;;;;逛了許多論壇，入了許多QQ群，發(fā)現(xiàn)很多朋友總喜歡談論入侵呀攻擊呀之類的話題。呵呵……我就想問問這些朋友－－你的電腦安全嗎？你安全了嗎（真的值得懷疑）？  朋友！沒有一個安全的環(huán)境你什么也做不了的！！  電腦安全問題一直以來都是個最重要的一個問題，也是電腦愛好者最關心的一個問題。它是個大話題涉及到電腦的方方面面，三言兩語是說不清楚的，也不是幾天就能夠學會的。在這里我總結了一些系統(tǒng)安全配置方面的知識，希望對大家有所幫助。因為只有一臺安全的電腦才可以預防病毒的騷擾、抵御黑客的入侵。  好了下面就開始我們的安全之旅吧。 一、安裝過程  1、有選擇性地安裝組件  安裝操作系統(tǒng)時請用NTFS格式， 不要按Windows 2000的默認安裝組件，本著“最少的服務+最小的權限=最大的安全”原則，只選擇安裝需要的服務即可。例如：不作為Web服務器或FTP服務器就不安裝IIS。常用Web服務器需要的最小組件是： Internet 服務管理器、WWW服務器和與其有關的輔助服務。如果是默認安裝了IIS服務自己又不需要的就將其卸載。卸載辦法：開始---->設置---->控制面板---->添加刪除程序---->添加/刪除Windows組件，在“windows組件向導”的“組件（C）：”中將“Internet信息服務（IIS）”前面小框中的√去掉，然后“下一步”就卸載了IIS。---->---->---->---->  2、網(wǎng)絡連接  在安裝完成Windows 2000操作系統(tǒng)后，不要立即連入網(wǎng)絡，因為這時系統(tǒng)上的各種程序還沒有打上補丁，存在各種漏洞，非常容易感染病毒和被入侵，此時應該安裝殺毒軟件和[URL=http://www.bingdun.com]防火墻[/URL]。殺毒軟件和[URL=http://www.bingdun.com]防火墻[/URL]推薦使用諾頓企業(yè)版客戶端（若做服務器則用服務端）和黑冰（Blackice）[URL=http://www.bingdun.com]防火墻[/URL]。接著，再把下面的事情做完后再上網(wǎng)。 二、正確設置和管理賬戶  1、停止使用Guest賬戶，并給Guest 加一個復雜的密碼。所謂的復雜密碼就是密碼含大小寫字母、數(shù)字、特殊字符（～！@#￥％《》，。？）等。比如象：“G7Y3，^）y。  2、賬戶要盡可能少，并且要經(jīng)常用一些掃描工具查看一下系統(tǒng)賬戶、賬戶權限及密碼。刪除停用的賬戶，常用的掃描軟件有：流光、HSCAN、X－SCAN、STAT　SCANNER等。正確配置賬戶的權限，密碼至少應不少于8位，比如：'3H.#4d&j1)~w',呵呵……讓他破吧！！這樣的密碼他可能把機子跑爛也跑不出來哦^_^  3、增加登錄的難度，在“賬戶策略→密碼策略”中設定：“密碼復雜性要求啟用”，“密碼長度最小值8位”，“強制密碼歷史5次”，“最長存留期 30天”；在“賬戶策略→賬戶鎖定策略”設定：“賬戶鎖定3次錯誤登錄”，“鎖定時間30分鐘”，“復位鎖定計數(shù)30分鐘”等，增加了登錄的難度對系統(tǒng)的安全大有好處。  4、把系統(tǒng)Administrator賬號改名，名稱不要帶有Admin等字樣; 創(chuàng)建一個陷阱帳號，如創(chuàng)建一個名為“Administrator”的本地帳戶，把權限設置成最低，什么事也干不了，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些“不法之徒”忙上一段時間了，并且可以借此發(fā)現(xiàn)他們的入侵企圖。 三、正確地設置目錄和文件權限（這步可以方在以后做）  為了控制好服務器上用戶的權限，同時也為了預防以后可能的入侵和溢出，還必須非常小心地設置目錄和文件的訪問權限。Windows 2000的訪問權限分為：讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認的情況下，大多數(shù)的文件夾對所有用戶（Everyone這個組）是完全控制的（Full Control），您需要根據(jù)應用的需要重新設置權限。在進行權限控制時，請記住以下幾個原則：  1、權限是累計的，如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權限。  2、拒絕的權限要比允許的權限高（拒絕策略會先執(zhí)行）。如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權限設置給他開放了多少權限，他也一定不能訪問這個資源。  3、 文件權限比文件夾權限高。  4、 利用用戶組來進行權限控制是一個成熟的系統(tǒng)管理員必須具有的優(yōu)良習慣。  5、 只給用戶真正需要的權限，權限的最小化原則是安全的重要保障。  6、 預防ICMP攻擊。ICMP的風暴攻擊和碎片攻擊是NT主機比較頭疼的攻擊方法，而Windows 2000應付的方法很簡單。