新世紀(jì)計(jì)算機(jī)信息安全教程chap08

1、重點(diǎn)內(nèi)容： Windows XP/Vista 組策略及應(yīng)用第8章 Windows客戶端安全 1一、 Windows XP/Vista單機(jī)安全 在今天的計(jì)算機(jī)時(shí)代，必須抵御以病毒和木馬以及其他形式出現(xiàn)的對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)的惡意入侵，對(duì)于客戶端用戶而言，采取下列措施會(huì)有助于防止和抵御病毒和木馬的攻擊。 （1） 了解病毒及其一般傳播方式。 （2） 了解病毒的一般特征：計(jì)算機(jī)病毒通常具備傳染性、隱蔽性、潛伏性、欺騙性、表現(xiàn)性、破壞性六大特性。 （3） 在個(gè)人計(jì)算機(jī)上安裝商用病毒檢測(cè)程序，并定期地檢查計(jì)算機(jī)病毒。 網(wǎng)絡(luò)管理員應(yīng)注意以下幾個(gè)方面： （1） 將新程序放在網(wǎng)絡(luò)上之前，應(yīng)先把程序安裝在未連入網(wǎng)絡(luò)的計(jì)

2、算機(jī)上，使用病毒檢測(cè)軟件進(jìn)行檢查。 （2） 不能允許用戶以Administrators組成員身份在他們自己的計(jì)算機(jī)上登錄。 （3） 要求用戶創(chuàng)建更保險(xiǎn)的密碼，使病毒不會(huì)輕易推測(cè)出密碼而獲得管理員權(quán)限。 （4） 定期備份文件，以便最大限度地減小病毒攻擊時(shí)造成的損害。1、Windows XP/Vista安全概述 2一、 Windows XP/Vista單機(jī)安全 要保護(hù)計(jì)算機(jī)上的數(shù)據(jù)，應(yīng)當(dāng)保證單個(gè)文件和文件夾的安全，并采取行動(dòng)保證物理計(jì)算機(jī)本身的安全。如果計(jì)算機(jī)包含敏感信息，將它保存在安全的位置。計(jì)算機(jī)的鎖定有兩種方法：在工作組環(huán)境中鎖定計(jì)算機(jī)、在域環(huán)境中鎖定計(jì)算機(jī)。 在工作組環(huán)境中鎖定計(jì)算機(jī)，可以

3、通過按“Windows+L”組合鍵、“切換用戶”功能和屏幕保護(hù)兩種方式。 對(duì)于已加入域環(huán)境的計(jì)算機(jī)，“快速用戶切換”選項(xiàng)是不可用的，需要按組合鍵“Ctrl+Alt+Delete”來鎖定計(jì)算機(jī)。另外，也可以使用屏幕保護(hù)程序來鎖定計(jì)算機(jī)，使用方式和工作組中的計(jì)算機(jī)一樣。 2、鎖定計(jì)算機(jī) 3一、 Windows XP/Vista單機(jī)安全 對(duì)于管理員賬戶而言，應(yīng)該設(shè)置強(qiáng)密碼。強(qiáng)密碼應(yīng)該符合以下條件,而且以字母、數(shù)字和下畫線組成，并且以數(shù)字的字母開頭： （1） 至少有7個(gè)字符的長度。因?yàn)榫兔艽a加密的方式而言，最安全的密碼應(yīng)該長達(dá)7個(gè)或14個(gè)字符。 （2） 包含下列三組字符中的每一種類型： （3） 在第2

4、到第6個(gè)位置中至少應(yīng)有一個(gè)符號(hào)字符。 （4） 和以前的密碼有明顯的不同。 （5） 不能包含名字或用戶名。 （6） 不能是普通的單詞或名稱。3、保護(hù)密碼 4一、 Windows XP/Vista單機(jī)安全 在Windows XP計(jì)算機(jī)上，如果以管理員身份運(yùn)行將會(huì)使系統(tǒng)易受木馬和其他安全性威脅的侵害，在訪問網(wǎng)站時(shí)也可能會(huì)受到木馬等惡意代碼的破壞。尤其是在以管理員權(quán)限登錄時(shí)中了木馬，可能會(huì)破壞系統(tǒng)、新建具有管理訪問權(quán)限的用戶賬戶等。 因此，應(yīng)該將用戶賬戶添加到Users組或Power Users組中。對(duì)于User組的成員，可以執(zhí)行日常任務(wù)，包括運(yùn)行程序和訪問Internet站點(diǎn)，以防止計(jì)算機(jī)遭受不必要

