使用 Windows 的人非常多,而 Windows 系统的安全问题也越来越被人们关注。虽然 Windows 的漏洞众多,安全隐患也很多,不过经过适当的设置和调整,你还是可以用上相对安全的 Windows 的。本文就为你详细讲述了 Windows 的安全调整,希望对你有用。这篇文章将针对一些常见的安全问题给你一些解决方法,其中大部分的操作都是针对 windows 2000/XP 的,不保证在 Windows 98/Me 上可行。
准备活动给系统安装补丁程序的重要性是不言而喻的,尤其是一些重要的安全补丁和针对 IE,OE 漏洞的补丁 (即使你并不打算使用它们)。微软会经常的发布一些已知漏洞的修补程序,这些东西一般都可以通过 Windows Update 来安装。你需要做的只是经常性的访问 Windows Update 网站。或者直接点击开始菜单中 Windows Update 的快捷方式。而 Windows XP 和最新的 Windows 2000 更加进步了,可以自动检查更新,在后台下载,完成后通知你下载完成并询问是否开始安装。对于 Windows 2000/XP 的用户,微软还提供了一个检查安全性的实用工具: 基准安全分析器 (Microsoft line Security Analyzer),这个程序可以自动对你的系统进行安全性检测,并且对于出现的问题,都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。你可以在这里详细了解和下载这个工具。在你安装了所有的补丁程序后,下面开始我们的调整设置。
重命名和禁用默认的帐户安装好 Windows 后,系统会自动建立两个账户:Administrator 和 Guest,其中 Administrator 拥有最高的权限,Guest 则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题,他将轻易的得知你的超级用户的名称,剩下的就是寻找密码了。因此,安全的做法是把 Administrator 账户的名称改掉,然后再建立一个几乎没有任何权限的假 Administrator 账户。具体的方法是: 在运行中输入 secpol.msc 然后回车,打开“Local Security Settings(本地安全设置)”对话框,依次展开 Local Policies(本地策略)-Security Options(安全选项),在右侧窗口有一个“Accounts: Rename administrator (guest) account(账户: 重命名 Administrator/Guest 账户)”的策略,双击打开后可以给 Administrator 重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为 Administrator 的受限制用户,以迷惑闯入者。
安全选项的设置同样是在 Local Security Settings 中,展开 Local Policies-Security Options,这里还有很多其它的设置,经过合理的配置,可以使你的系统更加安全。一下列举的选项最好全部禁止:Interactive logon: Do not require CTRL+ALT+DEL,交互式登录: 不需要按 Ctrl+Alt+Del。Network Access: Allow anonymous SID/name translation,网络访问: 允许匿名 SID/ 名称转换。Network access: Let Everyone permissions apply to anonymous users,网络访问: 让 Everyone 权限应用到匿名用户。Recovery console: Allow automatic administrative logon,故障恢复控制台: 允许自动系统管理级登录。而以下的选项最好启用:Devices: Restrict CD-ROM access to locally logged-on user only, 设备: 只有本地登录的用户才能访问 CD-ROM。Devices: Restrict floppy access to locally logged-on user only,设备: 只有本地登录的用户才能访问软驱。Interactive logon: Do not display last user name,交互式登录: 不显示上一次使用的用户名。Network access: Do not allow anonymous enumeration of SAM accounts,网络访问: 不允许匿名 SAM 帐户的匿名枚举。Network access: Do not allow anonymous enumeration of SAM accounts & shares,网络访问: 不允许 SAM 账户和共享的匿名枚举。Network security: Do not store LAN Manager hash value on next passWord change,网络安全: 不要在下次更改密码时存储 LAN Manager 的 Hash 值。System s: Strengthen default permissions of internal system s (e.g., Symbolic s),系统对象: 增强内部系统对象的默认权限 (例如 Symbolic s)。
可靠的密码尽管绝对安全的密码时不存在的,但是相对安全的密码还是可以实现的。这个还是需要运行 secpol.msc 来配置 Local Security Settings。展开到 Account Policies-Password Policy,经过这里的配置,你就可以建立一个完备密码策略,并且你的密码也可以得到最大限度的保护。Enforce password history(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码,可是换来换去就是有限的几个在轮换,配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合 Maximum password age 这个策略,就能保证密码安全了。默认情况下,这个策略不保存用户的密码,你可以自己设置,建议保存 5 个以上,而最多可以保存 24 个。Maximum password age(密码最长存留期)。这个策略决定了一个密码可以使用多久,之后就会过期,并要求用户更换密码。如果设置为 0,则密码永不过期。一般情况下设置为 30 到 60 天左右就可以了,具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置 999 天。Minimum password age(密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的 Enforce password history 结合起来就可以得知新的密码是否是以前使用过的,如果是,则不能继续使用这个密码。如果设置为 0 则表示一个密码可以被无限制的重复使用,而最大值为 999。Minimum password length(密码长度最小值)。这个策略决定了一个密码的长度,有效值在 0 到 14 之间。如果设置为 0,则表示不需要密码。建议的密码长度不能小于 6 位。Password must meet complexity requirements(密码必须符合复杂性要求)。如果启用了这个策略,则在设置和更改一个密码的时候,系统将会按照下面的规则检查密码是否有效: 密码不能包含全部或者部分的用户名。最少包括 6 个字符。并且在字符的使用上还要遵循以下的规则,密码必须是: 英文字母,A-Z,大小写敏感。基本的 10 个数字,0-9。不能包含特殊字符,例如!,$,#,% 等等。如果启用了这个策略,相信你的密码就会比较安全了。Store password using reversible encryption for all users in the domain(为域中的所有用户使用可还原的加密来存储密码)。很明显,这个策略最好不要启用。