Windows 2000自帶一個Routing & Remote Access工具，這個工具初具路由器的雛形。在這個工具中，我們可以輕易地定義輸入輸出包過濾器。如設定輸入ICMP代碼255丟棄就表示丟棄所有的外來ICMP報文。 四、網(wǎng)絡服務安全管理  1、關閉不需要的服務 只留必需的服務，多一些服務可能會給系統(tǒng)帶來更多的安全因素。如Windows 2000的Terminal Services（終端服務）、IIS（web服務）、RAS（遠程訪問服務）等，這些都有產生漏洞的可能。  2、關閉不用的端口。  3、只開放服務需要的端口與協(xié)議。  具體方法為：按順序打開“網(wǎng)上鄰居→屬性→本地連接→屬性→Internet 協(xié)議→屬性→高級→選項→TCP/IP篩選→屬性”，添加需要的TCP、UDP端口以及IP協(xié)議即可。根據(jù)服務開設口，常用的TCP口有：80口用于Web服務；21用于FTP服務；25口用于SMTP；23口用于Telnet服務；110口用于POP3。常用的UDP端口有：53口－DNS域名解析服務；161口－snmp簡單的網(wǎng)絡管理協(xié)議。8000、4000用于OICQ，服務器用8000來接收信息，客戶端用4000發(fā)送信息。如果沒有上面這些服務就沒有必要打開這些端口。 4、禁止建立空連接  Windows 2000的默認安裝允許任何用戶可通過空連接連上服務器，枚舉賬號并猜測密碼。空連接用的端口是139，通過空連接，可以復制文件到遠端服務器，計劃執(zhí)行一個任務，這就是一個漏洞。可以通過以下兩種方法禁止建立空連接： （1） 修改注冊表中Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值為1。 （2）修改Windows 2000的本地安全策略。設置“本地安全策略→本地策略→選項”中的RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。  Windows 2000的默認安裝允許任何用戶通過空連接得到系統(tǒng)所有賬號和共享列表，這本來是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時任何一個遠程用戶也可以通過同樣的方法得到您的用戶列表，并可能使用暴力法破解用戶密碼給整個網(wǎng)絡帶來破壞。很多人都只知道更改注冊表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來禁止空用戶連接，實際上Windows 2000的本地安全策略里（如果是域服務器就是在域服務器安全和域安全策略里）就有RestrictAnonymous選項，其中有三個值：“0”這個值是系統(tǒng)默認的，沒有任何限制，遠程用戶可以知道您機器上所有的賬號、組信息、共享目錄、網(wǎng)絡傳輸列表(NetServerTransportEnum)等；“1”這個值是只允許非NULL用戶存取SAM賬號信息和共享信息；“2”這個值只有Windows 2000才支持，需要注意的是，如果使用了這個值，就不能再共享資源了，所以還是推薦把數(shù)值設為“1”比較好。 五、關閉無用端口和修改3389端口  Windows的每一項服務都對應相應的端口，比如眾如周知的WWW服務的端口是80，smtp是25，ftp是21，win2000安裝中這些服務都是默認開啟的。對于個人用戶來說確實沒有必要，關掉端口也就是關閉了無用的服務。  關閉這些無用的服務可以通過“控制面板”的“管理工具”中的“服務”中來配置。 1、關閉7.9等等端口：關閉Simple TCP/IP Service,支持以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 2、關閉80口：關掉WWW服務。在“服務”中顯示名稱為'World Wide Web Publishing Service'，通過 Internet 信息服務的管理單元提供 Web 連接和管理。 3、關掉25端口：關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網(wǎng)傳送電子郵件。 4、關掉21端口：關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。 5、關掉23端口：關閉Telnet服務，它允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。 6、還有一個很重要的就是關閉server服務，此服務提供 RPC 支持、文件、打印以及命名管道共享。關掉它就關掉了win2k的默認共享，比如ipc[URL=http://hackbase.com/News/vip/#]$[/URL]、c[URL=http://hackbase.com/News/vip/#]$[/URL]、admin[URL=http://hackbase.com/News/vip/#]$[/URL]等等，此服務關閉不影響您的共他操作。 