操作系统常见安全问题解决方法

操作系统常见安全问题解决方法

使用Windows的人非常多，而Windows系统的安全问题也越来越被人们关注。虽然Windows的漏洞众多，安全隐患也很多，不过经过适当的设置和调整，你还是可以用上相对安全的Windows的。本文就为你详细讲述了Windows的安全调整，希望对你有用。

　　这篇文章将针对一些常见的安全问题给你一些解决方法，其中大部分的操作都是针对Windows 2000/XP的，不保证在Windows 98/Me上可行。

　　准备活动

　　给系统安装补丁程序的重要性是不言而喻的，尤其是一些重要的安全补丁和针对IE，OE漏洞的补丁(即使你并不打算使用它们)。微软会经常的发布一些已知漏洞的修补程序，这些东西一般都可以通过Windows Update来安装。你需要做的只是经常性的访问Windows Update网站 。或者直接点击开始菜单中Windows Update的快捷方式。而Windows XP和最新的Windows 2000更加进步了，可以自动检查更新，在后台下载，完成后通知你下载完成并询问是否开始安装。对于Windows 2000/XP的用户，微软还提供了一个检查安全性的实用工具：基准安全分析器(Microsoft Baseline Security Analyzer)，这个程序可以自动对你的系统进行安全性检测，并且对于出现的问题，都可以提供一个完整的解决方案。非常适合对于安全性要求高的用户使用。你可以在这里详细了解和下载这个工具。

　　在你安装了所有的补丁程序后，下面开始我们的调整设置。

　　重命名和禁用默认的帐户

　　安装好Windows后，系统会自动建立两个账户：Administrator和Guest，其中Administrator拥有最高的权限，Guest则只有基本的权限并且默认是禁用的。而这种默认的帐户在给你带来方便的同时也严重危害到了你的系统安全。如果有黑客入侵或者其他什么问题，他将轻易的得知你的超级用户的名称，剩下的就是寻找密码了。因此，安全的做法是把Administrator账户的名称改掉，然后再建立一个几乎没有任何权限的假Administrator账户。具体的方法是：

　　在运行中输入secpol.msc然后回车，打开“Local Security Settings(本地安全设置)”对话框，依次展开Local Policies(本地策略)-Security Options(安全选项)，在右侧窗口有一个“Accounts: Rename administrator (guest) account(账户：重命名Administrator/Guest账户)”的策略，双击打开后可以给Administrator重新设置一个不是很引人注目的用户名。然后还可以再新建一个名称为Administrator的受限制用户，以迷惑闯入者。

　　安全选项的设置

　　同样是在Local Security Settings中，展开Local Policies-Security Options，这里还有很多其它的设置，经过合理的配置，可以使你的系统更加安全。一下列举的选项最好全部禁止：
　　
　　Interactive logon: Do not require CTRL+ALT+DEL，交互式登录：不需要按Ctrl+Alt+Del。

　　Network access: Allow anonymous SID/name translation，网络访问：允许匿名SID/名称转换。

　　Network access: Let Everyone permissions apply to anonymous users，网络访问：让Everyone权限应用到匿名用户。

　　Recovery console: Allow automatic administrative logon，故障恢复控制台：允许自动系统管理级登录。

　　而以下的选项最好启用：

　　Devices: Restrict CD-ROM access to locally logged-on user only,设备：只有本地登录的用户才能访问CD-ROM。

　　Devices: Restrict floppy access to locally logged-on user only，设备：只有本地登录的用户才能访问软驱。

　　Interactive logon: Do not display last user name，交互式登录：不显示上一次使用的用户名。

　　Network access: Do not allow anonymous enumeration of SAM accounts，网络访问：不允许匿名SAM帐户的匿名枚举。

www.ybf100.com

　　Network access: Do not allow anonymous enumeration of SAM accounts & shares，网络访问：不允许SAM账户和共享的匿名枚举。

　　Network security: Do not store LAN Manager hash value on next password change，网络安全：不要在下次更改密码时存储LAN Manager的Hash值。

　　System objects: Strengthen default permissions of internal system objects (e.g., Symbolic Links) ，系统对象：增强内部系统对象的默认权限(例如Symbolic Links)。

可靠的密码

　　尽管绝对安全的密码时不存在的，但是相对安全的密码还是可以实现的。这个还是需要运行secpol.msc来配置Local Security Settings。展开到Account Policies-Password Policy，经过这里的配置，你就可以建立一个完备密码策略，并且你的密码也可以得到最大限度的保护。

