论文部分内容阅读
【摘要】操作系统作为计算机系统中最重要的软件,其安全特性从操作系统诞生之日就成为研究人员关注的焦点,如何构建一个安全的操作系统正是当前安全研究的热点课题。本文根据对Windows操作系统日常维护的实践,主要介绍Windows操作系统中的一些安全策略,探讨了这些安全策略的使用方法和常用技巧。
【关键词】Windows;安全策略;漏洞;操作系统安全
引言
Windows操作系统在个人电脑的领域应用内最为普遍,也是普通用户常用的操作系统版本之一,虽然随着版本的不断迭代和创新,Windows操作系统在安全性和稳定性上有了很大的提升,然而在计算机系统管理中,为了寻求安全性和易用性的动态平衡,仍然不可避免存在安全漏洞。如果入侵者利用当这些系统安全隐患进行恶意攻击,就会造成信息泄露、系统的安全性、可用性就会遭到破坏。所以作为用户应该掌握操作系统的特点,采取有效可行的安全策略,避免使自己成为系统漏洞的受害者。本文以Windows系列的操作系统为例,从系统安全配置管理方面介绍一些安全策略工具的使用和实施方法。
1安全策略一:给系统打补丁
通过经常给电脑打补丁来保护电脑数据,这是一个保护电脑、防护很多病毒的有效措施。因为大多数电脑病毒都是通过WINDOWS操作系统的漏洞进行攻击、破坏电脑的正常使用,给用户造成不可估量的损失。而补丁是修复瑕疵以及安全漏洞的。在已经习惯给防病毒软件升级的今天,打补丁同样重要。打补丁的频率一般是每月检查一次,使用 Windows打开自动更新功能将使 Windows 随时使用最新的补丁,而其他应用程序可以相关厂商的网站寻找补丁进行更新。
2 安全策略二:对系统管理员账号进行管理
Windows操作系统安装后都会默认创建一个系统管理员帐户,它拥有计算机
的最高管理权限,但这在 Windows 系统中是一个很明显的漏洞,因为管理员帐户可以不设置密码,并且管理员帐户的名字总是 administrator。所以对于黑客来说,系统管理员帐户一直是攻击的主要目标[1]。其中Guest账号就是一个非常危险的漏洞,因为黑客可以直接使用这个账号登录你的机器。
所以实施安全策略的第一步是要禁用Guest帐号。具体操作过程为:在控制面板—用户帐户中选择“更改账户”,将Guest来宾账户禁用。
第二步将Administrator用户名称进行更改,在控制面板→管理工具→本地安全策略→本地策略→安全选项→重命名系统管理员帐户。
第三步重新设置此用户密码,最好能增强密碼强度。至少 10 字符以上,要求字母、数字混合,字符中有一个以上的特殊字符。
3 安全策略三:限制不必要的用户数
去掉所有的duplicate user帐户、测试用帐户和共享帐号等等。用户组策略设置相应权限,并经常检查系统的帐户,删除已不在使用的帐户。这些帐户很多时候都是黑客入侵系统的突破口,系统的帐户越多,黑客得到合法用户的权限可能性也越大。
4 安全策略四:锁定无效登录
为了防止他人进入电脑时,反复用猜测密码的方式登录,我们可以锁定无效登录,当密码输入错误达设定次数后,便锁定此账户,在一定时间内不能再以该账户登录。
具体的操作进入控制面板,依次展开“管理工具”→“本地安全策略”,出现“本地安全设置”窗口在左侧列表中打开“账户策略”→“账户锁定策略”,在右边双击“账户锁定阀值”,在弹出的设置对话框中输入无效登录的次数(一般设3次为宜),确定后系统自动将锁定时长和计数器清零的时长设置为“30分钟”,我们也可以修改这两个策略时间。经过以上设置,就能够阻止那些靠猜密码登录的非法用户了。
5 安全策略五:禁用不必要的服务
为了方便用户,Windows默认启动了许多不一定要用到的服务,同时也打开了入侵系统的后门。通过网络资源,我们可以找到完备的Windows系统服务详细功能说明,根据自己系统的需要,把那无需使用和有危险性的服务都关闭。例如:Net Meeting Remote Desktop Sharing/Remote Desktop Help Session Manager/ SSDPDiscovery Service/telnet/Universal Plugand Play DeviceHost等。
具体步骤为:打开“控制面板”→“管理工具”→“服务”,可以看到有关这些服务的说明和运行状态。要关闭一个服务,只需右键点击服务名称并选择“属性”菜单,在“常规”选项卡中把“启动类型”改成“手动”,再点击“停止”按钮。
6 安全策略六:禁用不必要的协议和端口
