SOHO族要通过Internet访问公司FTP服务器,收发邮件,有时也上网查找资料,看看电影,接受远程教育;与同事、领导及业务上的合作伙伴进行工作交流,所以也一样可能会遭到病毒、黑客等的骚扰,而且SOHO簇一般采用Win 2000的操作系统,稍微懂点安全常识的人都知道,Windows的安全性要比Unix的安全性差得多,而且没有了企业级防火墙的保护,所以更需要保护个人电脑的安全。
一、保障Windows操作系统的安全 虽然目前使用的Win2000操作系统在安全性、可靠性、可管理性比Win98强得多,但是它的默认设置并不是很安全,如果不进行全面有效的设置,你的机器就可能成为黑客们的美餐。看看下面的一些安全设置步骤,你已经为你的个人电脑布署了吗? 1.关注漏洞,打上最新的补丁程序 大家都知道,Win2000存在输入法漏洞,当我们启动Win2000进行到登录验证的提示界面时,任何用户都可以打开各种输入法的帮助栏,并且可以利用其中具有的一些功能访问文件系统(如图1),这就是说我们可以绕过Win2000的用户登录验证机制,并且能以最高管理员权限访问整个系统。所以要想保障Win2000系统的安全,就必须及时打上相应的补丁,大家可到http://www.microsoft.com/china/windows2000/downloads/sp4.htm去下载Win 2000最新补丁。 图 1 需要提醒注意的是,补丁应该在所有应用程序安装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁的话可能无法起到应有的效果。 2.把系统Administrator帐号改名 黑客为了取得超级用户密码,总是一遍又一遍的尝试 Administrator帐户的密码,所以我们得将其改名。鼠标右击"我的电脑",选择"管理"进入"计算机管理"界面,在"本地用户和组"项,选择"用户",鼠标右击右侧列表中的"Administrator"帐号,在右键菜单中选择"重命名",然后重新输入一个名称即可。当然,最好不要使用Admin、Root之类的名字,尽量把它伪装成普通用户,比如改成:Guestone,别人怎么也想不到这个账户会是超级用户。然后另建一个"Administrator"的陷阱帐号,不赋予任何权限,并且加上一个超过10位的超级复杂密码,并对该帐户启用审核,这样那些黑客忙上好一阵也可能进不来,即便进来了也什么都得不到,还留下我们跟踪的线索。 3.停掉Guest账号和关注新增用户 鼠标右击"我的电脑",选择"管理"进入"计算机管理"界面,在"本地用户和组"项,选择"用户",用鼠标右键单击右侧列表里的"Guest"帐号,在右键菜单中选择"属性"或是双击"Guest"帐号,在属性对话框中,在"帐户已停用"一项前打勾(如图2),停用Guest帐号,这样别人就无法用Guest帐号登陆你的系统或远程连接了。 图 2 另外要密切关注管理员组的用户,时时刻刻保证只有一个Administrator(也就是你自己)是该组的用户。同时要注意Guest用户,聪明的入侵者一般不会添加陌生用户名,这样容易被人发现行踪,他们通常是先激活Guest用户,然后是更改它的密码,再放到管理员组,所以一定要删除除管理员自己以外的用户。 4.关闭不必要的服务 作为SOHO簇的个人电脑一般来说并不需要对外提供什么服务,所以应尽量做到能关的服务都关掉。另外,如果不外出,不需要远程管理你的计算机的话,最好将一切的远程网络登录功能都关掉。进入控制面板的"管理工具",运行"服务",进入服务界面,双击右侧列表中需要禁用的服务,在打开的服务属性的常规标签页"启动类型"一栏,点击小三角形按钮 选择"已禁用"(如图3),再点击"启动"或是"停止"按钮,最后确定即可。 图 3 除非特别需要,否则一般情况下可以禁用以下一些服务: Alerter,Clipbook,Computer Browser,DHCP Client,Messenger,Net Logon,Network DDE,Network DDE DSDM,RunAs Service,Task Scheduler,TCP/IP NetBIOS Helper Service,Workstation。 5.关闭不必要的协议和端口 SOHO族电脑不需要提供什么服务,当然就可以关闭很多不必要的协议和端口。在配置系统协议时,尽量做到可以不安装的协议就不要安装。建议只安装TCP/IP协议,鼠标右键单击"网络邻居",选择"属性",再鼠标右击"本地连接",选择"属性",卸载不必要的协议(如图4)。另外,NETBIOS是很多安全缺陷的源泉,我们也需要禁用TCP/IP上的NETBIOS。