一 Windows下安全权限设置详解
【简 介】
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。
Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。
希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。
为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!
现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:\www目录,也就是网站目录读、写权。
最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。
经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性、优先性、交叉性的。
继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。
累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。
优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。
交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。
权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。同时还想给各位管理员们一些建议:
1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。
2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。
3.尽量不要把各种软件安装在默认的路径下
二、关闭 Windows 远程注册表服务
默认情况下Windows系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务,如果黑客连接到我们的计算机并且计算机启用了远程注册表服务(Remote Registry)的话他还可以通过远程注册表操作系统任意服务,因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就可以高枕无忧,黑客可以通过命令行指令将服务轻松开启。
要想彻底关闭远程注册表服务可以采用如下方法:
一、通过任务栏的“开始->运行”,输入regedit进入注册表编辑器。
二、找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的“RemoteRegistry”项。
三、右键点击“RemoteRegistry”项,选择“删除”。
三、设置登录系统时不显示上次登录的用户名
用户在登录Windows 2003时,Windows 2003会自动在在登录对话框中显示出上次登录的用户名称,如果这是一台公共计算机,就有可能造成用户名的泄露,从而给一些不怀好意的人以可乘之机。
如果你是系统管理员,你可以采用下面的方法将在登录对话框中显示上次登录用户名的功能取消,这样Windows 2003就会要求用户每次登录时都必须键入用户名,从而提高计算机的使用安全性。
不显示上次登录的用户名
一、打开“我的电脑”——“控制面板”,双击打开“管理工具”。
二、在“管理工具”界面中,双击打开“本地安全策略”。
三、在弹出的“本地安全设置”对话框中,选择“安全选项”。
四、在“安全选项”列表中,选择“交互式登录:不显示上次的用户名”。
五、单击右键,选择“属性”。
六、在弹出的“交互式登录:不显示上次的用户名属性”选项框中,选择“已启用”,单击“确定”按钮,完成设置。
三、设置注册表防止系统隐私信息被泄露
在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。
找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ AeDebug”,将AUTO键值设置为0,现在DR.WATSON就不会记录系统运行时的出错信息了。
在注册表中进行设置
一、单击“开始”——“运行”,输入“regedit”打开注册表编辑器。
二、在注册表编辑器中找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ AeDebug”项。
三、在右边对应的键值中找到“AUTO”,右键单击,在弹出的菜单中,选择“修改”。
四、在弹出的“编辑字符串”对话框,“数值数据”下输入“0”,点击“确定”按钮,设置完成。