在配置系统协议时,不需要的协议都可以删除,对于服务器和主机来说,一般只安装TCP/IP协议就够了[2]。点击“网上邻居”,选择“属性”、“本地连接”。
“属性”,卸载不必要的协议。NETBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,还可将绑定在TCP/IP协议的NETBIOS关闭,避免对NETBIOS的攻击。选择“TCP/IP协议”→“属性”→“高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。
此外端口是计算机和外部网络连接的逻辑接口,也是计算机的一道屏障,因此端口配置正确与否直接影响到主机的安全。一般仅打开需要使用的端口比较安
全。当然,对于文件和打印共享服务的137、138、139和445端口,还可采用以下的方法来关闭。点击“网上邻居”→“属性”,选择“网络和拨号连接”对话框的“高级共享设置”命令,进入高级设置对话框,如图4所示,在出现的画面中的上部选择所需的连接,下部取消“文件和打印机共享”项,即可禁止这几个端口。 7 安全策略七:设置目录和文件权限
NTFS 系统格式磁盘中的文件和文件夹都可以设置用户访问权限(FAT、FAT32和NT2FS三种文件格式的文件夹都可以设置共享权限)。文件目录的访问权限分为读取、写入、读取及执行、修改、列目录、完全控制。为了控制服务器上用户的权限,预防以后可能的入侵和溢出,设置目录和文件的访问权限必须遵循最小化原则。
具体设置、查看、更改或删除文件和文件夹权限的步骤是:
(1)打开Windows资源管理器。右键单击要为其设置权限的文件或文件夹,单击“属性”→“安全”选项卡;
(2)执行以下任一操作:要为没有出现在“组或用户名称”框中的用户或组设置权限,请单击“添加”;键入想要为其设置权限的组或用户的名称,然后单击“确定”;
(3)执行以下任一操作:要允许或拒绝某一权限,请在“用户或组的权限”框中选中“允许”或“拒绝”复选框;要从“组或用户名称”框中删除该组或用户,请单击“删除”。
8 安全策略八:禁止远程控制
8.1 禁止Windows上的远程协助和终端服务
Windows上的远程协助允许用户在使用计算机发生困难时,向MSN上的好友发出远程协助邀请(或通过Outlook Express发送协助邮件),帮助自己解决问题。这个功能普通用户很少用到,但是它除了存在使用权限上的安全隐患外,也正是“冲击波”等病毒攻击Windows的RPC(Remote Procedure Call)服务的一个
途径。在Windows XP上禁止默认打开的“远程协助”的方法是用鼠标右键选择“我的电脑”→“属性”,在“远程”项里去掉“允许从这台计算机发送远程协助邀请”前面的“√”。
在Windows系统中,“终端服务”是默认打开的,用户利用终端可以实现远程控制。在Windows系统里关闭“终端服务”的方法是鼠标右键选择“我的电脑”→“属性”,在“远程”项里去掉“允许用户远程连接到这台计算机”前面的“√”。
8.2 端口配置
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。对于个人用户来说,可以限制所有的端口,因为根本不必让机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110 等)开放,其他的端口则全部关闭。如果没有文件和打印机共享要求,最好禁止 135、139和445端口。具体方法是通过“网卡属性”→“TCP/ IP”→“高级选项”→TCP/ IP筛选中启用TCP/ IP筛选或用个人防火墙关闭无用端口。
8.3 禁止注册表被远程匿名访问
Windows在默认情况下,注册表可以被远程访问。为了提高系统的安全性,避免自己机器的注册表被人通过网络修改,可以禁用此功能从而限制远程访问,一般只开放系统管理员的远程访问权限。实现这个目的,需要修改注册表,步骤如下:
(1)打开注册表编辑器;
(2)选择:
HKEY_CURRENT_CONFIG\system\CurrentControlSet\control\SecurePipeServers\winreg子键;
(3)在右侧窗口中新建一个Dword值,命名为 RemoteRegAccess,将数值设为“1”即可。
9 安全策略九:合理使用安全机制
