信息安全原理与实践教程第3章

第3章Windows系统安全加固第3章Windows系统安全加固3.1Windows操作系统安全综述3.2注册表配置实验3.3帐号和口令的安全设置实验3.4文件系统安全设置实验3.5关闭默认共享3.6小结第3章Windows系统安全加固3.1Windows操作系统安全综述注册表是Windows系统的核心配置文件，在系统中起着举足轻重的作用，一旦注册表出现问题，整个系统将变得混乱甚至崩溃。如果掌握了注册表的知识，那么，它将是用户手中用来驯服Windows的“利器”。本章可以指引读者进入注册表的“精彩世界”，一起来体会注册表的强大功能，对熟悉注册表起到抛砖引玉的作用。第3章Windows系统安全加固提到系统安全，就不得不说EFS的概念。EFS(EncryptingFileSystem，加密文件系统)是Windows系统中的一项功能，针对NTFS分区中的文件和数据，用户都可以直接加密，从而达到快速提高数据安全性的目的。用户帐户安全是计算机安全设置的重要对象，许多安全功能的实现都是基于用户帐户实现的，如文件访问权限设置、用户环境设置等。在独立计算机上，系统管理员帐户可以完全控制其他普通用户帐户，包括创建、禁用、删除等；在域环境中，域管理员可以通过为不同的用户帐户赋予指定的操作和访问权限，以维护整个网络的安全。第3章Windows系统安全加固端口是计算机与外界通讯的渠道，它像一道道门一样控制着数据与指令的传输，但端口有时会被许多蠕虫病毒利用。对于原本脆弱的Windows系统来说，有必要把一些危险而又不经常使用的端口关闭或是封锁，以保证信息安全。下面我们就逐一介绍有关Windows系统安全的问题，当然不可能面面俱到，感兴趣的读者可以根据自己的实际情况深入研究。第3章Windows系统安全加固3.2注册表配置实验1.实验目的学会使用注册表编辑器的基本操作；学会进行注册表的一些基本安全配置。第3章Windows系统安全加固2.实验原理注册表是Windows中一个重要的系统数据库，它用于存储系统和应用程序的设置信息。系统设置和缺省用户配置数据存放在“系统\系统文件夹\SYSTEM32\CONFIG”文件夹下，包括6个文件：DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM。用户的配置信息存放在系统所在磁盘的“\DocumentsandSetting\”文件夹下，包括ntuser.dat、ntuser.ini、ntuser.dat.log。第3章Windows系统安全加固注册表由键(项)、子键(子项)和值项构成。一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键；一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。第3章Windows系统安全加固3.实验环境基于WindowsXP或Windows2003等的操作系统。4.实验内容1)打开注册表编辑器注册表的配置管理是通过注册表编辑器来完成的。依次单击“开始→运行”，输入“regedit”即可进入注册表编辑器，注册表编辑器的界面如图3.1所示。第3章Windows系统安全加固图3.1注册表编辑器第3章Windows系统安全加固注册表可以导出为一个reg注册表文件，也可以把注册表文件导入到注册表中。“导入/导出”功能归属在文件菜单下，如图3.2所示。图3.2注册表编辑器文件菜单第3章Windows系统安全加固注册表项和子项的新建、删除、修改权限、查找等功能可以通过编辑菜单完成，如图3.3所示，也可以通过点击鼠标右键完成。图3.3注册表编辑器编辑菜单第3章Windows系统安全加固收藏夹菜单下可收藏注册表项，以便快速到达以前浏览的注册表项。当然也可以删除收藏的注册表项，如图3.4所示。图3.4注册表编辑器收藏夹菜单第3章Windows系统安全加固2)注册表安全配置对注册表项进行合理的设置可以提高系统的安全性，当然前提是应以管理员权限登录。注册表的安全配置主要包括以下内容。(1)禁止远程修改注册表。Windows2000/XP支持通过网络使用注册表编辑器对注册表的数据进行修改，默认的系统配置下，用户可以进行远程操作。为了提高系统的安全性，避免自己机器的注册表被他人通过网络修改，可以禁用此功能。具体操作步骤如下：第3章Windows系统安全加固第1步：打开注册表编辑器。第2步： 选择子键HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\SecurePipeServers\winreg。第3步：在右侧窗口中新建一个数据类型为DWORD的键值项，命名为“RemoteRegAccess”，将数值设为“1”即可。第3章Windows系统安全加固(2)设置密码的安全要求。Windows系统在默认配置下允许使用任何字符或字符串作为密码，其中可包括空格、符号或数字等。然而普通用户往往只使用字母来组成密码，但这样的密码容易被破解，因此，可以通过修改注册表来使用户设定的密码中必须同时包含字母和数字，从而增强系统的安全性能。具体操作步骤如下：第3章Windows系统安全加固第1步：打开注册表编辑器。第2步：选择子键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies。第3步：在Policies子键下新建一个数据类型为DWORD的键值项，命名为“AlphanumPwds”，然后将其键值设为“1”。第4步：完成设置后，重新启动计算机使设置生效。第3章Windows系统安全加固(3)禁止密码缓存。通常Windows系统会将用户输入的密码保存在特定的缓存中，当用户再次输入密码时，系统会自动进行匹配以检验用户的密码是否正确。