董思怡

【摘要】操作系統(tǒng)作為計(jì)算機(jī)系統(tǒng)中最重要的軟件，其安全特性從操作系統(tǒng)誕生之日就成為研究人員關(guān)注的焦點(diǎn)，如何構(gòu)建一個(gè)安全的操作系統(tǒng)正是當(dāng)前安全研究的熱點(diǎn)課題。本文根據(jù)對Windows操作系統(tǒng)日常維護(hù)的實(shí)踐，主要介紹Windows操作系統(tǒng)中的一些安全策略，探討了這些安全策略的使用方法和常用技巧。

【關(guān)鍵詞】Windows;安全策略;漏洞;操作系統(tǒng)安全

引言

Windows操作系統(tǒng)在個(gè)人電腦的領(lǐng)域應(yīng)用內(nèi)最為普遍，也是普通用戶常用的操作系統(tǒng)版本之一，雖然隨著版本的不斷迭代和創(chuàng)新，Windows操作系統(tǒng)在安全性和穩(wěn)定性上有了很大的提升，然而在計(jì)算機(jī)系統(tǒng)管理中，為了尋求安全性和易用性的動(dòng)態(tài)平衡，仍然不可避免存在安全漏洞。如果入侵者利用當(dāng)這些系統(tǒng)安全隱患進(jìn)行惡意攻擊，就會造成信息泄露、系統(tǒng)的安全性、可用性就會遭到破壞。所以作為用戶應(yīng)該掌握操作系統(tǒng)的特點(diǎn)，采取有效可行的安全策略，避免使自己成為系統(tǒng)漏洞的受害者。本文以Windows系列的操作系統(tǒng)為例，從系統(tǒng)安全配置管理方面介紹一些安全策略工具的使用和實(shí)施方法。

1安全策略一：給系統(tǒng)打補(bǔ)丁

通過經(jīng)常給電腦打補(bǔ)丁來保護(hù)電腦數(shù)據(jù)，這是一個(gè)保護(hù)電腦、防護(hù)很多病毒的有效措施。因?yàn)榇蠖鄶?shù)電腦病毒都是通過WINDOWS操作系統(tǒng)的漏洞進(jìn)行攻擊、破壞電腦的正常使用，給用戶造成不可估量的損失。而補(bǔ)丁是修復(fù)瑕疵以及安全漏洞的。在已經(jīng)習(xí)慣給防病毒軟件升級的今天，打補(bǔ)丁同樣重要。打補(bǔ)丁的頻率一般是每月檢查一次，使用 Windows打開自動(dòng)更新功能將使 Windows 隨時(shí)使用最新的補(bǔ)丁，而其他應(yīng)用程序可以相關(guān)廠商的網(wǎng)站尋找補(bǔ)丁進(jìn)行更新。

2 安全策略二：對系統(tǒng)管理員賬號進(jìn)行管理

Windows操作系統(tǒng)安裝后都會默認(rèn)創(chuàng)建一個(gè)系統(tǒng)管理員帳戶，它擁有計(jì)算機(jī)

的最高管理權(quán)限，但這在 Windows 系統(tǒng)中是一個(gè)很明顯的漏洞，因?yàn)楣芾韱T帳戶可以不設(shè)置密碼，并且管理員帳戶的名字總是 administrator。所以對于黑客來說，系統(tǒng)管理員帳戶一直是攻擊的主要目標(biāo)[1]。其中Guest賬號就是一個(gè)非常危險(xiǎn)的漏洞，因?yàn)楹诳涂梢灾苯邮褂眠@個(gè)賬號登錄你的機(jī)器。

所以實(shí)施安全策略的第一步是要禁用Guest帳號。具體操作過程為：在控制面板—用戶帳戶中選擇“更改賬戶”，將Guest來賓賬戶禁用。

第二步將Administrator用戶名稱進(jìn)行更改，在控制面板→管理工具→本地安全策略→本地策略→安全選項(xiàng)→重命名系統(tǒng)管理員帳戶。

第三步重新設(shè)置此用戶密碼，最好能增強(qiáng)密碼強(qiáng)度。至少 10 字符以上，要求字母、數(shù)字混合，字符中有一個(gè)以上的特殊字符。

3 安全策略三：限制不必要的用戶數(shù)

