SOHO族要通过Internet访问公司FTP服务器,收发邮件,有时也上网查找资料,看看电影,接受远程教育;与同事、领导及业务上的合作伙伴进行工作交流,所以也一样可能会遭到病毒、黑客等的骚扰,而且SOHO簇一般采用Win 2000的操作系统,稍微懂点
安全常识的人都知道,Windows的
安全性要比Unix的
安全性差得多,而且没有了企业级防火墙的保护,所以更需要保护个人电脑的
安全。
一、保障Windows操作系统的安全 虽然目前使用的Win2000操作系统在
安全性、可靠性、可管理性比Win98强得多,但是它的默认设置并不是很
安全,如果不进行全面有效的设置,你的机器就可能成为黑客们的美餐。看看下面的一些
安全设置步骤,你已经为你的个人电脑布署了吗?
1.关注漏洞,打上最新的补丁程序
大家都知道,Win2000存在输入法漏洞,当我们启动Win2000进行到登录验证的提示界面时,任何用户都可以打开各种输入法的帮助栏,并且可以利用其中具有的一些功能访问文件系统(如图1),这就是说我们可以绕过Win2000的用户登录验证机制,并且能以最高管理员权限访问整个系统。所以要想保障Win2000系统的
安全,就必须及时打上相应的补丁,大家可到http://www.microsoft.com/china/windows2000/downloads/sp4.htm去下载Win 2000最新补丁。
网管论坛bbs_bitsCN_com
图 1 需要提醒注意的是,补丁应该在所有应用程序安装完之后再安装,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁的话可能无法起到应有的效果。
2.把系统Administrator帐号改名
黑客为了取得超级用户密码,总是一遍又一遍的尝试 Administrator帐户的密码,所以我们得将其改名。鼠标右击\"我的电脑\",选择\"管理\"进入\"计算机管理\"界面,在\"本地用户和组\"项,选择\"用户\",鼠标右击右侧列表中的\"Administrator\"帐号,在右键菜单中选择\"重命名\",然后重新输入一个名称即可。当然,最好不要使用Admin、Root之类的名字,尽量把它伪装成普通用户,比如改成:Guestone,别人怎么也想不到这个账户会是超级用户。然后另建一个\"Administrator\"的陷阱帐号,不赋予任何权限,并且加上一个超过10位的超级复杂密码,并对该帐户启用审核,这样那些黑客忙上好一阵也可能进不来,即便进来了也什么都得不到,还留下我们跟踪的线索。
3.停掉Guest账号和关注新增用户
鼠标右击\"我的电脑\",选择\"管理\"进入\"计算机管理\"界面,在\"本地用户和组\"项,选择\"用户\",用鼠标右键单击右侧列表里的\"Guest\"帐号,在右键菜单中选择\"属性\"或是双击\"Guest\"帐号,在属性对话框中,在\"帐户已停用\"一项前打勾(如图2),停用Guest帐号,这样别人就无法用Guest帐号登陆你的系统或远程连接了。
网管网www.bitscn.com 
图 2 另外要密切关注管理员组的用户,时时刻刻保证只有一个Administrator(也就是你自己)是该组的用户。同时要注意Guest用户,聪明的入侵者一般不会添加陌生用户名,这样容易被人发现行踪,他们通常是先激活Guest用户,然后是更改它的密码,再放到管理员组,所以一定要删除除管理员自己以外的用户。
4.关闭不必要的服务
作为SOHO簇的个人电脑一般来说并不需要对外提供什么服务,所以应尽量做到能关的服务都关掉。另外,如果不外出,不需要远程管理你的计算机的话,最好将一切的远程网络登录功能都关掉。进入控制面板的\"管理工具\",运行\"服务\",进入服务界面,双击右侧列表中需要禁用的服务,在打开的服务属性的常规标签页\"启动类型\"一栏,点击小三角形按钮 选择\"已禁用\"(如图3),再点击\"启动\"或是\"停止\"按钮,最后确定即可。
图 3 除非特别需要,否则一般情况下可以禁用以下一些服务:
Alerter,Clipbook,Computer Browser,DHCP Client,Messenger,Net Logon,Network DDE,Network DDE DSDM,RunAs Service,Task Scheduler,TCP/IP NetBIOS Helper Service,Workstation。
网管下载dl.bitscn.com 5.关闭不必要的协议和端口
SOHO族电脑不需要提供什么服务,当然就可以关闭很多不必要的协议和端口。在配置系统协议时,尽量做到可以不安装的协议就不要安装。建议只安装TCP/IP协议,鼠标右键单击\"网络邻居\",选择\"属性\",再鼠标右击\"本地连接\",选择\"属性\",卸载不必要的协议(如图4)。另外,NETBIOS是很多