四、四个方面谈Windows 2000的安全设置
在用户安全设置方面
1.禁用Guest账号。不论工作组模式还是域模式,都应该禁用此账号。惟一的例外就是极少数量(10台以下)的机器之间用网上邻居互访共享文件夹,且不和公网相连,可以继续保持此账号。
2.限制不必要的用户。此时需注意:
(1)在工作组模式中,默认账号有Administrator、Guest。如果要用IIS(Internet Information Server)建设各类站点,则IUSER_computername和IWAM_computername也是默认账号,不能停用。因前者是IIS匿名访问账号,后者是IIS匿名执行脚本的账号。这两个账号默认有密码,是由系统分配的,用户不要更改其密码,更不要删除,否则IIS不能匿名访问和执行脚本;如果有终端服务则TsInternetUser也是默认账号,不能停用。
(2)在域模式中,Administrator组中会增加Domain Admins和Enterprise Admins两个组中的成员,另外还会有Krbtgt账号,默认是被禁用的,这个账号是密钥分发账号。
3.开启用户策略。其中有用户锁定阀值设置,将它设置为多少才合适呢?用户在登录时,Windows会采用加密协议加密用户的用户名和密码。在域环境中,如果只是单纯的系统(即什么软件都不装),用户进行登录时,Windows会尝试用Kerbos协议验证,不成功则会再用Ntlm验证,此时的验证的方式有两种;如果该账户同时又是Outlook的用户,验证的方式将有6种之多,也就是说用户在登录时如果密码输入错误,一次登录就要浪费掉6次账户锁定值。因此,微软技术支持中心的工程师建议将这个锁定值设置为13,这样才可以实现错误输入密码3次再锁定账户的目的。
在密码安全设置方面
在给账号设置密码时,不是密码位数越多越好,在符合密码复杂性原则的基础上,7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的,它是由密码所采用的加密算法决定的。
有一点大家需注意:屏幕保护存在一个安全漏洞,即他人可以在不进入系统的情况下,利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后,只要这个“屏幕保护程序”一运行,Cmd窗口就会弹出且以系统身份运行,默认是最大权限。因此,采用设置屏幕保护密码的做法并不安全,正确的做法应是网管员离开工位时要锁定计算机(Windows 2000下,按Ctrl+Alt+Del,在弹出的“关机”菜单中选择“锁定计算机”即可)。
在系统安全设置方面
1.使用NTFS格式分区。NTFS分区要比FAT分区安全很多,且只有使用NTFS分区才能真正发挥Windows 2000的作用。Windows 2000自带了转换NTFS分区的工具Convert。在命令提示符?葱蠧onvert x /FS NTFS(x 为所要转换的盘符),执行时如果转换的是非*作系统所在分区,则立即执行分区转换;如果转换的是*作系统所在分区,则重启后执行分区转换。注意:此转换过程是单向不可逆的,即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换,但这样做不能保证绝对安全,在某些情况下会导致分区不可用,所以建议只用Convert命令来转换分区格式;如果非要用第三方工具,一定要事先做好备份。另外,据我个人经验,并不需要将所有分区都做成NTFS分区,而应保留一个分区为FAT32,用于存放一些常用工具,并可方便Ghost备份。
2.到微软网站下载最新的补丁程序。强烈建议!这是每一个网络管理员都应该有的好习惯。这里说明一点:微软每隔一定时间推出的Servicespacks是针对近期推出的Hotfix的综合,如果你经常做Hotfix补丁,那么当后一版的Servicespacks推出后可能会和你的Hotfix冲突。因为Servicespacks也是要经过测试的,而测试阶段可能又有新的Hotfix推出,当你做了新的Hotfix补丁后再打旧版的Servicespacks补丁时就会产生冲突。
3.关闭默认共享。这里必须要修改注册表,否则每次重启之后默认共享还会出现。在注册表“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下,在右栏空白位置点击鼠标右键,选择“新建”,再选“字符串值”,名称中输入:“delipc$”,这里的名字可以随便取,然后双击它就会弹出一个窗口来,输入:“net share ipc$/del”,下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN$。
