第3章 Windows系統(tǒng)安全加固技術(shù)課件

3.1個人防火墻設(shè)置3.2IE安全設(shè)置3.3帳號和口令的安全設(shè)置3.4文件系統(tǒng)安全設(shè)置3.5關(guān)閉默認共享3.6小結(jié)習(xí)題3第3章Windows系統(tǒng)安全加固技術(shù)3.1個人防火墻設(shè)置第3章Windows系統(tǒng)安全加固3.1個人防火墻設(shè)置

所謂的“防火墻”，是一種特殊的訪問控制設(shè)施，是一道介于內(nèi)部網(wǎng)絡(luò)和Internet之間的安全屏障(圖3-1描述了防火墻在網(wǎng)絡(luò)中所處的位置)。防火墻既可以是一組硬件，也可以是一組軟件，還可以是軟件和硬件的組合。3.1個人防火墻設(shè)置

所謂的“防火墻”，圖3-1防火墻在網(wǎng)絡(luò)中所處的位置圖3-1防火墻在網(wǎng)絡(luò)中所處的位置在個人計算機中，不可能使用像在企業(yè)網(wǎng)絡(luò)中所用到的價值幾萬，甚至十幾萬的硬件防火墻，而是采用軟件類型的防火墻。所謂個人防火墻駐留在用戶主機上，只保護用戶的一臺主機，而不能起到保護網(wǎng)絡(luò)中其他主機的作用。

Windows操作系統(tǒng)自帶有個人防火墻，除此之外，還有很多第三方個人防火墻(通常是與防病毒軟件集成在一起的)也得到廣泛的應(yīng)用。本節(jié)主要介紹WindowsXP系統(tǒng)中的Windows防火墻，以及諾頓防病毒軟件中防火墻的使用。其他個人防火墻的配置方法類似，參照即可。在個人計算機中，不可能使用像在企業(yè)網(wǎng)絡(luò)中所用到的價值幾萬3.1.1啟用與禁用Windows防火墻

Windows防火墻是WindowsXP和WindowsServer2003系統(tǒng)中自帶的一個功能組件，可以起到一定的保護計算機的作用。在實際應(yīng)用中，我們建議啟用它，在沒有安裝任何其他防火墻軟件的情況下，Windows防火墻可以取得非常好的效果，當(dāng)然，最好能夠同時安裝第三方防火墻，進一步增強操作系統(tǒng)的安全性能。3.1.1啟用與禁用Windows防火墻

Windo要使用Windows防火墻，首先是啟動它。Windows防火墻是隨系統(tǒng)安裝而安裝的，無須另外安裝，只需啟動。單擊“開始”→“所有程序”→“附件”→“系統(tǒng)工具”→“安全中心”，可打開Windows安全中心的窗口，如圖3-2所示。也可以通過控制面板找到“Windows防火墻”，如圖3-3所示。然后單擊“Windows防火墻”，打開如圖3-4所示的對話框，選擇“啟用”單選按鈕，單擊“確定”按鈕即可完成Windows防火墻的啟動。如果不想用Windows防火墻，則選擇“關(guān)閉”單選按鈕即可。要使用Windows防火墻，首先是啟動它。Windows圖3-2Windows安全中心窗口圖3-2Windows安全中心窗口圖3-3通過控制面板找到Windows防火墻圖3-3通過控制面板找到Windows防火墻圖3-4“Windows防火墻”對話框的“常規(guī)”選項卡圖3-4“Windows防火墻”對話框的“常規(guī)”選項卡啟用Windows防火墻后，當(dāng)用戶在本地運行一個應(yīng)用程序并將其作為Internet服務(wù)器提供服務(wù)時，Windows防火墻將會彈出一個新的安全警報對話框。通過對話框中的選項可以將此應(yīng)用程序或服務(wù)添加到Windows防火墻的例外項中(選擇“解除阻止此程序”)。Windows防火墻的例外項配置將允許特定的進站連接。當(dāng)然，也可以通過手工添加程序到例外項或者添加端口到例外項中，具體的添加方法參見后面的防火墻選項設(shè)置。啟用Windows防火墻后，當(dāng)用戶在本地運行一個應(yīng)用程序3.1.2設(shè)置Windows防火墻“例外”

默認情況下，Windows防火墻會攔截所有外網(wǎng)傳入的通信連接，以及發(fā)自內(nèi)網(wǎng)不信任軟件發(fā)起的網(wǎng)絡(luò)通信連接。這對于單機狀態(tài)沒什么問題，但如果要與局域網(wǎng)中的其他用戶進行通信連接，如文件和打印機共享、進行Ping測試操作、遠程協(xié)助、遠程網(wǎng)絡(luò)管理等，Windows防火墻就會阻止，使以上網(wǎng)絡(luò)應(yīng)用無法進行。這時我們就要考慮設(shè)置“例外”了。設(shè)置例外的目的就是告訴Windows防火墻不要阻擋選定的例外所發(fā)起的連接。例外可以是程序，可以是服務(wù)，還可以是特定端口。3.1.2設(shè)置Windows防火墻“例外”

默認情況在控制面板中找到并打開“Windows防火墻”(如圖3-4所示)。在這里可以看到“不允許例外”選項，許多讀者誤以為勾選該項會限制瀏覽網(wǎng)頁、收發(fā)郵件和聊天等所有上網(wǎng)活動。其實并非如此，它只會阻止來自外界的連接請求，比如禁止他人訪問用戶共享文件或打印機，而不會阻止用戶主動發(fā)起的連接請求。因此，在公共場所上網(wǎng)時推薦勾選該項。在控制面板中找到并打開“Windows防火墻”(如圖3-

1．設(shè)置“例外”的方法

(1)在如圖3-4所示的對話框中確認沒有選擇“不允許例外”復(fù)選框，然后單擊選擇“例外”選項卡，如圖3-5所示。我們只要把需要當(dāng)作例外的程序、服務(wù)、端口添加到這個“程序和服務(wù)”列表中即可，圖3-5中前面打勾的復(fù)選項表示已經(jīng)加入“例外”中。1．設(shè)置“例外”的方法

(1)在如圖3-4所示的對圖3-5“Windows防火墻”對話框的“例外”選項卡圖3-5“Windows防火墻”對話框的“例外”選項卡(2)如果要讓W(xué)indows不阻止某個程序或服務(wù)，則單擊“添加程序”按鈕，打開如圖3-6所示的對話框。其中的列表中顯示了在程序菜單中顯示的程序，可以直接選擇；如果所要添加的程序或服務(wù)不在列表中，則可以在“路徑”欄中通過單擊“瀏覽”按鈕查找選擇。所選擇的必須是可執(zhí)行文件。最后單擊“確定”按鈕即可添加一個允許通信的程序或服務(wù)。添加后返回到如圖3-5所示的對話框。此時一定要記住再次選擇剛才所添加的程序或服務(wù)，然后再單擊“確定”按鈕使所做設(shè)置生效。(2)如果要讓W(xué)indows不阻止某個程序或服務(wù)，則單圖3-6“添加程序”對話框圖3-6“添加程序”對話框(3)如果要允許某個特定端口(通常對應(yīng)特定的服務(wù))的通信，則要在圖3-5所示的對話框中單擊“添加端口”按鈕，打開如圖3-7所示的對話框。在這里首先要配置一個用于識別的名稱(通常是相應(yīng)端口通信的服務(wù)名稱)，然后在“端口號”文本框中輸入允許通信的端口號(telnet服務(wù)所用的23端口為TCP類型的，所以選擇“TCP”單選按鈕)，最后單擊“確定”按鈕即可添加一個允許通信的端口。添加后同樣返回到如圖3-5所示的對話框。此時也一定要記得再次選擇剛才所添加的程序或服務(wù)項，然后再單擊“確定”按鈕使所做設(shè)置生效。(3)如果要允許某個特定端口(通常對應(yīng)特定的服務(wù))的通圖3-7“添加端口”對話框圖3-7“添加端口”對話框(4)在圖3-6和圖3-7所示的兩個對話框中都有一個“更改范圍”按鈕，單擊它后打開一個如圖3-8所示的對話框。前面我們已經(jīng)說明，本節(jié)和3.1.2節(jié)所進行的設(shè)置將同時作用于當(dāng)前計算機上的所有網(wǎng)絡(luò)連接。?通過如圖3-8所示的對話框可以一次把所做的設(shè)置應(yīng)用于網(wǎng)絡(luò)中多臺計算機，甚至一個子網(wǎng)，或者整個網(wǎng)絡(luò)。(4)在圖3-6和圖3-7所示的兩個對話框中都有一個“圖3-8“更改范圍”對話框圖3-8“更改范圍”對話框如果要將上述設(shè)置應(yīng)用于任何網(wǎng)絡(luò)計算機(包括來自因特網(wǎng)的計算機，如遠程網(wǎng)絡(luò)連接)，則選擇“任何計算機”單選按鈕，這是默認選擇。通過選擇這個單選按鈕，將同時允許本地和遠程網(wǎng)絡(luò)用戶訪問本機共享資源。但是這樣做是比較危險的，所以建議不要這樣選擇。如果要應(yīng)用于本機所在網(wǎng)絡(luò)或子網(wǎng)，則選擇“僅我的網(wǎng)絡(luò)(子網(wǎng))”單選按鈕，通過選擇這樣一個選項，用戶可以僅讓局域網(wǎng)內(nèi)的用戶訪問其共享資源，而因特網(wǎng)上的計算機則不能訪問，這是比較安全的選擇。如果要應(yīng)用于網(wǎng)絡(luò)中特定的IP地址，或者子網(wǎng)上的計算機，則要選擇“自定義列表”單選按鈕，然后在文本框中輸入IP地址、或者子網(wǎng)，多個IP地址或子網(wǎng)之間以逗號分隔。如果要將上述設(shè)置應(yīng)用于任何網(wǎng)絡(luò)計算機(包括來自因特網(wǎng)的計每次將程序、系統(tǒng)服務(wù)或端口添加到例外列表時，都會使計算機更容易受到攻擊。常見的網(wǎng)絡(luò)攻擊使用端口掃描軟件識別端口處于打開和未受保護狀態(tài)的計算機。將很多程序、系統(tǒng)服務(wù)和端口添加到例外列表，將會使防火墻的用途失效，并增加了計算機的攻擊面。在為多個不同角色配置服務(wù)器并且需要打開許多端口以滿足每個服務(wù)器角色的要求時，通常會發(fā)生該問題。用戶應(yīng)該仔細評估需要打開許多端口的任何服務(wù)器的設(shè)計。在單位內(nèi)部，為許多角色配置的或被配置提供許多服務(wù)的服務(wù)器可能是關(guān)鍵故障點，通常表明基礎(chǔ)結(jié)構(gòu)設(shè)計不完善。每次將程序、系統(tǒng)服務(wù)或端口添加到例外列表時，都會使計算機

