計算機的安全配置范文

1、計算機的安全配置windows的默認(rèn)配置windows操作系統(tǒng)預(yù)置了許多默認(rèn)配置，以便于操作系統(tǒng)的使用以及計算機的互聯(lián)和資源共享，然而，這些默認(rèn)配置卻存在著許多的安全隱患，容易帶來信息安全問題。例如，在默認(rèn)情況下，windows 2003系統(tǒng)啟動后，通過Net share 命令就可以在本地計算機上發(fā)現(xiàn) admin$,IPC$,C$,D$等默認(rèn)共享，這些默認(rèn)共享 有利于網(wǎng)絡(luò)管理員便捷地管理遠(yuǎn)程的計算機設(shè)備，但是若這些計算機上的管理員 帳號被泄露，那么黑客就易于通過這些共享資源來獲取非授權(quán)的信息。因此，windows系統(tǒng)的默認(rèn)配置僅是一種考慮了計算機系統(tǒng)普通應(yīng)用情況的 預(yù)置配置方式，當(dāng)在自身的應(yīng)用

2、環(huán)境中使用安裝有windows操作系統(tǒng)的計算機時，應(yīng)對其中的默認(rèn)配置進(jìn)行修改，以確保計算機系統(tǒng)哦你的信息安全性。本實驗將對默認(rèn)配置中一些與安全有關(guān)的配置進(jìn)行修改，用以提高計算機系統(tǒng)的安全性。sc.exesc.exe為一個用于與服務(wù)控制管理器和服務(wù)進(jìn)行通信的命令行程序。該程序 主要有以下功能：檢索和設(shè)置有關(guān)服務(wù)的控制信息。管理服務(wù)程序，如：測試，調(diào)試和刪除服務(wù)程序。設(shè)置存儲在注冊表中的服務(wù)屬性來控制啟動服務(wù)程序。sc.exe的用法如下：sccommandservice name 其中，選項的格式為ServerName ,用于指定服務(wù)說在的遠(yuǎn)程服務(wù) 器名稱。參數(shù)command中包含32個命令，其中

3、常有的命令有：Query 查詢服務(wù)的狀態(tài)，或枚舉服務(wù)類型的狀態(tài)。Start啟動服務(wù)。Privs更改服務(wù)的所需權(quán)限。qc 查詢服務(wù)的配置信息。qdescripton 查詢服務(wù)的描述。delete（從注冊表）刪除服務(wù)。Create 創(chuàng)建服務(wù)（將其添加到注冊表）。注冊表的配置注冊表是windows系統(tǒng)中的核心數(shù)據(jù)庫，管理著系統(tǒng)運行所必需的重要數(shù)據(jù)。注冊表中的數(shù)據(jù)來源于系統(tǒng)注冊表文件和用戶注冊表文件兩類，其中系統(tǒng)注冊表文件包括：system32config 下的 Default , SAM Security,Software,Userdiff 和System 6個文件；用用戶注冊表文件包括下的ntus

4、er.dat.ntuser.ini 和 ntuser.bat.log3 個文件。通過 windows 系統(tǒng)自帶的 regedit.exe注冊表編輯器工具可以打開注冊表數(shù)據(jù)庫，對上述兩類文件中的數(shù) 據(jù)進(jìn)行集中的配置和管理。而在本章的實驗中，將演示如何通過修改注冊表來加 強windows系統(tǒng)抗DO敢擊能力。ICMP協(xié)議及攻擊ICMP (internet control message protocol )協(xié)議是 TCP/IP 協(xié)議族中眾多 協(xié)議中的一個，用于在主機之間，主機和路由器之間，路由器之間傳遞網(wǎng)絡(luò)控制 信息。這些控制信息不屬于用戶數(shù)據(jù)的一部分，但是對于整個網(wǎng)絡(luò)的正常運行和 維護(hù)卻起著重要的

