合理規(guī)劃?rùn)?quán)限

在默認(rèn)情況下，系統(tǒng)會(huì)安裝各種網(wǎng)絡(luò)協(xié)議，其實(shí)有些協(xié)議純屬多余，完全可以將其刪除，這有益于提高安全性和使用效率。例如，在本地連接的屬性窗口中只保留“Internet協(xié) 議（TCP/IP）” 項(xiàng)（包括TCP/IPv4或者TCP/IPv6）。對(duì)于其它協(xié)議，點(diǎn)擊“卸載”按鈕，將其全部刪除。雙擊“Internet協(xié)議（TCP/IP）”項(xiàng)，在其屬性窗口中點(diǎn)擊“高級(jí)”按鈕，在“WINS”面 板（如 圖 1所示）中選擇“禁用TCP/IP上的NetBIOS”項(xiàng)，來(lái)禁用NetBIOS通信方式，該通訊方式適用于早期的Windows系統(tǒng)，之后的系統(tǒng)采用的是Direct Hosting通信方式，可以提高連接的效率。

圖1 禁用TCP/IP上的NetBIOS

圖2 禁止生成DUMP文件

當(dāng)系統(tǒng)出現(xiàn)藍(lán)屏故障或者崩潰時(shí)，系統(tǒng)會(huì)產(chǎn)生DUMP文件，在其中存儲(chǔ)相關(guān)的記錄信息，這本來(lái)是便于管理員查找故障原因的。但是，這些DUMP文件一旦落入黑客手中，就有可能暴露本機(jī)的一些敏感信息，例如相關(guān)的密碼等。因此，最好禁止生成DUMP文件。在系統(tǒng)屬性窗口中的“高級(jí)”面板中的“啟動(dòng)和故障恢復(fù)”欄中點(diǎn)擊“設(shè)置”按鈕，在“寫(xiě)入調(diào)試信息”列表中選擇“無(wú)”項(xiàng)，就可以實(shí)現(xiàn)上述功能（如圖2所示）。在運(yùn)行窗口中執(zhí)行“drwtsn32”程序，就會(huì)打開(kāi)系統(tǒng)自帶的華醫(yī)生窗口，在其中只選擇“轉(zhuǎn)儲(chǔ)全部線程上下文”項(xiàng)，不選擇其余項(xiàng)目。否則一旦程序出錯(cuò)，系統(tǒng)就可能長(zhǎng)時(shí)間讀取硬盤(pán)，并產(chǎn)生記錄文件占用硬盤(pán)空間。如果系統(tǒng)出現(xiàn)過(guò)這樣的情況，可以尋找并刪除“user.dmp”文件。

在默認(rèn)狀態(tài)下，系統(tǒng)會(huì)自動(dòng)設(shè)置一些具有潛在威脅的參數(shù)，例如允許建立空連接、自動(dòng)啟動(dòng)服務(wù)器共享等等。為了提高系統(tǒng)安全性，最好將這些可能被黑客惡意利用的參數(shù)關(guān)閉。另外，為了防止黑客對(duì)服務(wù)器進(jìn)行各種攻擊操作，還需要防止SYN洪水攻擊，防止ICMP重定向報(bào)文攻擊、禁用IGMP協(xié)議、禁止響應(yīng)ICMP路由通告報(bào)文等。其實(shí)，和上述各項(xiàng)緊密相關(guān)的參數(shù)全部存儲(chǔ)在注冊(cè)表中，為了便于使用，這里將其相關(guān)的修改數(shù)據(jù)全部保存在名為“security.reg”的文件中。雙擊該文件，將修改信息導(dǎo)入到注冊(cè)表中，之后重啟系統(tǒng)，就可以使之生效。

系統(tǒng)和外界通訊，需要使用到相關(guān)的端口。在默認(rèn)情況下，135、445等端口處于開(kāi)啟狀態(tài)，為了提高安全性，有時(shí)需要將其關(guān)閉。對(duì)注冊(cè)表進(jìn)行適當(dāng)修改，就可以關(guān)閉445端口。為了便于使用，這里提供了名為“closeport”的批處理文件，可以關(guān)閉這些存在安全威脅的端口。運(yùn)行該批處理文件后，重啟系統(tǒng)就可以了。關(guān)閉135端口的方法是運(yùn)行“dcomcnfg”程序，在組建服務(wù)窗口左側(cè)選擇“控制臺(tái)根目錄”→“組件服務(wù)”→“我的電腦”項(xiàng)，在其屬性窗口中的“默認(rèn)屬性”面板中取消“在此計(jì)算機(jī)上啟用分布式COM”項(xiàng)的選擇狀態(tài)。在“默認(rèn)協(xié)議”面板中選擇“面向連接的TCP/IP”項(xiàng)，點(diǎn)擊“刪除”按鈕，點(diǎn)擊確定按鈕保存設(shè)置信息。之后重啟電腦，就可以關(guān)閉135端口。

