《设置系统提高安全》PPT课件.ppt

第一章设置系统提高安全 建立防御基地操作系统是用户与电脑交流的接口 是各应用软件在电脑中赖以生存 协调工作的基地 操作系统的安全关系到用户重要资料的安全性以及整机系统的稳定性 下面就来看看如何提高操作系统的安全防御能力 第一节系统密码登录安全系统密码主要包括系统登录密码 屏保密码 电源管理密码等 它们就像用户家里的钥匙 只有拥有正确的密码 才能进入系统中进行相应的操作 所以登录密码是保护系统安全的第一道屏障 一 使用Windows登录账户除BIOS密码外 登录密码是用户进入系统的第一道防线 加强操作系统的安全性 设置系统密码是必需的 否则就等于为入侵者敞开了方便之门 windows2000 xP Server2003 Vista用户登录密码的设置方法类似 下面以在WindowsxP中设置用户登录密码为例进行介绍 第1步 在桌面上用鼠标右键单击 我的电脑 选择 管理 菜单项 打开 计算机管理 窗口 策2步 展开 本地用户和组 用户 在窗口右侧选中登录用户 单击鼠标右键 选择 设置密码 菜单项 弹出密码设置窗口 两次输入将要设置的密码 单击 确定 按钮退出即可 第3步 重新启动电脑让设置的密码生效 二 屏幕保护程序密码在网吧 学校机房等公共场所使用电脑 暂时离开电脑时 启用屏保程序可以防止他人使用电脑 Windows98 2000 XP Server2003 Vista都提供了屏保功能 下面以在WindowsxP中设置屏保及屏保密码为例进行介绍 1 在桌面上任意地方单击鼠标右键 选择 属性 菜单项 打开 显示属性 窗口 2 切换到 屏幕保护程序 选项卡 选择一个喜欢的屏保程序 并设置用户在操作后等待多长时间启用屏保程序 建议等待时间设置短暂一些 3 勾选 在恢复时使用密码保护 复选框 即用户在恢复使用电脑时 需要输入登录密码才能进入系统 注 对使用Windows2000 XP Server2005 Vista的用户来说 当需要暂时离开电脑时 可按下 Ctrl Alt 计DeI 组合键锁定电脑 对使用Windows98的用户来说 则只能借助屏幕保护的方法 保证自己在离开座位的时候电脑不被别人使用 三 电源管理密码对Windows系统的电源管理设置密码后 当系统从节能状态返回时 只有输入正确的密码后 才能令电脑从 挂起 状态返回正常状态 这样才能进一步地保证电脑的安全 下面以在WindowsXP中设置电源管理密码为例进行介绍 第1步 单击菜单 开始 控制面板 打开 控制面板 窗口 第2步 双击 电源选项 图标 打开 电源选项属性 窗口 切换到 电源使用方案 选项卡 系统待机 下拉列表中选择系统持机的时间 第3步 切换到 高级 选项卡 在 选项 组合框中勾选 在计算机从待机状态恢复时 提示输入密码 复选框 设置好后单击 确定 按钮返回即可 这样当电脑从节能状态返回时就会要求用户输入密码 四 密码设置原则与技巧Windows操作系统的密码 口令 十分重要 它是抵抗攻击的第一道防线 用户必须把密码安全作为安全策略的第一步 如果攻击者未能窃取到系统密码 那么采取的入侵方法也就不多了 因此 必须设置安全的系统密码 通常 用户在设置系统密码时应遵循以下原则 密码字符数足够多 最好不少于8个字符 不适应常用的单词 中英文昵称 生日 电话号码等作为系统密码 密码中同时包含多种类型的字符 比如大写字母 A B C Z 小写字母 a b c z 数字 0 1 2 9 标点符号 密码中不含有重复的字母或数字 定期修改密码 第二节安全设置在病毒 木马 恶意软件盛行的互联网上 保证电脑绝对安全虽然难以做到 但配置相对安全的系统可以最大程度降低系统被攻击的几率 本节就来介绍操作系统的常用安全设置方法与技巧 一 隐私保护为系统设置密码固然重要 但也不是万事大吉 总有不法分子在千方百计地想攻克用户密码 因此加固系统密码 对保护自己的隐私非常重要 WindowsXP真正的超级管理员账号是安全模式下的 Administrator 账户 而不是正常模式下的 Administrator 账户 在默认情况下 安全模式下的 Administrator 密码为空 无论用户在正常模式下将 Administrator 密码设置得多么复杂 只要是没有设置安全模式下 Administrator 的密码 