严格设计管理好Windows系统的安全规则,其内容主要包括“密码规则”、“账号锁定规则”、“用户权限分配规则”、“审核规则”及“IP安全规则”。对所有用户都应按工作需要进行分组,合理对用户分组是进行系统安全设计的最重要的基础。利用安全规则可以限定用户口令的有效期、口令长度。设置登录多少次失败后锁定工作站,并对用户备份文件和目录、关机、网络访问等各项行为进行有效控制。
10 结束语
虽然系统提供商在不断升级完善系统漏洞,但操作系统仍然成为黑客、病毒、间谍软件攻击计算机的主要目标之一。面对这种现状,安全意识疏漏带来的危机更甚于安全漏洞本身,只有防患于未然才是上上之策。一般来说,一台主机在一定的情况、一定的时间上是安全的,但是随着网络结构的变化、新的漏洞的发现,管理员/用户的操作、主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
虽然要真正实现操作系统安全配置十分困难,但是Windows系统含有很多安全策略,只要合理地制定与实施,我们所使用的系统将会是一个相对安全的操作系统。因此作为系统的使用者,我们要最大程度地利用操作系统的安全策略来保障操作系统的安全运行,避免用户的错误操作给操作系统带来的危害,并通过对安全策略的有效制定和实施来防止各种针对操作系统的恶意攻击,从而使得系统能够处于一个相对安全的运行环境中。
参考文献:
[1]吴敏. Windows XP操作系統安全策略[J]. 电脑知识与技术(学术交流),2007,10:1125-1126.
[2]朱敏. Windows系统安全策略[J]. 计算机系统应用,2007,07:98-102.
[3]潘常春,杨炳. 探究Windows XP操作系统安全策略[J]. 柳州师专学报,20052005,03:122-124.
[4]卿斯汉,刘文清,温红子等. 操作系统安全[M]. 清华大学出版社,2004年.
[5]陈永峰,杨宁侠. 浅析Windows XP操作系统安全[J]. 科技致富向导,2015,02:194.
[6]韦素娟. Windows系统安全初探[J]. 福建电脑,2008,04:55+59.
[7]戴宗坤等. 信息系统安全[M]. 电子工业出版社,2003年.
[8]蒋鲁松. Windows系统安全漏洞及解决方法[J]. 山东省青年管理干部学院学报,2003,02:109-110.
[9]蔡谊,沈昌祥. 安全操作系统中制定安全策略的研究[J]. 计算机应用与软件,2002,11:8-11.
【关键词】Windows;安全策略;漏洞;操作系统安全
引言
Windows操作系统在个人电脑的领域应用内最为普遍,也是普通用户常用的操作系统版本之一,虽然随着版本的不断迭代和创新,Windows操作系统在安全性和稳定性上有了很大的提升,然而在计算机系统管理中,为了寻求安全性和易用性的动态平衡,仍然不可避免存在安全漏洞。如果入侵者利用当这些系统安全隐患进行恶意攻击,就会造成信息泄露、系统的安全性、可用性就会遭到破坏。所以作为用户应该掌握操作系统的特点,采取有效可行的安全策略,避免使自己成为系统漏洞的受害者。本文以Windows系列的操作系统为例,从系统安全配置管理方面介绍一些安全策略工具的使用和实施方法。
1安全策略一:给系统打补丁
通过经常给电脑打补丁来保护电脑数据,这是一个保护电脑、防护很多病毒的有效措施。因为大多数电脑病毒都是通过WINDOWS操作系统的漏洞进行攻击、破坏电脑的正常使用,给用户造成不可估量的损失。而补丁是修复瑕疵以及安全漏洞的。在已经习惯给防病毒软件升级的今天,打补丁同样重要。打补丁的频率一般是每月检查一次,使用 Windows打开自动更新功能将使 Windows 随时使用最新的补丁,而其他应用程序可以相关厂商的网站寻找补丁进行更新。
2 安全策略二:对系统管理员账号进行管理
Windows操作系统安装后都会默认创建一个系统管理员帐户,它拥有计算机
的最高管理权限,但这在 Windows 系统中是一个很明显的漏洞,因为管理员帐户可以不设置密码,并且管理员帐户的名字总是 administrator。所以对于黑客来说,系统管理员帐户一直是攻击的主要目标[1]。其中Guest账号就是一个非常危险的漏洞,因为黑客可以直接使用这个账号登录你的机器。
所以实施安全策略的第一步是要禁用Guest帐号。具体操作过程为:在控制面板—用户帐户中选择“更改账户”,将Guest来宾账户禁用。
第二步将Administrator用户名称进行更改,在控制面板→管理工具→本地安全策略→本地策略→安全选项→重命名系统管理员帐户。
