如何增强Windows系统的安全性.pdf

维普资讯 2007年第2期 《贵州电力技术》 (总第92期) 如何增强Windows系统的安全性 贵州电力试验研究院 高正浩 [550002] 随着计算机及网络向各个行业的不断延伸，信息 统进行攻击。 技术在各个行业中的应用也显得越来越广泛。在电 另外一点需要注意的就是需要将才系统 目录下 力行业中信息化所 占的比重也是越来越大。电力行 的 Repair目录 中的 SAM(securityaccountmanage— 业中部署的服务器基本上可以分为小型机和应用服 ment安全帐户管理)文件删除，防止被攻击者盗走 务器两类。而应用服务器上面大多安装的都是Win— SAM进行密码破解。 dows系列的服务器操作系统。这一部分服务器的安 最后需要注意的就是经常更改用户的密码，最 全工作就显得格外重要。而业界对于Windows操作 好在一次时间内将所有帐户的密码全部更改掉。 系统的安全性一向存在着质疑的声音，究竟怎样才能 在现有的条件下使我们的系统变得更加健壮，稳定和 安全，是每—个从事信息工作的人员都必须面对的问 题。我想就这个问题简单谈谈 自己的一些观点。 Windows操作系统 自从98以后就有了重大的 改变，成长为一个真正的多用户 ，多任务环境的操作 系统。其中Windows2000作为 Windows家族里面 的新一款企业级网络操作系统，它的安全性设计得 到了极大的增强 ，但由于受微软在Windows系统设 计策略的影响使得Windows系统 自身也还存在着一 图 1 些不安全的因素。但当充分了解了整个Windows系 统的安全机制以后，这些潜在的不安全因素就无法 威胁系统稳定运行了。Windows潜在的不安全因素 主要存在于以下几个方面：用户安全管理，共享安全 管理，NTFS权限设置，日志安全管理。 1 用户安全管理 Windows2000以后的系统在完成了初始安装以 后会生成Administrator，Guest用户，其中Administra． tor是超级管理员用户 ，拥有最高的系统权限，所以 这个用户的安全性非常重要。通常情况下 ，将管理 图2 员帐户的密码设置的足够复杂，只要符合本地安全 策略中的密码复杂策略基本上就可以了，将 Guest 帐户禁用。另外最好创建一个隶属于PowerUsers 组的用户，让这个用户负责日常的普通维护工作，并 且也要设置足够复杂的密码。。具体的设置如图 l， 图2，图3。在图l中重新设置密码长度的最小值， 让密码的长度仅可能的长一些达到充分的安全性。 在图2中重新设置复位帐户锁定计数器和帐户锁定 时间，一般设为3O分钟以上。图3中重命名来宾用 户，让攻击者无法利用这个来宾帐户下的漏洞对系 图3 · 16 · 维普资讯 2007年第2期 《贵州电力技术》 (总第92期) 新开启) 2 共享的安全管理 (4)禁止 自动打开默认共享 (此操作并未关闭 Windows2000系统中，为了管理员远程管理计 ipc$共享) 算机的方便，每次计算机启动都会 自动打开如ad— 运行 regedit min$，ipc$等默认共享，这些共享虽然对于偶尔的