但这一功能往往会带来一些安全方面的隐患，因为黑客可能通过密码缓存查找用户的密码。因此可以考虑通过修改注册表来禁用系统的密码缓存功能，以提高系统的安全性能。具体操作步骤如下：第3章Windows系统安全加固第1步：打开注册表编辑器。第2步：选择子键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies，在“Policies”子键下新建一个子键，命名为“Network”。第3步：在“Network”子键下新建一个数据类型为DWORD的键值项，命名为“DisablePwdCaching”，然后将其键值设为“1”。第4步：重启计算机即可生效。第3章Windows系统安全加固(4)隐藏一个服务器。为保证局域网中服务器上的资源不受其他人的非法访问和攻击，有时需要把局域网中指定的服务器计算机的名称隐藏起来，使其他局域网用户无法访问到。具体操作步骤如下：第3章Windows系统安全加固第1步：打开注册表编辑器。第2步：选择子键HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters。第3步：用鼠标单击该键值下面的“Hidden”数值名称，如果未发现此名称，那么添加一个数据类型为“REG_Dword”的键值。第4步：用鼠标双击此项，在弹出的“DWORD编辑器”对话框中输入“1”即可。第5步：退出注册表编辑，重新启动计算机就可以在局域网中隐藏一个服务器了。第3章Windows系统安全加固(5)屏蔽“控制面板”的访问。控制面板是Windows系统的控制中心，可以对设备属性、文件系统、安全口令等许多对系统关键的东西进行修改，通过此设置可以屏蔽“控制面板”的访问。具体操作步骤如下：第3章Windows系统安全加固第1步：打开注册表编辑器。第2步：选择子键HKEY_CURRENT_USER\Software\Micrsoft\Windows\CurrentVersion\Policies\System。第3步：在对应System键值的右边窗口中，用鼠标右键单击该窗口的空白处，并从弹出的快捷菜单中选择“新建”/“DWORD”命令，来新建一个DWORD值。第4步：把DWORD值的名称命名为“NoDispCPL”，同时设置其值为“1”。第3章Windows系统安全加固(6)隐藏上次用户登录的用户名。WindowsXP以上的操作系统对以前用户登录的信息具有记忆功能，下次重新启动计算机时，在用户名栏中会出现上次用户的登录名，这个信息可能会被一些非法分子利用，从而给用户造成威胁，为此我们有必要隐藏上次用户登录的用户名。具体操作步骤如下：第3章Windows系统安全加固第1步：打开注册表编辑器。第2步：选择子键HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon。第3步：在右边的窗口中新建字符串“DontDisplayLastUserName”，并把该值设置为“1”。第4步：重新启动计算机就可以隐藏上次用户登录的名字。第3章Windows系统安全加固(7)禁止修改“开始”菜单。一般来说，用户启动某个程序时往往会在开始菜单下面的程序组中寻找需要的程序，如果随意更改“开始”菜单中的内容，可能会影响其他用户打开程序。因此，我们常常需要禁止修改“开始”菜单中的内容。具体操作步骤如下：第3章Windows系统安全加固第1步：打开注册表编辑器。第2步：选择子键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explore。第3步：在右边的窗口中新建一个数据类型为DWORD的串值“NoChangeStartMenu”，并把它的值设置为“1”。第3章Windows系统安全加固(8)让用户只使用指定的程序。为防止因用户非法运行或者修改程序，而导致整个计算机系统处于混乱状态，我们可以通过修改注册表来达到让用户只能使用指定程序的目的，从而保证系统的安全。具体操作步骤如下：第1步：打开注册表编辑器。第2步：选择子键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer键值。第3章Windows系统安全加固第3步：在右边的窗口中新建一个数据类型为DWORD的串值“RestrictRun”，把它的值设为“1”，然后在RestrictRun的主键下分别添加名为“1”、“2”、“3”等的字符串值，将“1”、“2”、“3”等字符串的值设置为我们允许用户使用的程序名。例如将“1”、“2”、“3”分别设置为“word.EXE”、“notepad.EXE”、“write.EXE”，则用户只能使用Word、记事本、写字板了。这样我们的系统将会达到最大的保障，也可以限制用户运行不必要的软件了。第3章Windows系统安全加固(9)禁用“任务栏属性”功能。利用任务栏属性功能，可以方便用户对开始菜单进行修改，也可以修改Windows系统的很多属性和运行的程序，这在我们看来是件很危险的事情，所以有必要禁止对它的修改。具体操作步骤如下：第3章Windows系统安全加固第1步：打开注册表编辑器。第2步：选择子键HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer。第3步：在右边窗口内新建一个数据类型为DWORD的串值“NoSetTaskBar”，然后双击“NoSetTaskBar”键值，在弹出的对话框中的“键值”框内输入“1”，就可以达到禁用“任务栏属性”功能了。第3章Windows系统安全加固(10)隐藏“网上邻居”。在局域网中，我们常常可以通过网上邻居来访问其他计算机上的内容，从而达到了资源共享的目的。但有时“网上邻居”会给我们造成安