4.锁住注册表。Windows 2000提供了一个叫Regedt32.exe的工具,它也是一个注册表编辑器。与Regedit.exe不同的是它有一个“安全”选项,可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权,例如设置成只有Administrator才能读取和修改,不给其他人可乘之机。
在服务安全设置方面
1.关闭不必要的端口。可惜Windows 2000并不支持关闭端口的选项,我们只好选用第三方工具,关闭一些关键端口,比如Telnet等。
2.设置好安全记录的访问。Windows 2000*作系统自带了审核工具,默认不开启。如果一旦开启了审核策略,用户可以在事件日志里查看安全日志,里面会有详细的审核记录,审核通常为成功和失败两种。不过,建议平时不要常开安全审核,因为审核量很大,通常一个错误的密码输入就可以在日志中记录一页多的条目,非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在“开始”菜单的“运行”中输入“Eventvwr.msc”查看安全日志,就可以看到审核的消息。注:具体如何实现请参见微软知识库文章“Microsoft Knowledge Base Article - 300549”(网址是:http://support.microsoft.com。
3.把敏感文件存放在另外的文件服务器中。出于对性能和安全的双重考虑,建议有条件的用户将域控制器与Web服务器、数据库服务器等其他重要服务器分开,即不要用同一台服务器运行多种服务。同时,一定要进行及时、有效的备份,最好有一个详尽的备份计划。
五、锁定/解除 Windows 注册表编辑器
注册表是Windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
恶意网站往往通过修改注册表来破坏我们的系统,甚至禁用注册表,也就是通过修改注册表来给注册表自身加锁,当注册表被锁定以后,我们也可以在系统中解除锁定。
一、单击“开始”-“运行”,输入“gpedit.msc”,打开组策略编辑器。
二、在“组策略编辑器”对话框中,选择“‘本地计算机’策略”-“用户配置”-“管理模块”-“系统”。
三、在“系统”右边对应的选项列表中,选择“阻止访问注册表编辑工具”。
四、右键单击“阻止访问注册表编辑工具”,选择“属性”。
五、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已启用”,单击“确定”按钮。锁定注册表编辑器。
六、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已禁用”,单击“确定”按钮。解除锁定注册表编辑器。
六、修改系统注册表防止SYN洪水攻击
SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从上图可看到,服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
为防范SYN攻击,win2000系统的tcp/ip协议栈内嵌了SynAttackProtect机制,Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。默认情况下,Win2000操作系统并不支持SynAttackProtect保护机制,需要在注册表以下位置增加SynAttackProtect键值:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
当SynAttackProtect值(如无特别说明,本文提到的注册表键值都为十六进制)为0或不设置时,系统不受SynAttackProtect保护。
当SynAttackProtect值为2时,系统通过减少重传次数和延迟未连接时路由缓冲项(route cache entry)防范SYN攻击。
修改注册表,防止SYN攻击
一、单击“开始”——“运行”输入“regedit”,单击“确定”按钮,打开注册表。
二、找到注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect。
三、点击右键修改 SynAttackProtec t键值的属性。
三、在弹出的“编辑DWORD值”对话框数值数据栏中输入“2”
四、单击“确定”,继续在注册表中添加下列键值,防范SYN洪水攻击。
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
七、在注册表中关闭默认共享保证系统安全
默认安装WINDOWS系统的情况下,所有的硬盘都是隐藏共享,据说是为了管理方便,把系统安装分区自动进行共享,这样可以在网络中访问你的资源,不过这些默认共享的目录是只有系统管理员才能够在网络中查看的,因为在在共享名后边加上了美元号($),除非别人知道这个共享,否则他是找不着的。虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