5、的風(fēng)險(xiǎn)。對(duì)于Power Users組的成員，可以執(zhí)行日常任務(wù)，也可以安裝程序、添加打印機(jī)以及使用“控制面板”中的大部分項(xiàng)目。如果需要執(zhí)行管理任務(wù)，例如升級(jí)操作系統(tǒng)或配置系統(tǒng)參數(shù)，可以先注銷再以管理員身份登錄。如果經(jīng)常需要以管理員身份登錄，那么能以管理員的身份使用runas命令來啟動(dòng)程序。 4、以普通用戶運(yùn)行計(jì)算機(jī) 5一、 Windows XP/Vista單機(jī)安全 在網(wǎng)絡(luò)中，端口一直是黑客攻擊的焦點(diǎn)，大部分網(wǎng)絡(luò)攻擊都是從端口開始的。為了系統(tǒng)安全起見，應(yīng)將不常用的端口關(guān)閉，只開放一些常用端口。例如，需要訪問網(wǎng)站，則啟用80端口，需要從FTP網(wǎng)站下載文件，則開放21端口。在Windows XP系統(tǒng)中

6、，無法只禁止某個(gè)端口，需要先禁止所有端口，然后開放允許使用的端口。5、端口安全 6一、 Windows XP/Vista單機(jī)安全 對(duì)于一些重要的文件或數(shù)據(jù)，應(yīng)將其進(jìn)行加密，以防被人偷窺。Windows XP提供了一種加密文件系統(tǒng)（EFS），該技術(shù)用于在NTFS文件系統(tǒng)卷上加密的文件。一旦加密了文件或文件夾，就可以像使用其他文件和文件夾一樣使用它們。 對(duì)加密該文件的用戶，加密是透明的，用戶不必在使用前手動(dòng)解密已加密的文件，可以正常打開和更改文件，系統(tǒng)會(huì)自動(dòng)完成解密和加密。而未經(jīng)許可的用戶或入侵者將無法閱讀或打開文件和文件夾中的內(nèi)容，這在一定程度上保護(hù)了文件的安全。 通過為文件夾和文件設(shè)置加密屬性

7、即可進(jìn)行加密和解密，如同設(shè)置其他任何屬性（如只讀、壓縮或隱藏）一樣。如果加密一個(gè)文件夾，則在該文件夾中創(chuàng)建的所有文件和子文件夾都將自動(dòng)加密。為安全起見，推薦在文件夾級(jí)別上加密。 6、加密文件系統(tǒng) 7一、 Windows XP/Vista單機(jī)安全 Windows XP自帶了防火墻系統(tǒng)，可以加固計(jì)算機(jī)系統(tǒng)的安全。防火墻可以限制從其他計(jì)算機(jī)傳入的信息，防御穿過外圍網(wǎng)絡(luò)或來自企業(yè)內(nèi)部的網(wǎng)絡(luò)攻擊，例如，特洛伊木馬攻擊、端口掃描攻擊和蠕蟲，還可防止在未經(jīng)邀請(qǐng)的情況下嘗試連接到計(jì)算機(jī)。 7、Windows防火墻 8一、 Windows XP/Vista單機(jī)安全 Windows防火墻是從Windows XP

