动手就没有你学不会的东西！！！