系统加固

补丁安装Widnows操作系统补丁的安装方法有多种，下面MicrosoftWindowsUpdate联机更新补丁的方式介绍如何自动更新补丁。第1步：打开操作系统依次选择“开始”WindowsUpdate命令，打开MicrosoftWindowsUpdate窗口。如果是第一次登录到Update网站，将检测当前的操作系统中是否已经安装Windows更新软件看到如下图第2步检测完成，提示网络管理员安装新版本的更新软件第3步单击“立即安装”按钮，从微软的网站下载最新的Update更新软件第4步下载完成后，将自动安装新版本的更新软件，安装王成后，立即启动补丁检测第5步单击窗口中的“快速“按钮，WindowsUpdate网站将根据计算机的更新状况，检查更新列表检测的结果第6步单击“安装更新程序“按钮，开始下载更新补丁程序第7步安装完成后提示重启计算机第8步系统重启动后，重新登录到微软Update网站，单击“复查安装历史“链接“显示安装结果列表，可以查看补丁的更新状态。系统管理员帐户默认的系统管理员的账户名称为Administrator,这已经是众所周知的事情。非法入侵者以得到Windows操作系统的管理员权限为目的，一旦成功，服务器将完全暴露在黑客的眼前。如何使administrator帐户更加安全是帐户管理里面最重要的一个环节。停用GUEST帐户给Guest用户加个复杂密码，同时停用此用户，是为了双重安全，因为停用的Guest账户可以被重新启用，一旦启用将可以建立IPC$连接默认组权限Administrator：管理员组，默认情况下，Administrator中的用户对计算机/域有不受限的全访问权。分配给该组的默认权限允许对整个系统进行安全控制。所以，只有受信任的人员才可成为改组的成员。PowerUsers：高级用户组，PowerUsers可以执行除了为Administrator组保留的任务外的其他任何操作系统任务。分配给PowerUsers组的默认权限允许PowerUsers组的成员修改整个计算机的设置。但PowerUsers不具有将自己添加到Administrators组的权限。在权限设置中，这个组的权限是仅次于Administrators组的。Users：普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行进行经验验证的应用程序，但不可以运行大多数旧版应用程序。Users组是最安全的组，因为分配改组的默认权限不允许成员修改操作系统的设置或用户资料。Users组提供了一个最安全的程序运行环境。在经过NTFS格式化的卷上，默认安全设置旨在禁止该组的成员危机操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users可以关闭工作站，但不能关闭服务器。Users可以创建见本地组，但只能修改自己创建的本地组Guests：来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。Everyone：顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。SYSTEM组：拥有和Administrator组一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在查看用户组的时候，它也不会显示出来，系统和系统级的服务正常运行所需要的权限都是靠它赋予的。该组只有一个用户为SYSTEM。更改Administrator账户名称“开始”“所有程序”“管理工具”“本地安全策略”依次展开“安全设置”“本地策略”“安全选项”，在右侧的安全列表中选择“账户：重命名系统管理员帐户”策略选项第3步右击“账户：重命名系统管理员帐户”策略，在弹出的快捷菜单中选择“属性”命令第4步在文本框中，数日系统管理员帐户新名称，给Administrator重新设置一个平淡用户名，不要使用Admin之类的名称，尽量把它伪装成普通用户。第5步右击“我的电脑”图标，在弹出的快捷菜单中选择“管理”命令，打开“计算机管理”窗口。依次展开“计算机管理（本地）”“系统工具”“本地用户和组”“用户”策略选项，可以看到默认Administrator账户名称已经更改为Newadmin。第6步单击“组”。在右侧的窗口中显示Windows的默认组第7步在右侧的组列表中，右击Administrator名称，在弹出的快捷菜单中选择“属性”命令第8步选中“Administrator”账户，单击“删除”按钮，删除默认的Administrator系统管理员帐户。第9步在“Administrator属性”对话框中，单击“添加”按钮，在“选择用户”对话框。在“输入对象名称来选择”文本框中，输入已经重命名的系统管理员账户名称，单击“检查名称”按钮完成账户的确认。