用“本地安全策略”保護(hù)系統(tǒng)安全

2020-10-24 14:45:46

字體：大中小

供稿：網(wǎng)友

Windows XP系統(tǒng)自帶的“本地安全策略”是一個(gè)很不錯(cuò)的系統(tǒng)安全管理工具，利用好它可以使我們的系統(tǒng)更安全。　　

　　首先，我們就來(lái)說(shuō)一下如何啟動(dòng)“本地安全策略”。單擊“控制面板”　“管理工具”　“本地安全策略”后，會(huì)進(jìn)入“本地安全策略”的主界面。在此可通過(guò)菜單欄上的命令設(shè)置各種安全策略，并可選擇查看方式，導(dǎo)出列表及導(dǎo)入策略等操作。　　

　　接下來(lái)我們來(lái)探討一下“本地安全策略” 的妙用。　　

　　禁止枚舉賬號(hào)　　

　　我們知道，某些具有黑客行為的蠕蟲(chóng)病毒可以通過(guò)掃描Windows 2000/XP系統(tǒng)的指定端口，然后通過(guò)共享會(huì)話猜測(cè)管理員系統(tǒng)口令。因此，我們需要通過(guò)在“本地安全策略”中設(shè)置禁止枚舉賬號(hào)，從而抵御此類入侵行為，操作步驟如下：
　　

　　

　　在“本地安全策略”左側(cè)列表的“安全設(shè)置”目錄樹(shù)中，逐層展開(kāi)“本地策略”　“安全選項(xiàng)”。查看右側(cè)的相關(guān)策略列表，在此找到“網(wǎng)絡(luò)訪問(wèn)：不允許SAM賬戶和共享的匿名枚舉”（圖1），用鼠標(biāo)右鍵單擊，在彈出菜單中選擇“屬性”，而后會(huì)彈出一個(gè)對(duì)話框，在此激活“已啟用”選項(xiàng)，最后點(diǎn)擊“應(yīng)用”按鈕使設(shè)置生效。　　

　　賬戶管理　　

　　為了防止入侵者利用漏洞登錄機(jī)器，我們要在此設(shè)置重命名系統(tǒng)管理員賬戶名稱及禁用來(lái)賓賬戶。設(shè)置方法為：在“本地策略”　“安全選項(xiàng)”分支中，找到“賬戶：來(lái)賓賬戶狀態(tài)”策略，點(diǎn)右鍵彈出菜單中選擇“屬性”，而后在彈出的屬性對(duì)話框中設(shè)置其狀態(tài)為“已停用”，最后“確定”退出。

　　下面，我們?cè)俨榭础百~戶：重命名系統(tǒng)管理員賬戶”這項(xiàng)策略，調(diào)出其屬性對(duì)話框，在其中的文本框中可自定義賬戶名稱（圖2）。

　　指派本地用戶權(quán)利　

　　如果你是系統(tǒng)管理員身份，可以指派特定權(quán)利給組賬戶或單個(gè)用戶賬戶。在“安全設(shè)置”中，定位于“本地策略”　“用戶權(quán)利指派”，而后在其右側(cè)的設(shè)置視圖中，可針對(duì)其下的各項(xiàng)策略分別進(jìn)行安全設(shè)置（圖3）。
　　

　　例如，若是希望允許某用戶獲得系統(tǒng)中任何可得到的對(duì)象的所有權(quán)：包括注冊(cè)表項(xiàng)、進(jìn)程和線程以及NTFS文件和文件夾對(duì)象等（該策略的默認(rèn)設(shè)置僅為管理員）。首先應(yīng)找到列表中“取得文件或其他對(duì)象的所有權(quán)”策略，用鼠標(biāo)右鍵單擊，在彈出菜單中選擇“屬性”，在此點(diǎn)擊“添加用戶或組”按鈕，在彈出對(duì)話框中輸入對(duì)象名稱，并確認(rèn)操作即可。　　

　　活用IP策略　　

　　我們知道，無(wú)論是哪一種黑客程序，大多都是通過(guò)端口作為通道。

　　因此，我們需要關(guān)閉那些可能成為入侵通道的端口。你可以上網(wǎng)查詢一下相關(guān)危險(xiǎn)端口的資料，以做到有備而戰(zhàn)。下面我們以Telnet利用的23端口為例來(lái)加以說(shuō)明（筆者的操作系統(tǒng)為Windows XP）。

