新世纪计算机信息安全教程chap08

新世纪计算机信息安全教程重点内容：WindowsXP/Vista单机安全组策略及应用第8章Windows客户端安全新世纪计算机信息安全教程一、WindowsXP/Vista单机安全在今天的计算机时代，必须抵御以病毒和木马以及其他形式出现的对网络和计算机的恶意入侵，对于客户端用户而言，采取下列措施会有助于防止和抵御病毒和木马的攻击。（1）了解病毒及其一般传播方式。（2）了解病毒的一般特征：计算机病毒通常具备传染性、隐蔽性、潜伏性、欺骗性、表现性、破坏性六大特性。（3）在个人计算机上安装商用病毒检测程序，并定期地检查计算机病毒。网络管理员应注意以下几个方面：（1）将新程序放在网络上之前，应先把程序安装在未连入网络的计算机上，使用病毒检测软件进行检查。（2）不能允许用户以Administrators组成员身份在他们自己的计算机上登录。（3）要求用户创建更保险的密码，使病毒不会轻易推测出密码而获得管理员权限。（4）定期备份文件，以便最大限度地减小病毒攻击时造成的损害。1、WindowsXP/Vista安全概述新世纪计算机信息安全教程一、WindowsXP/Vista单机安全要保护计算机上的数据，应当保证单个文件和文件夹的安全，并采取行动保证物理计算机本身的安全。如果计算机包含敏感信息，将它保存在安全的位置。计算机的锁定有两种方法：在工作组环境中锁定计算机、在域环境中锁定计算机。在工作组环境中锁定计算机，可以通过按“Windows+L”组合键、“切换用户”功能和屏幕保护两种方式。对于已加入域环境的计算机，“快速用户切换”选项是不可用的，需要按组合键“Ctrl+Alt+Delete”来锁定计算机。另外，也可以使用屏幕保护程序来锁定计算机，使用方式和工作组中的计算机一样。2、锁定计算机新世纪计算机信息安全教程一、WindowsXP/Vista单机安全对于管理员账户而言，应该设置强密码。强密码应该符合以下条件,而且以字母、数字和下画线组成，并且以数字的字母开头：（1）至少有7个字符的长度。因为就密码加密的方式而言，最安全的密码应该长达7个或14个字符。（2）包含下列三组字符中的每一种类型：（3）在第2到第6个位置中至少应有一个符号字符。（4）和以前的密码有明显的不同。（5）不能包含名字或用户名。（6）不能是普通的单词或名称。3、保护密码新世纪计算机信息安全教程一、WindowsXP/Vista单机安全在WindowsXP计算机上，如果以管理员身份运行将会使系统易受木马和其他安全性威胁的侵害，在访问网站时也可能会受到木马等恶意代码的破坏。尤其是在以管理员权限登录时中了木马，可能会破坏系统、新建具有管理访问权限的用户账户等。因此，应该将用户账户添加到Users组或PowerUsers组中。对于User组的成员，可以执行日常任务，包括运行程序和访问Internet站点，以防止计算机遭受不必要的风险。对于PowerUsers组的成员，可以执行日常任务，也可以安装程序、添加打印机以及使用“控制面板”中的大部分项目。如果需要执行管理任务，例如升级操作系统或配置系统参数，可以先注销再以管理员身份登录。如果经常需要以管理员身份登录，那么能以管理员的身份使用runas命令来启动程序。4、以普通用户运行计算机新世纪计算机信息安全教程一、WindowsXP/Vista单机安全在网络中，端口一直是黑客攻击的焦点，大部分网络攻击都是从端口开始的。为了系统安全起见，应将不常用的端口关闭，只开放一些常用端口。例如，需要访问网站，则启用80端口，需要从FTP网站下载文件，则开放21端口。在WindowsXP系统中，无法只禁止某个端口，需要先禁止所有端口，然后开放允许使用的端口。5、端口安全新世纪计算机信息安全教程一、WindowsXP/Vista单机安全对于一些重要的文件或数据，应将其进行加密，以防被人偷窥。WindowsXP提供了一种加密文件系统（EFS），该技术用于在NTFS文件系统卷上加密的文件。