该用户的电脑就毫无秘密可言 在安全模式下设置 Administrator 用户密码的方法与正常模式下普通用户密码的设置方法一样 可参照本章第一节的有关内容 注 为了系统更加安全 建议对系统默认的超级用户名 Administrator 进行改名 然后再设置一个足够复杂的密码 停用或删除一切不必要的系统用户 二 安全共享共享文件 文件夹 为用户电脑互访提供了方便 同时也带来了一定的安全隐患 下面就来看看如何对系统中的共享资源进行安全设置 1 批处理自启动法打开记事本并输入以下内容 netshareC deletenetshareD delete 根据实际盘符数进行输入 netshareipc deletenetshareadmin delete保存该文件为 bat 文件 然后把该文件添加到启动选项即可 2 停止共享服务第1步 在桌面上用鼠标右键单击 我的电脑 选择 管理 菜单项 打开 计算机管理 窗口 第2步 展开左侧的 服务和应用程序 服务 在窗口的右侧找到共享服务对应的名称是 Server 在进程中的名称为 services 第3步 双击 Server 服务项 在弹出的窗口中选择 常规 选项卡 把 启动类型 更改为 已禁用 在 服务状态 区域单击 停止 按钮 设置好后单击 确定 按钮即可 注 访问WindowsXP默认共享非常简单 单击菜单 开始 运行 输入 计算机名或IP地址 D 或admin 即可 也可在IE等浏览器的地址栏中输入上述的命令或 File 10 80 34 55 d 来进行访问 4 关闭不用的共享端口139端口 445端口是常用的共享打印机 共享文件夹端口 如果用户不需要访问共享资源 可将这些端口关闭 防止黑客通过这些端口扫描到系统中的共享资源 其关闭方法在本章第三节中详述 三 注册表安全设置注册表 Registry 整合 集成了全部系统和应用程序的初始化信息 其中包含硬件设备的说明 相互关联的应用程序与文档文件 窗口显示方式 网络连接参数 甚至关系到电脑安全的网络设置 病毒 木马 黑客程序等攻击用户电脑时 都会对注册表进行一定的修改 因此注册表的安全设置非常重要 1 抵御BackDoor 后门程序 破环BackDoor是黑客程序中的一种后门程序 专门针对系统的漏洞进行攻击 为防止这种程序对系统造成破坏 用户有必要通过相应的设置来进行预防 打开注册表编辑器 展开分支到 HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run 如果在窗口右边发现有 Notepad 键值 将它删除即可达到预防的目的 2 禁用控制面板控制面板是Windows系统的控制中心 可以对设备属性 文件系统 安全口令等系统关键属性进行修改 用户可以根据需要隐藏和禁止使用控制面板 打开注册表编辑器 展开 HKEY CURRENT USER Software Mlcrosoft Windows CurrentVersion Policies System 在窗口右侧新建一个 DWORD 类型的子健 NoDispCPL 修改其值为 1 即可 3 锁定桌面桌面设置包括壁纸 图标以及快捷方式 它们的设置一般都是用户经过精心选择才设定好的 大多数情况下 用户都不希望他人随意修改桌面设置或随意删除快捷方式 那怎么办呢 其实 修改注册表就可以帮用户锁定桌面 这里 锁定 的含义是对他人的修改不做储存 无论别人怎么改 重新启动电脑后 用户原来的设置就会原封不动地出现 打开注册表编辑器 展开 HKEY CURRENT USER Software Mlcrosoft Windows CurentVersion Polioies Explores 双击子健 NoSaveSetting 将其键值从 0 改为 1 既可 4 禁止远程修改注册表如果黑客能连接到用户的电脑 而且电脑启用了远程注册表服务 RemoteRegistry 那么黑客就可远程设置注册表中的服务 因此远程注册表服务需要特别保护 如果用户仅仅将远程注册表服务 RemoteRegistry 的启动方式设置为 禁用 黑客在入侵电脑后 仍然可以通过简单的操作将该服务从 禁用 改为 自动启动 因此有必要将该服务删除 打开注册表编辑器 展开 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services 