修改注册表防范IPC$攻击:
一、单击“开始”——“运行”,输入“regedit”单击“确定”按钮,打开注册表。
二、防范IPC$攻击,查找注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的“RestrictAnonymous”项。
三、单击右键,选择“修改”。
四、在弹出的“编辑DWORD值”对话框中数值数据框中添入“1”,将“RestrictAnonymous”项设置为“1”,这样就可以禁止IPC$的连接,单击“确定”按钮。
修改注册表关闭默认共享
一、对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项。在该项的右边空白处,单击右键选择新建DWORD值。
二、添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。
注:如果系统为Windows 2000 Server或Windows 2003,则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows 2000 PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。
八、一步一步学Windows XP安全设置
【简 介】
作为用户来说,可采用必要的安全设置来解决问题,而使用密码来保护系统则是首要的。下面介绍Windows XP中如何进行密码的保护,和一些使用方法。
目前使用Windows XP的用户越来越多。由于开发者微软公司(Microsoft)在Windows操作系统和浏览器上留下了大量的安全漏洞,使得袭击个人电脑成为一件异常容易的事情。即便是你安装了Windows XP最新的补丁程序Service Pack 2,你的个人电脑仍难免会受到侵袭。如何才能保障系统的安全呢?作为用户来说,可采用必要的安全设置来解决问题,而使用密码来保护系统则是首要的。下面介绍Windows XP中如何进行密码的保护,和一些使用方法。
1、如何设置可靠的密码
如何才能设置一个可靠的密码呢?其实在Win XP系统中通过本地安全设置就可以完成。在“开始”→“运行”窗口中输入“secpol.msc”并回车就可以打开“本地安全设置窗口”。或者通过“控制面板”→“管理工具”→“本地安全策略”来打开这个设置界面。在“本地安全设置”窗口的左侧展开“账户策略”→“密码策略”,在右边窗格中就会出现一系列的密码设置项(如图1),经过这里的配置,就可以建立一个完备的密码策略,使密码得到最大限度的保护。在设置项中时,首先要启用“密码必须符合复杂性要求”策略,然后设置“密码最短存留期”,最后开启“强制密码历史”。设置好后,在“控制面板”中重新设置管理员的密码,这时的密码不仅是安全的(不低于6位且包含不同类别的字符),而且以后修改密码时也不易出现与以前重复的情况。
2、密码提示不可忽视
由于工作繁忙或其它什么原因,当我们忘记了自己的密码时,虽说可以找到管理员来修改用户的密码,但有这样做是很麻烦的!其实在Windows XP中是允许用户创建一个提示的,以便在用户忘记密码的时候能够获得一些线索。打开“控制面板”,单击或双击“用户账户”图标(如图2),接下来的步骤需要根据您系统的设置来进行。
如果您是系统管理员,选择您的账户名后,点击“更改我的密码”或“创建密码”链接(如果您没有设置密码如图3),输入您的当前密码(如果已经设置)、新密码以及密码提示。即使您只是想添加密码提示信息,仍然需要在顶端文本框中输入当前的密码。不过,设置密码提示时还要注意: 你要确保密码提示在不暴露密码的同时,可以帮助您清楚地回忆起密码,因为所有人都能够看到您的密码提示。当您完成以上的操作后,点击“更改密码”或“创建密码”按钮。这样,当再次出现登录时忘记密码的情况,点击密码提示右边的“?”号按钮就可以看到您设定的密码提示了。
如果密码提示没有起作用的话,Windows还提供了另外一种解决方法。打开控制面板,单击或双击“用户账户”图标(根据您的系统的设置)。如果您是系统管理员,点击您的账户名,并且在“用户账户”对话框的左边“相关任务”栏中,找到“阻止一个已忘记的密码”链接。点击这一链接,打开“忘记密码向导”对话框,这一向导将创建一个“密码重设盘”,使您能够在忘记密码时使用此盘创建一个新的密码。 如果您的计算机已经登录到网络域中,注销后重新登录到本机(此方法只适用于Windows登录密码,不适用于域用户密码)。按住“Ctrl+Alt+Delete”组合键,然后点击“更改密码”按钮,最后,点击“备份”按钮启动“忘记密码向导”。 这一向导同时对您提出警告,因为“密码重设盘”的创建,含有一定的危险性,任何人都可以使用这一张“密码重设盘”来登录Windows XP,都可以以该用户的名义进入用户帐户,并操作真正用户所能操作的一切。鉴于这一提示,当您点击“完成”按钮创建完成密码重设盘后,应该将此盘放在一个适当的地方,以防丢失或失泄密。不过这种方法也有一个缺点,就是需要软盘,并且要求在设密码时建立密码重设盘,对于没有软驱的机器就没办法了。
