ncre一级网络安全素质教育ch3

1、第三章 计算机系统安全 操作系统（Operating System，OS）是管理和控制计算机硬件与软件资源的计算机程序，是直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行。无论计算机在运行什么程序，如果操作系统的安全性得不到保证，程序的安全性更无从谈起。2017年1月 主流操作系统市场份额 第三章 计算机系统安全3.1 账户管理3.2 注册表安全3.3 策略安全3.4 密码设置安全3.5 系统补丁3.6 文件安全3.7 端口控制3.8 备份与恢复3.1 账户管理 用户账户是通知Windows用户可以访问哪些文件和文件夹，可以对计算机和个人首选项（如桌面背景和

2、屏幕保护程序）进行哪些修改的信息集合。不同的用户拥有不同的权限，拥有某个相同权限的用户集合就构成一个账户组。 在Windows 7中，存在3种类型的账户，每种类型为用户提供不同的计算机控制级别： 标准用户账户：适用于日常计算。 管理员账户：可以对计算机进行最高级别的控制。 来宾账户（Guest）：主要针对需要临时使用计算机的用户。3.1.1创建账户和账户组1.账户的创建在“开始”中打开“控制面板”3.1.1创建账户和账户组1.账户的创建选择“添加或删除用户账户”设置账户名称及类型3.1.1创建账户和账户组2.账户组的创建右键“计算机”选择“管理”在“计算机管理页面”新建账户组3.1.1创建账户

3、和账户组2.账户组的创建“新建组”界面“选择用户”界面3.1.1创建账户和账户组3.1.2账户权限控制 在Windows 7操作系统中账户分为计算机管理员和标准用户账户两种类型。 计算机管理员账户拥有对全系统的控制权，能改变系统设置，可以安装和删除程序，能访问计算机上所有的文件。除此之外，它还拥有控制其他账户的权限。 标准用户账户是受到一定限制的账户，在系统中可以创建多个此类账户，也可改变其账户类型。该账户可以访问已经安装在计算机上的程序，可以设置自己账户的图片、密码等，但无权更改计算机的部分设置。3.1.2账户权限控制在控制面板中选择“用户账户和家庭安全”选择“用户账户”3.1.2账户权限控

4、制选择“更改账户类型”选择新的账户类型并确定修改3.1.3清除不必要的账户右键“计算机”选择“管理”在计算机管理页面中选择要删除的账户3.1.4安全密码设置 为安全起见，用户的账户密码应不少于8位，并且应由英文大小写字母、数字以及特殊符号构成，例如“a1#9sAf*(”“5dF*2#a3$1B”等字符串。关于密码安全性还会在3.3.1节账户策略中进行讲解。3.1.4安全密码设置在控制面板中选择“用户账户和家庭安全”选择“用户账户”3.1.4安全密码设置选择“更改密码”设置安全的密码并确定更改 第三章 计算机系统安全3.1 账户管理3.2 注册表安全3.3 策略安全3.4 密码设置安全3.5 系

5、统补丁3.6 文件安全3.7 端口控制3.8 备份与恢复3.2 注册表安全 注册表（Registry）中存放着各种参数，直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序运行的正常与否。如果注册表由于各种原因受到了破坏，轻者使Windows的启动过程出现异常，重者可能会导致整个Windows系统的完全瘫痪。 病毒、木马以及黑客程序最喜欢入侵的地方就是注册表，通过修改注册表，它们能实现恶意程序的自动运行、破坏和传播等目的。因此对注册表进行安全设置是非常有必要的。3.2.1 注册表文件的位置同时按下“Win”键与“R”键打开“运行”程序，输入“regedit”注册表编

6、辑器3.2.1 注册表文件的位置 在注册表编辑器左侧的窗口中，可以看到五个“根键”。在注册表中，所有的数据都是通过一种树状结构，以根键、主键和子键的方式组织起来，和资源管理器内的目录结构基本一致。3.2.2 访问授权和审核 在Windows操作系统中，计算机使用者可以启动注册表的审核功能，对授予权限的用户启用审核操作，通过监控审核结果，确认是否有非法账户在访问注册表的指定项。3.2.2 访问授权和审核修改根键权限用户权限显示3.2.2 访问授权和审核添加要审核的项目添加审核对象3.2.3 关闭Windows注册表的远程访问 在Windows操作系统中，计算机使用者可以启动注册表的审核功能，对授

