加入收藏  免费注册  用户登陆  帮助中心
首页 公司新闻 恒佳商城 网站建设 软件下载 用户中心 技术文栏 在线交流 在线商城 精彩视频 推荐站点 精彩贴图
今天是:2020年12月05日 星期六 您现在位于: 首页技术文栏编程开发相关
   Windows操作系统常见安全问题解决方法
作者:  出处:  更新时间: 2007年05月13日 
使用Windows的人非常多,而Windows系统的安全问题也越来越被人们关注。虽然Windows的漏洞众多,安全隐患也很多,不过经过适当的设置和调整,你还是可以用上相对安全的Windows的。本文就为你详细讲述了Windows的安全调整,希望对你有用。 

  这篇文章将针对一些常见的安全问题给你一些解决方法,其中大部分的操作都是针对Windows 2000/XP的,不保证在Windows 98/Me上可行。 

  准备活动 

  给系统安装补丁程序的重要性是不言而喻的,尤其是一些重要的安全补丁和针对IE,OE漏洞的补丁(即使你并不打算使用它们)。微软会经常的发布一些已知漏洞的修补程序,这些东西一般都可以通过Windows Update来安装。你需要做的只是经常性的访问Windows Update网站 。或者直接点击开始菜单中Windows Update的快捷方式。而Windows XP和最新的Windows 2000更加进步了,可以自动检查更新,在后台下载,完成后通知你下载完成并询问是否开始安装。对于Windows 2000/XP的用户,微软还提供了一个检查安全性的实用工具:基准安全分析器(Microsoft Baseline Security Analyzer),这个程序可以自动对你的系统进行安全性检测,并且对于出现的问题,都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。你可以在这里详细了解和下载这个工具。 

  在你安装了所有的补丁程序后,下面开始我们的调整设置。 

  重命名和禁用默认的帐户 

  安装好Windows后,系统会自动建立两个账户:Administrator和Guest,其中Administrator拥有最高的权限,Guest则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题,他将轻易的得知你的超级用户的名称,剩下的就是寻找密码了。因此,安全的做法是把Administrator账户的名称改掉,然后再建立一个几乎没有任何权限的假Administrator账户。具体的方法是: 

  在运行中输入secpol.msc然后回车,打开“Local Security Settings(本地安全设置)”对话框,依次展开Local Policies(本地策略)-Security Options(安全选项),在右侧窗口有一个“Accounts: Rename administrator (guest) account(账户:重命名Administrator/Guest账户)”的策略,双击打开后可以给Administrator重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为Administrator的受限制用户,以迷惑闯入者。 

  安全选项的设置 

  同样是在Local Security Settings中,展开Local Policies-Security Options,这里还有很多其它的设置,经过合理的配置,可以使你的系统更加安全。一下列举的选项最好全部禁止: 
   
  Interactive logon: Do not require CTRL+ALT+DEL,交互式登录:不需要按Ctrl+Alt+Del。 

  Network access: Allow anonymous SID/name translation,网络访问:允许匿名SID/名称转换。 

  Network access: Let Everyone permissions apply to anonymous users,网络访问:让Everyone权限应用到匿名用户。 

  Recovery console: Allow automatic administrative logon,故障恢复控制台:允许自动系统管理级登录。 

  而以下的选项最好启用: 

  Devices: Restrict CD-ROM access to locally logged-on user only,设备:只有本地登录的用户才能访问CD-ROM。 

  Devices: Restrict floppy access to locally logged-on user only,设备:只有本地登录的用户才能访问软驱。 

  Interactive logon: Do not display last user name,交互式登录:不显示上一次使用的用户名。 

  Network access: Do not allow anonymous enumeration of SAM accounts,网络访问:不允许匿名SAM帐户的匿名枚举。 

  Network access: Do not allow anonymous enumeration of SAM accounts & shares,网络访问:不允许SAM账户和共享的匿名枚举。 

  Network security: Do not store LAN Manager hash value on next password change,网络安全:不要在下次更改密码时存储LAN Manager的Hash值。 

  System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ,系统对象:增强内部系统对象的默认权限(例如Symbolic Links)。 
  可靠的密码 