2．降低安全風(fēng)險的準(zhǔn)則

要降低安全風(fēng)險，應(yīng)遵守以下準(zhǔn)則：

(1)僅在需要例外時創(chuàng)建例外。如果認為某個程序或系統(tǒng)服務(wù)可能需要通過某個端口接收非請求傳入通信，那么只有在確定該應(yīng)用程序或系統(tǒng)服務(wù)已試圖偵聽非請求傳入通信后，才可以將該程序或系統(tǒng)服務(wù)添加到例外列表。默認情況下，程序試圖偵聽非請求通信時，Windows防火墻會顯示通知。還可以使用安全事件日志確定系統(tǒng)服務(wù)是否已試圖偵聽非請求通信。2．降低安全風(fēng)險的準(zhǔn)則

要降低安全風(fēng)險，應(yīng)遵守以下準(zhǔn)(2)對于不認識的程序從不允許例外。如果Windows防火墻通知某個程序已試圖偵聽非請求通信，在將該程序添加到例外列表之前，請檢查該程序的名稱和可執(zhí)行文件(.exe文件)。同樣，如果使用安全事件日志識別已試圖偵聽非請求通信的系統(tǒng)服務(wù)，在為該系統(tǒng)服務(wù)向例外列表添加端口之前，請確定該服務(wù)是合法的系統(tǒng)服務(wù)。

(3)不再需要例外時刪除例外。?在服務(wù)器上將程序、系統(tǒng)服務(wù)或端口添加到例外列表后，如果更改該服務(wù)器的角色或重新配置該服務(wù)器上的服務(wù)和應(yīng)用程序，請確保更新例外列表，并刪除已不必要的所有例外。(2)對于不認識的程序從不允許例外。如果Window

3．其他最佳操作

除了通常用于管理例外的準(zhǔn)則以外，在將程序、系統(tǒng)服務(wù)或端口添加到例外列表時，還請使用下列最佳操作。

(1)添加程序。在嘗試添加端口之前，始終先嘗試將程序(?.exe文件)或在?.exe文件內(nèi)運行的系統(tǒng)服務(wù)添加到例外列表。將程序添加到例外列表時，Windows防火墻將動態(tài)地打開該程序所需的端口。該程序運行時，Windows防火墻允許傳入的通信通過所需的端口；程序不運行時，Windows防火墻將阻止發(fā)送到這些端口的所有傳入通信。3．其他最佳操作

除了通常用于管理例外的準(zhǔn)則以外，在(2)添加系統(tǒng)服務(wù)。如果系統(tǒng)服務(wù)在Svchost.exe內(nèi)運行，請不要將該系統(tǒng)服務(wù)添加到例外列表。將Svchost.exe添加到例外列表就是允許在Svchost.exe的每個實例內(nèi)運行的任何系統(tǒng)服務(wù)都接收非請求傳入通信。只有當(dāng)系統(tǒng)服務(wù)在?.exe文件中運行時或者能夠啟用預(yù)配置的Windows防火墻系統(tǒng)服務(wù)例外(例如“UPnP框架”例外或“文件和打印機共享”例外)時，才應(yīng)該將系統(tǒng)服務(wù)添加到例外列表。

(3)添加端口。將端口添加到例外列表應(yīng)當(dāng)是最后的手段。將端口添加到例外列表時，不管是否有程序或系統(tǒng)服務(wù)在該端口上偵聽傳入的通信，Windows防火墻都允許傳入的通信通過該端口。(2)添加系統(tǒng)服務(wù)。如果系統(tǒng)服務(wù)在Svchost.e3.1.3Windows防火墻的高級設(shè)置

在圖3-5所示對話框中單擊選擇“高級”選項卡，如圖3-9所示。在此可進一步配置一些高級設(shè)置，其中就包括為每個網(wǎng)絡(luò)連接單獨配置例外、設(shè)置安全記錄日志、ICMP(因特網(wǎng)控制消息協(xié)議)消息共享設(shè)置以及恢復(fù)默認設(shè)置。下面分別予以介紹。3.1.3Windows防火墻的高級設(shè)置

在圖3-5圖3-9“Windows防火墻”對話框的“高級”選項卡圖3-9“Windows防火墻”對話框的“高級”選項卡

1．為每個網(wǎng)絡(luò)連接設(shè)置例外

在3.1.2節(jié)我們介紹了Windows防火墻的例外設(shè)置，但那里的設(shè)置是應(yīng)用于本機中所有網(wǎng)絡(luò)連接的，如果要對每個網(wǎng)絡(luò)連接設(shè)置不同的例外服務(wù)項，則需要在如圖3-9所示的“網(wǎng)絡(luò)連接設(shè)置”欄中進行設(shè)置。

設(shè)置每個網(wǎng)絡(luò)連接單獨的例外服務(wù)方法如下：

(1)在“網(wǎng)絡(luò)連接設(shè)置”列表框中選擇要單獨設(shè)置例外的網(wǎng)絡(luò)連接項，然后單擊“設(shè)置”按鈕，打開如圖3-10所示的對話框。在其中也列出了一些常見的例外服務(wù)選項(如HTTP、FTP、POP3和SMTP等)，可根據(jù)需要選擇對應(yīng)例外項前面的復(fù)選框即可。1．為每個網(wǎng)絡(luò)連接設(shè)置例外

在3.1.2節(jié)我們介紹了圖3-10“高級設(shè)置”對話框的“服務(wù)”選項卡圖3-10“高級設(shè)置”對話框的“服務(wù)”選項卡如果一臺服務(wù)器上安裝了多塊網(wǎng)卡，想讓每塊網(wǎng)卡承擔(dān)特定的服務(wù)，如一塊專門用于提供Web服務(wù)，另一塊專門用來提供FTP服務(wù)，還有一塊專門用來提供POP3和SMTP郵件服務(wù)，則我們可以分別在這3塊網(wǎng)卡所對應(yīng)的網(wǎng)絡(luò)連接的對話框選擇“Web服務(wù)器(HTTP)”、“FTP服務(wù)器”、“Post-Office協(xié)議版本3(POP3)”和“Internet郵件服務(wù)器(SMTP)”例外服務(wù)項即可，如圖3-10所示。

另外，如果不想讓遠程用戶通過服務(wù)器中某塊網(wǎng)卡進行遠程桌面連接，則只需在對應(yīng)網(wǎng)卡的對話框中取消選擇“遠程桌面”例外服務(wù)項即可，如圖3-10所示。如果一臺服務(wù)器上安裝了多塊網(wǎng)卡，想讓每塊網(wǎng)卡承擔(dān)特定的服(2)如果要添加其他的例外服務(wù)，則單擊“添加”按鈕，打開如圖3-11所示的對話框。在其中輸入相應(yīng)的服務(wù)信息，如服務(wù)器名、服務(wù)提供主機、內(nèi)外部服務(wù)端口和端口類型。如圖

3-11所示是代理服務(wù)器配置的例子。

(3)添加好后單擊“確定”按鈕，即可把所增加的例外服務(wù)添加到如圖3-10所示的例外列表中，并且自動選擇。

(4)再在如圖3-10所示的對話框中點擊“ICMP”選項卡，如圖3-12所示。(2)如果要添加其他的例外服務(wù)，則單擊“添加”按鈕，打圖3-11“服務(wù)設(shè)置”對話框圖3-11“服務(wù)設(shè)置”對話框圖3-12“高級設(shè)置”對話框“ICMP”選項卡圖3-12“高級設(shè)置”對話框“ICMP”選項卡在這里可以設(shè)置哪類ICMP消息可以共享顯示。選擇對應(yīng)選項后，會在對話框下面顯示相應(yīng)選項的用途，以方便用戶的選擇。如選擇“允許傳入的回顯請求”復(fù)選框，則會在發(fā)送消息的用戶計算機顯示同樣的信息，如進行Ping操作時的回顯消息。在這里可以設(shè)置哪類ICMP消息可以共享顯示。選擇對應(yīng)選項

2．設(shè)置安全日志記錄

進行“安全日志記錄”的設(shè)置時，在如圖3-9所示對話框中的“安全日志記錄”欄中單擊“設(shè)置”按鈕，在打開的如圖3-13所示對話框中進行設(shè)置。

在這里可以設(shè)置日志記錄的事件，可以記錄被丟棄的數(shù)據(jù)包，也可以記錄成功的鏈接，一般都是記錄被丟棄的數(shù)據(jù)包。另外，在“名稱”欄中可以設(shè)置Windows防火墻日志文件的存放路徑和文件名，在“大小限制”欄可以設(shè)置日志文件的最大值。2．設(shè)置安全日志記錄

進行“安全日志記錄”的設(shè)置時，圖3-13“日志設(shè)置”對話框圖3-13“日志設(shè)置”對話框

3．ICMP設(shè)置

在如圖3-9所示對話框中單擊“ICMP”欄中的“設(shè)置”按鈕，打開如圖3-12所示的對話框，也是用來設(shè)置ICMP消息回顯的。前面已作詳細介紹，這里就不再贅述。3．ICMP設(shè)置