7、予权限的用户启用审核操作，通过监控审核结果，确认是否有非法账户在访问注册表的指定项。3.2.3 关闭Windows注册表的远程访问在“运行”中输入“services.msc”在服务列表中找到“Remote Registry”3.2.3 关闭Windows注册表的远程访问右键打开“属性”修改启动类型为“禁用”3.2.4 注册表备份和恢复 注册表以二进制形式存储在硬盘上，错误地修改注册表可能会严重损害系统。由于注册表包含了系统启动、文件关联、系统安全等一系列重要数据，为了保证系统的安全，建议对注册表信息进行备份。3.2.4 注册表备份和恢复下拉“文件”菜单点击“导出”1.备份选择“导出”位置，点击

8、保存3.2.4 注册表备份和恢复下拉“文件”菜单点击“导入”选择备份文件进行恢复2.恢复3.2.5 禁止注册表编辑器运行在“运行”中输入“gpedit.msc”打开“阻止访问注册表编辑工具”3.2.5 禁止注册表编辑器运行选择“已启用”并点击“应用”再次打开注册表编辑器即发现已被禁用 第三章 计算机系统安全3.1 账户管理3.2 注册表安全3.3 策略安全3.4 密码设置安全3.5 系统补丁3.6 文件安全3.7 端口控制3.8 备份与恢复3.3 策略安全本地安全策略编辑器3.3.1 账户策略 在账户策略中，仅涉及和用户账户的凭据有关的设置。例如，账户的密码长度要求、账户的密码复杂性要求等。通

9、过设置账户策略，可以提高账户的安全性，并且使破解用户的账户变得更加困难。 账户策略中又分为两类，分别是密码策略和账户锁定策略。密码策略决定密码的使用规则，账户锁定策略则决定在什么情况下账户将被锁定，一段时间内无法实现登录。3.3.1 账户策略1.密码策略密码策略中主要有以下几项：密码必须符合复杂性要求、密码长度最小值、密码最短使用期限、密码最长使用期限、强制密码历史以及用可还原的加密来存储密码。3.3.1 账户策略1.密码策略(1)密码必须符合复杂性要求。策略的默认设置为“已禁用”。 此项策略设置后，密码设置必须满足下列要求：至少包含大写字母、小写字母、数字和特殊字符这4类元素中的3种，密码不

10、可以与用户名相同。这样做的目的是防止暴力破解工具的穷举法测试，当用户使用复杂性很高的密码时，暴力破解所需的时间将呈指数增长。 设置后，策略将在用户下一次修改密码时生效，已有的密码不受影响。如果用户想设置一个不合规定的密码，Windows将拒绝这个密码，直到用户设置了符合复杂性要求的密码。3.3.1 账户策略1.密码策略(2)密码长度最小值。策略的默认值为0（字符），可以设置为114之间的一个整数。 密码的长度也会增加密码的破解难度。用户如果想从长度上增加密码的安全性，就需要修改这个策略。当用户新修改的密码长度小于设定值时，密码将不被Windows接受。3.3.1 账户策略1.密码策略(3)密码

11、最短使用期限。策略的默认值为0（天），可以设置为1998之间的一个整数。 策略决定了用户在设置一个新的密码后，（至少）要经过多少天才能更换密码。默认设置为0，也就是说用户可以随时更换密码，即使用户在设置了密码的第二天想重新设定一个新密码，也是可以被系统接受的。3.3.1 账户策略1.密码策略(4)密码最长使用期限。策略的默认值为42（天），可以设置为0998之间的一个整数。 与上一个策略相反，这项策略决定了密码可以使用的最长时间。也就是说，在一个密码使用了多长时间之后就必须更换。这项策略可以让用户以更高的频率更换密码，加大破解密码的难度。 在密码快要到期的时候，用户每次登录系统都会看到系统的提

12、示，要求用户修改密码。用户修改了密码之后，该策略就会重新开始计时，并在下一次密码将要过期的时候进行提示。3.3.1 账户策略1.密码策略(5)强制密码历史。策略的默认值为“0个记住的密码”，可以设置为024之间的一个整数。 该策略主要为了防止用户轮换使用几个密码。例如，很多人认为，每次修改密码都要想一个新的安全的密码，这样非常复杂，所以就轮换使用2个或3个安全密码。假设某个黑客已经获得了用户以前使用的一个轮换密码，那么他只需要等待一段时间，在用户下一次使用这个密码时，就可以登录用户的账户。 如果用户将此项策略设置为“24”，系统最多允许用户轮换使用24个安全密码，这样的安全性至少要高于两三个安