找到 RemoteRegistry 项 右键单击该项 选择 删除 菜单项 将该键删除 这样 以后就无法启动该服务了 5 禁止病毒启动服务目前 病毒不但可以通过注册表的 RUN 或 MSCONFIG 中的项目进行加载 而且部分高级病毒会通过系统服务进行加载 那么 我们能不能使病毒或木马没有启动服务的相应权限呢 当然可以 单击菜单 开始 运行 输入 regedt32 启用带权限分配功能的注册表编辑器 展开 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services 分支 用鼠标右键单击 Services 选择 权限 菜单项 弹出 Services权限设置 窗口 单击 添加 按钮 添加 Everyone 账号 选中 Everyone 账号 将该账号的 读取 权限设置为 允许 并取消 完全控制 权限 现在任何木马或病毒都无法自行启动系统服务了 6 禁止病毒自行启动很多病毒都是通过注册表中的 RUN 值进行加载而实现随操作系统的启动而启动的 用户可以按照 禁止病毒启动服务 中介绍的方法将病毒和木马对该键值的修改权限去掉 运行 regedt32 命令 启动注册表编辑器 展开 HKEY CURRENT MACHINE SOFTWARE Microsoft Windows CurrentVersion RUN 分支 将 Everyone 对该分支的 读取 权限设置为 允许 取消对 完全控制 权限的选择 这样病毒和木马就无法通过该键值启动自身了 四 组策略安全设置Windows2000 XP Server2003 Vista自带 本地安全策略 是一个不错的系统安全管理工具 通过对账户 密码 安全选项的合理设置 可以提供系统的高安全性 下面以WindowsxP为例介绍最主要的安全设置 1 密码安全策略密码是系统安全的一大隐患 通过组策略可以设置更安全的系统密码 第1步 单击菜单 开始 运行 在弹出的窗口中输入 gpedit msc 命令 打开 组策略 窗口 第2步 展开 计算机配置 Windows设置 安全设置 账户策略 密码策略 在窗口右侧会出现一系列的密码设置项 经过这里的配置 可以建立一个完备的密码策略 使密码得到最大限度地保护 1 强制密码历史 该设置项决定了保存用户曾经用过的密码个数 经常更换密码可以提高密码的安全性 但由于个人习惯 常常换来换去就是有限的几个密码 配置该策略就可以让系统记住用户曾经使用过的密码 如果更换的新密码与系统 记忆 中的重复 系统就会给出提示 默认情况下 这个策略不保存用户的密码 可以根据自己的习惯进行设置 建议保存5个以上 最多可以保存24个 2 密码最长存留期 这个策略决定了一个密码可以使用多久 之后就会过期 密码过期时系统会要求用户更换密码 如果设置为 0 则密码永不过期 一般情况下可设置为30 60天 最长可以设置999天 3 密码最短存留期这个策略决定了一个密码要在使用多久之后才能被修改 设置为 0 表示一个密码可以被无限制地重复使用 最大值为 999 这个策略与 强制密码历史 结合起来 可以得知新的密码是否是以前使用过的 如果是 则不能继续使用这个密码 如果 密码最短存留期 为 0 天 即密码永不过期 这时设置 强制密码历史 则无效 要使 强制密码历史 有效 应该将 密码最短存留期 的值设为大于 0 4 密码长度最小值这个策略决定了一个密码的长度 有效值在 0 到 14 之间 如果设置为 0 则表示不需要密码 为系统的默认值 从安全角度来考虑 建议密码长度不小于6位 5 密码必须符合复杂性要求如果启用了这个策略 则在设置和更改一个密码时 系统将会按照下面的规则检查密码是否有效 密码不能包含全部或者部分的用户名 最少包括6个字符 密码必须包含以下四个类别中的三个类别 大写英文字母A z 小写英文字母a z 数字0 9 特殊字符 例如 等 启用该策略 设置的密码会比较安全 因为系统会强制用户使用这种安全性高的密码 如果在创建或修改密码时没有达到这个要求 系统会给出提示并要求重新输入符合要求的安全密码 2 用户权限指派在 组策略 窗口中展开 计算机配置 Windows设置 安全设置 本地策略 用户权利指派 在窗口右边便能看到 用户权利指派 下的所有设置 例如 