3、重设帐户密码
即使您忘记了Windows登录密码,并且没有创建密码重设盘,也不是完全没有可能来解决这个问题的。如果您的计算有一个系统管理员账户,您可以使用此账户登录Windows并为其他账户重设密码。首先,打开控制面板,单击或双击“用户账户”图标(根据您的系统的设置),选择忘记密码的账户名并点击“重设密码”和“更改密码”(选项名称视您是否连接到域而定)。根据提示输入2次新的密码,然后点击“确定”。(注意:“重设密码”按钮对于登录到域环境的用户有可能无效,这一操作只适用于修改Windows登录密码,不适用于修改域登录密码。)重设Windows密码可能会导致登录站点和网络连接的密码丢失,但是至少您不会因为忘记密码而无法进行任何操作了。
4、确保可信的登陆界面
将您的计算机设置成登录Windows之前必须按“Ctrl+Alt+Delete”组合键,是为了保护计算机免受某些特洛伊木马的攻击。一些特洛伊木马程序可以模仿Windows登录界面,欺骗用户输入用户名和密码。使用“Ctrl+Alt+Delete”组合键可以确保您看到的是真实可信的Windows登录界面。为了使连接到域中计算机的这一设置有效,您需要使用管理员身份登录,在控制面板中打开“用户账户”图标,选择“高级”选项卡,在“安全登录”项目中,选中“要求用户按Ctrl+Alt+Delete”复选框,然后点击“确定”按钮。
5、组合键锁定计算机
在离开办公桌的时候,为确保计算机的安全,需要锁定您的计算机,这样只有输入密码才能够再次使用。如果您的计算机已经登录到域中,只需按下“Ctrl+Alt+Delete”组合键,然后点击“锁定计算机”按钮即可。当您返回后,再次按下“Ctrl+Alt+Delete”组合键,输入密码即可。如果是在没有登录域的情况下,按下“+L”组合键,无需关闭所有应用程序即回到登录界面。当您返回时,选择您的账户名并输入相应密码即可。
6、设定锁定快捷方式
如果在使用电脑的过程中,有急事需要短暂离开电脑的话,很多人都知道可以通过使用CTRL+ALT+DEL组合键或屏幕保护程序来达到锁定屏幕的目的。如果觉得有些复杂的话,我们还可以简单通过鼠标双击桌面的快捷方式或通过在“开始”菜单中选择某一选项的方法来锁定计算机。参照如下的过程:打开您希望放置这一快捷方式的文件夹,在文件夹中单击右键,选择“新建”*“快捷方式”。在弹出的“创建快捷方式”对话框中,输入“rundll32.exe user32.dll,LockWorkStation”(在‘.exe’后有一个空格),然后点击“下一步”按钮,输入快捷方式的名字,点击“完成”按钮就可以。如果您不喜欢这种快捷方式的图标,要改变一下也很容易,右键单击该图标,选择“属性”选项,在“属性”对话框的“快捷方式”选项卡中点击“更改图标”按钮,然后点击“浏览”按钮,在列表中选择一个喜欢的图标文件,并连续单击2次“确定”按钮即为该快捷方式分配新的图标了。怎么样?是不是很方便啊!
7、后备选项锁定
有时候我们需要暂时离开计算机,但经常又会忘记了锁定系统——怎么办呢?其实解决这个问题很简单,可以设定在屏幕保护、系统挂起或是休眠的情况下自动锁定系统。这些设置在默认情况下是激活的,您可以再检查一下。右键单击桌面,选择“属性”选项,在“显示属性”对话框的“屏幕保护程序”选项卡中,选择一个屏幕保护程序(如果需要)。确认等待的时间设定并选中“在恢复时显示欢迎屏幕”或“在恢复时使用密码保护”复选项。打开控制面板,如果您使用的是“分类视图”模式,点击“性能和维护”链接。然后,单击或双击“电源管理”(视系统设置而定),进入“电源选项属性”对话框,在“高级”选项卡中选中“在计算机从待机状态恢复时,提示输入密码”复选框(如图5),点击“确定”按钮即可。这一切都简单明了,根本不用懂什么注册表,也不用使用什么复杂的软件,你说简单不简单?
九、设置安全的Windows 2000操作系统
【编者按】
Windows 2000 server含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000 server将会是一个很安全的操作系统。首先我们应将Windows 2000 server服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
