1.2 典型的操作系统安全配置
刚安装的Windows操作系统一般都符合美国《可信计算机系统评估准则》C2级安全级别的操作系统,安全性并不高。而且这些新安装的操作系统都存在不少漏洞、风险或者配置问题,如果对这些风险、漏洞或者配置问题不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者,进而导致操作系统甚至整个计算机出现安全问题。本实验讲述一些典型的操作系统安全配置。
1.2.1 账户安全设置
操作系统的账户是进入操作系统的第一道大门,安全性非常重要。操作系统账户安全设置方法如下。
第1步:用鼠标单击屏幕左下方的“开始”按钮,出现如图1.1所示的Windows功能界面。
图1.1 Windows功能界面
第2步:在图1.1中用鼠标单击“控制面板”按钮,出现如图1.2所示界面。
第3步:用鼠标单击图1.2中的“用户账户”,出现如图1.3所示界面。
图1.2 控制面板界面
图1.3 用户账户界面
1.限制账户数量
去掉所有的测试账户、共享账户和普通部门账户等。经常检查系统的账户,删除已经不使用的账户。账户经常是黑客们入侵系统的突破口,系统的账户越多,黑客们得到合法用户的权限的可能性也就越大。对于Windows操作系统的主机来说,如果系统账户超过10个,一般能找出一两个弱口令账户,所以账户数量不要大于10个。
2.保护管理员账户
管理员账户是计算机系统中最重要的账户,一旦被窃取,计算机将彻底无秘可言。这里介绍一些保护管理员账户的方法。
首先是新建立一个名为“Administrator”的账户,方法如下。用鼠标单击如图1.4所示的“管理其他账户”按钮。
图1.4 管理其他账户
这时出现如图1.5所示的界面。
图1.5 管理账户界面
用鼠标单击图1.5中的“在电脑设置中添加新用户”按钮,出现如图1.6所示的界面。
图1.6 设置账户
单击“将其他人添加到这台电脑”按钮,出现如图1.7所示界面。
图1.7 输入账户名
在图1.7的文本框中输入账户名,注意一定要带上“Administrator”。单击“下一步”按钮,出现如图1.8所示界面。
图1.8 输入账户密码
在图1.8的文本框中输入一个超长的密码,至少20位以上,并且是数字、字母和符号组合的,这个密码只输入一次,也不用记住。单击“下一步”按钮,出现如图1.9所示的界面。
图1.9 生成新账户
这样就新生成了一个账户“Administrator@bupt.edu.cn”,查看这个账户的属性如图1.10所示。
图1.10 设置账户属性
图1.10中显示这个账户是“标准”账户,而不是管理员账户。通过以上这些操作,达到了以下目的。
1)创建了一个“陷阱账户”,即“Administrator@bupt.edu.cn”。它有超长并且复杂的密码,而且不是管理员账户。这样黑客第一眼看到,会以为这个账户是管理员账户,他也很难破解这个有20多位复杂密码的账户;即使破解了,作用也不大,因为它只是一个一般的账户,而不是管理员账户。
2)保护了真正的管理员账户“李剑”,因为表面上看不出这个才是管理员账户。
3)这里没有多余的账户,只有两个。
3.给管理员账户设置一个安全的密码
好的密码对于一个账户来说是非常重要的,但是也是最容易被忽略的。一些网络管理员创建账户的时候往往用公司名、计算机名或者其他一些一猜就中的字符作为用户名,然后又把这些账户的密码设置得比较简单,比如:“welcome”“iloveyou”“letmein”或者和用户名相同的密码等。这样的账户应该要求用户首次登录的时候更改成复杂的密码,还要注意经常更改密码。
设置密码的时候最好要大于8位,并且是数字、字母和符号组合而成的。例如“iAlkiec928e$*@%KWid”就是一个好密码。
这里给好的密码下了个定义:安全期内无法破解出来的密码就是好密码,密码策略是42天必须改密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来。
1.2.2 设置屏幕保护
设置屏幕保护密码是防止其他人员在未授权的情况下使用计算机。方法如下。
第1步:单击屏幕左下方的“开始”按钮,出现如图1.11所示的界面。
图1.11 设置功能
第2步:单击图1.11中的“设置”按钮,出现如图1.12所示的“Windows设置”界面。
图1.12 Windows设置
第3步:单击图1.12中的“个性化”按钮,出现如图1.13所示的锁屏界面。
图1.13 锁屏界面
第4步:单击图1.13中的“屏幕保护程序设置”按钮,出现如图1.14所示的界面。
图1.14 屏幕保护程序设置
第5步:在图1.14中选择自己喜欢的屏幕保护程序,设置等待时间为1min,最后再勾选“在恢复时显示登录屏幕(R)”选项。
这样设置之后,当使用计算机的人在1min之内不使用计算机的时候,就会出现屏幕保护程序。重新使用计算机的时候,会显示登录界面,让使用者重新输入登录密码。
1.2.3 设置隐私权限
目前个人隐私保护很重要,Windows 10同样注重用户的个人隐私保护。
第1步:在“Windows设置”中单击“隐私”按钮,如图1.15所示。
图1.15 Windows中的隐私设置
第2步:这时会出现“更改隐私选项”界面,如图1.16所示。
图1.16 更改隐私选项
第3步:在图1.16中的“更改隐私选项”包括四个选项如下。
● 允许应用使用广告ID,以便基于你的应用使用情况投放你更感兴趣的广告(关闭该模式将会重置你的ID)。
● 允许网站通过访问我的语言列表来提供本地相关内容。
● 允许Windows跟踪应用启动,以改进开始和搜索结果。
● 在设置应用中为我显示建议的内容。
用户可以根据自己的喜好,来选择自己所需要的隐私保护选项。
1.2.4 更新与安全
