使用Windows的人非常多,而Windows系統的安全問題也越來越被人們關注。雖然Windows的漏洞眾多,安全隱患也很多,不過經過適當的設置和調整,你還是可以用上相對安全的Windows的。本文就為你詳細講述了Windows的安全調整,希望對你有用。 這篇文章將針對一些常見的安全問題給你一些解決方法,其中大部分的操作都是針對Windows 2000/XP的,不保證在Windows 98/Me上可行。 准備活動 給系統安裝補丁程序的重要性是不言而喻的,尤其是一些重要的安全補丁和針對IE,OE漏洞的補丁(即使你並不打算使用它們)。微軟會經常的發布一些已知漏洞的修補程序,這些東西一般都可以通過Windows Update來安裝。你需要做的只是經常性的訪問Windows Update網站 。或者直接點擊開始菜單中Windows Update的快捷方式。而Windows XP和最新的Windows 2000更加進步了,可以自動檢查更新,在後台下載,完成後通知你下載完成並詢問是否開始安裝。對於Windows 2000/XP的用戶,微軟還提供了一個檢查安全性的實用工具:基准安全分析器(Microsoft Baseline Security Analyzer),這個程序可以自動對你的系統進行安全性檢測,並且對於出現的問題,都可以提供一個完整的解決方案。非常適合對於安全性要求高的用戶使用。你可以在這裡詳細了解和下載這個工具。 在你安裝了所有的補丁程序後,下面開始我們的調整設置。 重命名和禁用默認的帳戶 安裝好Windows後,系統會自動建立兩個賬戶:Administrator和Guest,其中Administrator擁有最高的權限,Guest則只有基本的權限並且默認是禁用的。而這種默認的帳戶在給你帶來方便的同時也嚴重危害到了你的系統安全。如果有黑客入侵或者其他什麼問題,他將輕易的得知你的超級用戶的名稱,剩下的就是尋找密碼了。因此,安全的做法是把Administrator賬戶的名稱改掉,然後再建立一個幾乎沒有任何權限的假Administrator賬戶。具體的方法是: 在運行中輸入secpol.msc然後回車,打開“Local Security Settings(本地安全設置)”對話框,依次展開Local Policies(本地策略)-Security Options(安全選項),在右側窗口有一個“Accounts: Rename administrator (guest) account(賬戶:重命名Administrator/Guest賬戶)”的策略,雙擊打開後可以給Administrator重新設置一個不是很引人注目的用戶名。然後還可以再新建一個名稱為Administrator的受限制用戶,以迷惑闖入者。 安全選項的設置 同樣是在Local Security Settings中,展開Local Policies-Security Options,這裡還有很多其它的設置,經過合理的配置,可以使你的系統更加安全。一下列舉的選項最好全部禁止: Interactive logon: Do not require CTRL ALT DEL,交互式登錄:不需要按Ctrl Alt Del。 Network access: Allow anonymous SID/name translation,網絡訪問:允許匿名SID/名稱轉換。 Network access: Let Everyone permissions apply to anonymous users,網絡訪問:讓Everyone權限應用到匿名用戶。 Recovery console: Allow automatic administrative logon,故障恢復控制台:允許自動系統管理級登錄。 而以下的選項最好啟用: Devices: Restrict CD-ROM access to locally logged-on user only,設備:只有本地登錄的用戶才能訪問CD-ROM。 Devices: Restrict floppy access to locally logged-on user only,設備:只有本地登錄的用戶才能訪問軟驅。 Interactive logon: Do not display last user name,交互式登錄:不顯示上一次使用的用戶名。 Network access: Do not allow anonymous enumeration of SAM accounts,網絡訪問:不允許匿名SAM帳戶的匿名枚舉。 Network access: Do not allow anonymous enumeration of SAM accounts & shares,網絡訪問:不允許SAM賬戶和共享的匿名枚舉。 Network security: Do not store LAN Manager hash value on next password change,網絡安全:不要在下次更改密碼時存儲LAN Manager的Hash值。 System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ,系統對象:增強內部系統對象的默認權限(例如Symbolic Links)。 可靠的密碼 盡管絕對安全的密碼時不存在的,但是相對安全的密碼還是可以實現的。這個還是需要運行secpol.msc來配置Local Security Settings。展開到Account Policies-Password Policy,經過這裡的配置,你就可以建立一個完備密碼策略,並且你的密碼也可以得到最大限度的保護。 Enforce password history(強制密碼歷史)。這個設置決定了保存用戶曾經用過的密碼的個數。很多人知道要經常性的更換自己的密碼,可是換來換去就是有限的幾個在輪換,配置這個策略就可以知道用戶更換的密碼是否是以前曾經使用過的。如果再配合Maximum password age這個策略,就能保證密碼安全了。默認情況下,這個策略不保存用戶的密碼,你可以自己設置,建議保存5個以上,而最多可以保存24個。 Maximum password age(密碼最長存留期)。這個策略決定了一個密碼可以使用多久,之後就會過期,並要求用戶更換密碼。如果設置為0,則密碼永不過期。一般情況下設置為30到60天左右就可以了,具體的過期時間要看你的系統對安全的要求有多嚴格。而最長可以設置999天。 Minimum password age(密碼最短存留期)。這個策略決定了一個密碼要在使用了多久之後才能再次被使用。跟上面講到的Enforce password history結合起來就可以得知新的密碼是否是以前使用過的,如果是,,則不能繼續使用這個密碼。如果設置為0則表示一個密碼可以被無限制的重復使用,而最大值為999。 Minimum password length(密碼長度最小值)。這個策略決定了一個密碼的長度,有效值在0到14之間。如果設置為0,則表示不需要密碼。建議的密碼長度不能小於6位。
Password must meet complexity requirements(密碼必須符合復雜性要求)。如果啟用了這個策略,則在設置和更改一個密碼的時候,系統將會按照下面的規則檢查密碼是否有效:密碼不能包含全部或者部分的用戶名。 最少包括6個字符。 並且在字符的使用上還要遵循以下的規則,密碼必須是: 英文字母,A-Z,大小寫敏感。 基本的10個數字,0-9。 不能包含特殊字符,例如!,$,#,%等等。 如果啟用了這個策略,相信你的密碼就會比較安全了。 Store password using reversible encryption for all users in the domain(為域中的所有用戶使用可還原的加密來存儲密碼)。很明顯,這個策略最好不要啟用。
