谁 会 动 我 的 电 脑? 应 用 层 安 全 实 践 以 Windows XP 为 例, 主 机 安 全 防 护 o 登 录 密 码 缺 失 o 暂 时 离 开 电 脑 o 电 脑 开 机 o 电 脑 操 作 系 统 设 置 必 要 的 防 线 增 强 用 户 认 证 基 础 安 全 设 置 第 一 道 防 线 : 设 置 系 统 启 动 密 码 o 四 道 防 线 系 统 启 动 BIOS 进 入 操 作 系 统 屏 幕 保 护 cmd syskey 更 新 密 码 启 动 第 二 道 防 线 : 设 置 BIOS 开 机 密 码 什 么 是 BIOS o 防 止 别 人 擅 自 更 改 CMOS 设 置 防 止 非 法 用 户 进 入 计 算 机 系 统 开 机 时 按 下 Del 键 CMOS 设 置, 找 到 以 下 两 项 : Set Suervisor Password: 设 置 管 理 员 密 码, 可 以 进 入 并 修 改 CMOS 设 置, 可 修 改 User Password Set User Password: 设 置 用 户 密 码, 输 入 该 密 码 可 以 正 常 开 机 但 不 能 修 改 CMOS 设 置 密 码 长 度 1~8 位 的 任 意 字 符 ( 分 大 小 写 ) 设 置 完 毕 后, 光 标 移 到 Save & Exit Setu 上 保 存 退 出, 或 者 按 F10 键 选 择 Yes o BIOS 是 基 本 输 入 输 出 系 统 (Basic Inut & Outut System) 的 简 称 所 谓 基 本 输 入 输 出 系 统, 就 是 正 常 启 动 计 算 机 所 必 须 的 条 件 启 动 计 算 机 时,CPU 首 先 要 根 据 集 成 在 主 板 显 卡 等 设 备 上 的 BIOS 芯 片 来 核 对 每 个 基 础 设 备 是 否 正 常, 然 后 再 进 行 下 一 步 程 序 通 过 改 写 BIOS 的 设 置, 可 以 达 到 提 升 设 备 性 能 和 兼 容 性 的 目 的 1
如 何 进 行 BIOS?-- DEL 公 共 场 合 计 算 机 BIOS 密 码 设 置 1. 开 机 时 按 Del 键 进 入 CMOS 设 置 画 面 时 将 要 求 输 入 密 码, 但 若 直 接 进 入 操 作 系 统 不 要 求 输 入 密 码 适 合 公 共 场 合 的 计 算 机 单 独 设 置 SUPERVISOR PASSWORD 或 USER PASSWORD 其 中 的 任 何 一 项, 再 打 开 BIOS FEATURES SETUP 将 其 中 的 Security Otion 设 置 为 Setu, 保 存 退 出 私 有 计 算 机 BIOS 开 机 密 码 设 置 不 但 在 进 入 CMOS 设 置 时 要 求 输 入 密 码, 而 且 进 入 操 作 系 统 时 也 要 求 输 入 密 码 适 合 不 愿 让 除 我 以 外 的 任 何 人 使 用 的 计 算 机 单 独 设 置 SUPERVISOR PASSWORD 或 USER PASSWORD 其 中 的 任 何 一 项, 再 打 开 BIOS FEATURES SETUP 将 其 中 的 Security Otion 设 置 为 System, 保 存 退 出 进 入 BIOS 设 置 或 操 作 系 统 都 要 求 输 入 密 码 3. 进 入 BIOS 设 置 和 进 入 操 作 系 统 都 要 求 输 入 密 码, 而 且 输 入 其 中 任 何 一 个 密 码 都 能 进 入 BIOS 设 置 和 操 作 系 统 但 管 理 员 密 码 和 用 户 密 码 有 所 区 别 : 以 管 理 员 密 码 进 入 BIOS 程 序 时 可 以 进 行 任 何 设 置, 包 括 修 改 用 户 密 码 但 以 用 户 密 码 进 入 时, 除 了 修 改 或 去 除 用 户 密 码 外, 不 能 进 行 其 它 任 何 设 置, 更 无 法 修 改 管 理 员 密 码 适 合 少 数 指 定 人 员 使 用 计 算 机, 自 己 保 留 管 理 员 密 码, 用 户 密 码 告 诉 其 他 指 定 的 人 分 别 设 置 