一旦加密了文件或文件夹，就可以像使用其他文件和文件夹一样使用它们。对加密该文件的用户，加密是透明的，用户不必在使用前手动解密已加密的文件，可以正常打开和更改文件，系统会自动完成解密和加密。而未经许可的用户或入侵者将无法阅读或打开文件和文件夹中的内容，这在一定程度上保护了文件的安全。通过为文件夹和文件设置加密属性即可进行加密和解密，如同设置其他任何属性（如只读、压缩或隐藏）一样。如果加密一个文件夹，则在该文件夹中创建的所有文件和子文件夹都将自动加密。为安全起见，推荐在文件夹级别上加密。6、加密文件系统新世纪计算机信息安全教程一、WindowsXP/Vista单机安全WindowsXP自带了防火墙系统，可以加固计算机系统的安全。防火墙可以限制从其他计算机传入的信息，防御穿过外围网络或来自企业内部的网络攻击，例如，特洛伊木马攻击、端口扫描攻击和蠕虫，还可防止在未经邀请的情况下尝试连接到计算机。7、Windows防火墙新世纪计算机信息安全教程一、WindowsXP/Vista单机安全Windows防火墙是从WindowsXPProfessional才开始集成的，因此使用较早Windows版本的用户只能通过第三方防火墙程序，预防病毒和网络攻击。网络防火墙软件很多，目前常用的有瑞星防火墙、金山网镖、天网防火墙等。如图所示为瑞星个人防火墙。网络防火墙一般都可以设置规则，并且规则可以选择为有效或无效状态，以决定是否拦截网络访问。如果同时设置了“允许Ping出”和“禁止Ping入”两个规则，则本地计算机可以Ping其他计算机，而其他计算机则不能Ping本地计算机。尤其是对一些很少用或根本不使用的端口，更应该设置规则将其关闭。8、第三方网络防火墙新世纪计算机信息安全教程一、WindowsXP/Vista单机安全微软的Windows系统发布后，都会不定时地再发布一些补丁，以弥补相应操作系统的漏洞或缺陷。因此，在安装WindowsXP以后，应先启用自动更新功能，并且安装已发布的补丁程序，以保护系统的安全。右击“我的电脑”，从弹出的快捷菜单中选择“属性”选项，打开“系统属性”对话框，切换到“自动更新”选项卡，即可选择自动更新的方式。通过下载补丁程序手动安装也是一种不错的方式。如今国内许多下载网站都提供补丁下载，而且下载速度也很快，用户下载后直接运行安装更新程序即可安装，大多只需单击“下一步”按钮，不需特别的设置。除了可以通过自动更新、手动下载安装补丁程序外，还可以直接连接到微软的WindowsUpdate网站下载相应的更新程序。不过，对于一些比较大的补丁包直接从微软网站下载势必非常慢，尤其是对于拨号用户来说更是相当困难。其实，此时可以直接到软件店买一张集成补丁包安装光盘，或从国内一些较大的下载站点下载安装。9、系统更新设置新世纪计算机信息安全教程一、WindowsXP/Vista单机安全Internet当之无愧地成为世界上资源最丰富的宝藏，而微软的InternetExplorer也成为了用户使用最多的IE浏览器。但IE浏览器也是黑客和病毒经常下手的地方，虽然我们可以通过在IE浏览器上安装一些第三方软件或杀毒软件来避免这种攻击，而实际上，通过IE本身的安全设置也可以在一定程度上避免网络攻击。1.Cookie安全：Cookie是Web网站通过浏览器存放在本地计算机上的一个记录文件，主要记录了用户的个人信息。现在，有些网站的服务内容是在用户所打开Cookie的前提下提供的。因此为了保护个人隐私，尤其是在一些非个人计算机上，最好是删除Cookies。2.清理IE临时文件：Internet临时文件也是一大危害，它虽然不会像病毒一样破坏系统，但临时文件默认保存在系统分区，大量的临时文件则会浪费大量的磁盘空间，并且会影响系统运行速度。3.设置安全级别：在使用IE浏览器时，很可能感染来自Web网站的恶意代码或受到恶意攻击，为了系统安全，IE浏览器可以为Internet或局域网设置不同区域的安全级别，不同级别使用不同的设置。