13、全密码的轮换。3.3.1 账户策略1.密码策略(6)用可还原的加密来存储密码。在Windows中，该策略默认是被禁用的，而且一般情况下不建议启用。 因为系统中的某些程序运行时需要知道用户的密码，利用可还原的加密来存储密码的话，是可以将密码还原出来的，这样就类似于将密码明文保存，会大大降低密码的安全性。3.3.1 账户策略1.密码策略上述策略的建议设置： 密码必须符合复杂性要求：启用 密码长度最小值：8 密码最短使用期限：5天 密码最长使用期限：30天 强制密码历史：10个 用可还原的加密来存储密码：禁用3.3.1 账户策略2.账户锁定策略 如果攻击者能够在物理条件上或者远程访问到用户的登录界面

14、，就可以反复猜测用户的密码并且进行登录尝试。尽管偶尔几次的猜测不可能成功登录用户的账户，但是时间一长，攻击者就会猜测到正确的密码，并且成功登录系统。 因此，为了实现进一步的安全，需要对失败的登录尝试次数进行限制。就像用银行卡付款时，如果输错3次密码，那么用户的卡就会被冻结。而在计算机的使用中，如果用户多次输错账户密码，账户就会被锁定，一段时间内任何人都无法尝试登录此账户。3.3.1 账户策略2.账户锁定策略账户锁定策略主要包括以下3项策略：账户锁定时间、账户锁定阈值以及重置账户锁定计数器。3.3.1 账户策略2.账户锁定策略（1）账户锁定时间。在设置“账户锁定阈值”策略之前，本策略是不会生效的

15、。策略决定了用户账户被锁定后，多长时间之后可以重新启用。可以设置为099999之间的整数。如果将该策略设置为“0”，那么当某个账户的失败登录次数达到了“账户锁定阈值”时，该账户会被系统锁定，并且在管理员手动解锁之前都不会被解锁。而如果设置了一个非0的值，在账户被锁定后的分钟数达到设置值之后，账户会被自动解锁。如果该策略设置为“0”，会产生这样一种攻击。攻击者可能并不打算登录用户的系统，只想给用户造成一些麻烦，他只需多次失败登录用户的每个账户，所有账户就会被锁定，直到管理员手动解锁。3.3.1 账户策略2.账户锁定策略 账户锁定阈值。在Windows中，该策略的默认设置为“0次无效登录”。可设置

16、值为0999之间的一个整数。 该策略决定了用户失败登录次数达到多少次，账户会被锁定。当失败登录次数没有达到设定的阈值时，用户可以继续进行登录尝试；而一旦登录失败次数达到了阈值，账户就会被锁定，无法继续进行登录尝试。3.3.1 账户策略2.账户锁定策略 重置账户锁定计数器。在设置“账户锁定阈值”策略前，本策略不会生效。 该策略决定了当一个账户被锁定后，需要等待多长时间（以分钟为单位），系统才自动将记录的失败次数清零。可设置的值是099999，同时该值不能大于锁定时间。3.3.1 账户策略2.账户锁定策略假设账户锁定阈值为5次、账户锁定时间为30分钟、重置账户锁定计数器为20分钟。如果用户忘记了自

17、己的账户密码，并且已经输入了4次错误的密码，不再进行尝试。此时，该账户并没有被锁定，但是系统已经记录了失败登录次数是4次。在用户最后一次尝试的20分钟后，这4次失败的登录尝试记录就会被清零，相当于用户又有了5次尝试登录的机会。提示：上述策略的建议设置： 账户锁定时间：60分钟 账户锁定阈值：5次 重置账户锁定计数器：30分钟3.3.2 本地策略 本地策略中包含的全部是和账户无关的安全设置。通过设置本地策略，可以提高Windows操作系统的安全性，或者实现其他与安全相关的功能。本地策略中的主要内容包括审核策略、用户权限分配、安全选项。本节主要讲述审核策略。3.3.2 本地策略1.审核策略审核策略

18、可以告诉用户在什么时间、哪位用户在系统中进行了什么样的操作。无论是成功还是失败，都会被系统记录起来，包括失败的原因也会被系统记录下来，供用户查看。在设置好安全策略后，最好根据需要对审核策略进行设置，同时用户还要记得定期查看审核日志，才能够及时发现系统中的隐患。3.3.2 本地策略1.审核策略审核策略包括以下几项：审核策略更改：策略决定是否审核与用户权限分配策略、审核策略或信任策略更改等系统活动有关的事件。 审核登录事件：策略决定了是否审核每一个登录或注销的事件。 审核对象访问：策略决定了是否审核与对象访问有关的事件。可供进行访问审核的对象包括文件、文件夹、注册表项、打印机等Windows系统中