Windows 2000 server含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000 server将会是一个很安全的操作系统。首先我们应将Windows 2000 server服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。我们可以停掉Guest 帐号、创建2个管理员用帐号、把系统administrator帐号改名、设置屏幕保护密码等确保安全,也可以利用win2000的安全配置工具来配置策略、关闭不必要的服务、关闭不必要的端口、禁止建立空连接和安装微软最新的补丁程序等措施来加强Windows 2000 Server安全。要攻击Windows 2000系统,首先需要知道帐号和密码,因此保障Windows 2000系统的安全中,保障其帐号和密码的安全是关键,但通常密码可以通过穷举法等方法破解,所以Windows 2000帐号的安全非常重要。
下面几种方法可以有效保障Windows 2000系统中帐号的安全:
方法一:禁止枚举帐号
由于Windows 2000的默认安装允许任何用户通过空用户得到系统所有帐号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,任何一个远程用户通过同样的方法都能得到帐户列表,使用非法手段破解帐户密码后,对我们的电脑进行攻击,所以必须采用以下方法禁止这种行为。
1、通过修改注册表禁用空用户连接,操作步骤如下:
单击"开始"->"运行"打开"运行"对话框;输入"Regedit"并单击确定打开注册表编辑器;在注册表编辑器中逐层进入[HKEY_LOCAL_MACHINES\SYSTEM\CurentControlSet\control\Lsa];
将RestrictAnonymous的值设置为1,这样可以禁止空用户连接。
2、修改本地安全策略,操作步骤如下:
进入Windows 2000的"控制面板";单击"管理工具",单击"本地安全策略",进入"本地安全设置"对话框。
选择"安全设置"->"本地策略"->"安全选项";双击"对匿名连接的额外限制"项;并选择"本地策略设置"列表,列表中出现三个选项。
(1)"无,依赖于默认许可权限"选项:这是系统默认值,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。
(2)"不允许枚举SAM账号和共享"选项:这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项。
(3)"没有显式匿名权限就无法访问"选项:这个值是最安全的一个,但是如果使用了这个值,就不能再共享资源了,所以还是推荐设为"不允许枚举SAM账号和共享"比较好。我们选择"不允许枚举SAM账号和共享"项,并确定。
此时,我们就禁止了用户枚举帐号的操作。
方法二:Administrator账号更名
非法用户找不到用户列表,我们的系统就一定安全吗?不一定。有经验的用户知道,Windows 2000系统的Administrator账号是不能被停用的,也不能设置安全策略,这样非法用户可以一遍又一遍地尝试这个账户的密码,直到破解,所以我们可以在"计算机管理"中把Administrator账户更名来防止这一点。具体操作步骤如下:
进入系统"控制面板"->"计算机管理",进入"计算机管理"窗口,如图所示。选择"本地用户和组"->"用户";在窗口右面使用鼠标右键单击Administrator,在右键菜单中选择"重命名";重新输入一个名称。
最好不要使用Admin、Root之类的名字,如果使用改了等于没改。尽量把它伪装成普通用户,比如改成:Guestlll,别人怎么也想不到这个帐户是超级用户。然后另建一个"Administrator"的陷阱帐号,不赋予任何权限,加上一个超过10位的超级复杂密码,并对该帐户启用审核。这样那些非法用户忙了半天也可能进不来,或是即便进来了也什么都得不到,还留下我们跟踪的线索。
方法三:禁止登录屏幕上显示上次登录的用户名
非法用户也可以通过本地或者Terminal Service的登录界面看到用户名,然后去猜密码。
所以要禁止显示登录的用户名。操作步骤如下:
选择"控制面板"->"管理工具"->"本地安全策略"->"本地策略"->"安全选项"。
在窗口右侧双击"登录屏幕上不要显示上次登录的用户名"一项;选中"已启用"。
也可以通过修改注册表来实现,找到注册表HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn项中的Don't Display Last User Name串,将其数据修改为1。
方法四:禁用Guest帐号
Guest帐号是一个非常危险的漏洞,因为非法用户可以使用这个帐号登录你的机器。禁用该帐号的操作步骤如下:
