新世纪计算机信息安全教程chap08.ppt

1、重点内容： Windows XP/Vista单机安全 组策略及应用,第8章 Windows客户端安全,一、 Windows XP/Vista单机安全,在今天的计算机时代，必须抵御以病毒和木马以及其他形式出现的对网络和计算机的恶意入侵，对于客户端用户而言，采取下列措施会有助于防止和抵御病毒和木马的攻击。 （1） 了解病毒及其一般传播方式。 （2） 了解病毒的一般特征：计算机病毒通常具备传染性、隐蔽性、潜伏性、欺骗性、表现性、破坏性六大特性。 （3） 在个人计算机上安装商用病毒检测程序，并定期地检查计算机病毒。 网络管理员应注意以下几个方面： （1） 将新程序放在网络上之前，应先把程序安装在未连入

2、网络的计算机上，使用病毒检测软件进行检查。 （2） 不能允许用户以Administrators组成员身份在他们自己的计算机上登录。 （3） 要求用户创建更保险的密码，使病毒不会轻易推测出密码而获得管理员权限。 （4） 定期备份文件，以便最大限度地减小病毒攻击时造成的损害。,1、Windows XP/Vista安全概述,一、 Windows XP/Vista单机安全,要保护计算机上的数据，应当保证单个文件和文件夹的安全，并采取行动保证物理计算机本身的安全。如果计算机包含敏感信息，将它保存在安全的位置。计算机的锁定有两种方法：在工作组环境中锁定计算机、在域环境中锁定计算机。 在工作组环境中锁定计算

3、机，可以通过按“Windows+L”组合键、“切换用户”功能和屏幕保护两种方式。 对于已加入域环境的计算机，“快速用户切换”选项是不可用的，需要按组合键“Ctrl+Alt+Delete”来锁定计算机。另外，也可以使用屏幕保护程序来锁定计算机，使用方式和工作组中的计算机一样。,2、锁定计算机,一、 Windows XP/Vista单机安全,对于管理员账户而言，应该设置强密码。强密码应该符合以下条件,而且以字母、数字和下画线组成，并且以数字的字母开头： （1） 至少有7个字符的长度。因为就密码加密的方式而言，最安全的密码应该长达7个或14个字符。 （2） 包含下列三组字符中的每一种类型： （3）

4、在第2到第6个位置中至少应有一个符号字符。 （4） 和以前的密码有明显的不同。 （5） 不能包含名字或用户名。 （6） 不能是普通的单词或名称。,3、保护密码,一、 Windows XP/Vista单机安全,在Windows XP计算机上，如果以管理员身份运行将会使系统易受木马和其他安全性威胁的侵害，在访问网站时也可能会受到木马等恶意代码的破坏。尤其是在以管理员权限登录时中了木马，可能会破坏系统、新建具有管理访问权限的用户账户等。 因此，应该将用户账户添加到Users组或Power Users组中。对于User组的成员，可以执行日常任务，包括运行程序和访问Internet站点，以防止计算机遭受

5、不必要的风险。对于Power Users组的成员，可以执行日常任务，也可以安装程序、添加打印机以及使用“控制面板”中的大部分项目。如果需要执行管理任务，例如升级操作系统或配置系统参数，可以先注销再以管理员身份登录。 如果经常需要以管理员身份登录，那么能以管理员的身份使用runas命令来启动程序。,4、以普通用户运行计算机,一、 Windows XP/Vista单机安全,在网络中，端口一直是黑客攻击的焦点，大部分网络攻击都是从端口开始的。为了系统安全起见，应将不常用的端口关闭，只开放一些常用端口。例如，需要访问网站，则启用80端口，需要从FTP网站下载文件，则开放21端口。在Windows XP

6、系统中，无法只禁止某个端口，需要先禁止所有端口，然后开放允许使用的端口。,5、端口安全,一、 Windows XP/Vista单机安全,对于一些重要的文件或数据，应将其进行加密，以防被人偷窥。Windows XP提供了一种加密文件系统（EFS），该技术用于在NTFS文件系统卷上加密的文件。一旦加密了文件或文件夹，就可以像使用其他文件和文件夹一样使用它们。 对加密该文件的用户，加密是透明的，用户不必在使用前手动解密已加密的文件，可以正常打开和更改文件，系统会自动完成解密和加密。而未经许可的用户或入侵者将无法阅读或打开文件和文件夹中的内容，这在一定程度上保护了文件的安全。 通过为文件夹和文件设置加