19、几乎所有可访问的对象。 审核进程跟踪：策略决定了是否审核和进程的跟踪信息有关的事件，例如程序的启动和退出、句柄的复制，以及对象访问等活动。3.3.2 本地策略1.审核策略 审核目录服务访问：策略决定了是否审核对具有访问控制列表的活动目录对象的访问情况，简单来说，可以理解为该策略决定了是否审核对活动目录中对象的访问。 审核特权使用：策略决定了是否审核用户对自己每一项特权的使用情况。 审核系统事件：策略决定了是否要在用户重新启动或关闭计算机时，或者发生对系统安全以及安全日志有影响的事件时进行审核。 审核账户登录事件：策略决定了是否审核与用户登录和注销等活动有关的事件。 审核账户管理：策略决定了是否

20、审核和用户管理有关的事件。这些事件包括创建、更改或删除用户账户和组，重命名、禁用或启用用户账户，设置或更改密码。3.3.2 本地策略1.审核策略上述审核策略Windows的默认设置都是禁用。用户可以修改为“成功”，则上述事件执行成功时系统会进行审核；也可以修改为“失败”，则上述事件执行失败时系统会进行审核。3.3.2 本地策略2.审核日志的查看右键计算机选择“管理”依次展开左侧目录查看日志 第三章 计算机系统安全3.1 账户管理3.2 注册表安全3.3 策略安全3.4 密码设置安全3.5 系统补丁3.6 文件安全3.7 端口控制3.8 备份与恢复3.4 密码设置安全设置安全的密码可以防止大部分

21、好奇者进入用户的计算机，但是安全性较差的密码所能起到的保护作用实在有限，破解软件很容易就可以破解用户的密码。用户可以遵循以下原则来设置安全的密码。 具有一定的长度。至少在6位以上。但并不是位数越多越好，在符合密码复杂性原则的基础上，7位和14位的密码是最好的。 复杂的组合方式。密码应有一定的复杂性，可采用大小写字母、标点和数字的组合。 专用性。在不同场合使用不同的密码。 定期更换。建议每隔一段时间（如一个月）更改一次密码。 切忌选择大众化的内容。不要选择常用的单词或用户名、登录名、单位名称作为密码，也不要以真实姓名、生日、电话号码作为密码。 密码应随时记住，但不可写下来。3.4.1 三层密码1

22、.BIOS密码BIOS是英文“Basic Input Output System”的缩略词，中文名称是“基本输入输出系统”。它是一组固化到计算机主板上的一个ROM芯片上的程序，保存着计算机最重要的基本输入输出程序、开机自检程序和系统自启动程序，它可从CMOS中读写系统设置的具体信息，其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。3.4.1 三层密码1.BIOS密码 BIOS系统主要提供3个方面的功能： （1）自检及初始化 （2）程序服务处理 （3）硬件中断处理3.4.1 三层密码1.BIOS密码 计算机在启动时，首先启动BIOS系统，而后再加载Windows操作系统。但是攻击者可以

23、进入BIOS系统更改启动顺序，从而绕过Windows操作系统，对计算机进行破坏。因此，设置BIOS密码对增强系统的安全性有着非常大的作用。 启动计算机后，在没有进入操作系统前按F2键或者Delete键进入BIOS（不同品牌，甚至不同型号的计算机进入BIOS的按键可能不同）。3.4.1 三层密码BIOS系统界面3.4.1 三层密码1.BIOS密码 进入BIOS后，一般只能使用键盘来移动光标。用户进入“Security”选项卡，可以看到这里有两个密码可以进行设置：“Supervisor Password”和“User Password”。其中，使用“Supervisor Password”登录的用

24、户类似于“超级用户”。如果以这个密码登录BIOS，则可以对BIOS的设置进行更改；而如果用户以“User Password”登录的话，只可以查看BIOS中的设置，不能对一些关键设置进行修改。3.4.1 三层密码Supervisor PasswordUser Password3.4.1 三层密码1.BIOS密码 此外，需要把“Advanced”主选项下的“Security Option”选项设置为“System”。按照上述方法对“Supervisor Password”和“User Password”进行设置。保存BIOS设置后退出，进入操作系统，可以发现在进入操作系统前需要输入BIOS密码。