SUPERVISOR PASSWORD 和 USER PASSWORD, 并 且 采 用 两 个 不 同 的 密 码 再 打 开 BIOS FEATURES SETUP 将 其 中 的 Security Otion 设 置 为 System, 退 出 保 存 去 除 BIOS 开 机 密 码 第 三 道 防 线 : 设 置 Windows 系 统 登 录 密 码 o 撤 销 已 经 设 置 的 密 码, 可 进 入 CMOS 中 把 光 标 移 到 相 应 的 密 码 设 置 菜 单 上, 不 输 入 密 码, 连 续 两 次 回 车, 出 现 Password Disabled! 提 示 就 可 以 了 忘 记 开 机 密 码 怎 么 办? 放 电 法 : 跳 线 放 电 法 COMS 电 池 放 电 法 万 能 密 码 : 厂 家 设 有 万 能 密 码 (******) 计 算 机 管 理 员 账 户 ( 所 有 设 置 ) 受 限 账 户 ( 某 些 设 置 ) 来 宾 账 户 (Guest, 权 限 最 低 ) 控 制 面 板 用 户 账 户 对 密 码 的 管 理 : 控 制 面 板 管 理 工 具 本 地 安 全 策 略 安 全 设 置 账 户 策 略 密 码 策 略 2
第 四 道 防 线 之 一 : 设 置 屏 幕 保 护 密 码 第 四 道 防 线 之 二 : 快 速 锁 定 系 统 程 序 选 项 卡 设 置 等 待 时 间 :1 分 钟 属 性 显 示 属 性 屏 幕 保 护 在 Windows XP 或 2000 中, 屏 保 密 码 就 是 开 机 密 码, 因 此, 屏 保 密 码 的 设 置 必 须 基 于 开 机 密 码 设 置 的 基 础 上 Ctrl+Alt+Del 锁 定 计 算 机 快 捷 方 式 法 ( 想 一 想 如 何 创 建 快 捷 方 式?): 在 创 建 的 快 捷 方 式 中 输 入 rundll32.exe user32.dll,lockworkstation 即 可 Win 键 ( 飘 着 MicrosoftWindows 大 旗 ), 分 布 在 键 盘 的 两 侧, 按 下 Win+L(L 是 LockStation 之 意 ) 键 都 可 以 锁 定 计 算 机 改 进 操 作 系 统 的 安 全 性 o 更 新 操 作 系 统 补 丁 o 安 装 Windows 防 火 墙 o 安 装 防 病 毒 软 件 o Internet 安 全 配 置 o 制 定 服 务 瘦 身 计 划 o 用 户 访 问 控 制 ( 物 理 资 源 软 件 资 源 ) 更 新 操 作 系 统 补 丁 o 软 件 总 是 存 在 bug; o 针 对 每 个 版 本, 会 有 对 应 的 补 丁 发 布 ; o 我 的 操 作 系 统 是 哪 一 版 本? o 更 新 补 丁, 减 少 bug, 提 升 系 统 安 全 防 护 能 力 Service Pack 服 务 包, 是 微 软 修 补 系 统 安 全 漏 洞 的 补 丁 集 Service Pack 3 的 创 新 特 色 缺 省 保 护 措 施 和 简 易 安 全 设 置 :Windows 防 火 墙 IE 控 制 弹 出 式 窗 口 Windows 安 全 中 心 IE 下 载 警 报 等 等 SP3 领 先 于 SP1, 增 加 了 新 的 Windows 产 品 激 活 (WPA) 模 型 网 络 访 问 保 护 (NAP) 模 块 和 策 略 新 的 核 心 模 式 加 密 模 块 黑 洞 路 由 检 测 功 能 等 SP3 优 于 SP2 补 丁 工 具 Microsoft Baseline Security Analyzer 2.1 (for IT Professionals) 微 软 基 准 安 全 分 析 器 Shadow Security Scanner 俄 罗 斯 的 一 套 非 常 专 业 的 安 全 漏 洞 扫 描 软 件 ( 包 括 漏 洞 端 口 扫 描 操 作 系 统 检 测 账 号 扫 描 等 ) Norton 防 杀 病 毒 软 件 金 山 清 理 专 家 ( 漏 洞 修 补 ) 瑞 星 个 人 防 火 墙 ( 漏 洞 扫 描 ) N 种 杀 毒 软 件 或 个 人 防 火 强 3