5、作用，比如通過ICMP消息可以得知網(wǎng)絡(luò)的連通性，主機是否 在線，路由器是否可用等網(wǎng)絡(luò)狀態(tài)。由于ICMP協(xié)議是一種網(wǎng)絡(luò)控制協(xié)議，因此它是網(wǎng)絡(luò)傳輸中的必要數(shù)據(jù)，也 正因為此，它非常容易被用來攻擊網(wǎng)絡(luò)中的主機和路由器。例如，大量的 ICMP 數(shù)據(jù)包會形成ICMP風(fēng)暴，當(dāng)主機受到這種ICMP數(shù)據(jù)風(fēng)暴的攻擊時，其處理器會 耗費大量的資源來處理這些ICMP數(shù)據(jù)，這最終會導(dǎo)致整個主機系統(tǒng)的癱瘓。1.卸載和刪除tlntsvr服務(wù)首先在桌面上右擊“我的電腦”，在彈出的快捷菜單中選擇“管理”，打開“計算機管理”窗口。在該對話框左邊的列表中展開“服務(wù)和應(yīng)用程序”，并單 擊下屬的“服務(wù)”列表項，這樣在“計算機管理”窗

6、口的右邊則會出現(xiàn)本地計算 機所有支持的各種服務(wù)，如圖3.1所示。談算機昔理圖3.1”計算機管理”窗口雙擊其中的Telnet列表項，則可對該服務(wù)進(jìn)行啟動，停止，暫停和恢復(fù)操作, 如圖3.2所示。但是，windows操作系統(tǒng)并沒有提供一個圖形界面來對其實實施 卸載和刪除操作。下面通過sc.exe命令來演示如何卸載Telnet服務(wù)（既TlntSvr服務(wù)）。單擊“開始” - “運行”命令，在彈出的“運行”對話框中輸入 CMD 命令，單擊“確定”按鈕，從而打開命令行窗口。在命令行窗口中可以輸入sc qc tlntsvr ,查看tlntsvr服務(wù)的配置信息如圖3.3所示。C:windowssystem32

7、tlntsvr.exe/開城I I通口鼻甄牛加0圖3.2 Telnet 服務(wù)的狀態(tài)圖3.3 tlntsvr服務(wù)配置信息為了將tlntsvr服務(wù)卸載，先在命令行窗口中通過命令sc stop tlntsvr 停止該服務(wù)（若停止失敗，則說明該服務(wù)本身就是stop的），然后通過命令scdelete tlbtsvr 將tlntsvr 服務(wù)在服務(wù)列表中刪除，如圖 3.4所示。單擊“計算機管理”對話框中工具欄的“刷新”按鈕后，會發(fā)現(xiàn)在右邊的服 務(wù)列表中已沒有了 telnet服務(wù)（既tlntsvr 服務(wù)），如圖3.5所示。利用類似方法可以禁止和刪除其他一些想要刪除的服務(wù)。例如，Schedule服務(wù)非常容易被黑

8、客利用來執(zhí)行一些系統(tǒng)命令和可執(zhí)行文件，如果僅是簡單地停止 Schedule服務(wù)，也不能保證安全性，因為有些黑客工具可以遠(yuǎn)程地開啟該服務(wù)。S-E三禁用 禁用 禁用 手動Ji. 使. 管.本地服務(wù) 本地樂藐 本地服若 本地系統(tǒng)WebCLi entAndi a fi ndw sA.田.CMI麗 I學(xué)施:同計加機管理圖3.4 停止并刪除tlntsvr服務(wù)i描述 狀宙啟動類型登錄為pjlils! ! :|! !b-是卻一甘庭4楙J* 口4力器冥槌珅器若件尸志理亙文用目首件尋地的香爭共本性設(shè)翳制 服 控 活冉I 用照同Rei Ovalle Storage官險Set *一啟jfi.ou.ting 皿& Ke

9、n.為.一!Second4rjr Logon月.已啟動ly Accug .rt.已啟動Server我已啟動iShflll Hardware .為.一已啟動jSmidrl Card管.曜）舐也門式Adjftiui e.允iSyst電m Ennt W/的已總動Tisk Schtdiiltr便.已啟動TCP/IP NetBIOS .提巳后動T al aph ony提期；T 色mtRHl Servi eei苑已息動figgTerminial Ser vic.允.一SThimisUrunlerruptitle.Upload Manager為.門B . .Disk St.攝.Voluie Shadov C

