1.序言 随着信息全球化的加剧和计算机网络的不断发展,加上计算机网络的多样性、开放性、互连性和广泛性等特点,致使现在的电脑和网络越来越弱不禁风,全球的黑客、间谍、病毒爆炸式的增长,所以网络系统中的信息的安全和保密是一个至关重要的问题。对于一些特殊的政府、银行和军事网络等传输敏感数据的计算机网络系统而言,网上信息的安全和保密工作更为重要。不管是在局域网还是在广域网中,网络安全工作都要全面、细致,要充分考虑到来自网内网外的各种不同的威胁,并积极采取相应措施,这样才能有力地确保网络信息系统的安全和保密。
2.网络系统的不安全因素
计算机网络系统的不安全因素按威胁的对象可以分为三种:一是对网络硬件的威胁,这主要指那些恶意破坏网络设施的行为,如偷窃、无意或恶意毁损等等;二是对网络软件的威胁,如病毒、木马入侵,流量攻击等等;三是对网络上传输或存储的数据进行的攻击,比如修改数据,解密数据,删除破坏数据等等。这些威胁有很多很多,可能是无意的,也可能是有意的,可能是系统本来就存在的,也可能是我们安装、配置不当造成的,有些威胁甚至会同时破坏我们的软硬件和存储的宝贵数据。如CIH病毒在破坏数据和软件的同时还会破坏系统BIOS,使整个系统瘫痪。针对威胁的来源主要有以下几方面:
2.1无意过失
如管理员安全配置不当造成的安全漏洞,有些不需要开放的端口没有即时用户帐户密码设置过于简单,用户将自己的帐号密码轻意泄漏或转告他人,或几人共享帐号密码等,都会对网络安全带来威胁。
2.2恶意攻击
这是我们赖以生存的网络所面临的最大威胁。此类攻击又可以分为以下两种:一种是显在攻击,它有选择地破坏信息的有效性和完整性,破坏网络的软硬件系统,或制造信息流量使我们的网络系统瘫痪;另一类是隐藏攻击,它是在不影响用户和系统日常工作的前提下,采取窃取、截获、破译和方式获得机密信息。这两种攻击均可对计算机网络系统造成极大的危害,并导致机密数据的外泄或系统瘫痪。
2.3漏洞后门
网络操作系统和其他工具、应用软件不可能是百分之百的无缺陷和无漏洞的,尤其是我们既爱又恨的“Windows”系统,这些漏洞和缺陷就是病毒和黑客进行攻击的首选通道,无数次出现过的病毒(如近期的冲击波和震荡波就是采用了Windows系统的漏洞)造成的重大损失和惨痛教训,就是由我们的漏洞所造成的。黑客浸入网络的事件,大部分也是利用漏洞进行的。“后门”是软件开发人员为了自己的方便,在软件开发时故意为自己设置的,这在一般情况下没有什么问题,但是一旦该开发人员有一天想不通要利用利用该“后门”,那么后果就严重了,就算他自己安分守己,但一旦“后门”洞开和泄露,其造成的后果将更不堪设想。
3.计算机网络的安全策略
3.1 物理安全策略
物理安全策略的目的是保护计算机系统、服务器、网络设备、打印机等硬件实体和通信链路的物理安全,如采取措施防止自然灾害、化学品腐蚀、人为盗窃和破坏、搭线窃取和攻击等等;由于很多计算机系统都有较强的电磁泄漏和辐射,确保计算机系统有一个良好的电磁兼容工作环境就是我们需要考虑的;另外建立完备的安全管理制度,服务器应该放在安装了监视器的隔离房间内,并且要保留10天以上的监视记录,另外机箱、键盘、电脑桌抽屉要上锁,钥匙要放在另外的安全位置,防止未经授权而进入计算机控制室,防止各种偷窃、窃取和破坏活动的发生。
3.2 访问控制策略
网络中所能采用的各种安全策略必须相互配合、相互协调才能起到有效的保护作用,但访问控制策略可以说是保证网络安全最重要的核心策略之一。它的主要目的是保证网络信息不被非法访问和保证网络资源不被非法使用。它也是维护网络系统安全、保护网络资源的重要手段。下面我们分述各种访问控制策略。
3.2.1 登陆访问控制
登陆访问控制为网络访问提供了第一层访问控制。通过设置帐号,可以控制哪些用户能够登录到服务器并获取网络信息和使用资源;通过设置帐号属性,可以设置密码需求条件,控制用户在哪些时段能够登陆到指定域,控制用户从哪台工作站登陆到指定域,设置用户帐号的失效日期。