7、還有一個就是139端口，139端口是NetBIOS　Session端口，用來文件和打印共享，注意的是運行samba的unix機器也開放了139端口，功能一樣。以前流光2000用來判斷對方主機類型不太準確，估計就是139端口開放既認為是NT機，現(xiàn)在好了。  關閉139口聽方法是在“網(wǎng)絡和撥號連接”中“本地連接”中選取“Internet協(xié)議(TCP/IP)”屬性，進入“高級TCP/IP設置”“WINS設置”里面有一項“禁用TCP/IP的NETBIOS”，打勾就關閉了139端口。  對于個人用戶來說，可以在以上各項服務屬性設置中設為“禁用”，以免下次重啟服務也重新啟動后端口再次打開。現(xiàn)在你不用擔心你的端口和默認共享了。 8、修改3389  打開注冊表HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWdsRepwdTdsTcp, 看到那個PortNumber沒有?0xd3d，這個是16進制，就是3389啦。我改XXXX這個值是RDP(遠程桌面協(xié)議)的默認值，也就是說用來配置以后新建的RDP服務的，要改已經(jīng)建立的RDP服務，我們去下一個鍵值：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStations這里應該有一個或多個類似RDP-TCP的子健（取決于你建立了多少個RDP服務），一樣改掉PortNumber。  好了現(xiàn)在你不用擔心你的默認共享了，安全了吧！別高興太早，下面還有呢。 六、本地安全策略 A、通過建立IP策略來阻止端口連接  TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389  TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導)  UDP端口:1434(這個就不用說了吧) 阻止所有ICMP,即阻止PING命令 B、在 這里我用關閉135端口來實例講解 1.創(chuàng)建IP篩選器和篩選器操作  a.'開始'->'程序'->'管理工具'->'本地安全策略'.微軟建議使用本地安全策略進行IPsec的設置,因為本地安全策略只應用到本地計算機上,而通常ipsec都是針對某臺計算機量身定作的. b.右擊'Ip安全策略,在本地機器',選擇'管理 IP 篩選器表和篩選器操作',啟動管理 IP 篩選器表和篩選器操作對話框.我們要先創(chuàng)建一個IP篩選器和相關操作才能夠建立一個相應的IPsec安全策略. c.在'管理 IP 篩選器表'中,按'添加'按鈕建立新的IP篩選器:  1)在跳出的IP篩選器列表對話框內,填上合適的名稱,我們這兒使用'tcp135',描述隨便填寫.單擊右側的'添加...'按鈕,啟動IP篩選器向導.  2)跳過歡迎對話框,下一步.  3)在IP通信源頁面,源地方選'任何IP地址',因為我們要阻止傳入的訪問.下一步.  4)在IP通信目標頁面,目標地址選'我的IP地址'.下一步.  5)在IP協(xié)議類型頁面,選擇'TCP'.下一步.  6)在IP協(xié)議端口頁面,選擇'到此端口'并設置為'135',其它不變.下一步.  7)完成.關閉IP篩選器列表對話框.會發(fā)現(xiàn)tcp135IP篩選器出現(xiàn)在IP篩選器列表中. d.選擇'管理篩選器操作'標簽,創(chuàng)建一個拒絕操作: 1)單擊'添加'按鈕,啟動'篩選器操作向導',跳過歡迎頁面,下一步. 2)在篩選器操作名稱頁面,填寫名稱,這兒填寫'拒絕'.下一步. 3)在篩選器操作常規(guī)選項頁面,將行為設置為'阻止'.下一步. 4)完成.  e、關閉'管理 IP 篩選器表和篩選器操作'對話框. 2.創(chuàng)建IP安全策略  1.右擊'Ip安全策略,在本地機器',選擇'創(chuàng)建IP安全策略',啟動IP安全策略向導.跳過歡迎頁面,下一步.  2.在IP安全策略名稱頁面,填寫合適的IP安全策略名稱,這兒我們可以填寫'拒絕對tcp135端口的訪問',描述可以隨便填寫.下一步. 3.在安全通信要求頁面,不選擇'激活默認響應規(guī)則'.下一步. 4.在完成頁面,選擇'編輯屬性'.完成.  5.在'拒絕對tcp135端口的訪問屬性'對話框中進行設置.首先設置規(guī)則:  1)單擊下面的'添加...'按鈕,啟動安全規(guī)則向導.跳過歡迎頁面,下一步.  2)在隧道終結點頁面,選擇默認的'此規(guī)則不指定隧道'.下一步.  3)在網(wǎng)絡類型頁面,選擇默認的'所有網(wǎng)絡連接'.下一步.  4)在身份驗證方法頁面,選擇默認的'windows 2000默認值(Kerberos V5 協(xié)議)'.下一步. 5)在IP篩選器列表頁面選擇我們剛才建立的'tcp135'篩選器.