電腦安全問題一直以來都是個最重要的一個問題，也是電腦愛好者最關(guān)心的一個問題。它是個大話題涉及到電腦的方方面面，三言兩語是說不清楚的，也不是幾天就能夠?qū)W會的。在這里我總結(jié)了一些系統(tǒng)安全配置方面的知識，希望對大家有所幫助。因為只有一臺安全的電腦才可以預(yù)防病毒的騷擾、抵御黑客的入侵。

　　下面就開始我們的安全之旅吧。

　　一、安裝過程

　　1、有選擇性地安裝組件

　　安裝操作系統(tǒng)時請用NTFS格式， 不要按Windows 2000的默認(rèn)安裝組件，本著“最少的服務(wù)+最小的權(quán)限=最大的安全”原則，只選擇安裝需要的服務(wù)即可。例如:不作為Web服務(wù)器或FTP服務(wù)器就不安裝IIS。常用Web服務(wù)器需要的最小組件是: Internet 服務(wù)管理器、WWW服務(wù)器和與其有關(guān)的輔助服務(wù)。如果是默認(rèn)安裝了IIS服務(wù)自己又不需要的就將其卸載。卸載辦法:開始---->設(shè)置---->控制面板---->添加刪除程序---->添加/刪除Windows組件，在“windows組件向?qū)А钡摹敖M件(C):”中將“Internet信息服務(wù)(IIS)”前面小框中的√去掉，然后“下一步”就卸載了IIS。

　　2、網(wǎng)絡(luò)連接

　　在安裝完成Windows 2000/XP操作系統(tǒng)后，不要立即連入網(wǎng)絡(luò)，因為這時系統(tǒng)上的各種程序還沒有打上補(bǔ)丁，存在各種漏洞，非常容易感染病毒和被入侵，此時應(yīng)該安裝殺毒軟件和防火墻。殺毒軟件和防火墻推薦使用卡巴斯基、諾頓企業(yè)版客戶端(若做服務(wù)器則用服務(wù)端)和ZoneAlarm防火墻。接著，再把下面的事情做完后再上網(wǎng)。

　　二、正確設(shè)置和管理賬戶

　　1、停止使用Guest賬戶，并給Guest 加一個復(fù)雜的密碼。所謂的復(fù)雜密碼就是密碼含大小寫字母、數(shù)字、特殊字符(～!@#￥%《》，。?)等。比如象:“G7Y3，^)y。

　　2、賬戶要盡可能少，并且要經(jīng)常用一些掃描工具查看一下系統(tǒng)賬戶、賬戶權(quán)限及密碼。刪除停用的賬戶，常用的掃描軟件有:流光、HSCAN、X-SCAN、STAT　SCANNER等。正確配置賬戶的權(quán)限，密碼至少應(yīng)不少于8位，比如:"3H.#4d&j1)~w",呵呵……讓他破吧!!這樣的密碼他可能把機(jī)子跑爛也跑不出來哦 ^_^

　　3、增加登錄的難度，在“賬戶策略→密碼策略”中設(shè)定:“密碼復(fù)雜性要求啟用”，“密碼長度最小值8位”，“強(qiáng)制密碼歷史5次”，“最長存留期 30天”;在“賬戶策略→賬戶鎖定策略”設(shè)定:“賬戶鎖定3次錯誤登錄”，“鎖定時間30分鐘”，“復(fù)位鎖定計數(shù)30分鐘”等，增加了登錄的難度對系統(tǒng)的安全大有好處。

　　4、把系統(tǒng)Administrator賬號改名，名稱不要帶有Admin等字樣; 創(chuàng)建一個陷阱帳號，如創(chuàng)建一個名為“Administrator”的本地帳戶，把權(quán)限設(shè)置成最低，什么事也干不了，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些“不法之徒”忙上一段時間了，并且可以借此發(fā)現(xiàn)他們的入侵企圖。

　　三、正確地設(shè)置目錄和文件權(quán)限(這步可以在以后做)

　　為了控制好服務(wù)器上用戶的權(quán)限，同時也為了預(yù)防以后可能的入侵和溢出，還必須非常小心地設(shè)置目錄和文件的訪問權(quán)限。Windows 2000/XP Pro的訪問權(quán)限分為:讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾對所有用戶(Everyone這個組)是完全控制的(Full Control)，您需要根據(jù)應(yīng)用的需要重新設(shè)置權(quán)限。在進(jìn)行權(quán)限控制時，請記住以下幾個原則:

　　㈠權(quán)限是累計的，如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權(quán)限。

　　②拒絕的權(quán)限要比允許的權(quán)限高(拒絕策略會先執(zhí)行)。如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個資源。

　　③文件權(quán)限比文件夾權(quán)限高。

　　④利用用戶組來進(jìn)行權(quán)限控制是一個成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣。

　　⑤只給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障。

　　⑥預(yù)防ICMP攻擊。ICMP的風(fēng)暴攻擊和碎片攻擊是NT主機(jī)比較頭疼的攻擊方法，而Windows 2000/2003應(yīng)付的方法很簡單。Windows 2000/2003自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形。在這個工具中，我們可以輕易地定義輸入輸出包過濾器。如設(shè)定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文。

　　四、網(wǎng)絡(luò)服務(wù)安全管理

　　1、關(guān)閉不需要的服務(wù)

　　只留必需的服務(wù)，多一些服務(wù)可能會給系統(tǒng)帶來更多的安全因素。如Windows 2000/2003的Terminal Services(終端服務(wù))、IIS(web服務(wù))、RAS(遠(yuǎn)程訪問服務(wù))等，這些都有產(chǎn)生漏洞的可能。

　　2、關(guān)閉不用的端口。

　　3、只開放服務(wù)需要的端口與協(xié)議。

　　具體方法為:按順序打開“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級→選項→TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務(wù)開設(shè)口.