25、提示提示：BIOS设置不当会直接损坏计算机的硬件，甚至烧毁主板。建议不熟悉者慎重修改设置。3.4.1 三层密码2.系统密码操作系统密码，就是用户账户登录时所输入的密码。系统密码的设置已在3.1.4节中介绍，再次提醒读者一定要遵循密码安全性原则设置密码。3.4.1 三层密码3.屏幕保护密码如果用户在使用计算机的过程中离开了一段时间，那么这期间用户的计算机实际上是处于失控状态。设置屏幕保护密码，可以保证在用户离开期间计算机不会被其他人随意使用。3.4.1 三层密码3.屏幕保护密码 打开“控制面板”，选择“外观和个性化”。 在“个性化”中选择“更改屏幕保护程序”，弹出“屏幕保护程序设置”窗口。勾选“

26、在恢复时显示登录屏幕”，选择等待时间，单击“确定”按钮，完成设置。3.4.1 三层密码3.4.2 电源管理密码 Windows的电源管理也可以设置密码。当计算机从休眠状态返回时，会重新进入操作系统登录页面，要求用户输入密码。设置电源管理密码按如下步骤进行。 打开“控制面板”，选择“硬件和声音”，单击“电源选项”，也可以直接单击“唤醒计算机时需要密码”。 弹出对话框后，在“唤醒时的密码保护”中，选中“需要密码”，单击“保存修改”按钮，完成设置。3.4.2 电源管理密码3.4.3 锁定计算机 屏幕保护程序存在一些安全漏洞。即使设置了屏幕保护密码，也推荐用户在离开计算机时锁定计算机。 锁定计算机按如

27、下步骤进行：打开“开始”菜单，单击“关机”选项旁边的三角形符号，在弹出的菜单中点击“锁定”，即可完成对计算机的锁定。 锁定计算机后，如果想要使用计算机，就需要使用者输入Windows登录密码。 第三章 计算机系统安全3.1 账户管理3.2 注册表安全3.3 策略安全3.4 密码设置安全3.5 系统补丁3.6 文件安全3.7 端口控制3.8 备份与恢复3.5.1 漏洞与补丁 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，使得攻击者能够在未授权的情况下访问或破坏系统。而这里所说的漏洞大多指操作系统漏洞。 如果把操作系统有了漏洞打比方为衣服破了洞，那么给操作系统打补丁就相当于给衣服缝

28、补丁。补丁是指为了修复已知漏洞而开发的小程序。给操作系统打补丁，可以避免这些漏洞所带来的安全隐患，提高系统的安全性。 补丁程序是为了增强系统功能和修补系统漏洞而产生的，但是微软的产品源代码并没有完全开放，因此就有存在漏洞和后门的可能性。打补丁是为了修补已经发现的漏洞，但不能靠打补丁实现绝对的安全。3.5.2 自动打补丁1.自动更新 对于大多数计算机使用者来说，并不会时常关注微软最新公布了什么漏洞，发布了什么补丁。为了让计算机在微软发布更新的第一时间作出反应，推荐使用Windows 7系统自带的自动更新功能。Windows可以定期检查针对计算机的最新的重要更新，然后自动安装这些更新。3.5.2

29、自动打补丁打开“控制面板”，选择“系统和安全”，选择“Windows Update”，在左侧目录中点击“更改设置”。在“重要更新”选项中选择“自动安装更新（推荐）”，点击“确定”按钮，完成设置。3.5.2 自动打补丁2.使用Windows Update更新 如果用户想根据自己的需要在适当的时候进行更新，则可以关掉“自动更新”功能，在需要更新的时候使用Windows Update扫描计算机，Windows Update将提供适用于计算机的更新选择。 使用Windows Update的步骤如下：打开“控制面板”，选择“系统和安全”，选择“Windows Update”，点击“检查更新”按钮。Win

30、dows Update就会扫描本机，寻找适用于本机的更新。3.5.2 自动打补丁2.使用Windows Update更新3.5.3 手动打补丁 对于系统不能自动更新的用户，建议手动打补丁。手动打补丁是指，根据微软发布的漏洞公告（在微软主页上）或当前流行的病毒来为系统打补丁，从而免受攻击。 手动打补丁步骤如下：打开Internet Explorer，在地址栏输入“ 第三章 计算机系统安全3.1 账户管理3.2 注册表安全3.3 策略安全3.4 密码设置安全3.5 系统补丁3.6 文件安全3.7 端口控制3.8 备份与恢复3.6 文件安全 很多用户在日常工作中都要用到大量的数据，对于这些用户来说，