7、密属性即可进行加密和解密，如同设置其他任何属性（如只读、压缩或隐藏）一样。如果加密一个文件夹，则在该文件夹中创建的所有文件和子文件夹都将自动加密。为安全起见，推荐在文件夹级别上加密。,6、加密文件系统,一、 Windows XP/Vista单机安全,Windows XP自带了防火墙系统，可以加固计算机系统的安全。防火墙可以限制从其他计算机传入的信息，防御穿过外围网络或来自企业内部的网络攻击，例如，特洛伊木马攻击、端口扫描攻击和蠕虫，还可防止在未经邀请的情况下尝试连接到计算机。,7、Windows防火墙,一、 Windows XP/Vista单机安全,Windows防火墙是从Windows XP

8、 Professional才开始集成的，因此使用较早Windows版本的用户只能通过第三方防火墙程序，预防病毒和网络攻击。网络防火墙软件很多，目前常用的有瑞星防火墙、金山网镖、天网防火墙等。如图所示为瑞星个人防火墙。 网络防火墙一般都可以设置规则，并且规则可以选择为有效或无效状态，以决定是否拦截网络访问。如果同时设置了“允许Ping出”和“禁止Ping入”两个规则，则本地计算机可以Ping其他计算机，而其他计算机则不能Ping本地计算机。尤其是对一些很少用或根本不使用的端口，更应该设置规则将其关闭。,8、第三方网络防火墙,一、 Windows XP/Vista单机安全,微软的Windows系统

9、发布后，都会不定时地再发布一些补丁，以弥补相应操作系统的漏洞或缺陷。因此，在安装Windows XP以后，应先启用自动更新功能，并且安装已发布的补丁程序，以保护系统的安全。 右击“我的电脑”，从弹出的快捷菜单中选择“属性”选项，打开“系统 属性”对话框，切换到“自动更新”选项卡，即可选择自动更新的方式。 通过下载补丁程序手动安装也是一种不错的方式。如今国内许多下载网站都提供补丁下载，而且下载速度也很快，用户下载后直接运行安装更新程序即可安装，大多只需单击“下一步”按钮，不需特别的设置。 除了可以通过自动更新、手动下载安装补丁程序外，还可以直接连接到微软的Windows Update网站下载相应

10、的更新程序。不过，对于一些比较大的补丁包直接从微软网站下载势必非常慢，尤其是对于拨号用户来说更是相当困难。其实，此时可以直接到软件店买一张集成补丁包安装光盘，或从国内一些较大的下载站点下载安装。,9、系统更新设置,一、 Windows XP/Vista单机安全,Internet当之无愧地成为世界上资源最丰富的宝藏，而微软的Internet Explorer也成为了用户使用最多的IE浏览器。但IE浏览器也是黑客和病毒经常下手的地方，虽然我们可以通过在IE浏览器上安装一些第三方软件或杀毒软件来避免这种攻击，而实际上，通过IE本身的安全设置也可以在一定程度上避免网络攻击。 1. Cookie安全：C

11、ookie是Web网站通过浏览器存放在本地计算机上的一个记录文件，主要记录了用户的个人信息。现在，有些网站的服务内容是在用户所打开Cookie的前提下提供的。因此为了保护个人隐私，尤其是在一些非个人计算机上，最好是删除Cookies。 2. 清理IE临时文件：Internet临时文件也是一大危害，它虽然不会像病毒一样破坏系统，但临时文件默认保存在系统分区，大量的临时文件则会浪费大量的磁盘空间，并且会影响系统运行速度。 3. 设置安全级别：在使用IE浏览器时，很可能感染来自Web网站的恶意代码或受到恶意攻击，为了系统安全，IE浏览器可以为Internet或局域网设置不同区域的安全级别，不同级别使

12、用不同的设置。 4. 分级审查：IE浏览器支持用于Internet内容分级的PICS（Platform for Internet Content Selection）标准，通过设置分级审查功能，可以帮助用户控制计算机可访问的Internet信息内容的类型。,10、Internet Explorer设置,一、 Windows XP/Vista单机安全,11、Windows Defender,Windows Defender是微软出品的一个免费软件，可以和杀毒软件一样对计算机进行扫描，从而避免间谍软件及其他有害软件所带来的弹出窗口、占用系统资源大和安全性威胁等侵扰，并且对当前国内流行的各种恶意程序