下一步. 6)在篩選器操作頁面,選擇我們剛才建立的'拒絕'操作.下一步. 7)在完成頁面,不選擇'編輯屬性',確定. 6.關閉'拒絕對tcp135端口的訪問屬性'對話框. 3.指派和應用IPsec安全策略  1）缺省情況下,任何IPsec安全策略都未被指派.首先我們要對新建立的安全策略進行指派.在本地安全策略MMC中,右擊我們剛剛建立的''拒絕對tcp135端口的訪問屬性'安全策略,選擇'指派'.  2）立即刷新組策略.使用'secedit /refreshpolicy machine_policy'命令可立即刷新組策略. 七、審核策略  具體方法：控制面板==》管理工具==》本地安全策略==》本地策略==》審核策略，然后右鍵點擊下列各項，選擇“安全性”來設置就可以了。  審核策略更改:成功,失敗  審核登錄事件:成功,失敗  審核對象訪問:失敗  審核對象追蹤:成功,失敗  審核目錄服務訪問:失敗  審核特權使用:失敗  審核系統(tǒng)事件:成功,失敗  審核賬戶登錄事件:成功,失敗  審核賬戶管理:成功,失敗  密碼策略:啟用“密碼必須符合復雜性要求','密碼長度最小值'為6個字符,'強制密碼歷史'為5次,'密碼最長存留期'為30天.  在賬戶鎖定策略中設置:'復位賬戶鎖定計數(shù)器'為30分鐘之后,'賬戶鎖定時間'為30分鐘,'賬戶鎖定值'為30分鐘.  安全選項設置:本地安全策略==本地策略==安全選項==對匿名連接的額外限制,雙擊對其中有效策略進行設置,選擇'不允許枚舉SAM賬號和共享',因為這個值是只允許非NULL用戶存取SAM賬號信息和共享信息,一般選擇此項，然后再禁止登錄屏幕上顯示上次登錄的用戶名。  禁止登錄屏幕上顯示上次登錄的用戶名也可以改注冊表HKEY_LOCAL_MACHINESOFTTWAREMicrosoftWindowsNTCurrentVesionWinlogn項中的Don't Display Last User Name串，將其數(shù)據(jù)修改為1 八、Windows日志文件的保護 日志文件對我們如此重要，因此不能忽視對它的保護，防止發(fā)生某些“不法之徒”將日志文件清洗一空的情況。 1． 修改日志文件存放目錄 Windows日志文件默認路徑是“%systemroot%system32config”，我們可以通過修改注冊表來改變它的存儲目錄，來增強對日志的保護。 點擊“開始→運行”，在對話框中輸入“Regedit”，回車后彈出注冊表編輯器，依次展開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlog”后，下面的Application、Security、System幾個子項分別對應應用程序日志、安全日志、系統(tǒng)日志。 我以應用程序日志為例，將其轉移到“d:abc”目錄下。首先選中Application子項，在右欄中找到File鍵，其鍵值為應用程序日志文件的路徑“%SystemRoot%system32configAppEvent.Evt”，將它修改為“d:abcAppEvent.Evt”。接著在D盤新建“abc”目錄，將“AppEvent.Evt”拷貝到該目錄下，重新啟動系統(tǒng)，這樣就完成了應用程序日志文件存放目錄的修改。其它類型日志文件路徑修改方法相同，只是在不同的子項下操作。 2． 設置文件訪問權限 修改了日志文件的存放目錄后，日志還是可以被清空的，下面通過修改日志文件訪問權限，防止這種事情發(fā)生，前提是Windows系統(tǒng)要采用NTFS文件系統(tǒng)格式。 右鍵點擊D盤的CCE目錄，選擇“屬性”，切換到“安全”標簽頁后，首先取消“允許將來自父系的可繼承權限傳播給該對象”選項勾選。接著在賬號列表框中選中“Everyone”賬號，只給它賦予“讀取”權限；然后點擊“添加”按鈕，將“System”賬號添加到賬號列表框中，賦予除“完全控制”和“修改”以外的所有權限，最后點擊“確定”按鈕。這樣當用戶清除Windows日志時，就會彈出錯誤對話框。  呵呵，現(xiàn)在你也不用擔心了！！下面我們繼續(xù)。 九、 上網(wǎng) 現(xiàn)在你可以連接上網(wǎng)了，但是暫時不要打開IE瀏覽器。接下來工作是升級殺毒軟件和[URL=http://www.bingdun.com]防火墻[/URL]，并設置好，具體設置方法請參照[URL=http://www.hackbase.com]黑基[/URL]教程。然后從開始菜單打開Windows update 打好系統(tǒng)所有的補丁，這個過程有點漫長，耐心等待吧。當你打好系統(tǒng)所有補丁后再備份好系統(tǒng)，呵呵……上網(wǎng)吧你安全了（注意！沒有絕對的安全哦）！！！  好了暫時就到這里了，我在這里總結出來的只是安全問題中最基礎的一部分，其它的還要*大家自己去努力學習。大家碰到不懂的知識請多用搜索引擎，那個才是你最忠實伙伴、最誠實朋友，也是你最好老師！  另外，若有不到之處還請各位前輩批評指正！！  總之，多看看、多動腦、多動手就沒有你學不會的東西！！！