Windows 10自带“更新与安全”设置,可以进行相关的安全设置。
第1步:打开Windows设置,单击其中的“更新和安全”按钮,如图1.17所示。
图1.17 Windows设置
第2步:这时出现如图1.18所示的界面,单击其中的“Windows更新”按钮。
第3步:这时可以看到目前的Windows操作系统是不是最新的版本,以及上次检查更新的时间。例如图1.18中上次检查更新时间是“昨天,8:42”。对操作系统的更新是非常必要的,这样就可以补上操作系统的很多漏洞。
图1.18 Windows更新
第4步:也可以选择“Windows安全”选项,如图1.19所示。
图1.19 Windows安全设置
第5步:在“Windows安全”选项的“保护区域”当中包括七个选项,它们分别是病毒和威胁防护、账户保护、防火墙和网络保护、应用和浏览器控制、设备安全性、设备性能和运行状况、家庭选项。用户可以根据自己的意愿选择其中的安全选项进行设置。
第6步:也可以打开“Windows Defender安全中心”,如图1.20所示。这里由于篇幅关系不再详述,感兴趣的读者可以自己进行更多的安全设置。
图1.20 Windows Defender安全中心
1.2.5 关闭不必要的服务
计算机中通常安装了一些不必要的服务,如果这些服务没有用的话,最好能将它们关闭。例如:为了能够在远程方便地管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确地配置了终端服务。有些恶意程序也能以服务方式悄悄地运行服务器上的终端服务,要留意服务器上开启的所有服务并每天检查。Windows中可禁用的服务及其相关说明如表1.1所示。
表1.1 Windows中可禁用的服务
打开“服务”的方法如下。
第1步:在控制面板中打开“管理工具”选项,出现如图1.21所示的界面。
图1.21 管理工具
第2步:双击图1.21中的“服务”选项,出现如图1.22所示的界面。
图1.22 服务界面
第3步:在图1.22中可以看到计算机当中所有的服务。如果想要关闭哪个服务,就可以对那个服务进行操作。
1.2.6 Windows防火墙的使用
Windows 10系统中提供了强大的自带防火墙功能,这个设置在本书其他实验中会有专门讲解,这里不再赘述。
1.2.7 关闭系统默认共享
操作系统的共享在为用户带来方便的同时也带来了众多麻烦,经常会有病毒通过共享进入计算机。Windows操作系统提供了默认共享功能,这些默认的共享都有“$”标志,意为隐含的,包括所有的逻辑盘(C$,D$,E$,…)和系统目录Winnt或Windows(admin$),还有的带有IPC$共享。
查看这些共享的方法是按下组合键〈Win+R〉,在出现的运行界面当中输入“cmd”,如图1.23所示。
图1.23 运行界面
单击“确定”按钮后,出现如图1.24所示界面,这是DOS操作界面。在界面当中输入“net share”命令,按下〈Enter〉键后会出现计算机当中已经有的所有共享。
图1.24 查看计算机中的共享
图中的共享信息也可以在“控制面板”→“管理工具”→“计算机管理”当中查看,如图1.25所示。
图1.25 计算机共享信息
因为操作系统的C盘、D盘等全是共享的,这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主机,然后将病毒上传到上面。下面给读者介绍几种可以关闭操作系统共享的方法。
第1种方法:批处理法。
打开记事本,输入以下内容(记得每行最后要按〈Enter〉键)。
将以上内容保存为NetShare.bat(注意后缀),然后把这个批处理文件拖放到“程序”→“启动”项,这样每次开机就会运行它,也就是通过“net”命令关闭共享。如果哪一天需要开启某个或某些共享,只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。
第2种方法:注册表改键值法。
单击“开始”→“运行”,输入“regedit”单击“确定”按钮后,打开注册表编辑器,找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项,可以自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。最后在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”项,将键值设为1,关闭IPC$共享。本方法必须重启计算机才能生效,而且一经改动就会永远停止共享。
第3种方法:停止服务法。
这种方法最简单,打开“控制面板”→“管理工具”→“计算机管理”窗口。单击展开左侧的“服务和应用程序”并选中其中的“服务”选项,此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”(在进程中的名称为services),如图1.26所示。
图1.26 Server服务
用鼠标右击“Server”选项,如图1.27所示,在弹出的菜单中选择“停止”选项。
图1.27 将Server服务停止
Server服务停止后的系统状态如图1.28所示。这样,系统中所有的共享都会去掉。
图1.28 停止Server服务后的状态
1.2.8 下载最新的补丁
下载操作系统和应用程序最新的安全补丁,可以利用一些工具,如奇虎360安全卫士等。打开奇虎360安全卫士软件主界面,如图1.29所示。选择“系统修复”选项,再单击“全面修复”,就可以开始扫描漏洞了。
图1.29 360安全卫士主界面
过一段时间扫描完成后,会有扫描结果,如图1.30所示。这时系统会显示有多少项目需要修复,如果都要修复的话,单击“一键修复”即可。
图1.30 360安全卫士扫描结果