  尽管绝对安全的密码时不存在的,但是相对安全的密码还是可以实现的。这个还是需要运行secpol.msc来配置Local Security Settings。展开到Account Policies-Password Policy,经过这里的配置,你就可以建立一个完备密码策略,并且你的密码也可以得到最大限度的保护。 

  Enforce password history(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码,可是换来换去就是有限的几个在轮换,配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximum password age这个策略,就能保证密码安全了。默认情况下,这个策略不保存用户的密码,你可以自己设置,建议保存5个以上,而最多可以保存24个。 

  Maximum password age(密码最长存留期)。这个策略决定了一个密码可以使用多久,之后就会过期,并要求用户更换密码。如果设置为0,则密码永不过期。一般情况下设置为30到60天左右就可以了,具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。 

  Minimum password age(密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的Enforce password history结合起来就可以得知新的密码是否是以前使用过的,如果是,则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用,而最大值为999。 

  Minimum password length(密码长度最小值)。这个策略决定了一个密码的长度,有效值在0到14之间。如果设置为0,则表示不需要密码。建议的密码长度不能小于6位。 

  Password must meet complexity requirements(密码必须符合复杂性要求)。如果启用了这个策略,则在设置和更改一个密码的时候,系统将会按照下面的规则检查密码是否有效:密码不能包含全部或者部分的用户名。 

  最少包括6个字符。 

  并且在字符的使用上还要遵循以下的规则,密码必须是: 

  英文字母,A-Z,大小写敏感。 

  基本的10个数字,0-9。 

  不能包含特殊字符,例如!,$,#,%等等。 

  如果启用了这个策略,相信你的密码就会比较安全了。 

  Store password using reversible encryption for all users in the domain(为域中的所有用户使用可还原的加密来存储密码)。很明显,这个策略最好不要启用。 

  安全使用Internet Explorer 

  Internet Explorer是当今最流行的浏览器软件。因为使用的人多,因此IE被发现的安全性问题也就最多,不过没关系,看过本节,你完全可以使你的IE更加安全。需要注意的是,以下的叙述全部以IE 6.0版为准,如果你使用了较低的版本,有些细节方面可能会不一样。 

  打开Internet Explorer,依次点击工具-Internet选项,然后打开安全选项卡。 

  在安全选项卡中选择“Internet”,就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置,不过我们最好根据自己的实际情况亲自调整一下。点击下方的Custom Level(自定义级别)。会出现图三的窗口,这里显示了所有的IE安全设置。 

  Download signed ActiveX controls(下载已签名的ActiveX控件)。经过第三方的认证机构签名证明该ActiveX控件是安全的,并且你可以设置为允许下载这种控件,除非你不想安装任何ActiveX控件,或者你想自己从一些网站下载,例如Windows Update,还有播放Flash的插件等。 

  Download unsigned ActiveX controls(下载未签名的ActiveX控件)。跟经过签名认证的ActiveX控件相比,未经签名认证的可能会包含潜在的安全隐患因此这个选项你最好不要设置为启用,或禁用,或者设置为询问,这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。 

  Initialize & script ActiveX controls not marked as safe(对没有标记为安全的ActiveX控件进行初始化和脚本运行)。跟前面的设置类似的,如果你之前都设置为禁用,那么这个选项同样禁用就可以,否则可以设置为询问(建议的设置)或者允许(不建议)来禁止那些为经签名的控件运行。 

  Run ActiveX controls & plug-ins(运行ActiveX控件和插件)。假设你已经禁止了所有ActiveX控件和插件的运行,那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。 

  script ActiveX controls marked safe for scripting(对标记为可安全执行脚本的ActiveX控件执行脚本)。这个设置可以设置的跟前面的选项相同。 
  可靠的密码 

  尽管绝对安全的密码时不存在的,但是相对安全的密码还是可以实现的。这个还是需要运行secpol.msc来配置Local Security Settings。展开到Account Policies-Password Policy,经过这里的配置,你就可以建立一个完备密码策略,并且你的密码也可以得到最大限度的保护。 