注:当用户的登录时段失效时,到域中网络资源的链接不会被终止。然而,该用户不能再创建到域中其他计算机的新链接。
用户的登陆过程为:首先是用户名和密码的识别与验证、然后是用户帐号的登陆限制的检查。两个过程只要有一个不成功就不能登陆。
由于用户名和密码是对网络用户的进行验证的第一道防线。所以作为网络安全工作人员在些就可以采取一系列的措施防止非法访问。
a. 基本的设置
应该限制普通用户的帐号使用时间、方式和权限。只有系统管理员才能建立用户帐号。用户密码方面应该考虑以下情况:密码的复杂情况、最小密码长度、密码的有效期等。应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。应对所有用户的访问进行审计,如果多次输入口令不正确,则应该认为是非法入侵,应给出报警信息,并立即停用该帐户。
b. 认真考虑和处理系统内置帐号
建议采取以下措施:i.停用Guest帐号,搞不懂Microsoft为何不允许删除Guest帐号,但不删除我们也有办法:在计算机管理的用户和组里面,把Guest帐号禁用,任何时候都不允许Guest帐号登陆系统。如果还不放心,可以给Guest帐号设置一个长而复杂的密码。这里为对windows 2000有深入了解的同行提供一个删除Guest帐号的方法:Windows 2000系统的帐号信息,是存放在注册表HKEY_LOCAL_MACHINE\SAM里的,但即使我们的系统管理员也无法打开看到这个主键,这主要也是基于安全的原因,但是“System”帐号却有这个权限,聪明的读者应该知道怎么办了吧,对了,以“SYSTEM”权限启动注册表就可以了,具体方法为:以“AT”命令来添加一个计划任务来启动Regedit.exe程序,然后检查注册表项,把帐号Guest清除掉。首先,看一下时间 00:30,在“运行”对话框中或“cmd”中运行命令:at 0:31 /interactive regedit.exe。这样启动regedit.exe的身份就是“SYSTEM”了,/interactive的目的是让运行的程序以交互式界面的方式运行。一分钟后regedit.exe程序运行了,依次来到以下位置: HKEY_LOCAL_MACHINE\SAM\Domains\Account\Users,将以下两个相关键全部删掉:一个是000001F5,一个是Names下面的Guest。完成后我们可是用以下命令证实Guest帐号确实被删掉了“net user guest”。ii.系统管理员要拥有两个帐号,一个帐号是具有管理员权限,用于系统管理,另一个帐号只有一般权限,用于日常操作。这样只有在维护系统或安装软件时才用管理员身份登陆,有利于保障安全。iii.将administrator帐号改名。Microsoft不允许将administrator帐号删除和停用,这样Microsoft就给Hacker们提供了特别大的帮助,但我们也可将之改名,如改为everyones等看视普通的名字。千万不要改为Admin、Admins等改了等于白改的名字。
c. 设置欺骗帐号
这是一个自我感觉非常有用的方法:创建一个名为Administrator的权限最低的欺骗帐号,密码设置相当复杂,既长又含特殊字符,让Hacker们使劲破解,也许他破解还没有成功我们就已经发现了他的入侵企图,退一步,即使他破解成功了最后还是会大失所望的发现白忙半天。
d. 限制用户数量
因为用户数量越多,用户权限、密码等设置的缺陷就会越多,Hacker们的机会和突破口也就越多,删除临时帐号、测试帐号、共享帐号、普通帐号、已离职员工帐号和不再使用的其他帐号能有效地降低系统缺陷。
e. 禁止系统显示上次登陆的用户名