第三步重新设置此用户密码,最好能增强密碼强度。至少 10 字符以上,要求字母、数字混合,字符中有一个以上的特殊字符。
3 安全策略三:限制不必要的用户数
去掉所有的duplicate user帐户、测试用帐户和共享帐号等等。用户组策略设置相应权限,并经常检查系统的帐户,删除已不在使用的帐户。这些帐户很多时候都是黑客入侵系统的突破口,系统的帐户越多,黑客得到合法用户的权限可能性也越大。
4 安全策略四:锁定无效登录
为了防止他人进入电脑时,反复用猜测密码的方式登录,我们可以锁定无效登录,当密码输入错误达设定次数后,便锁定此账户,在一定时间内不能再以该账户登录。
具体的操作进入控制面板,依次展开“管理工具”→“本地安全策略”,出现“本地安全设置”窗口在左侧列表中打开“账户策略”→“账户锁定策略”,在右边双击“账户锁定阀值”,在弹出的设置对话框中输入无效登录的次数(一般设3次为宜),确定后系统自动将锁定时长和计数器清零的时长设置为“30分钟”,我们也可以修改这两个策略时间。经过以上设置,就能够阻止那些靠猜密码登录的非法用户了。
5 安全策略五:禁用不必要的服务
为了方便用户,Windows默认启动了许多不一定要用到的服务,同时也打开了入侵系统的后门。通过网络资源,我们可以找到完备的Windows系统服务详细功能说明,根据自己系统的需要,把那无需使用和有危险性的服务都关闭。例如:Net Meeting Remote Desktop Sharing/Remote Desktop Help Session Manager/ SSDPDiscovery Service/telnet/Universal Plugand Play DeviceHost等。
具体步骤为:打开“控制面板”→“管理工具”→“服务”,可以看到有关这些服务的说明和运行状态。要关闭一个服务,只需右键点击服务名称并选择“属性”菜单,在“常规”选项卡中把“启动类型”改成“手动”,再点击“停止”按钮。
6 安全策略六:禁用不必要的协议和端口
在配置系统协议时,不需要的协议都可以删除,对于服务器和主机来说,一般只安装TCP/IP协议就够了[2]。点击“网上邻居”,选择“属性”、“本地连接”。
“属性”,卸载不必要的协议。NETBIOS是很多安全缺陷的源泉,对于不需要提供文件和打印共享的主机,还可将绑定在TCP/IP协议的NETBIOS关闭,避免对NETBIOS的攻击。选择“TCP/IP协议”→“属性”→“高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。
此外端口是计算机和外部网络连接的逻辑接口,也是计算机的一道屏障,因此端口配置正确与否直接影响到主机的安全。一般仅打开需要使用的端口比较安
全。当然,对于文件和打印共享服务的137、138、139和445端口,还可采用以下的方法来关闭。点击“网上邻居”→“属性”,选择“网络和拨号连接”对话框的“高级共享设置”命令,进入高级设置对话框,如图4所示,在出现的画面中的上部选择所需的连接,下部取消“文件和打印机共享”项,即可禁止这几个端口。 7 安全策略七:设置目录和文件权限
NTFS 系统格式磁盘中的文件和文件夹都可以设置用户访问权限(FAT、FAT32和NT2FS三种文件格式的文件夹都可以设置共享权限)。文件目录的访问权限分为读取、写入、读取及执行、修改、列目录、完全控制。为了控制服务器上用户的权限,预防以后可能的入侵和溢出,设置目录和文件的访问权限必须遵循最小化原则。
具体设置、查看、更改或删除文件和文件夹权限的步骤是:
(1)打开Windows资源管理器。右键单击要为其设置权限的文件或文件夹,单击“属性”→“安全”选项卡;
(2)执行以下任一操作:要为没有出现在“组或用户名称”框中的用户或组设置权限,请单击“添加”;键入想要为其设置权限的组或用户的名称,然后单击“确定”;
(3)执行以下任一操作:要允许或拒绝某一权限,请在“用户或组的权限”框中选中“允许”或“拒绝”复选框;要从“组或用户名称”框中删除该组或用户,请单击“删除”。
8 安全策略八:禁止远程控制
8.1 禁止Windows上的远程协助和终端服务
Windows上的远程协助允许用户在使用计算机发生困难时,向MSN上的好友发出远程协助邀请(或通过Outlook Express发送协助邮件),帮助自己解决问题。这个功能普通用户很少用到,但是它除了存在使用权限上的安全隐患外,也正是“冲击波”等病毒攻击Windows的RPC(Remote Procedure Call)服务的一个