　　常用的TCP口有:80口用于Web服務(wù);21用于FTP服務(wù);25口用于SMTP;23口用于Telnet服務(wù);110口用于POP3(郵件服務(wù))。

　　常用的UDP端口有:53口-DNS域名解析服務(wù);161口-snmp簡單的網(wǎng)絡(luò)管理協(xié)議。8000、4000用于OICQ，服務(wù)器用8000來接收信息，客戶端用4000發(fā)送信息。如果沒有上面這些服務(wù)就沒有必要打開這些端口。

　　4、禁止建立空連接

　　Windows 2000/XP的默認(rèn)安裝允許任何用戶可通過空連接連上服務(wù)器，枚舉賬號并猜測密碼。空連接用的端口是139，通過空連接，可以復(fù)制文件到遠(yuǎn)端服務(wù)器，計劃執(zhí)行一個任務(wù)，這就是一個漏洞。可以通過以下兩種方法禁止建立空連接:

　　A:修改注冊表中Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。

　　B:修改Windows 2000的本地安全策略。設(shè)置“本地安全策略→本地策略→選項”中的RestrictAnonymous(匿名連接的額外限制)為“不容許枚舉SAM賬號和共享”。

　　Windows 2000/XP的默認(rèn)安裝允許任何用戶通過空連接得到系統(tǒng)所有賬號和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時任何一個遠(yuǎn)程用戶也可以通過同樣的方法得到您的用戶列表，并可能使用暴力法破解用戶密碼給整個網(wǎng)絡(luò)帶來破壞。很多人都只知道更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接，實際上Windows 2000/XP的本地安全策略里(如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略里)就有RestrictAnonymous選項，其中有三個值:“0”這個值是系統(tǒng)默認(rèn)的，沒有任何限制，遠(yuǎn)程用戶可以知道您機(jī)器上所有的賬號、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum)等;“1”這個值是只允許非NULL用戶存取SAM賬號信息和共享信息;“2”這個值只有Windows 2000/XP才支持，需要注意的是，如果使用了這個值，就不能再共享資源了，所以還是推薦把數(shù)值設(shè)為“1”比較好。

　　五、關(guān)閉無用端口和修改3389端口

　　Windows的每一項服務(wù)都對應(yīng)相應(yīng)的端口，比如眾如周知的www服務(wù)的端口是80，smtp是25，ftp是21，win2000/XP安裝中這些服務(wù)都是默認(rèn)開啟的。對于個人用戶來說確實沒有必要，關(guān)掉端口也就是關(guān)閉了無用的服務(wù)。

　　關(guān)閉這些無用的服務(wù)可以通過“控制面板”的“管理工具”中的“服務(wù)”中來配置。

　　1、關(guān)閉7.9等等端口:關(guān)閉Simple TCP/IP Service,支持以下 TCP/IP 服務(wù):Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。

　　2、關(guān)閉80口:關(guān)掉WWW服務(wù)。在“服務(wù)”中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 信息服務(wù)的管理單元提供 Web 連接和管理。

　　3、關(guān)掉25端口:關(guān)閉Simple Mail Transport Protocol (SMTP)服務(wù)，它提供的功能是跨網(wǎng)傳送電子郵件。
　　
　　4、關(guān)掉21端口:關(guān)閉FTP Publishing Service,它提供的服務(wù)是通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。

　　5、關(guān)掉23端口:關(guān)閉Telnet服務(wù)，它允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺程序。

　　6、還有一個很重要的就是關(guān)閉server服務(wù)，此服務(wù)提供 RPC 支持、文件、打印以及命名管道共享。關(guān)掉它就關(guān)掉了win2k的默認(rèn)共享，比如ipc$、c$、admin$等等，此服務(wù)關(guān)閉不影響您的共他操作。

　　7、還有一個就是139端口，139端口是NetBIOS　Session端口，用來文件和打印共享，注意的是運(yùn)行samba的unix機(jī)器也開放了139端口，功能一樣。以前流光2000用來判斷對方主機(jī)類型不太準(zhǔn)確，估計就是139端口開放既認(rèn)為是NT機(jī)，現(xiàn)在好了。

　　關(guān)閉139端口的方法是在“網(wǎng)絡(luò)和撥號連接”——“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進(jìn)入“高級TCP/IP設(shè)置”“WINS設(shè)置”里面有一項“禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口。