Win9X以上的操作系统对以前用户登陆的信息具有记忆功能,下次重启时,会在用户名栏中提示上次用户的登陆名,这个信息可能被别有用心的人利用,给系统和用户造成隐患,我们可以通过修改注册表来隐藏上次用户的登陆名。修改方法如下:打开注册表,展开到以下分支:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
在此分支下新建字符串命名为:DontDisplayLastUserName,并把该字符串值设为:“1”,完成后重新启动计算机就不会显示上次登录用户的名字了。
f. 禁止建立空连接
默认情况下,任何用户通过空连接连上服务器后,可能进行枚举帐号,猜测密码,我们可以通过修改注册表来禁止空连接。方法如下:打开注册表,展开到以下分支:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,然后将该分支下的restrictanonymous的值改为“1”即可。
g. 通过智能卡登录
采用便携式验证器来验证用户的身份。如广泛采用的智能卡验证方式。通过智能卡登录到网络提供了很强的身份验证方式,因为,在验证进入域的用户时,这种方式使用了基于加密的身份验证和所有权证据。
例如,如果一些别有用心的人得到了用户的密码,就可以用该密码在网络上冒称用户的身份做一些他自己想做的事情。而现实中有很多人都选择相当容易记忆的密码(如姓名、生日、电话号码、银行帐号、身份证号码等),这会使密码先天脆弱,很容易受到攻击。
在使用智能卡的情况下,那些别有用心的人只有在获得用户的智能卡和个人识别码 (PIN) 前提下才能假扮用户。由于需要其它的信息才能假扮用户,因而这种组合可以减少攻击的可能性。另一个好处是连续几次输入错误的 PIN 后,智能卡将被锁定,因而使得采用词典攻击智能卡非常困难。
3.2.2 资源的权限管理
资源包括系统的软硬件以及磁盘上存储的信息等。我们可以利用Microsoft 在Windows 2000中给我们提供的丰富的权限管理来控制用户对系统资源的访问,从而起到安全管理的目的。
a. 利用组管理对资源的访问
组是用户帐号的集合,利用组而不用单个的用户管理对资源的访问可以简化对网络资源的管理。利用组可以一次对多个用户授予权限,而且在我们对一个组设置一定权限后,以后要将相同的权限授予别的组或用户时只要将该用户或组添加进该组即可。
如销售部的成员可以访问产品的成本信息,不能访问公司员工的工资信息,而人事部的员工可以访问员工的工资信息却不能访问产品成本信息,当一个销售部的员工调到人事部后,如果我们的权限控制是以每个用户为单位进行控制,则权限设置相当麻烦而且容易出错,如果我们用组进行管理则相当简单,我们只需将该用户从销售组中删除再将之添加进人事组即可。
b. 利用NTFS管理数据
NTFS文件系统为我们提供了丰富的权限管理功能,利用了NTFS文件系统就可以在每个文件或文件夹上对每个用户或组定义诸如读、写、列出文件夹内容、读和执行、修改、全面控制等权限,甚至还可以定义一些特殊权限。NTFS只适用于NTFS磁盘分区,不能用于FAT或FAT32分区。不管用户是访问文件还是文件夹,也不管这些文件或文件夹是在计算机上还是在网络上,NTFS的安全功能都有效。NTFS用访问控制列表(ACL)来记录被授予访问该文件或文件夹的所有用户、帐号、组、计算机,还包括他们被授予的访问权限。注意:要正确和熟练地使用NTFS控制权限的分配必须深入了解NTFS权限的特点、继承性、“拒绝”权限的特性以及文件和文件夹在复制和移动后的结果。一个网络系统管理员应当系统地考虑用户的工作情况并将各种权限进行有效的组合,然后授予用户。各种权限的有效组合可以让用户方便地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
3.2.3 网络服务器安全控制
网络服务器是我们网络的心脏,保护网络服务器的安全是我们安全工作的首要任务,没有服务器的安全就没有网络的安全。为了有效地保护服务器的安全,我们必须从以下几个方面开展工作。
a. 严格服务器权限管理