在如圖3-9所示對話框中單擊“IC3.1.4通過組策略設(shè)置Windows防火墻

通過組策略可以控制Windows防火墻狀態(tài)和設(shè)置允許的例外，方法如下：

(1)執(zhí)行“開始”→“運行”菜單命令，在打開的“運行”窗口中輸入“gpedit.msc”，然后單擊“確定”按鈕，即可打開如圖3-14所示的組策略編輯器管理單元。3.1.4通過組策略設(shè)置Windows防火墻

通過組圖3-14組策略編輯器圖3-14組策略編輯器(2)在左側(cè)導(dǎo)航窗口中依次展開“計算機配置→管理模塊→網(wǎng)絡(luò)→網(wǎng)絡(luò)連接→Windows防火墻”，參見圖3-14。在右邊的“Windows防火墻”窗格中可以看到兩個分支，一個是域配置文件，另一個是標(biāo)準(zhǔn)配置文件。如果當(dāng)前計算機是加入到域文件中的，則是域文件起作用，相反，則是標(biāo)準(zhǔn)配置文件起作用。即使沒有配置標(biāo)準(zhǔn)配置文件，默認的值也會生效，在此以個人計算機的標(biāo)準(zhǔn)配置文件為例進行介紹，如圖3-15所示。(2)在左側(cè)導(dǎo)航窗口中依次展開“計算機配置→管理模塊→圖3-15標(biāo)準(zhǔn)配置文件窗口圖3-15標(biāo)準(zhǔn)配置文件窗口(3)系統(tǒng)默認的是沒有配置任何選項。首先看一下“保護所有網(wǎng)絡(luò)連接”策略項，雙擊后可打開配置對話框，如圖3-16所示，選擇“已啟用”單選按鈕，然后單擊“確定”按鈕即可啟用“保護所有網(wǎng)絡(luò)連接”策略項。啟用這個策略項后，相當(dāng)于在所有網(wǎng)絡(luò)連接上啟用Windows防火墻保護功能，如果禁用此策略設(shè)置，Windows防火墻將不會運行。其他策略項配置對話框的打開方法也是如此。(3)系統(tǒng)默認的是沒有配置任何選項。首先看一下“保護所圖3-16“保護所有網(wǎng)絡(luò)連接”配置窗口圖3-16“保護所有網(wǎng)絡(luò)連接”配置窗口3.2IE安全設(shè)置

IE瀏覽器是我們最常用的因特網(wǎng)瀏覽器，但也是網(wǎng)絡(luò)安全威脅的最大隱患。本節(jié)的學(xué)習(xí)主要用來防止來自惡意網(wǎng)頁的攻擊。以目前應(yīng)用最廣的IE7.0為基礎(chǔ)介紹一些與安全有關(guān)的主要安全設(shè)置。3.2IE安全設(shè)置

IE瀏覽器是我們最3.2.1Internet安全選項設(shè)置

一般惡意網(wǎng)頁都是因為加入了惡意代碼才具有破壞力的。這些惡意代碼通常是諸如VBScript、JavaScript腳本和ActiveX控件之類的小程序，只要打開了含有這類代碼的網(wǎng)頁，惡意代碼就會被運行，當(dāng)然就可能被這些代碼攻擊。為了避免遭到攻擊，只能想辦法來禁止打開包含這些惡意代碼的網(wǎng)頁，這個辦法就是在瀏覽器中進行相應(yīng)的安全設(shè)置。但在實際應(yīng)用中，像腳本和控件之類的程序并非全都是惡意的，一些正常的網(wǎng)頁也需要利用這些程序來實現(xiàn)某種網(wǎng)頁效果，因此，在防范包含惡意代碼的網(wǎng)頁的攻擊中，可能會使一些正常網(wǎng)頁的運行受到影響。如何才能二者兼顧，一直是困擾人們的難題。下面是一般的配置方法。3.2.1Internet安全選項設(shè)置

一般惡意網(wǎng)頁(1)運行IE瀏覽器，執(zhí)行“工具”→“Internet選項”菜單命令，在打開的對話框中選擇“安全”選項卡，如圖3-17所示。在這里可以對不同區(qū)域進行安全設(shè)置。

微軟默認劃分的區(qū)域有以下4種。

①Internet區(qū)域。在默認情況下，該區(qū)域包含不在受信任和受限制區(qū)域中的所有站點?！癐nternet”區(qū)域的默認安全級別為“中”，用戶可以在“Internet選項”的“隱私”選項卡上更改“Internet”區(qū)域的隱私設(shè)置。(1)運行IE瀏覽器，執(zhí)行“工具”→“Internet圖3-17“Internet選項”對話框的“安全”選項卡圖3-17“Internet選項”對話框的“安全”選項卡②本地Intranet區(qū)域。該區(qū)域通常包含安裝系統(tǒng)管理員定義的不需要代理服務(wù)器的所有地址。這包括在“連接”選項卡上指定的站點、網(wǎng)絡(luò)路徑和本地Intranet站點(通常是不包括句點的地址，如http:?//inernal)。用戶可以將站點分配到該區(qū)域。“本地Intranet”區(qū)域的默認安全級別是“中”，因此，IE允許該區(qū)域中的網(wǎng)站在計算機上保存Cookie，并且由創(chuàng)建Cookie的網(wǎng)站讀取。②本地Intranet區(qū)域。該區(qū)域通常包含安裝系統(tǒng)管理③可信站點。該區(qū)域包括用戶信任的站點，也就是說，用戶相信可以直接從這里下載或運行文件，而不必擔(dān)心危害計算機或數(shù)據(jù)。用戶可以將站點分配到該區(qū)域?！翱尚耪军c”區(qū)域的默認安全級別是“低”，因此，IE允許該區(qū)域中的網(wǎng)站在計算機上保存Cookie，并且由創(chuàng)建Cookie的網(wǎng)站讀取。

④受限站點區(qū)域。該區(qū)域包含用戶不信任的站點，也就是說，用戶不能肯定是否可以從該站點下載或運行文件而不損害計算機或數(shù)據(jù)。用戶可將站點分配到該區(qū)域。?“受限站點”區(qū)域的默認安全級別為“高”，因此，IE將阻止該區(qū)域中網(wǎng)站的所有Cookie。③可信站點。該區(qū)域包括用戶信任的站點，也就是說，用戶相(2)在圖3-17所示的窗口中選擇“Internet”選項(表示設(shè)置Internet區(qū)域)，然后單擊“自定義級別”按鈕，打開如圖3-18所示的對話框。

(3)在圖3-18所示對話框的列表中列出了許多與Internet安全有關(guān)的設(shè)置選項。通常與惡意代碼相關(guān)的選項包括以下幾個，按如下配置即可。(2)在圖3-17所示的窗口中選擇“Internet”圖3-18“安全設(shè)置”對話框圖3-18“安全設(shè)置”對話框①ActiveX控件和插件。

ActiveX是Microsoft對于一系列策略性面向?qū)ο蟪绦蚣夹g(shù)和工具的總稱，其中主要的技術(shù)是組建對象模型(COM)。ActiveX控件或插件(具有.ocx文件擴展名)是采用COM技術(shù)創(chuàng)建的可重用的小對象。ActiveX控件廣泛應(yīng)用于Internet，它們可以通過提供視頻、動畫內(nèi)容等來增加瀏覽的樂趣。但是，這些程序可能會出現(xiàn)問題或者向用戶提供不需要的內(nèi)容。在某些情況下，這些程序可被用來以用戶不允許的方式從計算機收集信息，破壞用戶計算機上的數(shù)據(jù)，在未經(jīng)用戶同意的情況下在用戶的計算機上安裝軟件或者允許他人遠程控制用戶的計算機。①ActiveX控件和插件。

ActiveX是Mi考慮到這些風(fēng)險，用戶應(yīng)該在完全信任發(fā)行商的前提下才能安裝這些程序。因為ActiveX控件可能對用戶的計算機有害，所以用戶決定在計算機上安裝該控件前，應(yīng)該確定用戶信任該ActiveX控件的發(fā)行商。但有時運行一些程序或商務(wù)應(yīng)用時必須要安裝有某個控件或插件(如銀行的用戶身份驗證，否則用戶帳戶信息都不能輸入)，所以不能一味地說ActiveX控件和插件就是安全隱患。考慮到這些風(fēng)險，用戶應(yīng)該在完全信任發(fā)行商的前提下才能安裝在這里又有許多具體的安全設(shè)置，綜合設(shè)置為：啟用自動提示；啟用有安全標(biāo)記的ActiveX控件和插件；禁用無安全標(biāo)記的ActiveX控件和插件；禁止下載未簽名的ActiveX控件和插件；提示已簽名的ActiveX控件和插件；允許ActiveX控件和插件最好啟用或提示，因為現(xiàn)在許多網(wǎng)頁是采用ASP.net技術(shù)制作的；禁用二進制和腳本行為。如果一律選擇禁用，則在打開一些包含ActiveX控件和插件的網(wǎng)頁時，會彈出錯誤提示。如果在運行ActiveX控件和插件時選擇的是提示，在打開網(wǎng)頁中有需要運行ActiveX控件和插件時，就會彈出如圖3-19所示的提示。在這里又有許多具體的安全設(shè)置，綜合設(shè)置為：啟用自動提示；圖3-19運行ActiveX控件和插件的提示框圖3-19運行ActiveX控件和插件的提示框②腳本。

這里主要有5個主要選項：Java小程序腳本建議禁用或提示，千萬別直接啟用；活動腳本建議啟用，否則有些網(wǎng)頁會變成亂碼顯示；允許對剪貼板進行編程訪問建議禁用；允許網(wǎng)站使用腳本窗口提示獲得信息和允許狀態(tài)欄通過腳本更新建議都設(shè)置為禁用。

