用“本地安全策略”保护系统安全

Windows XP系统自带的“本地安全策略”是一个很不错的系统安全管理工具,利用好它可以使我们的系统更安全。  

  首先,我们就来说一下如何启动“本地安全策略”。单击“控制面板” “管理工具” “本地安全策略”后,会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。  

  接下来我们来探讨一下“本地安全策略” 的妙用。  

  禁止枚举账号  

  我们知道,某些具有黑客行为的蠕虫病毒可以通过扫描Windows 2000/XP系统的指定端口,然后通过共享会话猜测管理员系统口令。因此,我们需要通过在“本地安全策略”中设置禁止枚举账号,从而抵御此类入侵行为,操作步骤如下:
  

  

  在“本地安全策略”左侧列表的“安全设置”目录树中,逐层展开“本地策略” “安全选项”。查看右侧的相关策略列表,在此找到“网络访问:不允许SAM账户和共享的匿名枚举”(图1),用鼠标右键单击,在弹出菜单中选择“属性”,而后会弹出一个对话框,在此激活“已启用”选项,最后点击“应用”按钮使设置生效。  

  账户管理  

  为了防止入侵者利用漏洞登录机器,我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为:在“本地策略” “安全选项”分支中,找到“账户:来宾账户状态”策略,点右键弹出菜单中选择“属性”,而后在弹出的属性对话框中设置其状态为“已停用”,最后“确定”退出。

  下面,我们再查看“账户:重命名系统管理员账户”这项策略,调出其属性对话框,在其中的文本框中可自定义账户名称(图2)。

  指派本地用户权利 

  如果你是系统管理员身份,可以指派特定权利给组账户或单个用户账户。在“安全设置”中,定位于“本地策略” “用户权利指派”,而后在其右侧的设置视图中,可针对其下的各项策略分别进行安全设置(图3)。
     例如,若是希望允许某用户获得系统中任何可得到的对象的所有权:包括注册表项、进程和线程以及NTFS文件和文件夹对象等(该策略的默认设置仅为管理员)。首先应找到列表中“取得文件或其他对象的所有权”策略,用鼠标右键单击,在弹出菜单中选择“属性”,在此点击“添加用户或组”按钮,在弹出对话框中输入对象名称,并确认操作即可。  

  活用IP策略  

  我们知道,无论是哪一种黑客程序,大多都是通过端口作为通道。

  因此,我们需要关闭那些可能成为入侵通道的端口。你可以上网查询一下相关危险端口的资料,以做到有备而战。下面我们以Telnet利用的23端口为例来加以说明(笔者的操作系统为Windows XP)。

  首先单击“运行”在框中输入“mmc”后回车,弹出控制台的窗口。我们依次选择“文件” “添加/删除管理单元” “在独立标签栏中点击‘添加'” “IP安全策略管理”,最后按提示完成操作。这时,我们已把“IP安全策略,在本地计算机”(以下简称“IP安全策略”)添加到“控制台根节点”下(图4)。    现在双击“IP安全策略”就可以新建一个管理规则。右击“IP安全策略”,在弹出的快捷菜单中选择“创建IP安全策略”,打开IP安全策略向导,点击“下一步” “名称默认为‘新IP安全策略'” “下一步” “不必选择‘激活默认响应规则'”,注意:在点击“下一步的同时,需要确认此时“编辑属性”被选中,然后选择“完成,出现“新IP安全策略属性”窗口(图5),选择“添加”,然后一直点击“下一步”,不必选择“使用添加向导”选项。

  在寻址栏的源地址应选择“任何IP地址”,目标地址选择“我的IP地址”(不必选择镜像)。在协议标签栏中,注意类型应为TCP,并设置IP协议端口从任意端口到此端口23,最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”,选中它,切换到“筛选器操作”标签栏,依次点击“添加” “名称默认为‘新筛选器操作'” “添加” “阻止” “完成”。

  新策略需要被激活才能起作用,具体方法是:在“新IP安全策略”上点右键,选择“指派”刚才制定的策略。  

  现在,当我们从另一台电脑Telnet到设防的这一台时,系统会报告登录失败;用扫描工具扫描这台机子,会发现23端口仍然在提供服务。以同样的方法,大家可以把其他任何可疑的端口都封杀掉,让不速之客们大叫“不妙”去吧。  

  加强密码安全  

  在“安全设置”中,先定位于“账户策略” “密码策略”,在其右侧设置视图中,可酌情进行相应的设置,以使我们的系统密码相对安全,不易破解。防破解的一个重要手段就是定期更新密码,大家可据此进行如下设置:鼠标右键单击“密码最长存留期”,在弹出菜单中选择“属性”,在弹出的对话框中,大家可自定义一个密码设置后能够使用的时间长短(限定于1至999之间)。

  此外,通过“本地安全设置”,还可以通过设置“审核对象访问”跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。诸如此类的安全设置,不一而足。大家在实际应用中会逐渐发觉“本地安全设置”的确是一个不可或缺的系统安全工具。

(0)