由于服务器的重要地位,我们必须认真分析和评估需要在服务器上工作的用户的工作内容和工作性质,根据其工作特点授予适当的权限,这些权限要保证该用户能够顺利地完成工作,但也决不要多给他一点权限(即使充分相信他不会破坏也要考虑他的误操作),同时删除一些不用的和没有必要存在的用户和组(如员工调动部门或辞退等)。根据情况限制或禁止远程管理,限制远程访问权限等也是网络安全工作者必需考虑的工作。
b. 严格执行备份操作
作为一个网络管理员,由于磁盘驱动器失灵、电源故障、病毒感染、黑客攻击、误操作、自然灾害等原因造成数据丢失是最为常见的事情。为了保证系统能够从灾难中以最快的速度恢复工作,最大化地降低停机时间,最大程度地挽救数据,备份是一个最为简单和可靠的方法。Windows 2000 集成了一个功能强大的图形化备份实用程序。它专门为防止由于硬件或存储媒体发生故障而造成数据丢失而设计的。它提供了五个备份类型:普通、副本、差异、增量和每日,我们根据备份所耗时间和空间可以灵活安排这五种备份类型来达到我们的目的。
警告:对于从Windows 2000 NTFS卷中备份的数据,必须将之还原到一个Windows 2000 NTFS卷中,这样可以避免数据丢失,同时能够保留访问权限、加密文件系统(Encrypting File System)设置信息、磁盘限额信息等。如果将之还原到了FAT文件系统中,将丢失所有加密数据,同时文件不可读。
c. 严格起用备用服务器
对于一些非常重要的服务器,如域控制器、桥头服务器、DHCP服务器、DNS服务器、WINS服务器等担负网络重要功能的服务器,也包括那些一旦瘫痪就要严重影响公司业务的应用程序服务器,我们应该不惜成本建立备份机制,这样即使某个服务器发生故障,对我们的工作也不会造成太大的影响。我们也可以利用Windows 2000 Advance Server的集群功能使用两个或两个以上的服务器,这样不但可以起到备用的作用,同时也能很好地提高服务性能。
d. 使用RAID实现容错功能
使用RAID有软件和硬件的方法,究竟采用哪种要考虑以下一些因素:
硬件容错功能比软件容错功能速度快。
硬件容错功能比软件容错功能成本高。
硬件容错功能可能被厂商限制只能使用单一厂商的设备。
硬件容错功能可以实现硬盘热交换技术,因此可以在不关机的情况下更换失败的硬盘。
硬件容错功能可以采用高速缓存技术改善性能。
Microsoft Windows 2000 Server支持三种类型的软件RAID,在此作一些简单描述:
u RAID 0(条带卷)
RAID 0 也被称为磁盘条带技术,它主要用于提高性能,不属于安全范畴,在此略过,有兴趣的朋友可以参阅相关资料。
u RAID 1(镜像卷)
RAID 1 也被称为磁盘镜像技术,它是利用Windows 2000 Server的容错驱动程序(Ftdisk.sys)来实现,采用这种方法,数据被同时写入两个磁盘中,如果一个磁盘失败了,系统将自动用来自另一个磁盘中的数据继续运行。采用这种方案,磁盘利用率仅有50%。
可以利用镜像卷保护系统磁盘分区或引导磁盘分区,它具有良好的读写性能,比RAID 5 卷使用的内存少。
可以采用磁盘双工技术更进一步增强镜像卷的安全性,它不需要附加软件支持和配置。(磁盘双工技术:如果用一个磁盘控制器控制两个物理磁盘,那么当磁盘控制器发生故障,则两个磁盘均不能访问,而磁盘双工技术是用两个磁盘控制器控制两个物理磁盘,当这两个磁盘组成镜像卷时更增强了安全性:即使一个磁盘控制器损坏,系统也能工作。)
镜像卷可以包含任何分区,包括引导磁盘分区或系统磁盘分区,然而,镜像卷中的两个磁盘必须都是Windows 2000 的动态磁盘。
u RAID 5(带有奇偶校验的条带卷)
在Windows 2000 Server中,对于容错卷,RAID 5是目前运用最广的一种方法,它至少需要三个驱动器,最多可以多达32个驱动器。Windows 2000 通过在RAID-5卷中的各个磁盘分区中添加奇偶校检翻译片来实现容错功能。如果单个磁盘失败了,系统可以利用奇偶信息和剩余磁盘中的数据来重建丢失的数据。