选择"控制面板"->"管理工具"->"计算机管理";在计算机管理的"本地用户和组"项,选择"用户",用鼠标右键单击右侧列表里的"Guest"帐号,在右键菜单中选择"属性"或是双击"Guest"帐号,在属性对话框中,在"帐户已停用"一项前打勾,这样就无法用Guest帐号登录你的系统了。
如果还需要提供共享打印服务时,则需要在"本地安全策略"的"用户权利指派"中的"在本地登录"项里设置Guest帐号不能登录本机(去掉Guest项后面的勾)。
经常检查本地用户和组,删除不用的帐户,不要给非法用户和黑客留下可乘之机,经过以上的步骤,我们的系统应该相对安全了许多。
十、安全设置组策略有效阻止黑客攻击
【简 介】
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
在本篇技术指南中,将概要介绍你如何修改最重要的组策略安全设置。
你可以在采用Windows XP、2000和Server 2003操作系统的本地计算机上使用这些方法,或者在Server 2003和2000中的OU域名级上使用这些方法。为了简明扼要和提供最新的信息,我准备介绍一下如何设置基于Windows Server 2003的域名。请记住,这些只是你在你的域名中能够设置的组策略对象中最有可能出现问题的。按照我的观点,这些设置可以保持或者破坏Windows的安全。而且由于设置的不同,你的进展也不同。因此,我鼓励你在使用每一个设置之前都进行深入的研究,以确保这些设置能够兼容你的网络。如果有可能的话,对这些设置进行试验(如果你很幸运有一个测试环境的话)。
如果你没有进行测试,我建议你下载和安装微软的组策略管理控制台(GPMC)来做这些改变。这个程序能够把组策略管理任务集中到一个单一的界面让你更全面地查看你的域名。要开始这个编辑流程,你就上载GPMC,扩展你的域名,用鼠标右键点击“缺省域名策略”,然后选择“编辑”。这样就装载了组策略对象编辑器。如果你要以更快的速度或者“次企业级”的方式编辑你的域名组策略对象,你可以在“开始”菜单中运行“gpedit.msc”。
1.确定一个缺省的口令策略,使你的机构设置位于“计算机配置/Windows设置/安全设置/账号策略/口令策略”之下。
2.为了防止自动口令破解,在“计算机配置/Windows设置/安全设置/账号策略/账号关闭策略”中进行如下设置:
·账号关闭持续时间(确定至少5-10分钟)
·账号关闭极限(确定最多允许5至10次非法登录)
·随后重新启动关闭的账号(确定至少10-15分钟以后)
3.在“计算机配置/Windows设置/安全设置/本地策略/检查策略”中启用如下功能:
·检查账号管理
·检查登录事件
·检查策略改变
·检查权限使用
·检查系统事件
理想的情况是,你要启用记录成功和失败的登录。但是,这取决于你要保留什么类型的记录以及你是否能够管理这些记录。Roberta Bragg在这里介绍了一些普通的检查记录设置。要记住,启用每一种类型的记录都需要你的系统处理器和硬盘提供更多的资源。
4.作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“计算机配置/Windows设置/安全设置/本地策略/安全选项”中进行如下设置:
·账号:重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
·账号:重新命名客户账号(确定一个新名字)
·交互式登录:不要显示最后一个用户的名字(设置为启用)
·交互式登录:不需要最后一个用户的名字(设置为关闭)
·交互式登录: 为企图登录的用户提供一个消息文本(确定为让用户阅读banner text(旗帜文本),内容大致为“这是专用和受控的系统。
如果你滥用本系统,你将受到制裁。--首先让你的律师运行这个程序)
·交互式登录: 为企图登录的用户提供的消息题目--在警告!!!后面写的东西
·网络接入:不允许SAM账号和共享目录(设置为“启用”)
·网络接入:将“允许每一个人申请匿名用户”设置为关闭
·网络安全:“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
·关机:“允许系统在没有登录的情况下关闭”设置为“关闭”
·关机:“清除虚拟内存的页面文件”设置为“启用”
如果你没有Windows Server 2003域名控制器,你在这里可以找到有哪些Windows XP本地安全设置的细节,以及这里有哪些详细的Windows 2000 Server组策略的设置。要了解更多的有关Windows Server 2003组策略的信息,请查看微软的专门网页。
十一、如何设置IE中的安全设置选项按钮?
问:我在Windows 2000桌面右击IE图标并选择“属性”,选择了“安全”标签后,发现“自定义级别”和“默认级别”按钮变成灰色不可选状态,无法改变IE的安全等级。请问该如何解决?