拒绝某个用户从网络访问这台计算机 则双击 拒绝从网络访问这台计算机 设置项 在弹出对话框中选中该用户 如 guest 然后单击 删除 按钮进行删除即可 此外 在这里还可给用户添加许多权限 例如给 guest 添加远程关机权限 给一般用户添加更改系统时间的权限等 3 重命名和禁用默认的账户 安装好Windows后 系统会自动建立两个账户 Administrator 和 Guest 其中 Administrator 拥有最高权限 Guest 则只有基本的权限 且默认是禁用的 这样的账户设置虽然方便 但却严重危害到了系统的安全 如果黑客入侵或者遭遇其他恶意破坏 系统的超级用户名会立刻暴露出来 破坏者会马上有针对性地寻找密码 为系统安全起见 可以更改 Administrator 账户名称 然后建立一个几乎没有任何权限的假 Administrator 账户 具体的方法如下 在 组策略 窗口中展开 计算机配置 Windows设置 安全设置 本地策略 安全选项 在窗口右边双击 账户 重命名系统管理员账户 策略 在弹出的窗口中为 Administrator 重新设置一个平淡的用户名 然后新建一个名称为 Administrator 的受限制用户 以迷惑入侵者 4 禁止访问注朋表编辑工具 该策略将禁用 Regedit exe 以禁用Windows注册表编辑器 这样可以在很大程度上防止网页上的恶意代码篡改IE 在 组策略 窗口中 展开 用户配置 管理模板 系统 双击 阻止访问注册表编辑工具 在弹出的窗口中选中 已启用 单选项 单击 确定 按钮即可 5 锁定无效登录 为了防止他人进入电脑时 反复用猜测密码的方式登录 用户可以锁定无效登录 当密码输入错误达设定次数后 便锁定此账户 在一定时间内不能再以该账户登录 在 组策略 窗口中展开 计算机配置 Windows设置 安全设置 账户策略 账户锁定策略 在窗口右边双击 账户锁定阀值 在弹出的设置对话框中输入无效登录的次数 一般设3次为宜 单击 确定 按钮 系统自动将锁定时间和计数器清零的时间设置为 30分钟 用户可以根据需要打开这两个策略修改时间 经过以上设置 就能够阻止靠猜密码登录的非法用户了 6 设置账户保密 默认情况下 在系统登录框中会保留上次登录的用户名 这方便了该用户的登录 但却留下了安全隐患 特别是对管理员账户 暴露账户名称非常危险 在组策略中隐藏上次登录账户的设置方法如下 在 组策略 窗口中展开 计算机配置 Windows设置 安全设置 本地策略 安全选项 在窗口右边找到 在登录屏幕上不要显示上次登录的用户名 双击此策略 在弹出的窗口中将其设置为 已启用 进行此项设置后 系统启动或注销后 登录框中用户名为空 必须输入完整有效的用户名和密码才能登录 五 系统防火墙设置为增加系统的安全性 抵御病毒 黑客的攻击 Windows2000 xP Server2003 Vista都带有防火墙功能 安装好操作系统后 系统防火墙默认被启动 是电脑抵御攻击的有效防护措施 下面以设置WindowsxPSP3防火墙为例进行介绍 第1步 打开 控制面板 窗口 双击 Windows防火墙 打开 防火墙窗口 第2步 在 常规 选项卡下有三个选项 启用 推荐 不允许例外和关闭 不推荐 默认选择 启用 如果勾选了 不允许例外 复选框 Windows防火墙将拦截所有的连接到用户计算机的网络请求 包括在 例外 选项卡中列表的应用程序和系统服务 另外 防火墙也将拦截文件和打印机共享 以及网络设备的侦测 使用 不允许例外 选项的Windows防火墙比较适用于连接在公共网络上的个人电脑 比如在宾馆和机场等公共场合使用的电脑 第3步 切换到 例外 选项卡 在 程序和服务 列表中显示了连接到网络上的所有应用程序 用户可以手动设置允许连接的网络的程序 包括添加程序 添加端口 编辑 删除 如果用户希望网络中 防火墙外 的其他客户端能够访问本地的某个特定程序或服务 而又不知道这个程序或服务将使用哪一个端口和哪一类型端口 这时可以将这个程序或者服务添加到Windows防火墙的例外项中 以保证它能被外部访问 如果知道程序所用的端口 也可为程序开启所需的端口 当然 如果需要禁止某程序访问网络 直接删除此规则即可 第4步 切换到 高级 选项卡 在这里 用户可以为每个连接设置不同的规则 以适应不同的要求 