去掉所有的duplicate user帳戶、測試用帳戶和共享帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并經(jīng)常檢查系統(tǒng)的帳戶，刪除已不在使用的帳戶。這些帳戶很多時(shí)候都是黑客入侵系統(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客得到合法用戶的權(quán)限可能性也越大。

4 安全策略四：鎖定無效登錄

為了防止他人進(jìn)入電腦時(shí)，反復(fù)用猜測密碼的方式登錄，我們可以鎖定無效登錄，當(dāng)密碼輸入錯(cuò)誤達(dá)設(shè)定次數(shù)后，便鎖定此賬戶，在一定時(shí)間內(nèi)不能再以該賬戶登錄。

具體的操作進(jìn)入控制面板，依次展開“管理工具”→“本地安全策略”，出現(xiàn)“本地安全設(shè)置”窗口在左側(cè)列表中打開“賬戶策略”→“賬戶鎖定策略”，在右邊雙擊“賬戶鎖定閥值”，在彈出的設(shè)置對話框中輸入無效登錄的次數(shù)（一般設(shè)3次為宜），確定后系統(tǒng)自動(dòng)將鎖定時(shí)長和計(jì)數(shù)器清零的時(shí)長設(shè)置為“30分鐘”，我們也可以修改這兩個(gè)策略時(shí)間。經(jīng)過以上設(shè)置，就能夠阻止那些靠猜密碼登錄的非法用戶了。

5 安全策略五：禁用不必要的服務(wù)

為了方便用戶，Windows默認(rèn)啟動(dòng)了許多不一定要用到的服務(wù)，同時(shí)也打開了入侵系統(tǒng)的后門。通過網(wǎng)絡(luò)資源，我們可以找到完備的Windows系統(tǒng)服務(wù)詳細(xì)功能說明，根據(jù)自己系統(tǒng)的需要，把那無需使用和有危險(xiǎn)性的服務(wù)都關(guān)閉。例如：Net Meeting Remote Desktop Sharing/Remote Desktop Help Session Manager/ SSDPDiscovery Service/telnet/Universal Plugand Play DeviceHost等。

具體步驟為：打開“控制面板”→“管理工具”→“服務(wù)”，可以看到有關(guān)這些服務(wù)的說明和運(yùn)行狀態(tài)。要關(guān)閉一個(gè)服務(wù)，只需右鍵點(diǎn)擊服務(wù)名稱并選擇“屬性”菜單，在“常規(guī)”選項(xiàng)卡中把“啟動(dòng)類型”改成“手動(dòng)”，再點(diǎn)擊“停止”按鈕。

6 安全策略六：禁用不必要的協(xié)議和端口

在配置系統(tǒng)協(xié)議時(shí)，不需要的協(xié)議都可以刪除，對于服務(wù)器和主機(jī)來說，一般只安裝TCP/IP協(xié)議就夠了[2]。點(diǎn)擊“網(wǎng)上鄰居”，選擇“屬性”、“本地連接”。

“屬性”，卸載不必要的協(xié)議。NETBIOS是很多安全缺陷的源泉，對于不需要提供文件和打印共享的主機(jī)，還可將綁定在TCP/IP協(xié)議的NETBIOS關(guān)閉，避免對NETBIOS的攻擊。選擇“TCP/IP協(xié)議”→“屬性”→“高級”，進(jìn)入“高級TCP/IP設(shè)置”對話框，選擇“WINS”標(biāo)簽，勾選“禁用TCP/IP上的NETBIOS”一項(xiàng)，關(guān)閉NETBIOS。

此外端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)連接的邏輯接口，也是計(jì)算機(jī)的一道屏障，因此端口配置正確與否直接影響到主機(jī)的安全。一般僅打開需要使用的端口比較安

全。當(dāng)然，對于文件和打印共享服務(wù)的137、138、139和445端口，還可采用以下的方法來關(guān)閉。點(diǎn)擊“網(wǎng)上鄰居”→“屬性”，選擇“網(wǎng)絡(luò)和撥號連接”對話框的“高級共享設(shè)置”命令，進(jìn)入高級設(shè)置對話框，如圖4所示，在出現(xiàn)的畫面中的上部選擇所需的連接，下部取消“文件和打印機(jī)共享”項(xiàng)，即可禁止這幾個(gè)端口。