對(duì)于系統(tǒng)安全來(lái)說(shuō)，合理設(shè)置磁盤(pán)和文件訪問(wèn)權(quán)限是很重要的。依次選中所有的磁盤(pán)，在其屬性窗口中的“安全”面板中的“組或用戶(hù)名稱(chēng)”列表中只保留Admibistrators組和SYSTEM賬戶(hù)，將其余的賬戶(hù)全部刪除。對(duì)于系統(tǒng)盤(pán)的權(quán)限設(shè)置尤為重要，對(duì)于系統(tǒng)盤(pán)中的“Windows”文件夾來(lái)說(shuō)，在其屬性窗口中的“安全”面板中只保留Administrators組，SYSTEM賬戶(hù)，User組，將其余的賬戶(hù)刪除。讓Administrators組和SYSTEM賬戶(hù)擁有全部權(quán)限，User組采用默認(rèn)權(quán)限。對(duì)于其它目錄來(lái)說(shuō)，建議在“安全”面板中刪除Everyone賬戶(hù)。對(duì)于系統(tǒng)盤(pán)中的“Document and Settings”文件夾來(lái)說(shuō)，在其屬性窗口中的安全面板中只賦予Administrators組完全控制權(quán)限。因?yàn)樵谠撐募A中存在很多目錄，應(yīng)該根據(jù)不提情況分別配置。例如對(duì)于“C:Documents and SettingsAll UserDocument”目錄來(lái)說(shuō)，其中的“All User”目錄應(yīng)該只讓Administrator賬戶(hù)擁有完全控制權(quán)，對(duì)于“Document”目錄來(lái)說(shuō)，因?yàn)楹芏嘤脩?hù)都可能對(duì)其訪問(wèn)，所以應(yīng)該不同的賬戶(hù)分別設(shè)置合適的控制權(quán)。對(duì) 于“C:WindowsTemp”目錄來(lái)說(shuō)，其中存儲(chǔ)一些臨時(shí)文件，應(yīng)該讓“Everyone”賬戶(hù)擁有對(duì)其的讀寫(xiě)權(quán)限，否則可能會(huì)導(dǎo)致系統(tǒng)或者其中的網(wǎng)站無(wú)法順利運(yùn)作。

系統(tǒng)自帶了一些實(shí)用程序，其中一些如果被黑客惡意利用，就可能對(duì)系統(tǒng)構(gòu)成潛在威脅。所以需要對(duì)其配置合理的權(quán)限，利用系統(tǒng)的搜索功能，搜索諸如net.exe、net1.exe、cmd.exe、等，注意其中有些可能是隱藏文件。依次選中這些文件，在其屬性窗口中的安全面板中只保留Administrators組和SYSTEM賬戶(hù)，將其余的賬戶(hù)全部刪除。

對(duì)于系統(tǒng)路徑下的一些文件夾來(lái)說(shuō)，可能存在被黑客惡意利用的威脅，為了安全起見(jiàn)，最好將其刪除。例如， 對(duì) 于“C:WindowsWebPrinters”目 錄 來(lái) 說(shuō)，可能會(huì)造成在IIS中加入一個(gè)“.printers”的擴(kuò)展名的情況，引發(fā)黑客的溢出攻擊，建議將其刪除。IISde錯(cuò)誤頁(yè)面某人保存在“C:WindowsHelpiisHelp”目錄中，不過(guò)因?yàn)楹苌偈褂米詈脤⑵鋭h除。IIS的密碼信息一般保存在“C:WindowsSystem32inetsrviisadmpwd”目錄中，因?yàn)橐恍┟艽a不同步導(dǎo)致IIS出錯(cuò)時(shí)，就存在被黑客使用特定程序（例如lisadmpwd等）修改同步密碼的問(wèn)題，因此可以將其刪除。如果無(wú)法正常刪除的話，可以進(jìn)入安全模式對(duì)其刪除。