注:RAID-5卷不能保护系统磁盘和引导磁盘分区。
[1] [2] [3] [4]
e. 严格监控系统启动的服务
很多木马或病毒程序都要在系统中创建一个后台服务或进程,我们应该经常检查系统,一旦发现一些陌生的进程或服务,就要特别注意是否有木马、病毒或间谍等危险软件运行。作为网络管理员,经常检查系统进程和启动选项是应该养成的一个经常习惯。这里有一个对初级网络管理员的建议:在操作系统和应用程序安装完成后利用工具软件(如Windows优化大师等软件)导出一个系统服务和进程列表,以后经常用现有的服务和进程列表与以前导出的列表进行比较,一旦发现陌生进程或服务就要特别小心了。
3.2.4 网络监测和锁定控制
网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。
服务器允许在服务器控制台上执行一些如装载和卸载管理模块的操作,也可以进行安装和删除软件等操作。网络服务器的安全控制包括设置口令锁定服务器控制台,以防止非法用户修改、删除重要服务组件或破坏数据;可以设定服务器登录时间和时长、非法访问者检测和关闭的时间间隔。
3.2.5 防火墙控制
防火墙的概念来源于古时候的城堡防卫系统,古代战争中为了保护一座城市的安全,通常是在城市周围挖出一条护城河,每一个进出城堡的人都要通过一个吊桥,吊桥上有守卫把守检查。在设计现代网络的时候,设计者借鉴了这一思想,设计出了现在我要介绍的网络防火墙技术。
防火墙的基本功能是根据一定的安全规定,检查、过滤网络之间传送的报文分组,以确定它们的合法性。它通过在网络边界上建立起相应的通信监控系统来隔离内外网络,以阻止外部网络的侵入。我们一般是通过一个叫做分组过滤路由器的设备来实现这个功能的,这个路由器也叫做筛选路由器。作为防火墙的路由器与普通路由器在工作机理上有较大的不同。普通路由器工作在网络层,可以根据网络层分组的IP地址决定分组的路由;而分组过滤路由器要对IP地址、TCP或UDP分组头进行检查与过滤。通过分组过滤路由器检查过的报文还要进一步接受应用网关的检查。因此,从协议层次模型的角度看,防火墙应覆盖网络层、传输层与应用层。
4.信息加密策略
加密是我们在 Intranet、Extranet 和 Internet上进行信息交换的安全基础。加密主要用在三个地方:(1)、身份验证,主要是使收件人确信发件人就是他或她所期望的那个人,而不是别人冒名;(2)、机密性,主要是确保只有预期的收件人才能够阅读所传递的信息;(3)、完整性,主要是确保邮件在传输过程中没有发生不期望的更改。从加密的原理来看,加密是利用数学方法将信息转换为不可读格式从而达到保护数据的目的的一门科学。
如果按照收发双方密钥是否相同来分类,可以将加密分为对称密钥加密和非对称密钥加密。
4.1对称加密:一个密钥
也叫做机密密钥加密或共享密钥加密,发件人和收件人共用同一个密钥,这个密钥叫做机密密钥(也称为对称密钥或会话密钥),它既用于加密,也用于解密。由于对称密钥加密在加密和解密时使用相同的密钥,所以这种加密过程的安全性取决于是否有未经授权的人获得了对称密钥。希望使用对称密钥加密通信的双方,在交换加密数据之前必须先安全地交换密钥。
对称密钥加密速度较快,主要用于加密大量数据。对称密钥加密的算法有许多种,都用可还原的方式将明文(未加密的数据)转换为暗文。暗文使用加密密钥编码,对于没有解密密钥的任何人来说它都是一堆毫无意义的乱码。
对称算法可靠与否的关键是其密钥的长度和复杂性。密钥越长,在采用枚举法破解密码的时候需要测试的数据量就越多,所需要的时间也就越长。同样,密钥越复杂(也就是说密钥包含的字符类型多)所需要测试的数据量也越大,时间也就越长,破解这种算法就越困难。有了好的加密算法和足够长而复杂的密钥,如果有人想在一段实际可行的时间内逆转转换过程,并从暗文中推导出明文,从计算的角度来讲,这种做法是行不通的。