如果以上禁用設(shè)置影響到所需要的某些網(wǎng)頁的正常顯示或運行，則可臨時啟用，使用完再重新設(shè)置為禁用或提示。這樣可以最大限度地保證不受惡意網(wǎng)頁的侵害，一般來說，對絕大多數(shù)的正常瀏覽不會有太大的影響。②腳本。

這里主要有5個主要選項：Java小程序腳(4)其他。

在“其他”欄中的安全選項，特別要注意的是要啟用“使用彈出窗口阻止程序”項，否則所瀏覽的網(wǎng)站會彈出很多廣告；建議啟用“使用仿冒網(wǎng)站篩選”；其他選項按中級默認設(shè)置即可。

(5)啟用.NETFramework安裝程序。

(6)下載。

(7)用戶驗證。(4)其他。

在“其他”欄中的安全選項，特別要注意最后一個安全欄就是用戶驗證的登錄設(shè)置。對于Internet區(qū)域一定不要選擇“匿名登錄”和“自動使用當(dāng)前用戶名和密碼登錄”選項，否則黑客就可以輕易地入侵到用戶的計算機中。

其他選項的設(shè)置按照中等級別默認的安全設(shè)置即可。最后一個安全欄就是用戶驗證的登錄設(shè)置。對于Interne3.2.2本地Intranet安全選項設(shè)置

在IE的安全性設(shè)置中還可以設(shè)定本地Intranet、?受信任的站點和受限制的站點的安全級別，一般來說，采用默認的設(shè)置即可。當(dāng)然也可以自定義針對局域網(wǎng)的安全設(shè)置，設(shè)置方法與3.2.1節(jié)介紹的一樣。相對因特網(wǎng)來說，局域網(wǎng)的安全性要求略低，所以可以對3.2.1節(jié)介紹的一些主要安全設(shè)置選項進行放寬設(shè)置。

對于一些經(jīng)常遭受攻擊的網(wǎng)站，要把它加在“受限站點”中，具體添加方法是在如圖3-17所示對話框窗口列表中選擇“受限站點”選項，然后單擊“站點”按鈕，打開如圖3-20所示對話框，在其中就可以添加受限的站點了。3.2.2本地Intranet安全選項設(shè)置

在IE的圖3-20“受限站點”對話框圖3-20“受限站點”對話框3.2.3Internet隱私設(shè)置

所說的隱私設(shè)置是針對來自因特網(wǎng)的Cookie文件的設(shè)置，因為Cookie文件會把計算機中的用戶信息反饋回網(wǎng)站，存在一定的安全風(fēng)險。特別是對一些小的、不健康的網(wǎng)站，更加要注意。但有時我們又不能全部禁止網(wǎng)站的Cookie功能，否則有些操作無法進行。其實，到目前為止仍沒有一個有效的方法區(qū)分Cookie是善意的還是惡意的。

隱私設(shè)置的方法是在如圖3-17所示對話框中單擊“隱私”選項卡，如圖3-21所示。在這里可以設(shè)置隱私保護的級別(直接通過拖動滑桿調(diào)節(jié)即可)，還可以設(shè)置允許或者禁止Cookie文件的站點。同時，在這里還可以設(shè)置彈出窗口的阻止。設(shè)置方法如下。3.2.3Internet隱私設(shè)置

所說的隱私設(shè)置是圖3-21“Internet選項”對話框的“隱私”選項卡圖3-21“Internet選項”對話框的“隱私”選項卡(1)在如圖3-21所示的對話框中直接拖動滑桿，調(diào)節(jié)到自己的隱私級別。隱私級別默認劃分為阻止所有的Cookie、高、中高、中、低和接受所有的Cookie六級。

(2)要限制或者允許某個站點的全部Cookie文件，而不考慮上一步所設(shè)置的安全級別，則在如圖3-21所示的對話框中單擊“站點”按鈕，打開如圖3-22所示的對話框。在這里可以輸入要限制或者允許的站點地址(如)，然后單擊“拒絕”(限制)或“允許”按鈕添加到站點列表中，然后單擊“確定”按鈕使設(shè)置生效。(1)在如圖3-21所示的對話框中直接拖動滑桿，調(diào)節(jié)到圖3-22“每站點的隱私操作”對話框圖3-22“每站點的隱私操作”對話框(3)單擊“高級”按鈕，打開如圖3-23所示的對話框。在這里可以對是否接收第一方和第三方站點的Cookie文件進行設(shè)置。(3)單擊“高級”按鈕，打開如圖3-23所示的對話框。圖3-23“高級隱私策略設(shè)置”對話框圖3-23“高級隱私策略設(shè)置”對話框選擇“替代自動Cookie處理”復(fù)選框，然后指定IE如何處理第一方和第三方網(wǎng)站(當(dāng)前正在查看的網(wǎng)站之外的網(wǎng)站)的Cookie。

●?要指定IE始終在計算機上保存Cookie，選擇“接收”單選按鈕。

●?要指定IE不允許在計算機上保存Cookie，選擇“拒絕”單選按鈕。

●?要指定IE詢問用戶是否在計算機上保存Cookie，選擇“提示”單選按鈕。

如果要讓IE始終允許在計算機上保存Cookie(關(guān)閉IE時將從計算機上刪除Cookie)，請單擊“總是允許會話cookie”復(fù)選框，多數(shù)情況下建議不要選擇。選擇“替代自動Cookie處理”復(fù)選框，然后指定IE如何(4)要阻止彈出廣告，首先要在IE瀏覽器中執(zhí)行“工具”→“彈出窗口阻止程序”→“啟用彈出窗口阻止程序”，如果見到的是“關(guān)閉彈出窗口阻止程序”菜單，則說明當(dāng)前已打開了彈出窗口阻止程序，無需再打開了。然后在如圖3-21所示的對話框中選擇“打開彈出窗口阻止程序”復(fù)選框，單擊“設(shè)置”按鈕，打開如圖3-24所示的對話框。在這里可以設(shè)置例外允許的彈出窗口站點，如自己喜歡的站點或必須使用彈出窗口的網(wǎng)站。(4)要阻止彈出廣告，首先要在IE瀏覽器中執(zhí)行“工具”圖3-24“彈出窗口阻止程序設(shè)置”對話框圖3-24“彈出窗口阻止程序設(shè)置”對話框如果想在有彈出窗口被阻止時播放聲音，則要選擇“阻止彈出窗口時播放聲音”復(fù)選框；如果想要在有彈出窗口被阻止時在狀態(tài)欄顯示消息提示，則要選擇“阻止彈出窗口時顯示信息欄”復(fù)選框。

在“篩選級別”下拉列表中有3個級別選項。

●?高：阻止所有彈出窗口(“Ctrl+Alt”覆蓋)。如果用戶希望在該設(shè)置開啟時看到被阻止的彈出窗口，請在窗口打開時按住“Ctrl+Alt”鍵。

●?中：阻止大多數(shù)自動彈出窗口。如果想在有彈出窗口被阻止時播放聲音，則要選擇“阻止彈出窗●?低：允許來自安全站點的彈出窗口。

有時，讀者可能會發(fā)現(xiàn)，在打開彈出窗口阻止程序并設(shè)置了阻止所有的彈出窗口后，卻仍會看到一些彈出窗口，其原因可能有以下幾個方面：

●?計算機上可能有某些打開彈出窗口的軟件，如廣告軟件或間諜軟件。要阻止這些彈出窗口，必須找到打開彈出窗口的軟件，將其刪除或者更改其設(shè)置，使其不再打開彈出

窗口。

●?某些帶有活動內(nèi)容的窗口不會被阻止?！?低：允許來自安全站點的彈出窗口。

有時，讀者可●?對于本地Intranet或受信任的站點內(nèi)容區(qū)域中的網(wǎng)站，InternetExplorer將不會阻止其中的彈出窗口。如果要阻止來自這些網(wǎng)站的彈出窗口，必須刪除來自這些區(qū)域的網(wǎng)站。有關(guān)詳細信息，請參閱相關(guān)主題中的“了解安全區(qū)域”。

●?InternetExplorer將不會阻止來自已添加到允許有彈出窗口的站點列表的彈出窗口。●?對于本地Intranet或受信任的站點內(nèi)容區(qū)域3.3帳號和口令的安全設(shè)置

設(shè)置帳號和口令是最常用的安全措施之一，如果管理不當(dāng)則會帶來巨大的安全隱患。

3.3.1帳號的安全加固

圖3-25和圖3-26列出了Windows2000/XP操作系統(tǒng)中常見的帳戶和帳戶組。3.3帳號和口令的安全設(shè)置

設(shè)置帳號和口令是圖3-25Windows2000/XP操作系統(tǒng)中常見的帳戶圖3-25Windows2000/XP操作系統(tǒng)中常見的圖3-26Windows2000/XP操作系統(tǒng)中常見的帳戶組圖3-26Windows2000/XP操作系統(tǒng)中常見的如系統(tǒng)開放的帳戶太多，增大了弱口令存在的概率。所以從系統(tǒng)加固的角度來看，應(yīng)該盡可能關(guān)掉不常用的帳戶或者開放盡可能少的帳戶，具體操作如下：

(1)禁用Guest帳戶。在計算機管理的用戶里可把Guest帳號禁用。為保險起見，最好給Guest加一個復(fù)雜的密碼。打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去即可。

(2)限制不必要的用戶：關(guān)掉所有的DuplicateUser帳戶、測試帳戶和共享帳戶等，刪除已經(jīng)不再使用的帳戶。這些帳戶很多時候是黑客入侵系統(tǒng)的突破口。

(3)創(chuàng)建兩個管理員帳戶，一個是一般權(quán)限，另一個有administrators權(quán)限。如系統(tǒng)開放的帳戶太多，增大了弱口令存在的概率。所以從系統(tǒng)(4)創(chuàng)建一個“陷阱”帳戶administrator，把其權(quán)限設(shè)置為最低，并且加上一個10位以上的復(fù)雜密碼，入侵者即使破解也無所作為，還可以借此發(fā)現(xiàn)他們的企圖。