利用組策略，可以有效提高系統(tǒng)安全性。例如，運(yùn)行“gpedit.msc”程序，在組策略窗口左側(cè)選擇“計(jì)算機(jī)配置”→“Windows設(shè)置”→“安全設(shè)置”→“密碼策略”項(xiàng)，在右側(cè)窗口中將“密碼最短使用期限”設(shè)置為0，讓密碼不過(guò)期，避免出現(xiàn)IIS密碼不同步的問(wèn)題。選擇“賬戶(hù)策略”→“賬戶(hù)鎖定策略”項(xiàng)，在右側(cè)窗口將“賬戶(hù)鎖定閥值”設(shè)置為5次，將“賬戶(hù)鎖定時(shí)間”設(shè)置為10分鐘。選擇“本地策略”→“審核策略”項(xiàng)，在右側(cè)窗口（如圖3所示）雙擊“審核策略修改”項(xiàng)，為其啟用成功和失敗審核操作。針對(duì)“審核登錄事件”啟用成功和失敗審核操作，針對(duì)“審核對(duì)象反問(wèn)”啟用失敗審核操作。針對(duì)“審核過(guò)程追蹤”啟用成功和失敗審核操作。針對(duì)“審核目錄服務(wù)訪問(wèn)”啟用失敗審核操作，針對(duì)“審核特權(quán)使用”啟用失敗審核操作。針對(duì)“審核系統(tǒng)事件”啟用成功和失敗審核操作，針對(duì)“審核賬戶(hù)登錄事件”啟用成功和失敗審核操作，針對(duì)“審核賬戶(hù)管理”啟用成功和失敗審核操作。

圖3 設(shè)置審核策略

選擇“本地策略”→“安全選項(xiàng)”項(xiàng)，在右側(cè)窗口中將“交互式登錄：不顯示上次的用戶(hù)名”，“交互式登錄：不需 要 按 Ctr+Alt+Del”，“網(wǎng)絡(luò)訪問(wèn)：不允許SAM賬戶(hù)的匿名枚舉”，“網(wǎng)絡(luò)訪問(wèn)：不允許SAM賬戶(hù)和共享的匿名枚舉”等狀態(tài)設(shè)置為“已啟用”。雙擊“網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享”，“網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命名管道”，“網(wǎng)絡(luò)訪問(wèn) ：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑”，“網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑”項(xiàng)，將其內(nèi)容徹底清空。雙擊“賬戶(hù)：重命名來(lái)賓賬戶(hù)”項(xiàng)，將Guest賬戶(hù)修改為別的名稱(chēng)。雙擊“賬戶(hù)：重命名系統(tǒng)管理員賬戶(hù)”項(xiàng)，將Administrator賬戶(hù)更改為別的名稱(chēng)，為了迷惑黑客，最好建立一個(gè)名為“Administrator”的賬戶(hù)，讓其擁有最小權(quán)限。

對(duì)于系統(tǒng)自帶的Wscript等組件，最好將其刪除，否則黑客很容易通過(guò)ASP，PHP木馬來(lái)讀取系統(tǒng)敏感信息。例如管理員賬戶(hù)等。甚至還會(huì)執(zhí)行一些危險(xiǎn)的命令。這里采取的是對(duì)這些控件進(jìn)行更名，防止被黑客惡意利用。運(yùn)行“regedit.exe”程 序，在 注 冊(cè) 表編輯器中對(duì)“HKEY_CLASSES_ROOT”分支 下“WScript.Shell”，“WScript.Shell.1”，“WScript.Network”，“WScript.Network.1”子健進(jìn)行更名處理?；蛘咧苯舆\(yùn)行“regsvr32/uwshom.dll”和“regsvr32/ushell32.dll”命 令，將Wshell和Shell.application組件卸載掉。

運(yùn) 行“services.msc”程序，在服務(wù)管理器中會(huì)顯示大量的服務(wù)信息，其實(shí)，其中的一些服務(wù)對(duì)系統(tǒng)正常運(yùn)行沒(méi)有影響，甚至一些默認(rèn)開(kāi)啟的服務(wù)還會(huì)針對(duì)系統(tǒng)安全構(gòu)成威脅。因此，最好將不需要的服務(wù)關(guān)閉，避免其被黑了非法利用。管理服務(wù)可以使用“sc”命令來(lái)實(shí)現(xiàn)。例如禁用管理打印作業(yè)的Print Spooler服務(wù)的話，可以在CMD窗口中執(zhí)行“sc config Spooler start= disabled”命令來(lái)實(shí)現(xiàn)。為了便于使用，這里提供了名為“closefuwu.bat”的命令，將其運(yùn)行后可以關(guān)閉各種不需要的服務(wù)，來(lái)提高系統(tǒng)運(yùn)行速度和安全性。