10、opy首ieb Element N孫為.已啟動%YebClitM使.,liiidows Audi o苜tindflws Im* A為.Jfifi.d*w s. Ins t filler田linid-ciws Nanagem.提.已啟動手禁自自動動動動動動 自自手手自自用 禁用 簞動動助 目手手動用用用寸動 自禁票禁手目邊用動動21丁開回: 3日“ I叁計宜機苜理B3| C： IH10iSsystem32.硒莪無 本地系統(tǒng) 本地索就 本地系蛻 本地系攜本地系統(tǒng) 本血艮名本地系統(tǒng) 本地系統(tǒng) 本地務(wù) 本地系就 豐地系統(tǒng)本地系好本地系統(tǒng) 本堀艮務(wù) 本地系統(tǒng) 本鼬系豌本地系統(tǒng) 本曲賭 本地累薪 本圜品哆

11、 本地系統(tǒng) 本地系統(tǒng)圖3.5 刪除tlntsvr服務(wù)后的效果2.使用windows組策略對計算機進(jìn)行安全配置首先“開始”-“運行”命令，在彈出的“運行”對話框中輸入gpedit.msc , 單擊“確定”按鈕，即可打開“組策略”窗口，如圖 3.6所示，下面的四種安全 配置將在“組策略”窗口中完成。圖3.6“組策略”窗口1.隱臧驅(qū)動器選擇“用戶配置”-“管理模板”-windows組件” -“windows資源管理器”- “隱藏我的電腦中的這些指定的驅(qū)動器”，打開相應(yīng)的對話框，如圖3.7所示，在對話框中選擇“已啟用”選項，并在其下拉列表框中 選擇一個組合，單擊“確定”按鈕后，組合框中選中的驅(qū)動器符號

12、就不會出現(xiàn)在 標(biāo)準(zhǔn)的打開對話框中。圖3.7隱藏驅(qū)動器名稱但需要注意的是，這項策略僅刪除驅(qū)動器的圖標(biāo)，用戶仍然可以通過其他方 式訪問驅(qū)動器的內(nèi)容，如：通過在映射網(wǎng)絡(luò)驅(qū)動對話框，運行對話框或命令窗口 上輸入一個驅(qū)動器的目錄路徑。同時，此策略不會防止用戶使用程序訪問這些驅(qū) 動器或其內(nèi)容，也不會防止用戶使用“磁盤管理”管理單元查看并更改驅(qū)動器特 性。.禁止來賓帳戶本機登錄當(dāng)人們暫時離開工作電腦時，可能有一些打開的文檔還在處理之中，為了避 免其他人動用電腦，一般會將電腦鎖定，但是，但電腦處于局域網(wǎng)環(huán)境時，可能 已在本地電腦上創(chuàng)建了一些來賓帳戶， 以方便他人的網(wǎng)絡(luò)登錄需求。但是其他人 也可以利用這些來賓帳

13、號注銷當(dāng)前帳號并進(jìn)行本地登錄，這樣會對當(dāng)前的文檔處理工作造成影響。為了解決該問題，可以通過“組策略”的設(shè)置來禁止一些來賓 帳號的本地登錄，僅保留他們的網(wǎng)絡(luò)登錄權(quán)限。在“組策略”窗口的左側(cè)依次選擇“計算機配置”-windows配置”-“安全配置” -“本地策略” -“用戶權(quán)利指派”，然后在 組策略” 窗口的右側(cè)雙擊”拒絕本地登錄”，則彈出“拒絕本地登錄屬性”對話框，如圖3.8圖3.8“拒絕本地登錄 屬性”對話框在該對話框中通過單擊“添加用戶或組”按鈕，則彈出“選擇用戶或組”對 話框，如圖3.9所示，然后單擊左下方的“高級”按鈕，在彈出的對話框中單擊 左側(cè)的“立即查找”按鈕，則會在對話框下方顯示出

14、本地計算機的所有帳戶，如 圖3.10所示，選中所需的帳戶temp,單擊“確定”按鈕，則將temp用戶加入到 禁止登錄的帳戶列表中，如圖3.11所示圖3.9“選擇用戶或組”對話框文件 Mt作 查看耐助|國畫X旨限|辭圖室逋訐畫“冷暗計宜雁已羞in _軟件設(shè)置R i_ HindowF 諾置 國腳本指動浜和 手安全設(shè)置H：司幃尸滿略堂本地策電 :*方審板策喀 R用戶極限分配 *父安全選項 閨_1公鑰簫咯 網(wǎng)軟件限制策略 國曷邛安全第咯在本地諦 圖_|首理膜極臼或用戶配置國LJ軟件設(shè)置H ；二tfindaws 設(shè)置因管理1S短-in x| - -IJJ2J選擇*明象類型（5）：j用戶或內(nèi)芟全至手對象類