选择"TCP/IP协议",点击"属性",再点击"高级",进入"高级TCP/IP设置"对话框,选择"WINS"标签,勾选"禁用TCP/IP上的NETBIOS"一项(如图5)。 图 4 图 5 在Win2000中,用于文件和打印共享服务的端口是137、138、139和445端口,而这些端口恰恰是密码猜测进攻的入口,SOHO簇个人电脑平时很少使用文件和打印共享服务,所以可以关掉这些端口。用鼠标右击"网络邻居",选择"属性",选择"网络和拨号连接"对话框的"高级"菜单,选择"高级设置"命令,进入高级设置对话框(如图6),在出现的画面中的上部选择所需的连接,下部取消"文件和打印机共享",即可禁止这几个端口。 图 6 6.禁止空连接 Win2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这是为了方便局域网用户共享资源和文件的,但是任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码。所以我们需要通过修改注册表来禁止建立空连接:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous设置为1,就可以禁止空用户连接。 另外,在Win2000的本地安全策略("控制面板""管理工具""本地安全策略")里,选择"本地策略"的"安全选项"里的"对匿名连接的额外限制"一项也可设置。双击该项选择"不允许枚举SAM账号和共享"选项即可禁止空连接,这个值就只允许非NULL用户存取SAM账号信息和共享信息,避免非法用户获得你的用户列表。 7.关闭默认共享 Win2000安装好以后,系统所有硬盘默认都是隐藏共享,通过"计算机名或IP地址\盘符$"可以访问,这为密码攻击提供了方便的途径。所以我们需要通过修改注册表的方法彻底禁止这些共享,在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下添加键值AutoShareWks,类型为REG_DWord,值设为0。关闭注册表重新启动计算机即可关闭所有默认共享了。 8.打开审核策略 由于Win2000的默认安装是不开任何安全审核的,不利于监测任何黑客入侵行为。所以需要我们进入"管理工具""本地安全策略""审核策略"中打开相应的审核。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。下面的这些审核是必须开启的,其他的可以根据需要增加: 审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核策略更改 成功,失败 审核系统事件 成功,失败 审核对象访问 失败 审核特权使用 失败 目录服务访问 失败 另外还可开启帐户策略,如在帐户锁定策略中设定,帐户锁定阀值为3次(那么当三次无效登录后将锁定帐户),然后将帐户锁定时间设定为30分钟,甚至更长。这样,黑客想要攻击你,一天24小时试密码也试不了几次。 审核策略设置完成后,需要重新启动计算机才能生效。这里需要说明的是,审核项目既不能太多,也不能太少。如果太少,当你想查看黑客攻击的迹象时却发现没有记录,那就一点办法都没有,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完,这样就失去了审核的意义。 9.审核结果的查看和维护 设置了审核策略和审核事件后,审核所产生的结果都被记录到安全日志中,使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。 在"管理工具"中运行"事件查看器",选择"安全日志"。在右侧显示日志列表,以及每一条目的摘要信息,在这里可以查看事件的详细信息,查找和筛选符合条件的事件。如果你在几个登录的失败审核后面又发现登录的成功审核,那就有可能是某个用户的密码被攻破,这时你就需要增加密码的长度和复杂性了。 随着审核事件的不断增加,安全日志文件的大小也不断增加,你可以根据需要更改安全日志文件的大小。用鼠标右击"事件查看器"的"安全日志"项,选择"属性",进入安全日志的属性窗口(如图7)。 图 7 在Win2000系统中使用审核策略,虽然不能对用户的访问进行控制,但是你根据审核结果及时查看安全日志,可以了解系统在哪些方面存在安全隐患以及系统资源的使用情况,从而采取相应的措施将系统的不安全因素减到最低限度,从而营造一个更加安全可靠的windows 2000系统平台。
二、防杀病毒
[1] [2]
(出处:http://www.sheup.com)
[1] [2]