　　Enforce password history(强制密码历史)。这个设置决定了保存用户曾经用过的密码的个数。很多人知道要经常性的更换自己的密码，可是换来换去就是有限的几个在轮换，配置这个策略就可以知道用户更换的密码是否是以前曾经使用过的。如果再配合Maximum password age这个策略，就能保证密码安全了。默认情况下，这个策略不保存用户的密码，你可以自己设置，建议保存5个以上，而最多可以保存24个。

　　Maximum password age(密码最长存留期)。这个策略决定了一个密码可以使用多久，之后就会过期，并要求用户更换密码。如果设置为0，则密码永不过期。一般情况下设置为30到60天左右就可以了，具体的过期时间要看你的系统对安全的要求有多严格。而最长可以设置999天。

　　Minimum password age(密码最短存留期)。这个策略决定了一个密码要在使用了多久之后才能再次被使用。跟上面讲到的Enforce password history结合起来就可以得知新的密码是否是以前使用过的，如果是，则不能继续使用这个密码。如果设置为0则表示一个密码可以被无限制的重复使用，而最大值为999。

　　Minimum password length(密码长度最小值)。这个策略决定了一个密码的长度，有效值在0到14之间。如果设置为0，则表示不需要密码。建议的密码长度不能小于6位。

　　Password must meet complexity requirements(密码必须符合复杂性要求)。如果启用了这个策略，则在设置和更改一个密码的时候，系统将会按照下面的规则检查密码是否有效：密码不能包含全部或者部分的用户名。

　　最少包括6个字符。

　　并且在字符的使用上还要遵循以下的规则，密码必须是：

　　英文字母，A-Z，大小写敏感。

　　基本的10个数字，0-9。

　　不能包含特殊字符，例如!,$,#,%等等。

　　如果启用了这个策略，相信你的密码就会比较安全了。

　　Store password using reversible encryption for all users in the domain(为域中的所有用户使用可还原的加密来存储密码)。很明显，这个策略最好不要启用。

　　安全使用Internet Explorer

　　Internet Explorer是当今最流行的浏览器软件。因为使用的人多，因此IE被发现的安全性问题也就最多，不过没关系，看过本节，你完全可以使你的IE更加安全。需要注意的是，以下的叙述全部以IE 6.0版为准，如果你使用了较低的版本，有些细节方面可能会不一样。

　　打开Internet Explorer，依次点击工具-Internet选项，然后打开安全选项卡。

　　在安全选项卡中选择“Internet”，就可以针对Internet区域的一些安全选项进行设置。虽然有不同级别的默认设置，不过我们最好根据自己的实际情况亲自调整一下。点击下方的Custom Level(自定义级别)。会出现图三的窗口，这里显示了所有的IE安全设置。

　　Download signed ActiveX controls(下载已签名的ActiveX控件)。经过第三方的认证机构签名证明该ActiveX控件是安全的，并且你可以设置为允许下载这种控件，除非你不想安装任何ActiveX控件，或者你想自己从一些网站下载，例如Windows Update，还有播放Flash的插件等。

www.ybf100.com

　　Download unsigned ActiveX controls(下载未签名的ActiveX控件)。跟经过签名认证的ActiveX控件相比，未经签名认证的可能会包含潜在的安全隐患因此这个选项你最好不要设置为启用，或禁用，或者设置为询问，这样你可以根据正在访问的站点的性质自己决定是否下载安装未经认证的控件。

　　Initialize & script ActiveX controls not marked as safe(对没有标记为安全的ActiveX控件进行初始化和脚本运行)。跟前面的设置类似的，如果你之前都设置为禁用，那么这个选项同样禁用就可以，否则可以设置为询问(建议的设置)或者允许(不建议)来禁止那些为经签名的控件运行。

　　Run ActiveX controls & plug-ins(运行ActiveX控件和插件)。假设你已经禁止了所有ActiveX控件和插件的运行，那么这个选项就可以放心的设置为管理员认可。这里不建议设置为允许。

　　Script ActiveX controls marked safe for scripting(对标记为可安全执行脚本的ActiveX控件执行脚本)。这个设置可以设置的跟前面的选项相同。

   下一页

如果觉得《操作系统常见安全问题解决方法》不错，可以推荐给好友哦。