15、型0）.盍找位置（I）；jVM-JTZRGTGZYKBS位置。.選擇用戶聿拒捏索造果班） 嘀至 | 取消 |上gqJL脛協(xié)干型學(xué)工 M威尤尤庫執(zhí)菠作作 弱劇回回胤躅明弱的G Atfaiiu str. W-37EfitjTGE. fAJGSYIOUS.fi ASPK7 Vm-37ZRfflf(2癥 Authenti e 磔BATCH CREATOR G. (J! CREATOR 0.由UIALUF EveryoneVM-3rTZRGf國匚/HIHD曲3匕15死一|嚏綱兼叫編輯器如以？金5管 &J.L1圖3.10查找需要禁止的用戶圖3.11將指定賬號添加到禁止登錄列表中.開啟審核策略在“組策略”對

16、話框的左側(cè)依次選擇“計算機配置”-windows配置”-“安全配置”-“本地策略”-“策略審核”，然后在“組策略”窗口的右側(cè)就會出現(xiàn)各種審核策略的設(shè)置項， 其中包括審核策略更改，登錄事件，對象 訪問，過程追蹤，目錄服務(wù)訪問，特權(quán)使用等，如圖 3.12101 x|文件 操作 查看9 幫助陰 0 +在I麗易絲核取核核核 楂市審審審審功申無無無無無戒無策晤I(lǐng)要全設(shè)置超審核策略更改無審核噴審梗登錄事件成功嬲市核對辣訪問 面審核過程跟蹤 顰審梗目錄服勢訪哥 蜀市假精權(quán)使用 函審核系統(tǒng)事怦 壁審株帳尸登錄事件 里審眩帳戶管理間*廣 |S0 20:18用 1管理模板 的打工如口燼hyMtcm期 J1喻殂舞略

17、江輯蹈圖3.12 查看審核策略通過設(shè)置各個審核策略，系統(tǒng)便可記錄相應(yīng)的事件，比如，雙擊“審核登錄 事件”后，在彈出的“審核登錄事件屬性”對話框中選中“成功”和“失敗”兩個選項，如圖3.13所示，則系統(tǒng)將會自動記錄用戶何時登錄過系統(tǒng)。值得注意的是，系統(tǒng)管理員應(yīng)養(yǎng)成時常查看“控制面板”- “管理工具” - “時間查看器”中所記錄的事件的習(xí)慣，比如，若“組策略”被修改 后系統(tǒng)發(fā)生了問題，“事件查看器”就會及時顯示修改了哪些策略；在“登錄事 件”里，系統(tǒng)管理員可以查看詳細(xì)的登錄事件，知道誰曾嘗試使用禁用的帳戶登 錄，誰的帳戶密碼一過期等。圖3.13審核登錄事件的設(shè)置E瀏覽器的安全設(shè)置在“組策略”窗口的

18、左側(cè)一次選擇“用戶配置”- “管理模板” -windows 組件 -internet explorer 分支，在右側(cè)窗口中會出現(xiàn)“internet控制面板”，“瀏覽器菜單”，“工具欄”，“持續(xù)行為” 和“管理員認(rèn)可的控件”等策略選項，利用它可以充分打造一個極有個性和安全 的IE瀏覽器。禁止修改IE瀏覽器主頁當(dāng)用戶上網(wǎng)時，一些惡意網(wǎng)站通過自身的惡意代碼會對用戶的IE瀏覽器主頁的設(shè)置進(jìn)行修改，從而對用戶的上網(wǎng)行為造成影響。為了避免此類事件的發(fā)生， 可以在“組策略”窗口的左側(cè)一次選擇“用戶配置” -“管理模板” -windows組件 -internet Exploere ,如圖 3.14 所示史現(xiàn)感