4.2公钥加密:两个密钥
公钥加密(也叫做不对称密钥)使用两个数学上是相关联的密钥——一个私钥和一个公钥。在公钥加密中,公钥可在通信双方之间公开传递,甚至对外发布,但相关的私钥是保密的。只有使用私钥才能解密用公钥加密的数据。使用私钥加密的数据只能用公钥解密。
公钥加密与对称密钥加密一样,同样有许多算法。公钥算法是复杂的数学方程式,使用了非常大的数字,因而这种加密方式的速度相对较低,所以它一般仅在关键时候才使用公钥算法,如在交换对称密钥或进行数字签名时使用。
5.日志文件的重要性
Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等,用FTP探测后,就会在FTP日志中记下IP、时间、探测所用的用户名等。甚至你的系统里什么时候启动或停止了某项服务,日志文件里也会有相关情况的记录。而优秀的黑客们在干尽坏事后往往会删除对他(她)有记录的日志。所以保护日志文件的安全也相关重要。
日志文件默认位置:
安全日志文件:%systemroot%\system32\config\SecEvent.EVT,默认文件大小512KB;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT,默认文件大小512KB;
[1] [2] [3] [4]
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT,默认文件大小512KB;
DNS日志文件:%systemroot%\system32\config\DnsEvent.EVT,默认文件大小512KB;
WWW日志默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志;
FTP日志默认位置:%systemroot%\system32\logfiles\msftpsvc1\,默认每天一个日志;
Scheduler服务日志默认位置:%systemroot%\schedlgu.txt。
上面提及的日志在注册表里均有相应的键,我们可以在注册表中找到日志文件的相关设置。
应用程序日志,安全日志,系统日志,DNS日志在注册表中的位置是:
HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog
为了保护日志文件的安全,管理员将日志文件重定向是相当有必要的,我们可以在这里看到重定向的目录。
Scheduler服务日志在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
由于日志文件在管理员了解网络潜在危险中起了举足轻重的作用,所以作为网络安全管理员,我们要养成经常查看日志文件的习惯,同时要采取切实可行的方法保障这些文件的安全,如:注意保护系统管理员帐户安全,对日志文件重定向等等。
6.其他修改注册表来提高安全性的技巧
为了有效地保障网络系统的安全和可靠,我们还可以对注册表做一些必要的修改以保证安全。修改注册表来完善我们的安全系统涉及的地方很多,这里只列举很少的一部分,大家有兴趣可以参阅相关的资料。
(1) 隐藏一个服务器
为了保证网络中的服务器不被末授权的访问、更改和非法攻击,从安全的角度出发,有时需要把网络中指定的服务器名称隐藏起来,以便让其他网络用户无法访问。修改注册表的方法是:
1、打开注册表编辑器,来到下面分支:HKEY_LOCAL_ MACHINE \ SYSTEM \ CurrentControlSet \Services \ LanmanServer \ Parameters键值;
2、用鼠标单击该键值下面的Hidden数值名称,如果未发现此名称,那么添加一个,其数据类型为REG_DWord,值设为1;
3、重新启动计算机后就可以在网络中隐藏一个服务器了。