(5)開機時設(shè)置為“不自動顯示上次登錄帳戶”。Windows默認設(shè)置開機時自動顯示上次登錄的帳戶名，許多用戶也采用了這一設(shè)置，這對系統(tǒng)來說是很不安全的，攻擊者會從本地或TerminalService的登錄界面看到用戶名。要禁止顯示上次的登錄用戶名，可做如下設(shè)置：單擊“開始”→“設(shè)置”→“控制面板”→“管理工具”→“本地安全策略”→“本地策略”→“安全選項”，打開的界面如圖3-27所示。在圖3-27所示窗口的右側(cè)列表中選擇“交互式登錄：不顯示上次的用戶名”選項，彈出圖3-28所示的對話框，選擇“已啟用”選項，完成設(shè)置。(4)創(chuàng)建一個“陷阱”帳戶administrator，圖3-27“本地安全設(shè)置”窗口圖3-27“本地安全設(shè)置”窗口圖3-28“本地安全策略設(shè)置”對話框圖3-28“本地安全策略設(shè)置”對話框(6)禁止枚舉帳戶名。為了便于遠程用戶共享本地文件，Windows默認設(shè)置遠程用戶可以通過空連接枚舉出所有本地帳戶名，這給了攻擊者可乘之機。要禁止枚舉帳戶名，可執(zhí)行以下操作：單擊“本地安全策略”→“安全選項”，如圖3-29所示，在右側(cè)列表中選擇“不允許枚舉SAM帳戶和共享的匿名枚舉”，彈出圖3-30所示的對話框，選擇“已啟用”選項，完成設(shè)置。(6)禁止枚舉帳戶名。為了便于遠程用戶共享本地文件，W圖3-29“本地安全設(shè)置”窗口圖3-29“本地安全設(shè)置”窗口圖3-30“本地安全策略設(shè)置”對話框圖3-30“本地安全策略設(shè)置”對話框3.3.2帳號口令的安全加固

目前，針對各類口令的破解工具層出不窮。管理員(Administrator)的口令可以在本地破解(如使用LC5等軟件)，也能以遠程的方式破解(如使用ida-snake)等工具。無論是本地破解還是遠程破解，大都采用了暴力破解的方式。原因是存儲在SAM數(shù)據(jù)庫中的信息并未經(jīng)過加密，而僅僅進行了哈希(Hash)運算，這樣就為黑客通過反復(fù)嘗試進行口令破解留下了可能性。

目前，針對密碼的加固手段主要有3類：安全的密碼策略、安全的帳戶鎖定策略和啟用syskey命令對帳戶信息加密。3.3.2帳號口令的安全加固

目前，針對各類口令的破

1．安全的密碼策略

安全的密碼策略要求系統(tǒng)中的各帳戶都采用復(fù)雜的口令，目的是延長破解口令所需的時間，提高口令的安全性。但是，只要有足夠長的時間，再復(fù)雜的口令也能被破解。所以，安全的密鑰策略要求每個用戶都能定期地更換口令。

為了防止用戶設(shè)置不安全的口令，系統(tǒng)管理員應(yīng)該對操作系統(tǒng)進行強制管理。操作過程如下：“開始”→“設(shè)置”→“控制面板”→“管理工具”→“本地安全策略”→“帳戶策略”→“密碼策略”，打開的界面如圖3-31所示。

圖3-31中“密碼策略”的參數(shù)含義及安全配置方法如表3-1所示。1．安全的密碼策略

安全的密碼策略要求系統(tǒng)中的各帳戶圖3-31“密碼策略”設(shè)置界面圖3-31“密碼策略”設(shè)置界面第3章Windows系統(tǒng)安全加固技術(shù)課件

2．安全的帳戶鎖定策略

黑客之所以能夠采用暴力猜解的方法來破解用戶口令，一個重要原因是在很多情況下，操作系統(tǒng)允許他們進行無限次的嘗試。雖然Windows系統(tǒng)提供了限制機制，但在默認安裝的狀態(tài)下，這些機制并未被啟用。從安全的角度看，限制機制只給攻擊者為數(shù)不多的幾次嘗試機會，一旦失敗的次數(shù)超過了事先設(shè)定的門檻值，該帳戶將被鎖定，從而避免被破解。

系統(tǒng)管理員可以通過如下的操作對操作系統(tǒng)的帳戶鎖定策略進行設(shè)置：“開始”→“設(shè)置”→“控制面板”→“管理工具”→“本地安全策略”→“帳戶策略”→“帳戶鎖定策略”，打開的界面如圖3-32所示。2．安全的帳戶鎖定策略

黑客之所以能夠采用暴力猜解的圖3-32“帳戶鎖定策略”設(shè)置界面圖3-32“帳戶鎖定策略”設(shè)置界面圖3-32中“帳戶鎖定策略”的參數(shù)含義及安全配置方法如表3-2所示。圖3-32中“帳戶鎖定策略”的參數(shù)含義及安全配置方法如表第3章Windows系統(tǒng)安全加固技術(shù)課件

3．啟用Syskey命令

Syskey是從WindowsNTSP3版本開始提供的一個工具，使用它能對帳戶密碼數(shù)據(jù)文件(SAM)進行二次加密，防止用戶口令被遠程或本地破解，這樣更能保證系統(tǒng)的安全。同時，Syskey還能設(shè)置啟動密碼，這個密碼先于用戶密碼之前輸入，因此起到雙重保護的功能。

Syskey的設(shè)置方法如下：

(1)選擇“開始”→“運行”，輸入Syskey就可以啟動加密的窗口(這里以WindowsXP為例)，如圖3-33所示。

(2)選擇“更新”選項，彈出如圖3-34所示的界面。3．啟用Syskey命令

Syskey是從Windo圖3-33Syskey的啟動界面圖3-33Syskey的啟動界面圖3-34“啟動密碼”對話框圖3-34“啟動密碼”對話框如果我們選擇“密碼啟動”，輸入一個密碼，然后單擊“確定”按鈕，這樣做將使WindowsXP在啟動時需要多輸入一次密碼，起到了二次加密的作用。當(dāng)操作系統(tǒng)啟動時，通常我們輸入用戶名和密碼之前系統(tǒng)會出現(xiàn)窗口提示“本臺計算機需要密碼才能啟動，請輸入啟動密碼”。這便是用Syskey剛剛創(chuàng)建的第一重密碼保護。

如果我們選擇“在軟盤上保存啟動密碼”，這樣將生成一個密碼軟盤，沒有這張軟盤，誰也不能進入操作系統(tǒng)。如果在這之前設(shè)置了Syskey系統(tǒng)啟動密碼，這里還會需要我們再次輸入那個密碼，以獲得相應(yīng)的授權(quán)。如果我們選擇“密碼啟動”，輸入一個密碼，然后單擊“確定”3.4文件系統(tǒng)安全設(shè)置

3.4.1目錄和文件權(quán)限的管理

為了實現(xiàn)更細致的權(quán)限管理，建議把服務(wù)器的所有分區(qū)都格式化為NTFS格式。NTFS文件系統(tǒng)是從WindowsNT起開始支持的一種文件分配表的格式，它能提供比FAT和FAT32更多的安全功能，比如設(shè)置目錄和文件的訪問權(quán)限。這里舉一個例子說明。對操作系統(tǒng)中的任何一個文件或者文件夾單擊鼠標(biāo)右鍵，選擇“屬性”，從彈出的“AVGAnti-Spyware屬性”對話框中選擇“安全”標(biāo)簽，可見圖3-35所示的界面。3.4文件系統(tǒng)安全設(shè)置

3.4.1目錄和文從圖3-35可見，我們可以對每個用戶操作，對每個文件的權(quán)限做細致的規(guī)定。這個功能只有在NTFS分區(qū)里才能提供，在FAT或FAT32格式的分區(qū)里是沒有“安全”這個標(biāo)簽的。建議對一般用戶賦予讀取權(quán)限，而只給管理員和SYSTEM以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成，這時需要對這些文件所在的文件夾權(quán)限進行更改，建議在更改前先找一臺機器進行測試，然后再更改。從圖3-35可見，我們可以對每個用戶操作，對每個文件的權(quán)圖3-35文件權(quán)限設(shè)置界面圖3-35文件權(quán)限設(shè)置界面用同樣的方法，還可以對任何一個文件夾，甚至是注冊表的表項進行同樣的權(quán)限設(shè)置。Windows2000/XP提供了一個叫regedt32.exe的工具，它也是一個注冊表編輯器，與regedit.exe不同的是它有一個“安全”選項，可以給注冊表的每一個鍵值設(shè)置權(quán)限。因此用戶可為許多敏感的鍵值設(shè)置權(quán)限，設(shè)置成只有Administrator才能讀取和修改，不給其他人可乘之機。用同樣的方法，還可以對任何一個文件夾，甚至是注冊表的表項3.4.2文件和文件夾的加密

Windows2000以上的操作系統(tǒng)(除了WindowsXPHome之外)本身就集成了EFS加密功能。EFS是加密文件系統(tǒng)(EncryptionFileSystem)的縮寫，可以加密NTFS分區(qū)上的文件和文件夾，防止對敏感數(shù)據(jù)進行未經(jīng)允許的物理訪問(偷取筆記本和硬盤等)。加密之后，就等于把文件或文件夾全部鎖進了保險柜。EFS采用了56位的數(shù)據(jù)加密標(biāo)準(zhǔn)，到目前為止還沒有人能破解，所以具有很高的安全性。

需要說明的是，EFS只能對存儲在磁盤上的數(shù)據(jù)進行加密，是一種安全的本地信息加密服務(wù)，而且只有NTFS分區(qū)才支持EFS的功能。3.4.2文件和文件夾的加密

Windows200EFS加密操作非常簡單，對加密文件的用戶也是透明的，文件加密之后，不必在使用前手動解密，只有加密者才能打開加密文件，其他用戶登錄系統(tǒng)后，將無法打開加密文件。下面介紹加密的詳細過程。