　　對于個人用戶來說，可以在以上各項服務(wù)屬性設(shè)置中設(shè)為“禁用”，以免下次重啟服務(wù)也重新啟動后端口再次打開。現(xiàn)在你不用擔(dān)心你的端口和默認(rèn)共享了。

　　8、修改3389:打開注冊表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那個PortNumber沒有?0xd3d，這個是16進(jìn)制，就是3389啦。我改XXXX這個值是RDP(遠(yuǎn)程桌面協(xié)議)的默認(rèn)值，也就是說用來配置以后新建的RDP服務(wù)的，要改已經(jīng)建立的RDP服務(wù)，我們?nèi)ハ乱粋€鍵值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations這里應(yīng)該有一個或多個類似RDP-TCP的子健(取決于你建立了多少個RDP服務(wù))，一樣改掉PortNumber。

　　六、本地安全策略

　　1、通過建立IP策略來阻止端口連接

　　TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389

　　TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導(dǎo))

　　UDP端口:1434(這個就不用說了吧)

　　阻止所有ICMP,即阻止PING命令

　　2、在這里我用關(guān)閉135端口來實例講解

　　七、審核策略

　　具體方法:控制面板→管理工具→本地安全策略→本地策略→審核策略，然后右鍵點擊下列各項，選擇“安全性”來設(shè)置就可以了。

　　審核策略更改:成功,失敗

　　審核登錄事件:成功,失敗

　　審核對象訪問:失敗

　　審核對象追蹤:成功,失敗

　　審核目錄服務(wù)訪問:失敗

　　審核特權(quán)使用:失敗

　　審核系統(tǒng)事件:成功,失敗

　　審核賬戶登錄事件:成功,失敗

　　審核賬戶管理:成功,失敗
　　
　　密碼策略:啟用“密碼必須符合復(fù)雜性要求","密碼長度最小值"為6個字符,"強(qiáng)制密碼歷史"為5次,"密碼最長存留期"為30天。

　　在賬戶鎖定策略中設(shè)置:"復(fù)位賬戶鎖定計數(shù)器"為30分鐘之后,"賬戶鎖定時間"為30分鐘,"賬戶鎖定值"為30分鐘。

　　安全選項設(shè)置:本地安全策略→本地策略→安全選項→對匿名連接的額外限制，雙擊對其中有效策略進(jìn)行設(shè)置，選擇"不允許枚舉SAM賬號和共享"，因為這個值是只允許非NULL用戶存取SAM賬號信息和共享信息，一般選擇此項，然后再禁止登錄屏幕上顯示上次登錄的用戶名。

　　禁止登錄屏幕上顯示上次登錄的用戶名也可以改注冊表HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn項中的Don’t Display Last User Name串，將其數(shù)據(jù)修改為1

　　八、Windows日志文件的保護(hù)

　　日志文件對我們?nèi)绱酥匾虼瞬荒芎鲆晫λ谋Ｗo(hù)，防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。

　　1. 修改日志文件存放目錄

　　Windows日志文件默認(rèn)路徑是“%systemroot%\system32\config”，我們可以通過修改注冊表來改變它的存儲目錄，來增強(qiáng)對日志的保護(hù)。

　　點擊“開始→運(yùn)行”，在對話框中輸入“Regedit”，回車后彈出注冊表編輯器，依次展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog后，下面的Application、Security、System幾個子項分別對應(yīng)應(yīng)用程序日志、安全日志、系統(tǒng)日志。

　　我以應(yīng)用程序日志為例，將其轉(zhuǎn)移到“d:\abc”目錄下。首先選中Application子項，在右欄中找到File鍵，其鍵值為應(yīng)用程序日志文件的路徑“%SystemRoot%system32configAppEvent.Evt”，將它修改為“d:abc\AppEvent.Evt”。接著在D盤新建“abc”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動系統(tǒng)，這樣就完成了應(yīng)用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項下操作。

　　2. 設(shè)置文件訪問權(quán)限

　　修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權(quán)限，防止這種事情發(fā)生，前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。

　　右鍵點擊D盤的CCE目錄，選擇“屬性”，切換到“安全”標(biāo)簽頁后，首先取消“允許將來自父系的可繼承權(quán)限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號，只給它賦予“讀取”權(quán)限;然后點擊“添加”按鈕，將“System”賬號添加到賬號列表框中，賦予除“完全控制”和“修改”以外的所有權(quán)限，最后點擊“確定”按鈕。這樣當(dāng)用戶清除Windows日志時，就會彈出錯誤對話框。

　　九、寫在最后的話

　　現(xiàn)在你可以連接上網(wǎng)了，但是暫時不要打開IE瀏覽器。接下來工作是升級殺毒軟件和防火墻，并設(shè)置好，具體設(shè)置方法請參照締造論壇的相關(guān)教程。然后從開始菜單打開Windows update 打好系統(tǒng)所有的補(bǔ)丁，這個過程有點漫長，耐心等待吧。當(dāng)你打好系統(tǒng)所有補(bǔ)丁后再備份好系統(tǒng)，呵呵……上網(wǎng)吧你安全了(注意!沒有絕對的安全哦)!