途径。在Windows XP上禁止默认打开的“远程协助”的方法是用鼠标右键选择“我的电脑”→“属性”,在“远程”项里去掉“允许从这台计算机发送远程协助邀请”前面的“√”。
在Windows系统中,“终端服务”是默认打开的,用户利用终端可以实现远程控制。在Windows系统里关闭“终端服务”的方法是鼠标右键选择“我的电脑”→“属性”,在“远程”项里去掉“允许用户远程连接到这台计算机”前面的“√”。
8.2 端口配置
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全。对于个人用户来说,可以限制所有的端口,因为根本不必让机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110 等)开放,其他的端口则全部关闭。如果没有文件和打印机共享要求,最好禁止 135、139和445端口。具体方法是通过“网卡属性”→“TCP/ IP”→“高级选项”→TCP/ IP筛选中启用TCP/ IP筛选或用个人防火墙关闭无用端口。
8.3 禁止注册表被远程匿名访问
Windows在默认情况下,注册表可以被远程访问。为了提高系统的安全性,避免自己机器的注册表被人通过网络修改,可以禁用此功能从而限制远程访问,一般只开放系统管理员的远程访问权限。实现这个目的,需要修改注册表,步骤如下:
(1)打开注册表编辑器;
(2)选择:
HKEY_CURRENT_CONFIG\system\CurrentControlSet\control\SecurePipeServers\winreg子键;
(3)在右侧窗口中新建一个Dword值,命名为 RemoteRegAccess,将数值设为“1”即可。
9 安全策略九:合理使用安全机制
严格设计管理好Windows系统的安全规则,其内容主要包括“密码规则”、“账号锁定规则”、“用户权限分配规则”、“审核规则”及“IP安全规则”。对所有用户都应按工作需要进行分组,合理对用户分组是进行系统安全设计的最重要的基础。利用安全规则可以限定用户口令的有效期、口令长度。设置登录多少次失败后锁定工作站,并对用户备份文件和目录、关机、网络访问等各项行为进行有效控制。
10 结束语
虽然系统提供商在不断升级完善系统漏洞,但操作系统仍然成为黑客、病毒、间谍软件攻击计算机的主要目标之一。面对这种现状,安全意识疏漏带来的危机更甚于安全漏洞本身,只有防患于未然才是上上之策。一般来说,一台主机在一定的情况、一定的时间上是安全的,但是随着网络结构的变化、新的漏洞的发现,管理员/用户的操作、主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
虽然要真正实现操作系统安全配置十分困难,但是Windows系统含有很多安全策略,只要合理地制定与实施,我们所使用的系统将会是一个相对安全的操作系统。因此作为系统的使用者,我们要最大程度地利用操作系统的安全策略来保障操作系统的安全运行,避免用户的错误操作给操作系统带来的危害,并通过对安全策略的有效制定和实施来防止各种针对操作系统的恶意攻击,从而使得系统能够处于一个相对安全的运行环境中。
参考文献:
[1]吴敏. Windows XP操作系統安全策略[J]. 电脑知识与技术(学术交流),2007,10:1125-1126.
[2]朱敏. Windows系统安全策略[J]. 计算机系统应用,2007,07:98-102.
[3]潘常春,杨炳. 探究Windows XP操作系统安全策略[J]. 柳州师专学报,20052005,03:122-124.
[4]卿斯汉,刘文清,温红子等. 操作系统安全[M]. 清华大学出版社,2004年.
[5]陈永峰,杨宁侠. 浅析Windows XP操作系统安全[J]. 科技致富向导,2015,02:194.
[6]韦素娟. Windows系统安全初探[J]. 福建电脑,2008,04:55+59.
[7]戴宗坤等. 信息系统安全[M]. 电子工业出版社,2003年.
[8]蒋鲁松. Windows系统安全漏洞及解决方法[J]. 山东省青年管理干部学院学报,2003,02:109-110.
[9]蔡谊,沈昌祥. 安全操作系统中制定安全策略的研究[J]. 计算机应用与软件,2002,11:8-11.