(1)在“Windows資源管理器”中找到要加密的文件或文件夾，然后用鼠標(biāo)右鍵單擊并從彈出的快捷菜單中選擇“屬性”，打開“屬性”對話框，如圖3-36所示。

(2)在“常規(guī)”選項卡上單擊“高級”按鈕，在彈出的“高級屬性”對話框(如圖3-37所示)中勾選“加密內(nèi)容以便保護數(shù)據(jù)”復(fù)選框，單擊“確定”按鈕退出。EFS加密操作非常簡單，對加密文件的用戶也是透明的，文件圖3-36“屬性”對話框圖3-36“屬性”對話框圖3-37“高級屬性”對話框圖3-37“高級屬性”對話框(3)如果加密的是文件夾，此時會彈出一個對話框，如圖3-38所示。我們可以根據(jù)需要，選擇僅加密此文件夾還是將此目錄下的子文件夾和文件也一起加密，選擇之后，單擊“確定”按鈕，最后再單擊“應(yīng)用”完成。在默認情況下，經(jīng)過EFS加密的文件或文件夾在資源管理器中顯示的顏色會變?yōu)榫G色，這表示它們已經(jīng)被EFS加密了。(3)如果加密的是文件夾，此時會彈出一個對話框，如圖3圖3-38“確認屬性更改”對話框圖3-38“確認屬性更改”對話框(4)一旦有了一個經(jīng)過加密的目錄，以后要對某個文件或文件夾進行EFS加密，只需要把它們移到該目錄中，就會被自動加密。

提示：FAT分區(qū)上的文件和文件夾是不能被EFS加密的；另外，標(biāo)記為“系統(tǒng)”屬性的文件，以及位于Windows系統(tǒng)目錄中的文件也無法被EFS加密。(4)一旦有了一個經(jīng)過加密的目錄，以后要對某個文件或文3.5關(guān)閉默認共享

為了方便局域網(wǎng)用戶之間的信息傳輸，Windows提供了以下兩種機制：

(1)基于NetBIOS服務(wù)的文件和打印共享功能。該服務(wù)主要通過137、138和139號端口提供。通常通過網(wǎng)絡(luò)共享某個文件/文件夾，或者把連接到某臺計算機上的打印機設(shè)置為通過網(wǎng)絡(luò)共享，這些都是NetBIOS提供的服務(wù)。

(2)默認共享。Windows操作系統(tǒng)在默認安裝的情況下，把所有的磁盤分區(qū)都設(shè)置為默認共享。這樣做的好處是系統(tǒng)管理員可以通過遠程的方式對系統(tǒng)進行維護。3.5關(guān)閉默認共享

為了方便局域網(wǎng)用戶之間雖然共享能方便資源的使用，但是提供該服務(wù)的兩種機制都存在缺陷：

(1)?NetBIOS服務(wù)存在多種漏洞，所以137、138和139端口被公認為危險端口。

(2)系統(tǒng)為默認共享提供的唯一保護措施就是設(shè)置了訪問權(quán)限，即對磁盤默認共享的訪問一般需要管理員的授權(quán)。由于破解管理員口令的方法層出不窮，對默認共享提供這樣的安全機制是遠遠不夠的。

鑒于這兩種共享機制均存在安全缺陷，從系統(tǒng)安全的角度考慮，建議把它們關(guān)掉。雖然共享能方便資源的使用，但是提供該服務(wù)的兩種機制都存在

1．關(guān)閉NetBIOS服務(wù)

使用完文件或打印共享功能后，要隨時將NetBIOS服務(wù)關(guān)閉，以便堵住資源共享隱患，下面就是關(guān)閉共享功能的具體步驟。

(1)用鼠標(biāo)右鍵單擊“本地連接”圖標(biāo)，在打開的快捷菜單中，單擊“屬性”命令，打開“本地連接屬性”對話框，如圖3-39所示，在該界面取消“Microsoft網(wǎng)絡(luò)的文件和打印機共享”這個選項。1．關(guān)閉NetBIOS服務(wù)

使用完文件或打印共享功能圖3-39“本地連接屬性”對話框圖3-39“本地連接屬性”對話框(2)用鼠標(biāo)左鍵選中圖3-39中的?“Internet協(xié)議(TCP/IP)”，單擊“屬性”按鈕，打開“Internet協(xié)議(TCP/IP)屬性”對話框，選擇“高級”選項，在打開的“高級TCP/IP設(shè)置”對話框中選擇“WINS”選項，打開的界面如圖3-40所示，選擇“禁用TCP/IP上的NetBIOS”，即可關(guān)閉NetBIOS服務(wù)。(2)用鼠標(biāo)左鍵選中圖3-39中的?“Internet圖3-40“高級TCP/IP設(shè)置”對話框圖3-40“高級TCP/IP設(shè)置”對話框2．關(guān)閉Windows2000/XP系統(tǒng)的默認共享

我們可以用netshare命令來關(guān)閉默認共享：

netsharec$/delete

netshared$/delete

netsharee$/delete

netsharef$/delete

netshareadmin$/delete

netshareipc$/delete2．關(guān)閉Windows2000/XP系統(tǒng)的默認共享

我們可但是，機器重啟后默認共享仍會自動出現(xiàn)，要想徹底關(guān)掉默認共享，必須對注冊表作相應(yīng)的配置。具體的方法是：首先尋找鍵值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\lanmanserver\parameters

(1)如果是Professional版，則在其下創(chuàng)建一名為“autoShareWks”的DWORD值autoShareWks=0；

(2)如果是server版，則創(chuàng)建一名為“autoShareserver”的DWORD值autoShareserver=0。但是，機器重啟后默認共享仍會自動出現(xiàn)，要想徹底關(guān)掉默認共3.6小結(jié)

本章從五個方面介紹了Windows系統(tǒng)安全加固技術(shù)：

(1)個人防火墻設(shè)置。以Windows防護墻為例，介紹了如何啟用和禁用防火墻，如何設(shè)置防火墻例外，如何進行防火墻高級設(shè)置以及如何通過組策略設(shè)置Windows防火墻。

(2)?IE安全設(shè)置。以最常用的IE瀏覽器為例，介紹了如何通過安全設(shè)置來防止惡意網(wǎng)頁的攻擊。3.6小結(jié)

本章從五個方面介紹(3)帳號口令的安全設(shè)置。介紹了帳號的安全加固和口令的安全加固。

(4)文件系統(tǒng)的安全設(shè)置。從目錄和文件權(quán)限的管理和文件夾的加密兩方面介紹了文件系統(tǒng)的安全設(shè)置。

(5)關(guān)閉默認共享。?默認的共享機制存在安全漏洞，本節(jié)介紹了兩種方式關(guān)閉共享機制。(3)帳號口令的安全設(shè)置。介紹了帳號的安全加固和口令的習(xí)題3

1．什么是防火墻？其作用是什么？

2．配置本機的防火墻。

3．有哪些方式可以防止惡意網(wǎng)頁的攻擊?

4．配置IE的安全。

5．如何保障帳號的安全？

6．鞏固本機的帳號安全。

7．如何保障口令的安全？

8．如何利用EFS加密文件？習(xí)題3

1．什么是防火墻？其作用是什么3.1個人防火墻設(shè)置3.2IE安全設(shè)置3.3帳號和口令的安全設(shè)置3.4文件系統(tǒng)安全設(shè)置3.5關(guān)閉默認共享3.6小結(jié)習(xí)題3第3章Windows系統(tǒng)安全加固技術(shù)3.1個人防火墻設(shè)置第3章Windows系統(tǒng)安全加固3.1個人防火墻設(shè)置

所謂的“防火墻”，是一種特殊的訪問控制設(shè)施，是一道介于內(nèi)部網(wǎng)絡(luò)和Internet之間的安全屏障(圖3-1描述了防火墻在網(wǎng)絡(luò)中所處的位置)。防火墻既可以是一組硬件，也可以是一組軟件，還可以是軟件和硬件的組合。3.1個人防火墻設(shè)置

所謂的“防火墻”，圖3-1防火墻在網(wǎng)絡(luò)中所處的位置圖3-1防火墻在網(wǎng)絡(luò)中所處的位置在個人計算機中，不可能使用像在企業(yè)網(wǎng)絡(luò)中所用到的價值幾萬，甚至十幾萬的硬件防火墻，而是采用軟件類型的防火墻。所謂個人防火墻駐留在用戶主機上，只保護用戶的一臺主機，而不能起到保護網(wǎng)絡(luò)中其他主機的作用。

Windows操作系統(tǒng)自帶有個人防火墻，除此之外，還有很多第三方個人防火墻(通常是與防病毒軟件集成在一起的)也得到廣泛的應(yīng)用。本節(jié)主要介紹WindowsXP系統(tǒng)中的Windows防火墻，以及諾頓防病毒軟件中防火墻的使用。其他個人防火墻的配置方法類似，參照即可。在個人計算機中，不可能使用像在企業(yè)網(wǎng)絡(luò)中所用到的價值幾萬3.1.1啟用與禁用Windows防火墻

Windows防火墻是WindowsXP和WindowsServer2003系統(tǒng)中自帶的一個功能組件，可以起到一定的保護計算機的作用。在實際應(yīng)用中，我們建議啟用它，在沒有安裝任何其他防火墻軟件的情況下，Windows防火墻可以取得非常好的效果，當(dāng)然，最好能夠同時安裝第三方防火墻，進一步增強操作系統(tǒng)的安全性能。3.1.1啟用與禁用Windows防火墻