19、圜 w 麗匚線即01部卬金的蘢一.唯第喇融璃|期|修 SQ函如圖3.14 IE的全安設(shè)置然后在右側(cè)的窗口中雙擊“禁用更改主頁設(shè)置”策略，在彈出的對話框中選中“已啟用”單選按鈕，并單擊“確定”按鈕即可，如圖 3.15禁用“常規(guī)”選項卡如圖3.14所示，在加固IE的安全選項中還提供了 “禁止更改歷史記錄設(shè)置”， “禁止更改顏色設(shè)置”以及“禁止更改Internet臨時文件設(shè)置”等策略。如果 啟用可這些安全策略，在IE瀏覽器的“ Internet選項”對話框中“常規(guī)”選項 卡的“主頁”區(qū)域的設(shè)置將變灰。但如果在“用戶配置” -“管理模板” -windows組件” -“Internet Explorer

20、 -Internet 控制面板”中雙擊“禁用常規(guī)頁”策略，并在彈出的”禁用常規(guī)頁屬性”對話框中選中“已禁用”，如圖3.16所示，則無需設(shè)置該策略，因為“禁用常規(guī)頁”策 略將刪除界面上的“常規(guī)”選項卡。圖3.16 禁用IE瀏覽器中的常規(guī)頁IE安全的高級配置在圖3.14的右側(cè)部分，可以看到還列出了 7個子文件夾，單擊其中的每一 個子文件夾，均可顯示出一組關(guān)于IE安全的配置項。其中“Internet控制面板” 包含了一組從“Internet選項”對話框“添加”和“刪除”選項卡的設(shè)置；“脫機頁”包含了脫機頁和頻道的設(shè)置；”瀏覽器菜單”包含了顯示和隱藏Internet Exploer中菜單和菜單選項的設(shè)

21、置；“工具欄”包含允許和限制用戶編輯Internet Explore的工具欄；“持續(xù)行為”包含了 Internet安全區(qū)域的文件大小限制和 設(shè)置；”管理員認(rèn)可的控件”包含了啟用和禁止 ActiveX控件的設(shè)置；“安全功 能”包含了啟用和禁用Internet Explorer,windows Explorer和其他應(yīng)用程序的安全功能的設(shè)置。對這些設(shè)置選項進(jìn)行適當(dāng)?shù)呐渲?，會大大的增?IE的安全 性。3.5.3 通過過濾ICMP報文阻止ICMP攻擊 很多針對windows 2003系統(tǒng)的攻擊均是通過ICMP報文的漏洞攻擊實現(xiàn)的。如 ping of death 攻擊。下面我們通過安全配置來過濾 IC

22、MP報文，從而阻止ICMP 攻擊。1.啟用“本地安全設(shè)置”在“控制面板”中打開“管理工具”，從中雙擊“本地安全策略”，從而打 開“本地安全設(shè)置”窗口，如圖 3.18所示。圖 3.18“本地安全設(shè)置”窗口2.ICMP過濾規(guī)則的添加在“本地安全設(shè)置”窗口中，右擊點擊“ IP安全策略，在本地計算機”并從 彈出的快捷菜單中選擇“管理IP篩選器和IP篩選器操作”，從而彈出“管理 IP篩選器和篩選器操作”對話框。在該對話框的“管理 IP篩選器列表”屬性頁 中，單擊左下方的“添加”按鈕，彈出“ IP篩選器列表”對話框。在該對話框 的“名稱”框中輸入“防止ICMP攻擊”，并取消選中右側(cè)的“使用添加向?qū)?復(fù)選框，如圖3.19所示。圖3.19 IP篩選器列表單擊圖3.19右側(cè)的“添加”按鈕，彈出“篩選器 屬性”對話框。在該對話 框的“尋址”屬性性頁中，源地址選擇“任何 IP地址”，目標(biāo)地址選擇“我的 IP地址”，如圖3.20所示；在“協(xié)議”屬性頁中，協(xié)議選擇ICMP然后單擊“確 定”按鈕，設(shè)置完畢。開闌|高國劃步|程槌安全教置剪得了明攀葉維法圖3.20”篩選器屬性”對話框在“管理IP篩選器和篩選器操作”對話框中選擇“管理篩選操作”屬性頁, 取消選中右下方的“使用添加向?qū)А睆?fù)選框，然后單擊左下方的“添加”按 鈕，彈出“行篩選器操作 屬性”對話框，如圖3.21所示。圖3.21”新篩選器操作