8、Professional才開始集成的，因此使用較早Windows版本的用戶只能通過第三方防火墻程序，預(yù)防病毒和網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)防火墻軟件很多，目前常用的有瑞星防火墻、金山網(wǎng)鏢、天網(wǎng)防火墻等。如圖所示為瑞星個(gè)人防火墻。 網(wǎng)絡(luò)防火墻一般都可以設(shè)置規(guī)則，并且規(guī)則可以選擇為有效或無效狀態(tài)，以決定是否攔截網(wǎng)絡(luò)訪問。如果同時(shí)設(shè)置了“允許Ping出”和“禁止Ping入”兩個(gè)規(guī)則，則本地計(jì)算機(jī)可以Ping其他計(jì)算機(jī)，而其他計(jì)算機(jī)則不能Ping本地計(jì)算機(jī)。尤其是對(duì)一些很少用或根本不使用的端口，更應(yīng)該設(shè)置規(guī)則將其關(guān)閉。8、第三方網(wǎng)絡(luò)防火墻 9一、 Windows XP/Vista單機(jī)安全 微軟的Windows系統(tǒng)發(fā)

9、布后，都會(huì)不定時(shí)地再發(fā)布一些補(bǔ)丁，以彌補(bǔ)相應(yīng)操作系統(tǒng)的漏洞或缺陷。因此，在安裝Windows XP以后，應(yīng)先啟用自動(dòng)更新功能，并且安裝已發(fā)布的補(bǔ)丁程序，以保護(hù)系統(tǒng)的安全。 右擊“我的電腦”，從彈出的快捷菜單中選擇“屬性”選項(xiàng)，打開“系統(tǒng) 屬性”對(duì)話框，切換到“自動(dòng)更新”選項(xiàng)卡，即可選擇自動(dòng)更新的方式。 通過下載補(bǔ)丁程序手動(dòng)安裝也是一種不錯(cuò)的方式。如今國內(nèi)許多下載網(wǎng)站都提供補(bǔ)丁下載，而且下載速度也很快，用戶下載后直接運(yùn)行安裝更新程序即可安裝，大多只需單擊“下一步”按鈕，不需特別的設(shè)置。 除了可以通過自動(dòng)更新、手動(dòng)下載安裝補(bǔ)丁程序外，還可以直接連接到微軟的Windows Update網(wǎng)站下載相應(yīng)的

10、更新程序。不過，對(duì)于一些比較大的補(bǔ)丁包直接從微軟網(wǎng)站下載勢(shì)必非常慢，尤其是對(duì)于撥號(hào)用戶來說更是相當(dāng)困難。其實(shí)，此時(shí)可以直接到軟件店買一張集成補(bǔ)丁包安裝光盤，或從國內(nèi)一些較大的下載站點(diǎn)下載安裝。 9、系統(tǒng)更新設(shè)置 10一、 Windows XP/Vista單機(jī)安全 Internet當(dāng)之無愧地成為世界上資源最豐富的寶藏，而微軟的Internet Explorer也成為了用戶使用最多的IE瀏覽器。但I(xiàn)E瀏覽器也是黑客和病毒經(jīng)常下手的地方，雖然我們可以通過在IE瀏覽器上安裝一些第三方軟件或殺毒軟件來避免這種攻擊，而實(shí)際上，通過IE本身的安全設(shè)置也可以在一定程度上避免網(wǎng)絡(luò)攻擊。 1. Cookie安全：

11、Cookie是Web網(wǎng)站通過瀏覽器存放在本地計(jì)算機(jī)上的一個(gè)記錄文件，主要記錄了用戶的個(gè)人信息。現(xiàn)在，有些網(wǎng)站的服務(wù)內(nèi)容是在用戶所打開Cookie的前提下提供的。因此為了保護(hù)個(gè)人隱私，尤其是在一些非個(gè)人計(jì)算機(jī)上，最好是刪除Cookies。 2. 清理IE臨時(shí)文件：Internet臨時(shí)文件也是一大危害，它雖然不會(huì)像病毒一樣破壞系統(tǒng)，但臨時(shí)文件默認(rèn)保存在系統(tǒng)分區(qū)，大量的臨時(shí)文件則會(huì)浪費(fèi)大量的磁盤空間，并且會(huì)影響系統(tǒng)運(yùn)行速度。 3. 設(shè)置安全級(jí)別：在使用IE瀏覽器時(shí)，很可能感染來自Web網(wǎng)站的惡意代碼或受到惡意攻擊，為了系統(tǒng)安全，IE瀏覽器可以為Internet或局域網(wǎng)設(shè)置不同區(qū)域的安全級(jí)別，不同級(jí)別