(2) 阻止非法修改注册表
注册表是整个系统的灵魂,任何对注册表的错误修改都有可能导致整个系统瘫痪。因此,阻止注册表被恶意或无意修改,是我们安全工作者必须要考虑的问题。我们可以通过修改注册表来达到阻止修改的目的。
1、在注册表编辑器中,来到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\键值;
2、在Policies键值的下面新建一个System主键,如果该主键已经存在,进行下一步操作;
3、在System主键右边窗口的空白处新建一个名为DisableRegistryTools的 DWORD串值,并将其值设为1;
4、重启系统就达到了防止其他人非法编辑注册表的目的。
(3) 屏蔽“控制面板”的访问
我们可以利用系统自带的控制面板进行许多的系统软硬件设置工作,因此防止他人随意利用控制面板对Windows系统进行非法修改也是很有必要的,要达到这个目的,我们也可对注册表进行修改:
1、首先在注册表中来到以下分支:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System键值;
2、随后在对应System键值的右边窗口中,用鼠标右键单击该窗口的空白处,并从弹出的快捷菜单中选择“新建”/“DWORD”命令,来新建一个DWORD值;
3、把DWORD值的名称命名为NoDispCPL,设置NoDispCPL的值为1。
(4) 将用户登录名隐藏
Win9x以后的操作系统对以前用户登录的信息具有记忆功能,当重新启动系统时,系统默认会在用户名栏中显示上次用户的登录名,这个信息可能会被一些非法分子利用,造成系统隐患。我们可以通过设置注册表将上次用户的登录名隐藏。
1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon;
2、在Winlogon键值右边的窗口中, “新建”/“字符串”;
3、给新建字符串命名为"DontDisplayLastUserName",并把该字符串值设置为"1";
4、设置完后,重新启动计算机就可以隐藏上机用户登录的名字了。
(5) 禁止用户拨号访问
如果用户的计算机上面有重要的信息,有可能不允许其他人随便访问。那么如何禁止其他人拨入访问你的计算机,减少安全隐患呢,具体步骤为:
1、打开注册表编辑器,并在编辑器中依次展开以下键值: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network];
2、在编辑器右边的列表中用选择“NoDialIn”键值,如果没有,则新建一个DWORD值,名称设置为“NoDialIn”;
3、接着用鼠标双击“NoDialIn”键值,编辑器就会弹出一个名为“字符串编辑器”的对话框,在该对话框的文本栏中输入数值“1”,其中1代表允许拨入访问功能,0代表禁止拨入访问功能;
4、退出后重新登录网络,上述设置就会起作用。
(6) 屏蔽对软盘的网络访问
病毒有很多都是通过访问染毒软盘而被感染得来的,如果我们允许用户通过网络来访问软盘的话,那么整个网络都有可能被感染病毒,最终将会使网络中的所有计算机都中毒瘫痪。为了防止病毒入侵整个网络,我们必须严格管理计算机的输入设备,以断绝病毒的源头,我们可以通过设置注册表来限制通过网络访问软盘。
[1] [2] [3] [4]
1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon;
3、在对应Winlogon右边的窗口中,看看有没有包含键值AllocateFloppies,如果没有,用鼠标右键单击窗口的空白处,从弹出的快捷菜单中选择“新建”/“DWORD值”;
4、把新建的DWORD值取名为AllocateFloppies,同时把它的值修改为0或1,其中0代表可被域内所有管理员访问,1代表仅可被当地登陆者访问。
