SOHO族要通過Internet訪問公司FTP服務器,收發郵件,有時也上網查找資料,看看電影,接受遠程教育;與同事、領導及業務上的合作伙伴進行工作交流,所以也一樣可能會遭到病毒、黑客等的騷擾,而且SOHO簇一般采用Win 2000的操作系統,稍微懂點安全常識的人都知道,Windows的安全性要比Unix的安全性差得多,而且沒有了企業級防火牆的保護,所以更需要保護個人電腦的安全。 一、保障Windows操作系統的安全 雖然目前使用的Win2000操作系統在安全性、可靠性、可管理性比Win98強得多,但是它的默認設置並不是很安全,如果不進行全面有效的設置,,你的機器就可能成為黑客們的美餐。看看下面的一些安全設置步驟,你已經為你的個人電腦布署了嗎? 1.關注漏洞,打上最新的補丁程序 大家都知道,Win2000存在輸入法漏洞,當我們啟動Win2000進行到登錄驗證的提示界面時,任何用戶都可以打開各種輸入法的幫助欄,並且可以利用其中具有的一些功能訪問文件系統(如圖1),這就是說我們可以繞過Win2000的用戶登錄驗證機制,並且能以最高管理員權限訪問整個系統。所以要想保障Win2000系統的安全,就必須及時打上相應的補丁,大家可到去下載Win 2000最新補丁。 圖 1 需要提醒注意的是,補丁應該在所有應用程序安裝完之後再安裝,因為補丁程序往往要替換或修改某些系統文件,如果先安裝補丁的話可能無法起到應有的效果。 2.把系統Administrator帳號改名 黑客為了取得超級用戶密碼,總是一遍又一遍的嘗試 Administrator帳戶的密碼,所以我們得將其改名。鼠標右擊"我的電腦",選擇"管理"進入"計算機管理"界面,在"本地用戶和組"項,選擇"用戶",鼠標右擊右側列表中的"Administrator"帳號,在右鍵菜單中選擇"重命名",然後重新輸入一個名稱即可。當然,最好不要使用Admin、Root之類的名字,盡量把它偽裝成普通用戶,比如改成:Guestone,別人怎麼也想不到這個賬戶會是超級用戶。然後另建一個"Administrator"的陷阱帳號,不賦予任何權限,並且加上一個超過10位的超級復雜密碼,並對該帳戶啟用審核,這樣那些黑客忙上好一陣也可能進不來,即便進來了也什麼都得不到,還留下我們跟蹤的線索。 3.停掉Guest賬號和關注新增用戶 鼠標右擊"我的電腦",選擇"管理"進入"計算機管理"界面,在"本地用戶和組"項,選擇"用戶",用鼠標右鍵單擊右側列表裡的"Guest"帳號,在右鍵菜單中選擇"屬性"或是雙擊"Guest"帳號,在屬性對話框中,在"帳戶已停用"一項前打勾(如圖2),停用Guest帳號,這樣別人就無法用Guest帳號登陸你的系統或遠程連接了。 圖 2 另外要密切關注管理員組的用戶,時時刻刻保證只有一個Administrator(也就是你自己)是該組的用戶。同時要注意Guest用戶,聰明的入侵者一般不會添加陌生用戶名,這樣容易被人發現行蹤,他們通常是先激活Guest用戶,然後是更改它的密碼,再放到管理員組,所以一定要刪除除管理員自己以外的用戶。 4.關閉不必要的服務 作為SOHO簇的個人電腦一般來說並不需要對外提供什麼服務,所以應盡量做到能關的服務都關掉。另外,如果不外出,不需要遠程管理你的計算機的話,最好將一切的遠程網絡登錄功能都關掉。進入控制面板的"管理工具",運行"服務",進入服務界面,雙擊右側列表中需要禁用的服務,在打開的服務屬性的常規標簽頁"啟動類型"一欄,點擊小三角形按鈕 選擇"已禁用"(如圖3),再點擊"啟動"或是"停止"按鈕,最後確定即可。 圖 3 除非特別需要,否則一般情況下可以禁用以下一些服務: Alerter,Clipbook,Computer Browser,DHCP Client,Messenger,Net Logon,Network DDE,Network DDE DSDM,RunAs Service,Task Scheduler,TCP/IP NetBIOS Helper Service,Workstation。 5.關閉不必要的協議和端口 SOHO族電腦不需要提供什麼服務,當然就可以關閉很多不必要的協議和端口。在配置系統協議時,盡量做到可以不安裝的協議就不要安裝。建議只安裝TCP/IP協議,鼠標右鍵單擊"網絡鄰居",選擇"屬性",再鼠標右擊"本地連接",選擇"屬性",卸載不必要的協議(如圖4)。另外,NETBIOS是很多安全缺陷的源泉,我們也需要禁用TCP/IP上的NETBIOS。