12、使用不同的設(shè)置。 4. 分級(jí)審查：IE瀏覽器支持用于Internet內(nèi)容分級(jí)的PICS（Platform for Internet Content Selection）標(biāo)準(zhǔn)，通過設(shè)置分級(jí)審查功能，可以幫助用戶控制計(jì)算機(jī)可訪問的Internet信息內(nèi)容的類型。 10、Internet Explorer設(shè)置 11一、 Windows XP/Vista單機(jī)安全 11、Windows Defender Windows Defender是微軟出品的一個(gè)免費(fèi)軟件，可以和殺毒軟件一樣對(duì)計(jì)算機(jī)進(jìn)行掃描，從而避免間諜軟件及其他有害軟件所帶來的彈出窗口、占用系統(tǒng)資源大和安全性威脅等侵?jǐn)_，并且對(duì)當(dāng)前國內(nèi)流行的各種惡

13、意程序都有很好的查殺能力，能有效攔截未知程序?qū)ο到y(tǒng)做出的各種有害更改，真正做到防患于未然。 在安裝Windows Defender之前，必須保證系統(tǒng)已經(jīng)安裝了Windows Installer 3.1，否則將不能安裝，用戶可從微軟網(wǎng)站或一些下載站點(diǎn)下載該程序并安裝。 和其他殺毒軟件一樣，Windows Defender也可以選擇不同的掃描方式，例如掃描整個(gè)系統(tǒng)或者掃描某個(gè)磁盤中文件夾等，默認(rèn)為快速掃描。 12一、 Windows XP/Vista單機(jī)安全 12、第三防間諜軟件 微軟提供的防間諜程序固然不錯(cuò)，美中不足就是操作不夠簡(jiǎn)便，并且執(zhí)行掃描時(shí)占用系統(tǒng)資源較多，對(duì)于一些初級(jí)用戶和性能較低的計(jì)

14、算機(jī)而言，卻成了不小的“負(fù)擔(dān)”。第三防間諜軟件的突出特點(diǎn)就是專業(yè)性更強(qiáng)，僅針對(duì)間諜軟件、惡意軟件、各種木馬程序等進(jìn)行掃描，因此操作非常簡(jiǎn)單，處理速度也極高。Spyware Doctor是由PC Tools公司提供的系統(tǒng)安全防御程序。它不僅可以快速掃描本地計(jì)算機(jī)是否感染病毒、被植入廣告軟件等惡意程序，還可以幫助用戶實(shí)施保護(hù)系統(tǒng)不受病毒干擾，增強(qiáng)系統(tǒng)防御性等。13二、組策略及應(yīng)用 1、本地組策略和域組策略 組策略（Group Policy，簡(jiǎn)稱GP）是Windows 2000/XP/2003操作系統(tǒng)中的實(shí)現(xiàn)安全管理技術(shù)的關(guān)鍵組件，可幫助管理員以組或者團(tuán)體的方式（而不是單個(gè)用戶的方式）控制用戶對(duì)桌面

15、設(shè)置和應(yīng)用程序的訪問。組策略支持網(wǎng)絡(luò)管理員定義和控制訪問數(shù)量，其中包括用戶對(duì)數(shù)據(jù)的訪問數(shù)量以及應(yīng)用程序?qū)λ鼈兊慕M織機(jī)構(gòu)的網(wǎng)絡(luò)的訪問數(shù)量。這樣，管理員就可以減少花費(fèi)在日常事務(wù)（如解決由新用戶帶來的問題）的時(shí)間。 在工作組環(huán)境下，本地組策略只能管理單機(jī)。Windows 2003 Server域環(huán)境下可以管理整個(gè)Active Directory用戶，即活動(dòng)目錄下的所有用戶。 組策略包括影響用戶的“用戶配置”策略設(shè)置和影響計(jì)算機(jī)的“計(jì)算機(jī)配置”策略設(shè)置。14二、組策略及應(yīng)用 2、組策略的功能 企業(yè)通過組策略能夠設(shè)置集中化和分散化策略、確保用戶處于所需的工作環(huán)境中，以及控制用戶和計(jì)算機(jī)的環(huán)境等。主要包含