答:出现这个问题的原因是系统在注册表中添加了一个“SecChangeSettings”键进行了限制。请打开注册表编辑器,找到[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel],将右侧窗口中的“SecChangeSettings”键删除后,重启IE即可解决问题。
十二、FAT32转换为NTFS
如果要使用文件访问权限,文件还必须位于NTFS文件系统的分区上。跟FAT和FAT32文件系统相比,NTFS文件系统可以在保持簇大小不变的情况下支持更大的分区,还有一系列的安全特性,建议使用。不过DOS和Windows 9x操作系统并不能支持这种文件系统。有两种方法获得NTFS文件系统的分区:创建一个分区,然后格式化为NTFS文件系统;或者把现有的FAT或者FAT32文件系统的分区在保留数据的前提下转化为NTFS文件系统。这个转化可以使用Windows自带的convert.exe程序,在命令行状态下输入“convert c:/fs:ntfs”并回车就可以把C盘转换,其他盘需要替换C为相应的盘符。另外要注意,转换系统盘可能需要你重启动系统才能完成。
十三、用组策略从十大方面保护Windows安全
Windows操作系统中组策略的应用无处不在,如何让系统更安全,也是一个常论不休的话题,下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。
一、给我们的IP添加安全策略
在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略,在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉,那也可以通过它来添加或修改更多的网络安全设置,这样在Windows上运行网络程序或者畅游Internet时将会更加安全。
小提示 :由于此项较为专业,其间会涉及到很多的专业概念,一般用户用不到,在这里只是给网络管理员们提个醒,因此在此略过。
二、隐藏驱动器
平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项:选择“用户配置→管理模板→Windows组件→Windows资源管理器”。
三、禁用指定的文件类型
在“组策略”中,我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型,而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件,不让系统运行REG文件,具体操作方法如下:
1. 打开组策略,点击“计算机配置→Windows设置→安全设置→软件限制策略”,在弹出的右键菜单上选择“创建软件限制策略”,即生成“安全级别”、“其他规则”及“强制”、“指派的文件类型”、“受信任的出版商”项。
2. 双击“指派的文件类型”打开“指派的文件类型属性”窗口,只留下REG文件类型,将其他的文件全部删除,如果还有其他的文件类型要禁用,可以再次打开这个窗口,在“文件扩展名”空白栏里输入要禁用的文件类型,将它添加上去。
3. 双击“安全级别→不允许的”项,点击“设为默认”按钮。然后注销系统或者重新启动系统,此策略即生效,运行REG文件时,会提示“由于一个软件限制策略的阻止,Windows无法打开此程序”。
4.要取消此软件限制策略的话,双击“安全级别→不受限的”,打开“不受限的 属性”窗口,按“设为默认值”即可。
如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”,你会看到它可以建立哈希规则、Internet 区域规则、路径规则等策略,利用这些规则我们可以让系统更加安全,比如利用“路径规则”可以为电子邮件程序用来运行附件的文件夹创建路径规则,并将安全级别设置为“不允许的”,以防止电子邮件病毒。
提示:为了避免“软件限制策略”将系统管理员也限制,我们可以双击“强制”,选择“除本地管理员以外的所有用户”。如果用你的是文件类型限制策略,此选项可以确保管理员有权运行被限制的文件类型,而其他用户无权运行。
四、未经许可,不得在本机登录
使用电脑时,我们有时要离开座位一段时间。如果有很多正在打开的文档还没有处理完成或者正在下载东西、挂POPO等等,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户登录到别的账户,那就麻烦了。既然我们不能删除或禁用这些账户,那么我们可以通过“组策略”来禁止一些账户在本机上登录,让对方只能通过网络登录。
在“组策略”窗口中依次打开“计算机配置→Windows设置→安全设置→本地策略→用户权限分配”,然后双击右侧窗格的“拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现。
如果我们想反其道而行之,禁止用户从网络登录,只, 能从本地登录,可以双击“拒绝从网络访问这台计算机”项将用户加上去。
五、给“休眠”和“待机”加个密码
只有“屏幕保护”有密码是远远不够安全的,我们还要给“休眠”和“待机”加上密码,这样才会更安全。让我们来给“休眠”和“待机”加上密码吧。在“组策略”窗口中展开“用户配置→管理模板→系统→电源管理”,在右边的窗格中双击“从休眠/挂起恢复时提示输入密码”,将其设置为“已启用”(图5),那么当我们从“待机”或“休眠”状态返回时将会要求你输入用户密码。
六、自动给操作做个记录
在“计算机配置→Windows设置→安全设置→本地策略→审核策略”上,我们可以看到它可以审核策略更改、登录事件、对象访问、过程追踪、目录服务访问、特权使用等(图6)。这些审核可以记录下你某年某月某日某时某分某秒做过了什么操作:几时登录、关闭系统或更改过哪些策略等等。
我们应该养成经常在“控制面板→管理工具→事件查看器”里查看事件的好习惯。比如,当你修改过“组策略”后,系统就发生了问题,此时“事件查看器”就会及时告诉你改了哪些策略。在“登录事件”里,你可以查看到详细的登录事件,知道有人曾尝试使用禁用的账户登录、谁的账户密码已过期……而要启用哪些审核,只要双击相应的项目,选中“成功”和“失败”两个选项即可。
注意:Windows XP Home Edition没有“组策略”,只有Windows XP&nbs
