重命名默認帳戶
通過IPC$或終端服務(IPC$或終端服務是Windows為了***享資源和遠程管理而設置的功能,但由於設置不當,很多系統被黑客通過IPS$或終端服務控制,所以有些人也把IPS$或終端服務叫做系統漏洞)可以遠程登錄到計算機。如圖1所示,在這個終端服務客戶端的窗口中,只要我們正確輸入了Windows的管理員帳戶和密碼,就能像操作本地電腦那樣操作遠程的IP地址為222.57.88.143的計算機。Windows內置了Administrator和Guest帳戶,而Administrator就是具有全部權限的管理員帳戶。壹些“爆破手”可以通過密碼猜測或暴力破解的方法獲得這壹帳戶的口令,所以建議妳重命名這兩個帳戶:在“開始”菜單單擊“運行”,輸入“gpedit.msc”打開組策略編輯器,依次展開“計算機配置” “Windows設置” “安全設置” “本地策略” “安全選項”,在右側分別雙擊“重命名系統管理員帳戶”、“重命名來賓帳戶”策略,在彈出的對話框上重新輸入壹個帳戶名即可重命名Administrator和Guest帳戶。
組策略為妳打造安全的操作系統
提示:對於黑客來說,得到Administrator帳戶的密碼是他們夢寐以求的事情,但Administrator帳戶又不能被刪除或禁用(即便改名以後也不能被刪除或禁用,這樣可以確保用戶不會因為刪除或禁用所有的管理員帳戶而失去添加或刪除帳戶的管理權限),所以要保證該帳戶的安全,可行的辦法就是改名或使用壹個復雜的密碼。
啟用帳戶鎖定策略
有些黑客會利用帳戶詞典和密碼詞典遠程破解Windows帳戶以便通過IPC$或終端服務遠程登錄到Windows。啟用帳戶鎖定策略可以有效防止黑客通過這種方法遠程破解Windows帳戶。打開組策略編輯器,依次展開“計算機配置” “Windows設置” “安全設置” “帳戶策略” “帳戶鎖定策略”,在右側雙擊“帳戶鎖定閾值”,在彈出的對話框上輸入“5”(登錄失敗5次被猜測的帳戶將被鎖定),接著,再雙擊“賬戶鎖定時間”,在彈出的對話框輸入“30”(30分鐘之後鎖定將被解除),這樣,就可有效地防止黑客利用軟件采用窮舉法遠程破解Windows帳戶。
提示:有些用戶喜歡把Administrator帳戶改名為Admin、Root之類的名字,這樣改了等於沒改,因為在黑客使用的大多數帳戶詞典中,這類帳戶早就被列為爆破的對象。
啟用密碼策略
從上面的介紹可以看出Windows帳戶和密碼的重要性,但是大多數Windows用戶的帳戶使用的卻是“弱口令”(密碼極易被破解的口令),甚至有些用戶的Administrator帳戶是空口令。為了防止帳戶和密碼設置上的“輕率”,使妳的Windows帳戶有壹個復雜的密碼,建議按以下方法啟用密碼策略:打開組策略編輯器,依次展開“計算機配置” “Windows設置” “安全設置” “帳戶策略” “密碼策略”,雙擊相應的策略,在彈出的對話框上啟用“密碼必須符合復雜性要求”策略,並設置密碼長度的最小值為8個字符,強制密碼歷史為3個,密碼最長存留期為30天。
提示:短密碼的安全性很低,因為使用詞典破解工具可以很容易地破解短密碼,但不是說長密碼就壹定很安全,很長的密碼可能會造成密碼輸入錯誤而導致帳戶被鎖定,另外,太長的密碼為了便於記憶妳可能會寫下來或保存在電腦中,這反而會降低密碼的安全性,所以大多數環境下筆者建議妳使用由8個字符組成的密碼,因為這種密碼足夠長,可提供充分的安全性;同時也足夠短,能夠便於記憶。
不顯示上次登錄的用戶名
在默認設置下,Windows 2000 Server在交互式登錄窗口上會顯示上次登錄的帳戶名(如圖2),為了防止用戶猜測或破解這壹帳戶,我們可以讓Windows 2000 Server的交互式登錄窗口不顯示上次登錄的帳戶名。具體做法是:打開組策略編輯器,依次展開“計算機配置” “Windows設置” “安全設置” “本地策略” “安全選項”,在右側雙擊“登錄屏幕上不要顯示上次登錄的用戶名”策略,在彈出的對話框上選擇“已啟用”即可。
啟用審核策略