31、有可能计算机的损坏可以接受，但是数据的损失是不可承受之重。本节将告诉大家如何在保证操作系统安全的同时保护好自己的数据安全。3.6.1 NTFS权限设置文件系统是对文件存储设备的空间进行组织和分配，负责文件存储并对存入的文件进行保护和检索的系统。具体地说，它负责为用户建立文件，存入、读出、修改、转储文件，控制文件的存取，当用户不再使用时撤销文件等。NTFS是一种较为流行的文件系统，NTFS与其他文件系统相比，主要有以下优点： 支持更大的文件以及更大的分区。 支持权限设置。在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。 支持EFS加密。该功能可以配合权限设置一起使用，保证文件安

32、全。 支持压缩功能。压缩功能可以节约零碎文件占用的硬盘空间。3.6.1 NTFS权限设置若用户想要对一个文件的权限进行设置，可以通过以下操作实现（假设用户要对一个名为“File”的文件夹进行权限设置）。首先使用管理员账户登录，在Windows资源管理器中找到想要修改权限的文件夹。右击该文件夹，从弹出的菜单中选择“属性”选项，出现如图所示的窗口。3.6.1 NTFS权限设置在上图选择“安全”选项卡，从中可以看到“Users”账户对该文件夹所拥有的权限。如果想修改Users账户对该文件夹的权限，则单击“编辑”按钮，出现如下图所示的窗口，在窗口中选择修改的用户对象，在下方勾选想要赋予的权限或者禁止（

33、拒绝）的权限，然后单击“确定”按钮即可完成设置。3.6.2 EFS加密 EFS（Encrypting File System，加密文件系统）可以把NTFS分区上的数据加密保存起来。与其他加密软件相比，EFS最大的优势在于和系统紧密集成，同时对于用户来说整个过程是透明的。例如，用户wlaq加密了一个文件，那么就只有wlaq可以打开这个文件。当wlaq登录到Windows的时候，系统已经验证了wlaq的合法性，wlaq在Windows资源管理器中就可以直接打开这个文件进行编辑。保存的时候，编辑后的内容会被自动加密并合并到文件中去。因此，EFS在使用上非常便捷。3.6.2 EFS加密 首先选中目标文

34、件或者文件夹，单击鼠标右键，从弹出的菜单中选择“属性”，这时会弹出一个窗口，在该窗口中选择“常规”选项卡，单击“高级”按钮，出现如图所示的窗口。 在图中选中“加密内容以便保护数据”，即可成功设置对文件进行加密。如果不想要对文件加密，取消选中“加密内容以便保护数据”即可。 设置成功后，系统通知栏会弹出一个通知，提示用户对文件加密密钥进行备份。3.6.2 EFS加密设置EFS加密备份文件加密密钥3.6.2 EFS加密如果用户的计算机遭到了攻击，导致加密密钥丢失，那么很有可能加密过的文件就永远不能被解密了。因此用户应当对加密密钥和证书进行备份。根据向导的提示，选择密钥备份文件的保存位置，根据情况设置

35、保护密码。用户想将之前备份的证书还原到新的系统中时，只需要双击导出的.pfx格式文件，根据向导的提示，输入保护密码即可。3.6.3 Office文档加密用户可以为Office文档设置密码来控制用户对Office文档的访问。下面以Office 2013为例，介绍如何为Office文档设置密码。打开需要加密的文档，点击左上角“文件”菜单选项卡，从中点击“保护文档”图标，在下拉选项中选择“用密码进行加密”，如图所示。3.6.3 Office文档加密根据提示，在“密码”框中输入密码，在“重复输入密码”框中再次输入密码，然后点击“确定”按钮，设置成功。输入密码确认密码3.6.4 WinZip压缩文件加密

36、3.6.4 WinZip压缩文件加密 设置完成后，点击右下角的“保存”按钮，返回之前的菜单，再点击“选项”按钮展开更多的选项，点击“应用至压缩文件中的所有文件”，如图所示。在弹出的警告窗口中点击“确定”按钮，在提示下输入不少于8位的密码，输入完成后点击“确定”按钮，3.6.5 WinRar压缩文件加密 WinRar也是办公中常用到的压缩工具，这里向大家介绍如何为WinRar压缩文件设密码。创建一个带有密码的WinRar压缩包可以按照以下步骤进行。 右键单击目标文件（或文件夹），在菜单栏中选择“添加到压缩文件”，然后点击右下角“设置密码”（不同的软件版本可能界面有所不同，比如有的在“高级”选项卡