第三节系统漏洞从微软推出Windows操作系统到windowsvista系统 系统本身存在不可避免的漏洞 一直困扰着广大用户 因为各种黑客 病毒 木马程序侵入电脑 经常是利用系统漏洞来进行的 一旦用户的系统在管理上出现了问题 就很容易被黑客光顾 因此 保护系统安全 抵御系统漏洞就显得尤为重要 一 为系统打漏洞补丁程序随着电脑技术的不断发展 病毒 木马程序的危害性也在不断升级 黑客们总在千方百计寻找Windows系统的漏洞 并利用发现的漏洞 对用户电脑进行攻击 为修复Windows新出现的漏洞 微软公司会不定期为操作系统推出补丁程序 以增加系统的安全性 目前 微软各操作系统的最新补丁程序如表1一1所示 表1 1Windows操作系统补丁程序 为系统安装补丁程序 用户可选择在互联网上下载最新的补丁程序 然后进行安装 也可利用Windows提供的在线更新功能 在线更新补丁程序 1 在线更新Windowsxp第1步 单击菜单 开始 WindowsUpdate 打开在线更新网页 单击 快速 按钮开始搜索最新的补丁程序 策2步 单击 立即下载和安装 按钮 开始下载最新补丁程序 安装完成后 安装程序提示已成功更新系统 单击 关闭 按钮即可 2 下载安装WindowsVistaSP1第1步 到互联网上下载WindowsVistaSP1 然后运行下载的程序包 安装程序开始自解压压缩包 直接单击 Next 按钮 第2步 在随后出现的窗口中单击 Next 按钮 出现安装许可协议窗口 勾选 Iacceptthetemsofthelicensagremment 复选框 单击 Next 按钮继续安装 第3步 安装过程中安装程序会对操作系统进行更新 安装完成后单击 Finsh 按钮即可 二 系统端口漏洞防御除了为系统安装最新的补丁程序来抵御系统漏洞外 在日常使用过程中 用户还需要采取一定的防御措施来堵住系统漏洞 如关闭不常用的服务端口 1 关闭不用的端口每一项服务都对应相应的端口 比如 WWW服务 的端口是80端口 SMTP服务的端口是25端口 FTP服务的端口是21端口 在Windows系统安装过程中 在默认情况下这些服务端口都是自动开启的 对于个人用户来说 有些服务端口根本都用不上 开启端口反而引起黑客的注意 所以用户可以把无用的服务端口关闭掉 第1步 打开 控制面板 窗口 双击 网络连接 打开 网络连接 窗口 用鼠标右键单击 本地连接 选择 属性 菜单项 打开该连接的属性窗口 第2步 选择 Internet协议 TCP IP 单击 属性 按钮 弹出 Internet协议 TCP IP 窗口 单击 高级 按钮 弹出 高级TCP IP设置 窗口 切换到 选项 选项卡 单击 属性 按钮 弹出 TCP IP筛选 窗口 第3步 勾选 启用TCP IP筛选 所有适配器 复选框 如果希望开放112端口 则在TCP端口上选择 只允许 选项 单击 添加 按钮 在弹出的 添加筛选器 对话框中输入要添加的112端口 UDP端口设置同上 这样黑客要想入侵 必须从用户所允许开放的端口里侵入 其他关闭端口是无法入侵的 2 远程服务尽量屏蔽Windows2000 xP Server2003 Vista系统在缺省状态下会自动启用一些远程服务 而有的远程服务 用户平时很少会用到 如果不及时屏蔽这些服务 黑客就可能利用这些服务来远程攻击用户系统 打开 控制面板 窗口 双击 管理工具 双击 服务 打开 服务 窗口 选中不需要的远程服务项目 如 TaskSchedule 服务 TaskScheduler服务则允许你在计算机上配置和制定自动任务的日程 RemoteRegistryService 服务 使远程用户能修改此计算机上的注册表设置 Telnet 服务 允许用户登录进入远程主机系统 等 双击选中的服务选项 弹出服务设置窗口 将 启动类型 设置为 已禁用 设置好后单击 确定 按钮 使设置生效 3 关闭139端口 用鼠标右键单击桌面上的 网上邻居 选择 属性 菜单 打开 网络连接 窗口 用鼠标右键单击 本地连接 打开其属性窗口 选择 Internet协议 TCP IP 单击 属性 按钮 在打开的窗口中单击 高级 按钮 弹出 高级TCP IP设置 窗口 选择 WINS 选项卡 选择 禁用TCP IP的NETBIOS 单选项即可关闭139端口 139端口是一种