如何利用本地安全策略保障系統安全
本地安全策略對于系統管理員來說是至關重要的,下面就介紹了如何利用windows本地安全策略保障來保障我們系統的安全。
Windows XP系統自帶的“本地安全策略”是一個很不錯的系統安全管理工具,利用好它可以使我們的系統更安全。
首先,我們就來說一下如何啟動“本地安全策略”。單擊“控制面板”|“管理工具”|“本地安全策略”后,會進入“本地安全策略”的主界面。在此可通過菜單欄上的命令設置各種安全策略,并可選擇查看方式,導出列表及導入策略等操作。
接下來我們來探討一下“本地安全策略” 的妙用。
加固系統賬戶
1.禁止枚舉賬號
我們知道,某些具有黑客行為的蠕蟲病毒可以通過掃描Windows 2000/XP系統的指定端口,然后通過共享會話猜測管理員系統口令。因此,我們需要通過在“本地安全策略”中設置禁止枚舉賬號,從而抵御此類入侵行為,操作步驟如下:
在“本地安全策略”左側列表的“安全設置”目錄樹中,逐層展開“本地策略”|“安全選項”。查看右側的相關策略列表,在此找到“網絡訪問:不允許SAM賬戶和共享的匿名枚舉”(圖1),用鼠標右鍵單擊,在彈出菜單中選擇“屬性”,而后會彈出一個對話框,在此激活“已啟用”選項,最后點擊“應用”按鈕使設置生效。
2.賬戶管理
為了防止入侵者利用漏洞登錄機器,我們要在此設置重命名系統管理員賬戶名稱及禁用來賓賬戶。設置方法為:在“本地策略”|“安全選項”分支中,找到“賬戶:來賓賬戶狀態”策略,點右鍵彈出菜單中選擇“屬性”,而后在彈出的屬性對話框中設置其狀態為“已停用”,最后“確定”退出。
下面,我們再查看“賬戶:重命名系統管理員賬戶”這項策略,調出其屬性對話框,在其中的文本框中可自定義賬戶名稱(圖2)。
指派本地用戶權利
如果你是系統管理員身份,可以指派特定權利給組賬戶或單個用戶賬戶。在“安全設置”中,定位于“本地策略”|“用戶權利指派”,而后在其右側的設置視圖中,可針對其下的各項策略分別進行安全設置(圖3)。
例如,若是希望允許某用戶獲得系統中任何可得到的對象的所有權:包括注冊表項、進程和線程以及NTFS文件和文件夾對象等(該策略的默認設置僅為管理員)。首先應找到列表中“取得文件或其他對象的所有權”策略,用鼠標右鍵單擊,在彈出菜單中選擇“屬性”,在此點擊“添加用戶或組”按鈕,在彈出對話框中輸入對象名稱,并確認操作即可。
活用IP策略
我們知道,無論是哪一種黑客程序,大多都是通過端口作為通道。
因此,我們需要關閉那些可能成為入侵通道的端口。你可以上網查詢一下相關危險端口的資料,以做到有備而戰。下面我們以Telnet利用的23端口為例來加以說明(筆者的操作系統為Windows XP)。
首先單擊“運行”在框中輸入“mmc”后回車,彈出“控制臺1”的窗口。我們依次選擇“文件”|“添加/刪除管理單元”|“在獨立標簽欄中點擊‘添加’”|“IP安全策略管理”,最后按提示完成操作。這時,我們已把“IP安全策略,在本地計算機”(以下簡稱“IP安全策略”)添加到“控制臺根節點”下(圖4)。
現在雙擊“IP安全策略”就可以新建一個管理規則。右擊“IP安全策略”,在彈出的快捷菜單中選擇“創建IP安全策略”,打開IP安全策略向導,點擊“下一步”|“名稱默認為‘新IP安全策略’”|“下一步”|“不必選擇‘激活默認響應規則’”,注意:在點擊“下一步的同時,需要確認此時“編輯屬性”被選中,然后選擇“完成,出現“新IP安全策略屬性”窗口(圖5),選擇“添加”,然后一直點擊“下一步”,不必選擇“使用添加向導”選項。
在尋址欄的源地址應選擇“任何IP地址”,目標地址選擇“我的IP地址”(不必選擇鏡像)。在協議標簽欄中,注意類型應為TCP,并設置IP協議端口從任意端口到此端口23,最后點擊“確定”即可。這時在“IP篩選器列表”中會出現一個“新IP篩選器”,選中它,切換到“篩選器操作”標簽欄,依次點擊“添加”|“名稱默認為‘新篩選器操作’”|“添加”|“阻止”|“完成”。
新策略需要被激活才能起作用,具體方法是:在“新IP安全策略”上點右鍵,選擇“指派”剛才制定的策略。
現在,當我們從另一臺電腦Telnet到設防的這一臺時,系統會報告登錄失敗;用掃描工具掃描這臺機子,會發現23端口仍然在提供服務。以同樣的方法,大家可以把其他任何可疑的端口都封殺掉,讓不速之客們大叫“不妙”去吧。
加強密碼安全
在“安全設置”中,先定位于“賬戶策略”|“密碼策略”,在其右側設置視圖中,可酌情進行相應的設置,以使我們的系統密碼相對安全,不易破解。防破解的一個重要手段就是定期更新密碼,大家可據此進行如下設置:鼠標右鍵單擊“密碼最長存留期”,在彈出菜單中選擇“屬性”,在彈出的對話框中,大家可自定義一個密碼設置后能夠使用的時間長短(限定于1至999之間)。
此外,通過“本地安全設置”,還可以進行通過設置“審核對象訪問”,跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統關閉或重新啟動以及類似的事件。諸如此類的安全設置,不一而足。大家在實際應用中會逐漸發覺“本地安全設置”的確是一個不可或缺的系統安全工具。
妙用“本地安全策略” ,讓操作系統更安全。希望本文能夠對讀者有所幫助。
【編輯推薦】