　　首先單擊“運(yùn)行”在框中輸入“mmc”后回車，彈出控制臺(tái)的窗口。我們依次選擇“文件”　“添加/刪除管理單元”　“在獨(dú)立標(biāo)簽欄中點(diǎn)擊‘添加'”　“IP安全策略管理”，最后按提示完成操作。這時(shí)，我們已把“IP安全策略，在本地計(jì)算機(jī)”（以下簡(jiǎn)稱“IP安全策略”）添加到“控制臺(tái)根節(jié)點(diǎn)”下（圖4）。

　　現(xiàn)在雙擊“IP安全策略”就可以新建一個(gè)管理規(guī)則。右擊“IP安全策略”，在彈出的快捷菜單中選擇“創(chuàng)建IP安全策略”，打開(kāi)IP安全策略向?qū)Вc(diǎn)擊“下一步”　“名稱默認(rèn)為‘新IP安全策略'”　“下一步”　“不必選擇‘激活默認(rèn)響應(yīng)規(guī)則'”，注意：在點(diǎn)擊“下一步的同時(shí)，需要確認(rèn)此時(shí)“編輯屬性”被選中，然后選擇“完成，出現(xiàn)“新IP安全策略屬性”窗口（圖5），選擇“添加”，然后一直點(diǎn)擊“下一步”，不必選擇“使用添加向?qū)А边x項(xiàng)。

　　在尋址欄的源地址應(yīng)選擇“任何IP地址”，目標(biāo)地址選擇“我的IP地址”（不必選擇鏡像）。在協(xié)議標(biāo)簽欄中，注意類型應(yīng)為TCP，并設(shè)置IP協(xié)議端口從任意端口到此端口23，最后點(diǎn)擊“確定”即可。這時(shí)在“IP篩選器列表”中會(huì)出現(xiàn)一個(gè)“新IP篩選器”，選中它，切換到“篩選器操作”標(biāo)簽欄，依次點(diǎn)擊“添加”　“名稱默認(rèn)為‘新篩選器操作'”　“添加”　“阻止”　“完成”。

　　新策略需要被激活才能起作用，具體方法是：在“新IP安全策略”上點(diǎn)右鍵，選擇“指派”剛才制定的策略。　　

　　現(xiàn)在，當(dāng)我們從另一臺(tái)電腦Telnet到設(shè)防的這一臺(tái)時(shí)，系統(tǒng)會(huì)報(bào)告登錄失敗；用掃描工具掃描這臺(tái)機(jī)子，會(huì)發(fā)現(xiàn)23端口仍然在提供服務(wù)。以同樣的方法，大家可以把其他任何可疑的端口都封殺掉，讓不速之客們大叫“不妙”去吧。　　

　　加強(qiáng)密碼安全　　

　　在“安全設(shè)置”中，先定位于“賬戶策略”　“密碼策略”，在其右側(cè)設(shè)置視圖中，可酌情進(jìn)行相應(yīng)的設(shè)置，以使我們的系統(tǒng)密碼相對(duì)安全，不易破解。防破解的一個(gè)重要手段就是定期更新密碼，大家可據(jù)此進(jìn)行如下設(shè)置：鼠標(biāo)右鍵單擊“密碼最長(zhǎng)存留期”，在彈出菜單中選擇“屬性”，在彈出的對(duì)話框中，大家可自定義一個(gè)密碼設(shè)置后能夠使用的時(shí)間長(zhǎng)短（限定于1至999之間）。

　　此外，通過(guò)“本地安全設(shè)置”，還可以通過(guò)設(shè)置“審核對(duì)象訪問(wèn)”跟蹤用于訪問(wèn)文件或其他對(duì)象的用戶賬戶、登錄嘗試、系統(tǒng)關(guān)閉或重新啟動(dòng)以及類似的事件。諸如此類的安全設(shè)置，不一而足。大家在實(shí)際應(yīng)用中會(huì)逐漸發(fā)覺(jué)“本地安全設(shè)置”的確是一個(gè)不可或缺的系統(tǒng)安全工具。

上一篇：鼠標(biāo)與“助手”的不解之緣

下一篇：實(shí)用：IE瀏覽器精典技巧兩則