選擇"TCP/IP協議",點擊"屬性",再點擊"高級",進入"高級TCP/IP設置"對話框,選擇"WINS"標簽,勾選"禁用TCP/IP上的NETBIOS"一項(如圖5)。 圖 4 圖 5 在Win2000中,用於文件和打印共享服務的端口是137、138、139和445端口,而這些端口恰恰是密碼猜測進攻的入口,SOHO簇個人電腦平時很少使用文件和打印共享服務,所以可以關掉這些端口。用鼠標右擊"網絡鄰居",選擇"屬性",選擇"網絡和撥號連接"對話框的"高級"菜單,選擇"高級設置"命令,進入高級設置對話框(如圖6),在出現的畫面中的上部選擇所需的連接,下部取消"文件和打印機共享",即可禁止這幾個端口。
圖 6 6.禁止空連接 Win2000的默認安裝允許任何用戶通過空用戶得到系統所有賬號和共享列表,這是為了方便局域網用戶共享資源和文件的,但是任何一個遠程用戶也可以通過同樣的方法得到你的用戶列表,並可能使用暴力法破解用戶密碼。所以我們需要通過修改注冊表來禁止建立空連接:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous設置為1,就可以禁止空用戶連接。 另外,在Win2000的本地安全策略("控制面板"|"管理工具"|"本地安全策略")裡,選擇"本地策略"的"安全選項"裡的"對匿名連接的額外限制"一項也可設置。雙擊該項選擇"不允許枚舉SAM賬號和共享"選項即可禁止空連接,這個值就只允許非NULL用戶存取SAM賬號信息和共享信息,避免非法用戶獲得你的用戶列表。 7.關閉默認共享 Win2000安裝好以後,系統所有硬盤默認都是隱藏共享,通過"計算機名或IP地址\盤符$"可以訪問,這為密碼攻擊提供了方便的途徑。所以我們需要通過修改注冊表的方法徹底禁止這些共享,在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下添加鍵值AutoShareWks,類型為REG_DWORD,值設為0。關閉注冊表重新啟動計算機即可關閉所有默認共享了。 8.打開審核策略 由於Win2000的默認安裝是不開任何安全審核的,不利於監測任何黑客入侵行為。所以需要我們進入"管理工具"|"本地安全策略"|"審核策略"中打開相應的審核。當有人嘗試對你的系統進行某些方式(如嘗試用戶密碼,改變帳戶策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。下面的這些審核是必須開啟的,其他的可以根據需要增加: 審核系統登陸事件 成功,失敗 審核帳戶管理 成功,失敗 審核登陸事件 成功,失敗 審核策略更改 成功,失敗 審核系統事件 成功,失敗 審核對象訪問 失敗 審核特權使用 失敗 目錄服務訪問 失敗 另外還可開啟帳戶策略,如在帳戶鎖定策略中設定,帳戶鎖定閥值為3次(那麼當三次無效登錄後將鎖定帳戶),然後將帳戶鎖定時間設定為30分鐘,甚至更長。這樣,黑客想要攻擊你,一天24小時試密碼也試不了幾次。 審核策略設置完成後,需要重新啟動計算機才能生效。這裡需要說明的是,審核項目既不能太多,也不能太少。如果太少,當你想查看黑客攻擊的跡象時卻發現沒有記錄,那就一點辦法都沒有,但是審核項目如果太多,不僅會占用大量的系統資源,而且你也可能根本沒空去全部看完,這樣就失去了審核的意義。 9.審核結果的查看和維護 設置了審核策略和審核事件後,審核所產生的結果都被記錄到安全日志中,使用事件查看器可以查看安全日志的內容或是在日志中查找指定事件的詳細信息。 在"管理工具"中運行"事件查看器",選擇"安全日志"。在右側顯示日志列表,以及每一條目的摘要信息,在這裡可以查看事件的詳細信息,查找和篩選符合條件的事件。如果你在幾個登錄的失敗審核後面又發現登錄的成功審核,那就有可能是某個用戶的密碼被攻破,這時你就需要增加密碼的長度和復雜性了。 隨著審核事件的不斷增加,安全日志文件的大小也不斷增加,你可以根據需要更改安全日志文件的大小。用鼠標右擊"事件查看器"的"安全日志"項,選擇"屬性",進入安全日志的屬性窗口(如圖7)。 圖 7 在Win2000系統中使用審核策略,雖然不能對用戶的訪問進行控制,但是你根據審核結果及時查看安全日志,可以了解系統在哪些方面存在安全隱患以及系統資源的使用情況,從而采取相應的措施將系統的不安全因素減到最低限度,從而營造一個更加安全可靠的Windows 2000系統平台。 二、防殺病毒