  Enforce password history(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码,可是换来换去就是有限的几个在轮换,配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximum password age这个策略,就能保证密码安全了。默认情况下,这个策略不保存用户的密码,你可以自己设置,建议保存5个以上,而最多可以保存24个。 

  Maximum password age(密码最长存留期)。这个策略决定了一个密码可以使用多久,之后就会过期,并要求用户更换密码。如果设置为0,则密码永不过期。一般情况下设置为30到60天左右就可以了,具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。 

  Minimum password age(密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的Enforce password history结合起来就可以得知新的密码是否是以前使用过的,如果是,则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用,而最大值为999。 

  Minimum password length(密码长度最小值)。这个策略决定了一个密码的长度,有效值在0到14之间。如果设置为0,则表示不需要密码。建议的密码长度不能小于6位。 

  Password must meet complexity requirements(密码必须符合复杂性要求)。如果启用了这个策略,则在设置和更改一个密码的时候,系统将会按照下面的规则检查密码是否有效:密码不能包含全部或者部分的用户名。 

  最少包括6个字符。 

  并且在字符的使用上还要遵循以下的规则,密码必须是: 

  英文字母,A-Z,大小写敏感。 

  基本的10个数字,0-9。 

  不能包含特殊字符,例如!,$,#,%等等。 

  如果启用了这个策略,相信你的密码就会比较安全了。 

  Store password using reversible encryption for all users in the domain(为域中的所有用户使用可还原的加密来存储密码)。很明显,这个策略最好不要启用。 

  安全使用Internet Explorer 

  Internet Explorer是当今最流行的浏览器软件。因为使用的人多,因此IE被发现的安全性问题也就最多,不过没关系,看过本节,你完全可以使你的IE更加安全。需要注意的是,以下的叙述全部以IE 6.0版为准,如果你使用了较低的版本,有些细节方面可能会不一样。 

  打开Internet Explorer,依次点击工具-Internet选项,然后打开安全选项卡。 

  在安全选项卡中选择“Internet”,就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置,不过我们最好根据自己的实际情况亲自调整一下。点击下方的Custom Level(自定义级别)。会出现图三的窗口,这里显示了所有的IE安全设置。 

  Download signed ActiveX controls(下载已签名的ActiveX控件)。经过第三方的认证机构签名证明该ActiveX控件是安全的,并且你可以设置为允许下载这种控件,除非你不想安装任何ActiveX控件,或者你想自己从一些网站下载,例如Windows Update,还有播放Flash的插件等。 

  Download unsigned ActiveX controls(下载未签名的ActiveX控件)。跟经过签名认证的ActiveX控件相比,未经签名认证的可能会包含潜在的安全隐患因此这个选项你最好不要设置为启用,或禁用,或者设置为询问,这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。 

  Initialize & script ActiveX controls not marked as safe(对没有标记为安全的ActiveX控件进行初始化和脚本运行)。跟前面的设置类似的,如果你之前都设置为禁用,那么这个选项同样禁用就可以,否则可以设置为询问(建议的设置)或者允许(不建议)来禁止那些为经签名的控件运行。 

  Run ActiveX controls & plug-ins(运行ActiveX控件和插件)。假设你已经禁止了所有ActiveX控件和插件的运行,那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。 

  script ActiveX controls marked safe for scripting(对标记为可安全执行脚本的ActiveX控件执行脚本)。这个设置可以设置的跟前面的选项相同。 
  加固你的Internet连接 

  默认情况下,为了建立网络连接,Windows会安装很多协议和运行很多服务其中一些协议和服务都不是必须的,例如NetBIOS、文件和打印机共享等,而“最小的服务+最小的权限=最大的安全”这个等式是永远成立的,因此我们有必要关掉不需要的服务,卸载不需要的协议,来增强我们的系统安全。 

  对于Windows 9x/Me的系统 

  1.在控制面板中双击网络图标 
   
  2.选择Microsoft网络客户端,然后点击卸载 

  3.禁用文件和打印机共享,如果你确实需要共享,可以给它们设置一个密码 

  4.选择TCP/IP,然后点击属性按钮,打开NetBIOS选项卡,取消对“我要在TCP/IP上使用NetBIOS的选择。然后选择DNS设置选项卡,并选择禁用DNS(如果你确实不需要的话)。在WINS设置选项卡下,选中禁用WINS解析 