37、中出现“设置密码”按钮） 在“输入密码”和“再次输入密码以确认”框中输入设置的密码，点击“确定”按钮，即可完成加密3.6.5 WinRar压缩文件加密设置密码输入密码3.6.6 谨慎设置文件共享权限 在局域网内，用户可以共享自己的文件，局域网内的其他用户就可以在自己的计算机上查看共享文件。但是，用户共享的文件有可能被其他用户修改，对数据的安全性造成破坏。因此，用户在共享文件时，要谨慎设置文件共享权限。用户想要共享文件或者文件夹时，可以按照如下步骤进行。3.6.6 谨慎设置文件共享权限3.6.6 谨慎设置文件共享权限在权限窗口中可以看到，Everyone，即每个用户都具有对文件的读取权限，并没有

38、完全控制和更改权限。如果用户想添加一个共享用户或用户组，并对其权限作出限制，则点击“添加”按钮，弹出如图所示的“选择用户或组”窗口，从中输入用户名或用户组名，然后点击“检查名称”按钮，系统会检查输入的名称是否存在，如果存在的话，新的共享用户就可以添加成功3.6.6 谨慎设置文件共享权限返回之前的窗口，就可以发现新添加的“Administrator”账户。对下方的权限进行勾选，然后点击“确定”按钮，就可以实现共享文件对用户权限的设定。 第三章 计算机系统安全3.1 账户管理3.2 注册表安全3.3 策略安全3.4 密码设置安全3.5 系统补丁3.6 文件安全3.7 端口控制3.8 备份与恢复3.

39、7 端口控制 用户在使用计算机的过程中，经常会连接至互联网，而端口则是计算机与外界交流的通道。对于大部分的网络攻击，如果用户能够关闭掉一些高风险的端口，这些攻击就可以避免。本节将讲述关于端口控制的内容。3.7.1 什么是端口 端口（Port）可以认为是计算机与外界通信交流的出口。在网络技术中，端口大致有两种意思：一是物理意义上的商品，如集线器、交换机、路由器等用于连接其他网络设备的接口；二是逻辑意义上的端口，一般指TCP/IP协议中的端口，范围为065535，如浏览器网页服务的80端口，用于FTP服务的21端口等。下文涉及的端口不是指物理意义上的端口，而是指逻辑意义上的端口。计算机可以通过不同

40、的端口，来区分不同的网络服务。 如果将计算机的不同服务比喻为不同的房间，那么不同的端口就是不同房间的房门。只有打开对应的端口，计算机才可以向外界提供相应的网络服务，同时外界才可以向用户的计算机请求相应的网络服务。3.7.2 查看端口信息3.7.2 查看端口信息在本地地址栏中，冒号后面的就是端口号。外部地址代表此端口所连接的另一台计算机的地址和端口号。如果状态栏中显示的是“LISTENING”，意味着当前端口是开放的。如“:135”代表本地的135号端口，其状态为“LISTENING”，表示135号端口是开放的。3.7.3 关闭服务默认端口 关闭服务端口主要有两种方法，一种是通用的

41、直接关闭端口，另一种是通过关闭服务来关闭端口。这两种方法所起到的作用都是相同的，但是在操作上却不相同。此外还有修改注册表键值等其他方法来实现端口的关闭。3.7.3 关闭服务默认端口1. 直接关闭端口的方法 这里以143端口为例。143端口主要用于IMAPv2（Internet Message Access Protocol，Internet消息访问协议），和POP3一样，是用于电子邮件接收的协议。通过IMAP协议，用户可以在不接收邮件的情况下知道信件的内容，方便管理服务器中的电子邮件。IMAP使用的143端口存在缓冲区溢出漏洞，通过该漏洞可以获取用户名和密码。另外，还有一种名为“admv0rm

42、”的Linux蠕虫病毒会利用该端口进行繁殖。因此，如果不是使用IMAP服务器操作，应该将该端口关闭。3.7.3 关闭服务默认端口3.7.3 关闭服务默认端口1. 直接关闭端口的方法在本地组策略编辑器右边空白处右击鼠标，选择“创建IP安全策略”选项，弹出“IP安全策略向导”对话框。单击“下一步”按钮，在出现的对话框中的“名称”处写“关闭端口”（可随意填写），点击“下一步”按钮；在出现的对话框中的“激活默认响应规则（仅限于Windows的早期版本）”选项不要勾选，然后单击“下一步”按钮；在出现的对话框中勾选“编辑属性”，单击“完成”按钮。3.7.3 关闭服务默认端口1. 直接关闭端口的方法在出现的