審核策略啟用後(如圖3),Windows會通過安全日誌記錄被審核對象的操作,可以通過“事件查看器”查看安全日誌,比如,如果黑客通過終端服務登錄失敗,而妳又審核“成功”或“失敗”的登錄事件,那麽在“事件查看器”中Windows就會記錄如圖3所示的事件。從圖4上可以看出,在2005年8月9日10點45分,黑客使用“X-cov”的帳戶登錄時,由於系統中不存在該賬戶或密碼錯誤,致使該黑客沒有登錄成功。
提示:這裏需要說明的是啟用審核策略會消耗掉壹部分系統資源,而且審核太多的對象會使安全事件驟增,這也不利於查看事件。所以審核策略不是“越多越好”,要根據“需要和可能”權衡而定。
默認安裝完Windows XP之後,我們的Windows XP並不很安全。因此,我們有必要對系統進行壹些修修補補, 壹般情況下我們都要動用到註冊表。誠然,修改註冊表是壹種非常有效的方法,但是它需要壹定的計算機知識,否則極有可能會引起系統崩潰。不過,如果我們註意使用Windows XP中的組策略,就可以輕松地打造壹個安全的Windows XP,而無需我們動用註冊表編輯器!
壹、了解XP的組策略
大家還記得Windows 98時代,我們曾用過Windows 98安裝光盤上的“策略編輯器”的軟件,當時想必也為它的神奇功能而驚嘆不已!“組策略”工具的原理與Windows 98中的“策略編輯器”原理相同。利用它可以把很多平時需要冒著危險修改註冊表才能夠完成的操作在更為直觀的界面中操作完成。
因此,通俗地說,“組策略”就是壹個另類的註冊表編輯器,利用它就可以更改系統中的某些重要設置。不僅可以省去記憶鍵值的痛苦,還可以免受修改註冊表不慎帶來的危險。
小提示
組策略不等同於“註冊表編輯器”,“註冊表編輯器”理論上可以更改任意的鍵值,從而讓它更滿足我們的要求。但是組策略只是對某些項目進行控制,因此從某種意義上來說,組策略能夠完成的任務,修改註冊表壹定能夠完成。但反之,修改註冊表能夠完成的任務,通過組策略就不壹定能夠有效。
二、組策略的啟動
單擊“開始”→“運行”命令,在“運行”對話框的“打開”欄中輸入“gpedit.msc”,然後單擊“確定”按扭即可啟動Windows XP組策略編輯器。
在打開的組策略窗口中(如圖1所示),我們可以發現左側窗格中是以樹狀結構給出的控制對象,右側窗格中則是針對左邊某壹配置可以設置的具體策略。
小提示 “計算機配置”和“用戶配置”的聯系與區別
另外,您或許已經註意到,左側窗格中的“本地計算機”策略是由“計算機配置”和“用戶配置”兩大子鍵構成,並且這兩者中的部分項目是重復的,如兩者下面都含有“軟件設置”、“Windows設置”等。那麽在不同子鍵下進行相同項目的設置有何區別呢?其實,這裏的“計算機配置”是對整個計算機中的系統配置進行設置的,它對當前計算機中所有用戶的運行環境都起作用;而“用戶配置”則是對當前用戶的系統配置進行設置的,它僅對當前用戶起作用。例如,二者都提供了“停用自動播放”功能的設置,如果是在“計算機配置”中選擇了該功能,那麽所有用戶的光盤自動運行功能都會失效;如果是在“用戶配置”中選擇了此項功能,那麽僅僅是該用戶的光盤自動運行功能失效,其他用戶則不受影響。設置時需註意這壹點。
三、用組策略打造完全XP
通過組策略工具,我們可以對系統進行壹些設置,使它更加安全。下面就是非常實用的例子:
1.限制IE瀏覽器的保存功能
當多人***用壹臺計算機時,為了保持硬盤的整潔,需要對瀏覽器的保存功能進行限制使用,那麽如何才能實現呢?具體方法為:選擇“用戶設置”→“管理模板”→“Windows組件”→“Internet Explorer”→“瀏覽器菜單”分支。雙擊右側窗格中的“‘文件’菜單:禁用‘另存為…’菜單項”(如圖2),在打開的設置窗口中選中“已啟用”單選按鈕(如圖3)。
小提示
在圖2窗格中,我們還可以對“‘文件’菜單:禁用另存為網頁菜單項”、“‘查看’菜單:禁用‘源文件’菜單項”和“禁用上下文菜單”等策略項目進行修改,這樣我們的IE將會安全壹些。
2.禁止修改IE瀏覽器的主頁