(7) 隐藏网上邻居
通过网上邻居我们可以访问到局域网中其他的计算机,如果其他计算机没有设置特别的访问权限的话,那么我们就可以干任何我们想干的事,为了保护局网中其他计算机上的数据安全,我们可以利用注册表来隐藏“网上邻居”。
1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\EXPlorer;
2、在对应Explorer键值右边的窗口中,用鼠标单击窗口的空白处,从弹出的快捷菜单中,用鼠标依次访问“新建”/“DWORD串值”;
3、将新建的DWORD串值命名为NoNetHood,同时把该值设置为1(十六进制);
4、设置好后,重新启动计算机就可以使设置生效了。
(8) 限制用户使用指定程序
为防止用户非法运行或者修改程序,我们可以通过修改注册表来让用户只能运行指定的程序,从而保证系统安全。
1、在注册表编辑器窗口中依次打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer键值;
2、在对应Explorer键值右边的窗口中,新建一个DWORD串值,名字取为“RestrictRun”,把它的值设为“1”;
3、在RestrictRun的主键下分别添加名为“1”、“2”、“3”等字符串值,然后将“1”,“2”、“3”等字符串的值设置为我们允许用户使用的程序名,样,用户就只能使用指定的程序了。
7.结束语
随着计算机技术和通信技术的融合和发展,计算机网络将日益成为商业、工业、农业和国防等方面的重要信息存储和交换手段,渗透到社会生活的各个领域。我们一定要认清网络的脆弱性和看到网络潜在威胁,并采取强有力的安全策略,保障网络的安全性,这对于维护社会、经济稳定和国家安全都将起着重要作用。
(出处:http://www.sheup.com)
4、把新建的DWORD值取名为AllocateFloppies,同时把它的值修改为0或1,其中0代表可被域内所有管理员访问,1代表仅可被当地登陆者访问。
(7) 隐藏网上邻居
通过网上邻居我们可以访问到局域网中其他的计算机,如果其他计算机没有设置特别的访问权限的话,那么我们就可以干任何我们想干的事,为了保护局网中其他计算机上的数据安全,我们可以利用注册表来隐藏“网上邻居”。
1、打开注册表编辑器,并在编辑器中依次展开以下键值:HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\EXPlorer;
2、在对应Explorer键值右边的窗口中,用鼠标单击窗口的空白处,从弹出的快捷菜单中,用鼠标依次访问“新建”/“DWORD串值”;
3、将新建的DWORD串值命名为NoNetHood,同时把该值设置为1(十六进制);
4、设置好后,重新启动计算机就可以使设置生效了。
(8) 限制用户使用指定程序
为防止用户非法运行或者修改程序,我们可以通过修改注册表来让用户只能运行指定的程序,从而保证系统安全。
1、在注册表编辑器窗口中依次打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer键值;
2、在对应Explorer键值右边的窗口中,新建一个DWORD串值,名字取为“RestrictRun”,把它的值设为“1”;
3、在RestrictRun的主键下分别添加名为“1”、“2”、“3”等字符串值,然后将“1”,“2”、“3”等字符串的值设置为我们允许用户使用的程序名,样,用户就只能使用指定的程序了。
7.结束语
随着计算机技术和通信技术的融合和发展,计算机网络将日益成为商业、工业、农业和国防等方面的重要信息存储和交换手段,渗透到社会生活的各个领域。我们一定要认清网络的脆弱性和看到网络潜在威胁,并采取强有力的安全策略,保障网络的安全性,这对于维护社会、经济稳定和国家安全都将起着重要作用。
(出处:http://www.sheup.com)