  5.确定,然后重启动电脑 

  对于Windows 2000/XP的系统 

  1.打开控制面板中的网络连接,右键点击Internet连接,选择属性 

  2.如果你不需要共享文件和打印机,那么选中并卸载(可以不卸载,但是至少不要再使用)Windows网络的文件和打印机共享 

  3.双击Internet 协议 (TCP/IP),然后点击高级按钮 

  4.打开WINS选项卡,取消对启用LMHOSTS查询的选择,然后选择禁用TCP/IP上的NetBIOS 

  5.在运行中输入Services.msc然后回车 

  6.找到TCP/IP NetBIOS Helper这个服务,把这个服务停止掉,并且设置启动类型为手动或者禁止 

  7. 重启动电脑 

  防火墙和杀毒软件 

  不管你做了怎样的设置,只要你连接在Internet上,防火墙都是必要的。防火墙可以完全保护你的系统,把网络上有害的东西挡在门外。推荐你使用的防火墙主要有两种,一是Symantec公司的Norton Internet Security,这个软件不仅包含网络防火墙,还包含Norton Antivirus,一个著名的杀毒软件。Norton Internet Security的功能非常强大,不仅可以防病毒,防黑客,还可以帮助你过滤浏览网页时看到的广告,过滤收到的电子邮件,过滤网络中的一些色情和其它非法内容。不过Norton Internet Security对系统的要求比较高老的电脑运行起来可能会慢一些。这样的话你可以试试Zone Alarm或者国产的天网,他们对系统的要求都不错,功能也够强大,还有一点,他们两者都可以从互联网上免费下载到。 

  对于使用Windows XP的用户也可以用系统自带的防火墙,虽然没有那么多花哨的功能,不过最基本的防护还是可以胜任的。启用的方法是:打开控制面板-网络和Internet连接,双击网络连接打开属性对话框,在高级选项卡下,选中在我的电脑上使用Internet连接防火墙,之后还可以点击设置进行更进一步的配置。 
   
  总结 

  经过以上的设置,你的系统安全应该提高不少了,不过需要注意的是,不管在系统和软件上做怎样的防护,正确的使用习惯才是最重要的,因此从现在就开始养成良好的使用习惯的,否则在怎么防护也是白搭。希望你能有一个安全的系统! 

 (本文已被浏览 8734 次)
 发布人:wangqian
 → 推荐给我的好友
上篇文章:微软发布7个高危级系统安全补丁
下篇文章:网络流行病毒查杀以及防护攻略
   文章分类
   文章评论
  → 评论内容 (点击查看)   共0条评论,每页显示5条评论   浏览所有评论
(没有相关评论)
  → 发表我的评论
您的姓名: 您的Email:
评论内容:
250字内
发表评论:      发表评论须知 →
  • 请遵守中华人民共和国各项有关法律,严禁发表违法、反动、以及迷信信息;
  • 不要发布垃圾广告信息!您所发表的信息必须经过我们审核才能显示,所以不要做无用的操作^_^
  • 关于我们网站留言友情链接与我在线管理TOP
    
页面执行时间:<font class=red>31.250</font> 毫秒<font class=gray>(8次)</font><br>
本站当前有 <font class=red>3</font> 人同时在线<br>
最高峰有 <font class=red title=>540</font> 人同时在线<br>
最高峰发生在:2020-3-9 1:48:21<br>
本站总访问量:<font class=red>2237090</font> 人次<br>
本站统计时间:从 <font class=red>2007-01-01</font> 至今<br>
<font class=gray>网站当前版本:CMS1.2</font>
    临沂曙光软件 http://www.softsky.cn/
    联系我们:softsky@163.com
    Copyright (c) 2005-2016 曙光软件 版权所有 鲁ICP备05030889号
    地址:山东临沂华强科技城4楼 电话:0539-2025968 18953979168