相关推荐

  • 用“本地安全策略”保护系统安全

    Windows XP系统自带的"本地安全策略"是一个很不错的系统安全管理工具,利用好它可以使我们的系统更安全. 首先,我们就来说一下如何启动"本地安全策略".单击"控制面板" "管理工具" "本地安全策略"后,会进入"本地安全策略"的主界面.在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作. 接下来我们来探讨一下"本地安全策略" 的

  • 服务器安全设置之-本地安全策略设置

    也可以运行中输入gpedit.msc进入 计算机配置→windows设置→安全设置→本地策略 安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单->管理工具->本地安全策略 A.本地策略-->审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败 B.本地策略-->

  • secedit.exe本地安全策略命令使用方法

    要查看该命令语法,请单击以下命令: 复制代码 代码如下: secedit /analyze secedit /configure secedit /export secedit /import secedit /validate secedit /GenerateRollback secedit /analyze 可通过将其与数据库中的基本设置相比较,分析一台计算机上的安全设置. 语法 secedit /analyze /db FileName .sdb[/cfgFileName] [/over

  • 巧用微软EWF来保护系统

    一.前期准备 1.安装 下载EWF压缩包,并把它解压到一个非系统分区,比如E:\ewf.然后双击setup.bat进行安装,或者在命令提示符下输入如下命令也可: Quote: E: cd ewf setup.bat 安装完成系统会自动重启.(图1) 2.运行 系统重启后,单击"开始→运行",输入"E:\ewf\TRUNON.bat"(也可直接双击该文件)开启EWF保护,然后系统会立刻重新启动,重启后进入系统就可以使用EWF保护了.默认情况下保护第一分区,当然也可进行

  • 保护系统安全 防范网络炸弹四招

    所谓"网络炸弹"是一种恶意的破坏程序.随着"网络炸弹"功能越来越强大,操作界面日趋简单,它影响的范围正逐渐扩大,已经从电子邮件波及到聊天工具."网络炸弹"能够造成的破坏包括:丢失QQ号,聊天记录被盗:邮箱被毁,信件丢失:甚至于硬盘数据被恶意删除等.下面我们就将互联网上最常见的四种"网络炸弹"及防范技巧向读者作详细的介绍. 防范IP炸弹 IP炸弹是最常见的一种,IP是Internet Protocol的缩写,电脑通过它来识别网络

  • 正确维护配置Apache服务器的方法 保护系统安全

    Apache服务器快速.可靠.可通过简单的API扩展,其Perl/Python解释器可被编译到服务器中,并且完全免费,完全开放源代码.如果需要创建一个每天有数百万人访问的Web服务器,Apache可能是最佳的选择. Apache是目前最流行的Web服务器端软件之一,它可以运行在几乎所有被广泛使用的计算机平台上.Apache服务器快速.可靠.可通过简单的API扩展,其Perl/Python解释器可被编译到服务器中,并且完全免费,完全开放源代码.如果需要创建一个每天有数百万人访问的Web服务器,Ap

  • js 浏览本地文件夹系统示例代码

    复制代码 代码如下: function BrowseFolder(){ try{ var Message = "请选择文件夹"; //选择框提示信息 var Shell = new ActiveXObject( "Shell.Application" ); var Folder = Shell.BrowseForFolder(0,Message,0x0040,0x11);//起始目录为:我的电脑 //var Folder = Shell.BrowseForFolde

  • 通过注册表禁用DOS窗口来保护系统安全

    1.禁用MS-DOS方式 有时候为了安全,我们将装有重要数据的分区隐藏起来,但是其他用户可以通过MS-DOS方式访问到这个驱动器.因此,为了安全起见,需要禁止用户通过使用MS-DOS方式,其操作步骤为: 打开"注册表编辑器",随后依次展开"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp"分支(如果WinOldApp分支不存在,我们可以新建).在注册表的右侧窗

  • 命令行第1/2页

    winver 检查Windows版本  wmimgmt.msc 打开Windows管理体系结构(wmi)  wupdmgr Windows更新程序  wscript Windows脚本宿主设置  write 写字板  winmsd 系统信息  wiaacmgr 扫描仪和照相机向导  winchat xp自带局域网聊天  mem.exe 显示内存使用情况  msconfig.exe 系统配置实用程序  mplayer2 简易widnows media player  mspaint 画图板  ms

  • 启用账户安全策略防FTP穷举攻击的保护?

    默认地,星外虚拟主机管理平台已安装了对抗FTP穷举攻击的保护服务. 但你必须进一步设置它才有作用: 开始--管理工具--本地安全策略 帐户策略---设置500次错误就锁定.(其他设置不要改动!) 为什么不限制在3次? 3次太少了.用户一错,就要去用户区修改FTP密码才能登陆,所以,一般建议是500次. 这样,当攻击发生时,星外FTP穷举攻击的保护服务会自动启动,自动将此用户的密码改成一个40位的不可逆的随机密码. 受攻击的用户,必须到用户区修改FTP密码才能登陆.

随机推荐