Windo要使用Windows防火墻，首先是啟動它。Windows防火墻是隨系統(tǒng)安裝而安裝的，無須另外安裝，只需啟動。單擊“開始”→“所有程序”→“附件”→“系統(tǒng)工具”→“安全中心”，可打開Windows安全中心的窗口，如圖3-2所示。也可以通過控制面板找到“Windows防火墻”，如圖3-3所示。然后單擊“Windows防火墻”，打開如圖3-4所示的對話框，選擇“啟用”單選按鈕，單擊“確定”按鈕即可完成Windows防火墻的啟動。如果不想用Windows防火墻，則選擇“關(guān)閉”單選按鈕即可。要使用Windows防火墻，首先是啟動它。Windows圖3-2Windows安全中心窗口圖3-2Windows安全中心窗口圖3-3通過控制面板找到Windows防火墻圖3-3通過控制面板找到Windows防火墻圖3-4“Windows防火墻”對話框的“常規(guī)”選項卡圖3-4“Windows防火墻”對話框的“常規(guī)”選項卡啟用Windows防火墻后，當(dāng)用戶在本地運行一個應(yīng)用程序并將其作為Internet服務(wù)器提供服務(wù)時，Windows防火墻將會彈出一個新的安全警報對話框。通過對話框中的選項可以將此應(yīng)用程序或服務(wù)添加到Windows防火墻的例外項中(選擇“解除阻止此程序”)。Windows防火墻的例外項配置將允許特定的進站連接。當(dāng)然，也可以通過手工添加程序到例外項或者添加端口到例外項中，具體的添加方法參見后面的防火墻選項設(shè)置。啟用Windows防火墻后，當(dāng)用戶在本地運行一個應(yīng)用程序3.1.2設(shè)置Windows防火墻“例外”

默認情況下，Windows防火墻會攔截所有外網(wǎng)傳入的通信連接，以及發(fā)自內(nèi)網(wǎng)不信任軟件發(fā)起的網(wǎng)絡(luò)通信連接。這對于單機狀態(tài)沒什么問題，但如果要與局域網(wǎng)中的其他用戶進行通信連接，如文件和打印機共享、進行Ping測試操作、遠程協(xié)助、遠程網(wǎng)絡(luò)管理等，Windows防火墻就會阻止，使以上網(wǎng)絡(luò)應(yīng)用無法進行。這時我們就要考慮設(shè)置“例外”了。設(shè)置例外的目的就是告訴Windows防火墻不要阻擋選定的例外所發(fā)起的連接。例外可以是程序，可以是服務(wù)，還可以是特定端口。3.1.2設(shè)置Windows防火墻“例外”

默認情況在控制面板中找到并打開“Windows防火墻”(如圖3-4所示)。在這里可以看到“不允許例外”選項，許多讀者誤以為勾選該項會限制瀏覽網(wǎng)頁、收發(fā)郵件和聊天等所有上網(wǎng)活動。其實并非如此，它只會阻止來自外界的連接請求，比如禁止他人訪問用戶共享文件或打印機，而不會阻止用戶主動發(fā)起的連接請求。因此，在公共場所上網(wǎng)時推薦勾選該項。在控制面板中找到并打開“Windows防火墻”(如圖3-

1．設(shè)置“例外”的方法

(1)在如圖3-4所示的對話框中確認沒有選擇“不允許例外”復(fù)選框，然后單擊選擇“例外”選項卡，如圖3-5所示。我們只要把需要當(dāng)作例外的程序、服務(wù)、端口添加到這個“程序和服務(wù)”列表中即可，圖3-5中前面打勾的復(fù)選項表示已經(jīng)加入“例外”中。1．設(shè)置“例外”的方法

(1)在如圖3-4所示的對圖3-5“Windows防火墻”對話框的“例外”選項卡圖3-5“Windows防火墻”對話框的“例外”選項卡(2)如果要讓W(xué)indows不阻止某個程序或服務(wù)，則單擊“添加程序”按鈕，打開如圖3-6所示的對話框。其中的列表中顯示了在程序菜單中顯示的程序，可以直接選擇；如果所要添加的程序或服務(wù)不在列表中，則可以在“路徑”欄中通過單擊“瀏覽”按鈕查找選擇。所選擇的必須是可執(zhí)行文件。最后單擊“確定”按鈕即可添加一個允許通信的程序或服務(wù)。添加后返回到如圖3-5所示的對話框。此時一定要記住再次選擇剛才所添加的程序或服務(wù)，然后再單擊“確定”按鈕使所做設(shè)置生效。(2)如果要讓W(xué)indows不阻止某個程序或服務(wù)，則單圖3-6“添加程序”對話框圖3-6“添加程序”對話框(3)如果要允許某個特定端口(通常對應(yīng)特定的服務(wù))的通信，則要在圖3-5所示的對話框中單擊“添加端口”按鈕，打開如圖3-7所示的對話框。在這里首先要配置一個用于識別的名稱(通常是相應(yīng)端口通信的服務(wù)名稱)，然后在“端口號”文本框中輸入允許通信的端口號(telnet服務(wù)所用的23端口為TCP類型的，所以選擇“TCP”單選按鈕)，最后單擊“確定”按鈕即可添加一個允許通信的端口。添加后同樣返回到如圖3-5所示的對話框。此時也一定要記得再次選擇剛才所添加的程序或服務(wù)項，然后再單擊“確定”按鈕使所做設(shè)置生效。(3)如果要允許某個特定端口(通常對應(yīng)特定的服務(wù))的通圖3-7“添加端口”對話框圖3-7“添加端口”對話框(4)在圖3-6和圖3-7所示的兩個對話框中都有一個“更改范圍”按鈕，單擊它后打開一個如圖3-8所示的對話框。前面我們已經(jīng)說明，本節(jié)和3.1.2節(jié)所進行的設(shè)置將同時作用于當(dāng)前計算機上的所有網(wǎng)絡(luò)連接。?通過如圖3-8所示的對話框可以一次把所做的設(shè)置應(yīng)用于網(wǎng)絡(luò)中多臺計算機，甚至一個子網(wǎng)，或者整個網(wǎng)絡(luò)。(4)在圖3-6和圖3-7所示的兩個對話框中都有一個“圖3-8“更改范圍”對話框圖3-8“更改范圍”對話框如果要將上述設(shè)置應(yīng)用于任何網(wǎng)絡(luò)計算機(包括來自因特網(wǎng)的計算機，如遠程網(wǎng)絡(luò)連接)，則選擇“任何計算機”單選按鈕，這是默認選擇。通過選擇這個單選按鈕，將同時允許本地和遠程網(wǎng)絡(luò)用戶訪問本機共享資源。但是這樣做是比較危險的，所以建議不要這樣選擇。如果要應(yīng)用于本機所在網(wǎng)絡(luò)或子網(wǎng)，則選擇“僅我的網(wǎng)絡(luò)(子網(wǎng))”單選按鈕，通過選擇這樣一個選項，用戶可以僅讓局域網(wǎng)內(nèi)的用戶訪問其共享資源，而因特網(wǎng)上的計算機則不能訪問，這是比較安全的選擇。如果要應(yīng)用于網(wǎng)絡(luò)中特定的IP地址，或者子網(wǎng)上的計算機，則要選擇“自定義列表”單選按鈕，然后在文本框中輸入IP地址、或者子網(wǎng)，多個IP地址或子網(wǎng)之間以逗號分隔。如果要將上述設(shè)置應(yīng)用于任何網(wǎng)絡(luò)計算機(包括來自因特網(wǎng)的計每次將程序、系統(tǒng)服務(wù)或端口添加到例外列表時，都會使計算機更容易受到攻擊。常見的網(wǎng)絡(luò)攻擊使用端口掃描軟件識別端口處于打開和未受保護狀態(tài)的計算機。將很多程序、系統(tǒng)服務(wù)和端口添加到例外列表，將會使防火墻的用途失效，并增加了計算機的攻擊面。在為多個不同角色配置服務(wù)器并且需要打開許多端口以滿足每個服務(wù)器角色的要求時，通常會發(fā)生該問題。用戶應(yīng)該仔細評估需要打開許多端口的任何服務(wù)器的設(shè)計。在單位內(nèi)部，為許多角色配置的或被配置提供許多服務(wù)的服務(wù)器可能是關(guān)鍵故障點，通常表明基礎(chǔ)結(jié)構(gòu)設(shè)計不完善。每次將程序、系統(tǒng)服務(wù)或端口添加到例外列表時，都會使計算機

2．降低安全風(fēng)險的準(zhǔn)則

要降低安全風(fēng)險，應(yīng)遵守以下準(zhǔn)則：

(1)僅在需要例外時創(chuàng)建例外。如果認為某個程序或系統(tǒng)服務(wù)可能需要通過某個端口接收非請求傳入通信，那么只有在確定該應(yīng)用程序或系統(tǒng)服務(wù)已試圖偵聽非請求傳入通信后，才可以將該程序或系統(tǒng)服務(wù)添加到例外列表。默認情況下，程序試圖偵聽非請求通信時，Windows防火墻會顯示通知。還可以使用安全事件日志確定系統(tǒng)服務(wù)是否已試圖偵聽非請求通信。2．降低安全風(fēng)險的準(zhǔn)則

要降低安全風(fēng)險，應(yīng)遵守以下準(zhǔn)(2)對于不認識的程序從不允許例外。如果Windows防火墻通知某個程序已試圖偵聽非請求通信，在將該程序添加到例外列表之前，請檢查該程序的名稱和可執(zhí)行文件(.exe文件)。同樣，如果使用安全事件日志識別已試圖偵聽非請求通信的系統(tǒng)服務(wù)，在為該系統(tǒng)服務(wù)向例外列表添加端口之前，請確定該服務(wù)是合法的系統(tǒng)服務(wù)。

(3)不再需要例外時刪除例外。?在服務(wù)器上將程序、系統(tǒng)服務(wù)或端口添加到例外列表后，如果更改該服務(wù)器的角色或重新配置該服務(wù)器上的服務(wù)和應(yīng)用程序，請確保更新例外列表，并刪除已不必要的所有例外。(2)對于不認識的程序從不允許例外。如果Window