13、都有很好的查杀能力，能有效拦截未知程序对系统做出的各种有害更改，真正做到防患于未然。 在安装Windows Defender之前，必须保证系统已经安装了Windows Installer 3.1，否则将不能安装，用户可从微软网站或一些下载站点下载该程序并安装。 和其他杀毒软件一样，Windows Defender也可以选择不同的扫描方式，例如扫描整个系统或者扫描某个磁盘中文件夹等，默认为快速扫描。,一、 Windows XP/Vista单机安全,12、第三防间谍软件,微软提供的防间谍程序固然不错，美中不足就是操作不够简便，并且执行扫描时占用系统资源较多，对于一些初级用户和性能较低的计算机而言，

14、却成了不小的“负担”。第三防间谍软件的突出特点就是专业性更强，仅针对间谍软件、恶意软件、各种木马程序等进行扫描，因此操作非常简单，处理速度也极高。Spyware Doctor是由PC Tools公司提供的系统安全防御程序。它不仅可以快速扫描本地计算机是否感染病毒、被植入广告软件等恶意程序，还可以帮助用户实施保护系统不受病毒干扰，增强系统防御性等。,二、组策略及应用,1、本地组策略和域组策略,组策略（Group Policy，简称GP）是Windows 2000/XP/2003操作系统中的实现安全管理技术的关键组件，可帮助管理员以组或者团体的方式（而不是单个用户的方式）控制用户对桌面设置和应用程

15、序的访问。组策略支持网络管理员定义和控制访问数量，其中包括用户对数据的访问数量以及应用程序对它们的组织机构的网络的访问数量。这样，管理员就可以减少花费在日常事务（如解决由新用户带来的问题）的时间。 在工作组环境下，本地组策略只能管理单机。Windows 2003 Server域环境下可以管理整个Active Directory用户，即活动目录下的所有用户。 组策略包括影响用户的“用户配置”策略设置和影响计算机的“计算机配置”策略设置。,二、组策略及应用,2、组策略的功能,企业通过组策略能够设置集中化和分散化策略、确保用户处于所需的工作环境中，以及控制用户和计算机的环境等。主要包含以下几个方面：

16、 1.部署软件：可以把安装某种软件的所有必要文件都收集成为一个包，在把这个包放在服务器上的某个位置，然后使用组策略把某个用户的桌面环境指向这个数据包。 2.设置用户权力：在使用Windows Server 2003服务器环境中，可以通过GPO（组策略对象，Group Policy objects）来控制，而不需要系统管理员到每个桌面去部署。 3.软件限制策略：系统管理员可以控制某个用户的桌面，允许他仅能运行某个程序或者任务。 4.控制系统设置：允许系统管理员统一部署网络用户的Windows服务，允许统一部署磁盘空间配额等系统方面的设置。 5.置登录、注销、关机、开机脚本：Windows Ser

17、ver 2003、Windows XP、Windows 2000操作系统中，允许执行上述4种脚本，同时允许使用GPO控制运行脚本。 6.通用桌面控制：可以使用策略统一部署网络的计算机，使所有的客户端计算机都有一个相同的运行环境。允许集中控制所有用户的桌面环境、开始菜单、任务栏按钮等配置信息。 7.自定义组策略：使用GPO管理网络，提供了强大的管理功能，但经常会遇到需要某种功能但是在目前系统本身的组策略管理模板中不存在，如果手工单台配置每个客户端，是一件费时费力的工作，Windows Server 2003操作系统支持定做专用的组策略模板。,二、组策略及应用,2、组策略的功能,8. GPMC组策

18、略控制台：GPMC（Group Policy Management Console）即组策略管理控制台，与Windows 2000上传统的组策略编辑器截然不同，由一个全新的MMC管理单元及一整套脚本化的接口组成，提供了集中的组策略管理方案，可以大大减少不正确的组策略可能导致的网络问题并简化组策略相关的安全问题，解决组策略部署中的难点问题，减轻了IT管理员们在实施组策略时所承担的沉重包袱。 9. 安全策略：Windows操作系统提供了强大的安全机制，但是如果要一一设置这些安全配置，却是非常费时、费力的事，使用“安全模板”策略就能快速、批量地设定所有客户端计算机的安全选项。包括：密码设置、审核、IP安全策略等内容。 10. 重定向文件夹：可以将文件夹（如 My Documents和My Pictures）从本地计算机上的 “Documents and Settings ”文件夹中重定向到网络共享位置上，同时允许设置相应的文件访问权限，保证用户数据的安全。 11. 通过“管理模板”管理基于注册表的策略：组策略创建一个包含注册表设置的文件，这些注册表设置写入注册表数据库的“用户”或“本地机器”部分。登录到给定的工作站或服务器用户特定的用户配置文件写在注册表的 HKEY_CURRENT_USER (HKCU) 下，而计算机特