如果您不希望他人或網絡上的壹些惡意代碼對自己設定的IE瀏覽器主頁進行隨意更改的話,我們可以選擇“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”分支,然後在右側窗格中,雙擊“禁用更改主頁設置”策略啟用即可(如圖4)。
小提示
(1)在圖4窗格中,還提供了更改歷史記錄設置、更改顏色設置和更改Internet臨時文件設置等項目的禁用功能。如果啟用了這個策略,在IE瀏覽器的“Internet 選項”對話框中,其“常規”選項卡的“主頁”區域的設置將變灰。
(2)如果設置了位於“用戶配置”→“管理模板”→“Windows 組件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常規頁”策略,則無需設置該策略,因為“禁用常規頁”策略將刪除界面上的“常規”選項卡。
(3)逐級展開“用戶設置”→“管理模板”→“Windows組件”→“Internet Explorer”分支,我們可以在其下發現“Internet控制面板”、“脫機頁”、“瀏覽器菜單”、“工具欄”、“持續行為”和“管理員認可的控件”等策略選項。利用它可以充分打造壹個極有個性和安全的IE。
3.給我們的IP添加安全策略
在“計算機配置”→“Windows設置”→“安全設置”→“IP 安全策略,在本地計算機”下與有與網絡有關的幾個設置項目。如果大家對Internet較為熟悉,那也可以通過它來添加或修改更多的網絡安全設置,這樣在Windows上運行網絡程序或者暢遊Internet時將會更加安全。
小提示
由於此項較為專業,其間會涉及到很多的專業概念,壹般用戶用不到,在這裏只是給網絡管理員們提個醒,因此在此略過。
4.禁用IE組件自動安裝
選擇“計算機配置”→“管理模板”→“Windows組件”→“Internet Explorer”項目,雙擊右邊窗口中“禁用Internet Explorer組件的自動安裝”項目,在打開的窗口中選擇“已啟用”單選按鈕,將會禁止 Internet Explorer 自動安裝組件。這樣可以防止 Internet Explorer 在用戶訪問到需要某個組件的網站時下載該組件,篡改IE的行為也會得到遏制!相對來說IE也會安全許多!
小提示
如果禁用該策略或不對其進行配置,則用戶在訪問需要某個組件的網站時,將會收到壹則消息,提示用戶下載並安裝該組件。有時用戶看也不看就選擇“安裝”則往往會出問題。網上的很多惡意代碼往往都是這樣工作的。
5.把用戶的行動都記錄下來
可能很多人都使用Windows XP作為局域網的域控制器,這樣登錄的用戶必然較多。同時,Windows XP也是壹個運行多用戶的操作平臺,因此,我們有必要對每個用戶的行為進行壹定的記錄,以便到時對它們的行為進行監控,並進行記錄,以供系統管理員查看和分析。所有的這些幾乎全部集中在“計算機配置”→“Windows設置”→“安全設置”→“本地策略”→“審核策略”下。如圖5,我們可以看到有很多與審核有關的項目:如審核策略更改、審核登錄事件、審核對象訪問、審核過程追蹤、審核目錄服務訪問、審核特權使用、審核系統事件、審核賬戶登錄事件和審核賬戶管理等等。雙擊某壹個項目後,會出現如圖6所示窗口,勾選成功和失敗前復選框。
小提示
(1)審核(Audit)是Microsoft從Windows NT起開始使用的壹項技術,所有被審核的對象會在系統的日誌中創建出相應的項目,並會被記錄下操作的時間、審核類別及相應的結果。
(2)所有的審核記錄結果,可以通過選擇“開始”→“控制面板”→“管理工具”→“管理工具”→“系統工具”→“事件查看器”來查看。如果雙擊其中的某個審核項目,還可以看到它的詳細資料,包括審核項目的日期、來源、時間、類別、類型、信息 、事件、用戶、計算機、描述和數據等項目(如圖7)。相信通過它,對於我們更加方便、安全地管理計算機是相當有用的。
當然,Windows XP中的組策略功能非常強大。有很多有用的設置可供我們修改,只是限於篇幅,筆者不能在這裏壹壹說明了。