3．其他最佳操作

除了通常用于管理例外的準(zhǔn)則以外，在將程序、系統(tǒng)服務(wù)或端口添加到例外列表時，還請使用下列最佳操作。

(1)添加程序。在嘗試添加端口之前，始終先嘗試將程序(?.exe文件)或在?.exe文件內(nèi)運行的系統(tǒng)服務(wù)添加到例外列表。將程序添加到例外列表時，Windows防火墻將動態(tài)地打開該程序所需的端口。該程序運行時，Windows防火墻允許傳入的通信通過所需的端口；程序不運行時，Windows防火墻將阻止發(fā)送到這些端口的所有傳入通信。3．其他最佳操作

除了通常用于管理例外的準(zhǔn)則以外，在(2)添加系統(tǒng)服務(wù)。如果系統(tǒng)服務(wù)在Svchost.exe內(nèi)運行，請不要將該系統(tǒng)服務(wù)添加到例外列表。將Svchost.exe添加到例外列表就是允許在Svchost.exe的每個實例內(nèi)運行的任何系統(tǒng)服務(wù)都接收非請求傳入通信。只有當(dāng)系統(tǒng)服務(wù)在?.exe文件中運行時或者能夠啟用預(yù)配置的Windows防火墻系統(tǒng)服務(wù)例外(例如“UPnP框架”例外或“文件和打印機共享”例外)時，才應(yīng)該將系統(tǒng)服務(wù)添加到例外列表。

(3)添加端口。將端口添加到例外列表應(yīng)當(dāng)是最后的手段。將端口添加到例外列表時，不管是否有程序或系統(tǒng)服務(wù)在該端口上偵聽傳入的通信，Windows防火墻都允許傳入的通信通過該端口。(2)添加系統(tǒng)服務(wù)。如果系統(tǒng)服務(wù)在Svchost.e3.1.3Windows防火墻的高級設(shè)置

在圖3-5所示對話框中單擊選擇“高級”選項卡，如圖3-9所示。在此可進一步配置一些高級設(shè)置，其中就包括為每個網(wǎng)絡(luò)連接單獨配置例外、設(shè)置安全記錄日志、ICMP(因特網(wǎng)控制消息協(xié)議)消息共享設(shè)置以及恢復(fù)默認設(shè)置。下面分別予以介紹。3.1.3Windows防火墻的高級設(shè)置

在圖3-5圖3-9“Windows防火墻”對話框的“高級”選項卡圖3-9“Windows防火墻”對話框的“高級”選項卡

1．為每個網(wǎng)絡(luò)連接設(shè)置例外

在3.1.2節(jié)我們介紹了Windows防火墻的例外設(shè)置，但那里的設(shè)置是應(yīng)用于本機中所有網(wǎng)絡(luò)連接的，如果要對每個網(wǎng)絡(luò)連接設(shè)置不同的例外服務(wù)項，則需要在如圖3-9所示的“網(wǎng)絡(luò)連接設(shè)置”欄中進行設(shè)置。

設(shè)置每個網(wǎng)絡(luò)連接單獨的例外服務(wù)方法如下：

(1)在“網(wǎng)絡(luò)連接設(shè)置”列表框中選擇要單獨設(shè)置例外的網(wǎng)絡(luò)連接項，然后單擊“設(shè)置”按鈕，打開如圖3-10所示的對話框。在其中也列出了一些常見的例外服務(wù)選項(如HTTP、FTP、POP3和SMTP等)，可根據(jù)需要選擇對應(yīng)例外項前面的復(fù)選框即可。1．為每個網(wǎng)絡(luò)連接設(shè)置例外

在3.1.2節(jié)我們介紹了圖3-10“高級設(shè)置”對話框的“服務(wù)”選項卡圖3-10“高級設(shè)置”對話框的“服務(wù)”選項卡如果一臺服務(wù)器上安裝了多塊網(wǎng)卡，想讓每塊網(wǎng)卡承擔(dān)特定的服務(wù)，如一塊專門用于提供Web服務(wù)，另一塊專門用來提供FTP服務(wù)，還有一塊專門用來提供POP3和SMTP郵件服務(wù)，則我們可以分別在這3塊網(wǎng)卡所對應(yīng)的網(wǎng)絡(luò)連接的對話框選擇“Web服務(wù)器(HTTP)”、“FTP服務(wù)器”、“Post-Office協(xié)議版本3(POP3)”和“Internet郵件服務(wù)器(SMTP)”例外服務(wù)項即可，如圖3-10所示。

另外，如果不想讓遠程用戶通過服務(wù)器中某塊網(wǎng)卡進行遠程桌面連接，則只需在對應(yīng)網(wǎng)卡的對話框中取消選擇“遠程桌面”例外服務(wù)項即可，如圖3-10所示。如果一臺服務(wù)器上安裝了多塊網(wǎng)卡，想讓每塊網(wǎng)卡承擔(dān)特定的服(2)如果要添加其他的例外服務(wù)，則單擊“添加”按鈕，打開如圖3-11所示的對話框。在其中輸入相應(yīng)的服務(wù)信息，如服務(wù)器名、服務(wù)提供主機、內(nèi)外部服務(wù)端口和端口類型。如圖

3-11所示是代理服務(wù)器配置的例子。

(3)添加好后單擊“確定”按鈕，即可把所增加的例外服務(wù)添加到如圖3-10所示的例外列表中，并且自動選擇。

(4)再在如圖3-10所示的對話框中點擊“ICMP”選項卡，如圖3-12所示。(2)如果要添加其他的例外服務(wù)，則單擊“添加”按鈕，打圖3-11“服務(wù)設(shè)置”對話框圖3-11“服務(wù)設(shè)置”對話框圖3-12“高級設(shè)置”對話框“ICMP”選項卡圖3-12“高級設(shè)置”對話框“ICMP”選項卡在這里可以設(shè)置哪類ICMP消息可以共享顯示。選擇對應(yīng)選項后，會在對話框下面顯示相應(yīng)選項的用途，以方便用戶的選擇。如選擇“允許傳入的回顯請求”復(fù)選框，則會在發(fā)送消息的用戶計算機顯示同樣的信息，如進行Ping操作時的回顯消息。在這里可以設(shè)置哪類ICMP消息可以共享顯示。選擇對應(yīng)選項

2．設(shè)置安全日志記錄

進行“安全日志記錄”的設(shè)置時，在如圖3-9所示對話框中的“安全日志記錄”欄中單擊“設(shè)置”按鈕，在打開的如圖3-13所示對話框中進行設(shè)置。

在這里可以設(shè)置日志記錄的事件，可以記錄被丟棄的數(shù)據(jù)包，也可以記錄成功的鏈接，一般都是記錄被丟棄的數(shù)據(jù)包。另外，在“名稱”欄中可以設(shè)置Windows防火墻日志文件的存放路徑和文件名，在“大小限制”欄可以設(shè)置日志文件的最大值。2．設(shè)置安全日志記錄

進行“安全日志記錄”的設(shè)置時，圖3-13“日志設(shè)置”對話框圖3-13“日志設(shè)置”對話框

3．ICMP設(shè)置

在如圖3-9所示對話框中單擊“ICMP”欄中的“設(shè)置”按鈕，打開如圖3-12所示的對話框，也是用來設(shè)置ICMP消息回顯的。前面已作詳細介紹，這里就不再贅述。3．ICMP設(shè)置

在如圖3-9所示對話框中單擊“IC3.1.4通過組策略設(shè)置Windows防火墻

通過組策略可以控制Windows防火墻狀態(tài)和設(shè)置允許的例外，方法如下：

(1)執(zhí)行“開始”→“運行”菜單命令，在打開的“運行”窗口中輸入“gpedit.msc”，然后單擊“確定”按鈕，即可打開如圖3-14所示的組策略編輯器管理單元。3.1.4通過組策略設(shè)置Windows防火墻

通過組圖3-14組策略編輯器圖3-14組策略編輯器(2)在左側(cè)導(dǎo)航窗口中依次展開“計算機配置→管理模塊→網(wǎng)絡(luò)→網(wǎng)絡(luò)連接→Windows防火墻”，參見圖3-14。在右邊的“Windows防火墻”窗格中可以看到兩個分支，一個是域配置文件，另一個是標(biāo)準(zhǔn)配置文件。如果當(dāng)前計算機是加入到域文件中的，則是域文件起作用，相反，則是標(biāo)準(zhǔn)配置文件起作用。即使沒有配置標(biāo)準(zhǔn)配置文件，默認的值也會生效，在此以個人計算機的標(biāo)準(zhǔn)配置文件為例進行介紹，如圖3-15所示。(2)在左側(cè)導(dǎo)航窗口中依次展開“計算機配置→管理模塊→圖3-15標(biāo)準(zhǔn)配置文件窗口圖3-15標(biāo)準(zhǔn)配置文件窗口(3)系統(tǒng)默認的是沒有配置任何選項。首先看一下“保護所有網(wǎng)絡(luò)連接”策略項，雙擊后可打開配置對話框，如圖3-16所示，選擇“已啟用”單選按鈕，然后單擊“確定”按鈕即可啟用“保護所有網(wǎng)絡(luò)連接”策略項。啟用這個策略項后，相當(dāng)于在所有網(wǎng)絡(luò)連接上啟用Windows防火墻保護功能，如果禁用此策略設(shè)置，Windows防火墻將不會運行。其他策略項配置對話框的打開方法也是如此。(3)系統(tǒng)默認的是沒有配置任何選項。首先看一下“保護所圖3-16“保護所有網(wǎng)絡(luò)連接”配置窗口圖3-16“保護所有網(wǎng)絡(luò)連接”配置窗口3.2IE安全設(shè)置

IE瀏覽器是我們最常用的因特網(wǎng)瀏覽器，但也是網(wǎng)絡(luò)安全威脅的最大隱患。本節(jié)的學(xué)習(xí)主要用來防止來自惡意網(wǎng)頁的攻擊。以目前應(yīng)用最廣的IE7.0為基礎(chǔ)介紹一些與安全有關(guān)的主要安全設(shè)置。3.2IE安全設(shè)置

IE瀏覽器是我們最3.2.1Internet安