7 安全策略七：設(shè)置目錄和文件權(quán)限

NTFS 系統(tǒng)格式磁盤中的文件和文件夾都可以設(shè)置用戶訪問權(quán)限（FAT、FAT32和NT2FS三種文件格式的文件夾都可以設(shè)置共享權(quán)限）。文件目錄的訪問權(quán)限分為讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。為了控制服務(wù)器上用戶的權(quán)限，預(yù)防以后可能的入侵和溢出，設(shè)置目錄和文件的訪問權(quán)限必須遵循最小化原則。

具體設(shè)置、查看、更改或刪除文件和文件夾權(quán)限的步驟是：

（1）打開Windows資源管理器。右鍵單擊要為其設(shè)置權(quán)限的文件或文件夾，單擊“屬性”→“安全”選項(xiàng)卡;

（2）執(zhí)行以下任一操作：要為沒有出現(xiàn)在“組或用戶名稱”框中的用戶或組設(shè)置權(quán)限，請單擊“添加”;鍵入想要為其設(shè)置權(quán)限的組或用戶的名稱，然后單擊“確定”;

（3）執(zhí)行以下任一操作：要允許或拒絕某一權(quán)限，請?jiān)凇坝脩艋蚪M的權(quán)限”框中選中“允許”或“拒絕”復(fù)選框;要從“組或用戶名稱”框中刪除該組或用戶，請單擊“刪除”。

8 安全策略八：禁止遠(yuǎn)程控制

8.1 禁止Windows上的遠(yuǎn)程協(xié)助和終端服務(wù)

Windows上的遠(yuǎn)程協(xié)助允許用戶在使用計(jì)算機(jī)發(fā)生困難時(shí)，向MSN上的好友發(fā)出遠(yuǎn)程協(xié)助邀請（或通過Outlook Express發(fā)送協(xié)助郵件），幫助自己解決問題。這個(gè)功能普通用戶很少用到，但是它除了存在使用權(quán)限上的安全隱患外，也正是“沖擊波”等病毒攻擊Windows的RPC（Remote Procedure Call）服務(wù)的一個(gè)

途徑。在Windows XP上禁止默認(rèn)打開的“遠(yuǎn)程協(xié)助”的方法是用鼠標(biāo)右鍵選擇“我的電腦”→“屬性”，在“遠(yuǎn)程”項(xiàng)里去掉“允許從這臺計(jì)算機(jī)發(fā)送遠(yuǎn)程協(xié)助邀請”前面的“√”。

在Windows系統(tǒng)中，“終端服務(wù)”是默認(rèn)打開的，用戶利用終端可以實(shí)現(xiàn)遠(yuǎn)程控制。在Windows系統(tǒng)里關(guān)閉“終端服務(wù)”的方法是鼠標(biāo)右鍵選擇“我的電腦”→“屬性”，在“遠(yuǎn)程”項(xiàng)里去掉“允許用戶遠(yuǎn)程連接到這臺計(jì)算機(jī)”前面的“√”。

8.2 端口配置

端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障，端口配置正確與否直接影響到主機(jī)的安全。對于個(gè)人用戶來說，可以限制所有的端口，因?yàn)楦静槐刈寵C(jī)器對外提供任何服務(wù);而對于對外提供網(wǎng)絡(luò)服務(wù)的服務(wù)器，我們需把必須利用的端口（比如WWW端口80、FTP端口21、郵件服務(wù)端口25、110 等）開放，其他的端口則全部關(guān)閉。如果沒有文件和打印機(jī)共享要求，最好禁止 135、139和445端口。具體方法是通過“網(wǎng)卡屬性”→“TCP/ IP”→“高級選項(xiàng)”→TCP/ IP篩選中啟用TCP/ IP篩選或用個(gè)人防火墻關(guān)閉無用端口。

8.3 禁止注冊表被遠(yuǎn)程匿名訪問

Windows在默認(rèn)情況下，注冊表可以被遠(yuǎn)程訪問。為了提高系統(tǒng)的安全性，避免自己機(jī)器的注冊表被人通過網(wǎng)絡(luò)修改，可以禁用此功能從而限制遠(yuǎn)程訪問，一般只開放系統(tǒng)管理員的遠(yuǎn)程訪問權(quán)限。實(shí)現(xiàn)這個(gè)目的，需要修改注冊表，步驟如下：