16、以下幾個(gè)方面： 1.部署軟件：可以把安裝某種軟件的所有必要文件都收集成為一個(gè)包，在把這個(gè)包放在服務(wù)器上的某個(gè)位置，然后使用組策略把某個(gè)用戶的桌面環(huán)境指向這個(gè)數(shù)據(jù)包。 2.設(shè)置用戶權(quán)力：在使用Windows Server 2003服務(wù)器環(huán)境中，可以通過GPO（組策略對(duì)象，Group Policy objects）來控制，而不需要系統(tǒng)管理員到每個(gè)桌面去部署。 3.軟件限制策略：系統(tǒng)管理員可以控制某個(gè)用戶的桌面，允許他僅能運(yùn)行某個(gè)程序或者任務(wù)。 4.控制系統(tǒng)設(shè)置：允許系統(tǒng)管理員統(tǒng)一部署網(wǎng)絡(luò)用戶的Windows服務(wù)，允許統(tǒng)一部署磁盤空間配額等系統(tǒng)方面的設(shè)置。 5.置登錄、注銷、關(guān)機(jī)、開機(jī)腳本：Wind

17、ows Server 2003、Windows XP、Windows 2000操作系統(tǒng)中，允許執(zhí)行上述4種腳本，同時(shí)允許使用GPO控制運(yùn)行腳本。 6.通用桌面控制：可以使用策略統(tǒng)一部署網(wǎng)絡(luò)的計(jì)算機(jī)，使所有的客戶端計(jì)算機(jī)都有一個(gè)相同的運(yùn)行環(huán)境。允許集中控制所有用戶的桌面環(huán)境、開始菜單、任務(wù)欄按鈕等配置信息。 7.自定義組策略：使用GPO管理網(wǎng)絡(luò)，提供了強(qiáng)大的管理功能，但經(jīng)常會(huì)遇到需要某種功能但是在目前系統(tǒng)本身的組策略管理模板中不存在，如果手工單臺(tái)配置每個(gè)客戶端，是一件費(fèi)時(shí)費(fèi)力的工作，Windows Server 2003操作系統(tǒng)支持定做專用的組策略模板。 15二、組策略及應(yīng)用 2、組策略的功能

18、8. GPMC組策略控制臺(tái)：GPMC（Group Policy Management Console）即組策略管理控制臺(tái)，與Windows 2000上傳統(tǒng)的組策略編輯器截然不同，由一個(gè)全新的MMC管理單元及一整套腳本化的接口組成，提供了集中的組策略管理方案，可以大大減少不正確的組策略可能導(dǎo)致的網(wǎng)絡(luò)問題并簡(jiǎn)化組策略相關(guān)的安全問題，解決組策略部署中的難點(diǎn)問題，減輕了IT管理員們?cè)趯?shí)施組策略時(shí)所承擔(dān)的沉重包袱。 9. 安全策略：Windows操作系統(tǒng)提供了強(qiáng)大的安全機(jī)制，但是如果要一一設(shè)置這些安全配置，卻是非常費(fèi)時(shí)、費(fèi)力的事，使用“安全模板”策略就能快速、批量地設(shè)定所有客戶端計(jì)算機(jī)的安全選項(xiàng)。包括：密碼設(shè)置、審核、IP安全策略等內(nèi)容。 10. 重定向文件夾：可以將文件夾（如 My Documents和My Pictures）從本地計(jì)算機(jī)上的 “Documents and Settings ”文件夾中重定向到網(wǎng)絡(luò)共享位置上，同時(shí)允許設(shè)置相應(yīng)的文件訪問權(quán)限，保證用戶數(shù)據(jù)的安全。 11. 通過“管理模板”管理基于注冊(cè)表的策略：組策略創(chuàng)建一個(gè)包含注冊(cè)表設(shè)置的文件，這些注冊(cè)表設(shè)置寫入注冊(cè)表數(shù)據(jù)庫的“用戶”或“本地機(jī)器”部分。登錄到給定的工作站或服務(wù)器用戶特定的用戶配置文件寫在注冊(cè)表的 HKEY_CURRENT_USER (HKCU) 下，而計(jì)算機(jī)特定