4.分级审查：IE浏览器支持用于Internet内容分级的PICS（PlatformforInternetContentSelection）标准，通过设置分级审查功能，可以帮助用户控制计算机可访问的Internet信息内容的类型。10、InternetExplorer设置新世纪计算机信息安全教程一、WindowsXP/Vista单机安全11、WindowsDefenderWindowsDefender是微软出品的一个免费软件，可以和杀毒软件一样对计算机进行扫描，从而避免间谍软件及其他有害软件所带来的弹出窗口、占用系统资源大和安全性威胁等侵扰，并且对当前国内流行的各种恶意程序都有很好的查杀能力，能有效拦截未知程序对系统做出的各种有害更改，真正做到防患于未然。在安装WindowsDefender之前，必须保证系统已经安装了WindowsInstaller3.1，否则将不能安装，用户可从微软网站或一些下载站点下载该程序并安装。和其他杀毒软件一样，WindowsDefender也可以选择不同的扫描方式，例如扫描整个系统或者扫描某个磁盘中文件夹等，默认为快速扫描。新世纪计算机信息安全教程一、WindowsXP/Vista单机安全12、第三防间谍软件微软提供的防间谍程序固然不错，美中不足就是操作不够简便，并且执行扫描时占用系统资源较多，对于一些初级用户和性能较低的计算机而言，却成了不小的“负担”。第三防间谍软件的突出特点就是专业性更强，仅针对间谍软件、恶意软件、各种木马程序等进行扫描，因此操作非常简单，处理速度也极高。SpywareDoctor是由PCTools公司提供的系统安全防御程序。它不仅可以快速扫描本地计算机是否感染病毒、被植入广告软件等恶意程序，还可以帮助用户实施保护系统不受病毒干扰，增强系统防御性等。新世纪计算机信息安全教程二、组策略及应用1、本地组策略和域组策略组策略（GroupPolicy，简称GP）是Windows2000/XP/2003操作系统中的实现安全管理技术的关键组件，可帮助管理员以组或者团体的方式（而不是单个用户的方式）控制用户对桌面设置和应用程序的访问。组策略支持网络管理员定义和控制访问数量，其中包括用户对数据的访问数量以及应用程序对它们的组织机构的网络的访问数量。这样，管理员就可以减少花费在日常事务（如解决由新用户带来的问题）的时间。在工作组环境下，本地组策略只能管理单机。Windows2003Server域环境下可以管理整个ActiveDirectory用户，即活动目录下的所有用户。组策略包括影响用户的“用户配置”策略设置和影响计算机的“计算机配置”策略设置。新世纪计算机信息安全教程二、组策略及应用2、组策略的功能企业通过组策略能够设置集中化和分散化策略、确保用户处于所需的工作环境中，以及控制用户和计算机的环境等。主要包含以下几个方面：1.部署软件：可以把安装某种软件的所有必要文件都收集成为一个包，在把这个包放在服务器上的某个位置，然后使用组策略把某个用户的桌面环境指向这个数据包。2.设置用户权力：在使用WindowsServer2003服务器环境中，可以通过GPO（组策略对象，GroupPolicyobjects）来控制，而不需要系统管理员到每个桌面去部署。3.软件限制策略：系统管理员可以控制某个用户的桌面，允许他仅能运行某个程序或者任务。4.控制系统设置：允许系统管理员统一部署网络用户的Windows服务，允许统一部署磁盘空间配额等系统方面的设置。5.置登录、注销、关机、开机脚本：WindowsServer2003、WindowsXP、Windows2000操作系统中，允许执行上述4种脚本，同时允许使用GPO控制运行脚本。6.通用桌面控制：可以使用策略统一部署网络的计算机，使所有的客户端计算机都有一个相同的运行环境。允许集中控制所有用户的桌面环境、开始菜单、任务栏按钮等配置信息。7.自定义组策略：使用GPO管理网络，提供了强大的管理功能，但经常会遇到需