（1）打開注冊表編輯器;

（2）選擇：

HKEY_CURRENT_CONFIG＼system＼CurrentControlSet＼control＼SecurePipeServers＼winreg子鍵;

（3）在右側(cè)窗口中新建一個(gè)Dword值，命名為 RemoteRegAccess，將數(shù)值設(shè)為“1”即可。

9 安全策略九：合理使用安全機(jī)制

嚴(yán)格設(shè)計(jì)管理好Windows系統(tǒng)的安全規(guī)則，其內(nèi)容主要包括“密碼規(guī)則”、“賬號鎖定規(guī)則”、“用戶權(quán)限分配規(guī)則”、“審核規(guī)則”及“IP安全規(guī)則”。對所有用戶都應(yīng)按工作需要進(jìn)行分組，合理對用戶分組是進(jìn)行系統(tǒng)安全設(shè)計(jì)的最重要的基礎(chǔ)。利用安全規(guī)則可以限定用戶口令的有效期、口令長度。設(shè)置登錄多少次失敗后鎖定工作站，并對用戶備份文件和目錄、關(guān)機(jī)、網(wǎng)絡(luò)訪問等各項(xiàng)行為進(jìn)行有效控制。

10 結(jié)束語

雖然系統(tǒng)提供商在不斷升級完善系統(tǒng)漏洞，但操作系統(tǒng)仍然成為黑客、病毒、間諜軟件攻擊計(jì)算機(jī)的主要目標(biāo)之一。面對這種現(xiàn)狀，安全意識疏漏帶來的危機(jī)更甚于安全漏洞本身，只有防患于未然才是上上之策。一般來說，一臺主機(jī)在一定的情況、一定的時(shí)間上是安全的，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)的變化、新的漏洞的發(fā)現(xiàn)，管理員/用戶的操作、主機(jī)的安全狀況是隨時(shí)隨地變化著的，只有讓安全意識和安全制度貫穿整個(gè)過程才能做到真正的安全。

雖然要真正實(shí)現(xiàn)操作系統(tǒng)安全配置十分困難，但是Windows系統(tǒng)含有很多安全策略，只要合理地制定與實(shí)施，我們所使用的系統(tǒng)將會是一個(gè)相對安全的操作系統(tǒng)。因此作為系統(tǒng)的使用者，我們要最大程度地利用操作系統(tǒng)的安全策略來保障操作系統(tǒng)的安全運(yùn)行，避免用戶的錯(cuò)誤操作給操作系統(tǒng)帶來的危害，并通過對安全策略的有效制定和實(shí)施來防止各種針對操作系統(tǒng)的惡意攻擊，從而使得系統(tǒng)能夠處于一個(gè)相對安全的運(yùn)行環(huán)境中。

參考文獻(xiàn)：

[1]吳敏. Windows XP操作系統(tǒng)安全策略[J]. 電腦知識與技術(shù)（學(xué)術(shù)交流），2007，10：1125-1126.

[2]朱敏. Windows系統(tǒng)安全策略[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用，2007，07：98-102.

[3]潘常春，楊炳. 探究Windows XP操作系統(tǒng)安全策略[J]. 柳州師專學(xué)報(bào)，20052005，03：122-124.

[4]卿斯?jié)h，劉文清，溫紅子等. 操作系統(tǒng)安全[M]. 清華大學(xué)出版社，2004年.

[5]陳永峰，楊寧俠. 淺析Windows XP操作系統(tǒng)安全[J]. 科技致富向?qū)В?015，02：194.

[6]韋素娟. Windows系統(tǒng)安全初探[J]. 福建電腦，2008，04：55+59.

[7]戴宗坤等. 信息系統(tǒng)安全[M]. 電子工業(yè)出版社，2003年.

[8]蔣魯松. Windows系統(tǒng)安全漏洞及解決方法[J]. 山東省青年管理干部學(xué)院學(xué)報(bào)，2003，02：109-110.

[9]蔡誼，沈昌祥. 安全操作系統(tǒng)中制定安全策略的研究[J]. 計(jì)算機(jī)應(yīng)用與軟件，2002，11：8-11.