安全缺陷的源泉,我们也需要禁用TCP/IP上的NETBIOS。选择\"TCP/IP协议\",点击\"属性\",再点击\"高级\",进入\"高级TCP/IP设置\"对话框,选择\"WINS\"标签,勾选\"禁用TCP/IP上的NETBIOS\"一项(如图5)。
图 4 
图 5 在Win2000中,用于文件和打印共享服务的端口是137、138、139和445端口,而这些端口恰恰是密码猜测进攻的入口,SOHO簇个人电脑平时很少使用文件和打印共享服务,所以可以关掉这些端口。用鼠标右击\"网络邻居\",选择\"属性\",选择\"网络和拨号连接\"对话框的\"高级\"菜单,选择\"高级设置\"命令,进入高级设置对话框(如图6),在出现的画面中的上部选择所需的连接,下部取消\"文件和打印机共享\",即可禁止这几个端口。
网管网www.bitscn.com
图 6 6.禁止空连接
Win2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这是为了方便局域网用户共享资源和文件的,但是任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码。所以我们需要通过修改注册表来禁止建立空连接:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous设置为1,就可以禁止空用户连接。
另外,在Win2000的本地
安全策略(\"控制面板\"|\"管理工具\"|\"本地
安全策略\")里,选择\"本地策略\"的\"
安全选项\"里的\"对匿名连接的额外限制\"一项也可设置。双击该项选择\"不允许枚举SAM账号和共享\"选项即可禁止空连接,这个值就只允许非NULL用户存取SAM账号信息和共享信息,避免非法用户获得你的用户列表。
7.关闭默认共享
Win2000安装好以后,系统所有硬盘默认都是隐藏共享,通过\"计算机名或IP地址\盘符$\"可以访问,这为密码攻击提供了方便的途径。所以我们需要通过修改注册表的方法彻底禁止这些共享,在
网管网www_bitscn_com HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下添加键值AutoShareWks,类型为REG_DWORD,值设为0。关闭注册表重新启动计算机即可关闭所有默认共享了。
8.打开审核策略
由于Win2000的默认安装是不开任何
安全审核的,不利于监测任何黑客入侵行为。所以需要我们进入\"管理工具\"|\"本地
安全策略\"|\"审核策略\"中打开相应的审核。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被
安全审核记录下来。下面的这些审核是必须开启的,其他的可以根据需要增加:
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核策略更改 成功,失败
审核系统事件 成功,失败
审核对象访问 失败
审核特权使用 失败
目录服务访问 失败
另外还可开启帐户策略,如在帐户锁定策略中设定,帐户锁定阀值为3次(那么当三次无效登录后将锁定帐户),然后将帐户锁定时间设定为30分钟,甚至更长。这样,黑客想要攻击你,一天24小时试密码也试不了几次。
网管论坛bbs_bitsCN_com 审核策略设置完成后,需要重新启动计算机才能生效。这里需要说明的是,审核项目既不能太多,也不能太少。如果太少,当你想查看黑客攻击的迹象时却发现没有记录,那就一点办法都没有,但是审核项目如果太多,不仅会占用大量的系统资源,而且你也可能根本没空去全部看完,这样就失去了审核的意义。
9.审核结果的查看和维护
设置了审核策略和审核事件后,审核所产生的结果都被记录到
安全日志中,使用事件查看器可以查看
安全日志的内容或是在日志中查找指定事件的详细信息。
在\"管理工具\"中运行\"事件查看器\",选择\"
安全日志\"。在右侧显示日志列表,以及每一条目的摘要信息,在这里可以查看事件的详细信息,查找和筛选符合条件的事件。如果你在几个登录的失败审核后面又发现登录的成功审核,那就有可能是某个用户的密码被攻破,这时你就需要增加密码的长度和复杂性了。
随着审核事件的不断增加,
安全日志文件的大小也不断增加,你可以根据需要更改
安全日志文件的大小。用鼠标右击\"事件查看器\"的\"
安全日志\"项,选择\"属性\",进入
安全日志的属性窗口(如图7)。
网管论坛bbs_bitsCN_com
图 7 在Win2000系统中使用审核策略,虽然不能对用户的访问进行控制,但是你根据审核结果及时查看
安全日志,可以了解系统在哪些方面存在
安全隐患以及系统资源的使用情况,从而采取相应的措施将系统的不
安全因素减到最低限度,从而营造一个更加
安全可靠的Windows 2000系统平台。
二、防杀病毒
评论加载中…