43、“关闭143端口 属性”对话框中，选择“规则”选项卡，去掉“使用 添加向导”前边的勾后，单击“添加”按钮。3.7.3 关闭服务默认端口1. 直接关闭端口的方法在弹出的“新规则 属性”对话框中，选择“IP筛选器列表”选项卡，单击左下角的“添加”按钮。3.7.3 关闭服务默认端口1. 直接关闭端口的方法出现“IP筛选器列表”对话框，“名称”处填“关闭143端口”（可随意填写），去掉“使用添加向导”前边的勾后，单击右边的“添加”按钮。3.7.3 关闭服务默认端口1. 直接关闭端口的方法在出现的“IP筛选器 属性”对话框中，选择“地址”选项卡，“源地址”处选择“任何IP地址”，“目标地址”处选择“我的

44、IP地址”，如左图所示；选择“协议”选项卡，各项设置如右图中所示。设置好后点击“确定”按钮。3.7.3 关闭服务默认端口1. 直接关闭端口的方法返回到图中所示的“IP筛选器列表”对话框，可以看到此时的“IP筛选器列表”与之前所示有些不同了，因为“IP筛选器”中增加了具体内容。3.7.3 关闭服务默认端口1. 直接关闭端口的方法点击“确定”按钮，返回到“新规则 属性”对话框。在“IP筛选器列表”中选择刚才添加的“关闭143端口”。然后选择“筛选器操作”选项卡，去掉“使用添加向导”前面的勾。单击“添加”按钮，出现的“新筛选器操作 属性”对话框，在“安全方法”选项卡中，选中“阻止”选项。在“常规”选

45、项卡中设置筛选器名称。然后点击“确定”按钮返回“新规则 属性”对话框。3.7.3 关闭服务默认端口1. 直接关闭端口的方法3.7.3 关闭服务默认端口1. 直接关闭端口的方法3.7.3 关闭服务默认端口1. 直接关闭端口的方法选中刚才新建的“新筛选器操作1”，单击“关闭”按钮，返回到“关闭143端口 属性”对话框，确认“IP安全规则”中“关闭143端口”被选中，然后单击“确定”按钮，返回“本地组策略编辑器”，如图所示，规则添加成功。3.7.3 关闭服务默认端口1. 直接关闭端口的方法在本地组策略编辑器中，可以看到刚才新建的“关闭143端口”规则。右击该规则，选择“分配”选项，使该规则开始应用，

46、如图所示。3.7.3 关闭服务默认端口2.通过关闭服务来关闭端口 23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。Telnet服务需要设置客户端和服务器端，开启Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。因此建议大家关闭23端口。关闭23端口可以通过以下步骤实现。3.7.3 关闭服务默认端口3.7

47、.3 关闭服务默认端口2.通过关闭服务来关闭端口3.7.4 关闭木马攻击端口 下表列举了一些典型的木马、病毒和蠕虫，以及它们攻击的端口。用户可以在木马被曝光后，利用3.7.3节中直接关闭端口的方法关闭木马攻击端口。3.7.4 关闭木马攻击端口名称名称简介简介攻击端口攻击端口nachi蠕虫蠕虫2003年8月18日Microsoft 产品支持服务安全小组发现707端口熊猫烧香熊猫烧香2006年10月16日由25岁的李俊编写，2007年1月初肆虐网络，它主要通过下载的文件传染利用139和445端口进行局域网传播Backdoor木马程序木马程序绕过安全性控制而获取对程序或系统访问权默认1999端口黑洞

48、黑洞2001木马程序木马程序具有多进程监控功能的木马2001端口msblast蠕虫蠕虫2003年7月16日微软公布了该蠕虫所利用的漏洞4444端口冲击波病毒冲击波病毒病毒利用的是系统的RPC漏洞，病毒攻击系统时会使RPC服务崩溃，该服务是Windows操作系统使用的一种远程过程调用协议69、135、4444端口W32.SQLExp.Worm蠕蠕虫病毒虫病毒针对SQL_SERVER_2000漏洞，该蠕虫发送大量针对1434端口的UDP协议包，导致网络堵塞，甚至瘫痪UDP 1434端口 第三章 计算机系统安全3.1 账户管理3.2 注册表安全3.3 策略安全3.4 密码设置安全3.5 系统补丁3.6 文件安全3.7 端口控制3.8 备份与恢复3.8 备份与恢复 虽然Windows自带的安全功能以及其他的第三方安全软件可以有效地保护用户的系统和数据，然而这些措施对于一些不可抗因素也是无能为力的。比如，计算机出现了硬件损坏，或是出现了安全软件也无法解决的木