第10步单击“确定”按钮，将更改后的系统管理员帐户添加到“Administrator”，单击“确定”按钮，完成系统管理员名称的更改、系统管理员口令设置无论黑客采用何种远程攻击，如果无法获得管理员或超级管理员的用户密码，就去发完全控制整个系统。若想访问系统，最简单、也是必要的方法就是窃取用户的密码。因此，对系统管理员帐户来说，最需要保护的就是密码破解密码的方法密码破解软件一般使用下面3种方法之一，即巧妙猜测、辞典攻击和自动尝试字符的各种可能的组合。只要有足够的时间，这种自动方法通常可以破解任何密码。即便如此，破解密码也远比破解弱密码困难的多。因此，系统管理员帐户必须使用强密码在设置密码时，应注意以下几方面的问题切不可让帐号与密码相同切不可让帐号与密码相同切不可使用英文词组切不可使用特定意义的日期切不可使用简单的密码创建陷阱账号新建用户右击“我的电脑”图标，在弹出的快捷菜单中选择“管理”命令，显示“计算机管理”窗口。依次展开“计算机管理（本地）”“系统工具”“本地用户和组”“用户”选项，在右侧的窗口空白处右击，在弹出的快捷菜单那中选择“新用户”命令第2步在“用户名”文本框中输入administrator用户名称，在“密码”和“确认密码”文本框中输入新建的administrator用户的密码第3步单击“创建”按钮，即可创建同名的administrator用户。第4步将新建的administrator用户添加到Guests中。磁盘访问权限权限由高低之分，具备有高权限的用户可以访问、修改低权限用户的文件夹和文件。除了Administrators之外，其他组的用户不能访问NTFS卷上的其他用户资料。除非获得了现实授权，具备低权限的用户无法访问、修改具备高权限用户的文件夹和文件。WINDOWS对NTFS格式分区的七种权限完全控制：拥有不受权限的安全访问。地位就像Administrators在所有组中的地位一样。选择“完全控制”复选框，其他的5项属性（修改、读取和运行、列出文件夹目录、读写、写入）将自动被选中。修改：选择“修改”复选框，替他的4项属性（读取和运行、列出文件夹目录、读取、写入）将自动被选中、如果4项属性账户的任何一项没有被选中，“修改”条件将不再成立。读取和运行：允许读取和运行卷、目录或者文件下的任何文件，“列出文件夹目录“和”读取“是”读取和运行“的必要条件。列出文件夹目录：只能浏览卷、目录或者文件下的子目录，不能读取，也不能运行。读取：能够读取卷、目录或者文件下的数据。写入：可以向卷、目录或者文件下写入数据。特别的权限：对以上的6种权限进行了细分。读者可以根据需要对“特别的权限“进行深入的设置。右击磁盘属性—安全查看磁盘权限直接执行AccessEnum.exe文件第2步单击Directory按钮，在“浏览文件夹”对话框。在对话框中选择需要查看的目标文件夹第3步选中的目标文件夹显示在文本框中，按Enter键，自动检测选中的目标文件夹已经设置的权限第4步在路径列表中，选中需要查看权限的文件夹路径，例如E:\D,双击打开第5步切换到“安全”选项卡在“组或用户名称”列表框中，添加或者删除需要赋予权限的用户或者组，单击“确定”按钮，完成权限的设置系统帐号数据库在Windows操作系统中，账号密码数据文件已经加密，普通方法无法看到其中真是的内容，但使用一些工具软件就可以轻易查看。Windows操作系统提供了可以对密码信息进行坚强保护的工具Syskey,可对密码进行128位加密。Syskey能对账号密码数据文件进行二次加密，这样更能保证系统的安全，同时它还能设置启动密码，这个密码先于用户密码之前，因此起到双重保护的功能。启用加密第1步选择“开始”“运行”命令，弹出“运行”对话框。在“打开”文本框中输入Syskey，单击“确定”按钮，弹出“保证Windows账户数据库的安全”对话框第2步选择“启用加密”单选按钮后单击“确定”按钮，即可对SAM文件进行二次加密。但是此时并没有设置双重启动密码，如需设置双重启动密码可单击“更新”按钮第3步如果选择“系统产生的密码”单选按钮，系统随即生成一个128位的密钥对密码进行加密，并需选择在软盘或者本机保存启动密码设置双重启动密码后再一定程度上增强了安全性，但是如果不小心被别人“偷窥”了密码，那么还是形同虚设。要真正做到绝对安全，还需要随身带上一把系统开机“钥匙”。利用Syskey还能创建“开机钥匙”，在开机时只有插入这把“钥匙”才能进入系统。同样是在启动密码设置窗口，选择其中的“在软盘上保存启动密码”单选按钮，此时会提示输入所设定的启动密码，用来验证用户的真实性。接着就会提示插入空白的软盘，确定后密码文件就已经保存在软盘上了（注意一定要保管好软盘，软盘丢失后就只有格式化机器重装系统了）。这样设置完成后，下次启动机器时，首先会提示插入密码软盘，验证成功后才能进入系统。利用Syskey可以很好地加密账号密码数据文件，同时所设定的启动双重密码也能很好地保护系统安全。【说明】还可以为不同的用户创建不同的“开机钥匙”，具体方法与上面的相同。插入密码软盘，根据不同账户，输入不同的密码。但是，密码软盘中的密钥文件是可以复制到其他软盘上的，所以也必须看管好各自的“开机钥匙”。