补 丁 工 具 什 么 是 防 火 墙? o 防 火 墙 是 指 设 置 在 不 同 网 络 ( 如 可 信 任 的 企 业 内 部 网 和 不 可 信 的 公 共 网 ) 或 网 络 安 全 域 之 间 的 一 系 列 部 件 的 组 合 它 可 通 过 监 测 限 制 更 改 跨 越 防 火 墙 的 数 据 流, 尽 可 能 地 对 外 部 屏 蔽 网 络 内 部 的 信 息 结 构 和 运 行 状 况, 以 此 来 实 现 网 络 的 安 全 保 护 使 用 Firewall 的 益 处 Windows 防 火 墙 o 保 护 脆 弱 的 服 务 过 滤 不 安 全 的 服 务 o 控 制 对 系 统 的 访 问 控 制 外 部 访 问 特 定 的 服 务 ( 端 口 ) o 集 中 的 安 全 管 理 安 全 策 略 设 定 运 行 于 整 个 网 络 o 增 强 的 保 密 性 阻 止 攻 击 者 获 取 攻 击 系 统 的 有 用 信 息 o 记 录 和 统 计 网 络 利 用 数 据 以 及 非 法 使 用 数 据 记 录 和 统 计 通 过 Firewall 的 网 络 通 讯 o 策 略 执 行 o 阻 止 计 算 机 病 毒 和 蠕 虫 到 达 您 的 计 算 机 o 请 求 您 的 允 许, 以 阻 止 或 取 消 阻 止 某 些 连 接 请 求 o 创 建 记 录 ( 安 全 日 志 ), 可 用 于 记 录 对 计 算 机 的 成 功 连 接 尝 试 和 不 成 功 的 连 接 尝 试 如 何 启 动 windows 防 火 墙? Windows 防 火 墙 基 本 功 能 o 开 始 运 行 中 输 入 services.msc 进 入 系 统 服 务 管 理 界 面, 在 Windows Firewall/Internet Connection Sharing (ICS) 服 务 上 单 击 右 键, 选 择 属 性 o 控 制 面 板 -windows 防 火 墙 常 规 : 启 用 和 关 闭 例 外 : 端 口 高 级 : 对 本 地 提 供 的 服 务 和 连 接 进 行 设 置 4
仅 仅 有 windows 防 火 墙 是 不 够 的.. o 无 法 检 测 或 禁 止 计 算 机 上 已 经 存 在 的 病 毒 和 蠕 虫 o 无 法 阻 止 您 打 开 带 有 危 险 附 件 的 电 子 邮 件 o 无 法 阻 止 垃 圾 邮 件 或 未 经 请 求 的 电 子 邮 件 出 现 在 您 的 收 件 箱 中 安 装 反 病 毒 软 件 o 金 山 毒 霸 o Norton o 360 卫 士 o 卡 巴 斯 基 o 瑞 星 o. 上 网 之 后 的 安 全 问 题 Internet 选 项 o 现 象 一 : 自 动 弹 出 其 他 地 址 连 接 o 现 象 二 : 询 问 安 装 某 项 软 件 o 现 象 三 : 某 些 程 序 出 现 在 了 进 程 当 中 o 现 象 四 : 浏 览 器 被 改 得 面 目 全 非 注 册 表 被 破 坏 o 现 象 五 : 浏 览 器 自 动 跳 转 至 其 他 页 面 对 于 Internet 区 域, 安 全 级 别 将 设 置 为 高 对 于 受 信 任 的 站 点 区 域, 安 全 级 别 将 设 置 为 中, 这 将 允 许 浏 览 许 多 Internet 站 点 对 于 本 地 Intranet 区 域, 安 全 级 别 设 置 为 中 低, 这 将 允 许 您 的 用 户 凭 据 ( 名 称 和 密 码 ) 自 动 传 递 到 需 要 它 们 的 站 点 和 应 用 程 序 对 于 受 限 制 的 站 点 区 域, 安 全 级 别 将 设 置 为 高 默 认 情 况 下, 所 有 Internet 和 Intranet 站 点 都 被 指 派 到 Internet 区 域 ActiveX 插 件 o ActiveX 组 件 实 际 上 是 指 一 些 可 执 行 的 代 码 或 一 个 程 序, 比 如 一 个.EXE.DLL 或.OCX 文 件, 通 过 ActiveX 技 术, 程 序 员 就 能 够 将 这 些 可 复 用 的 软 件 组 装 到 应 用 程 序 或 者 服 务 程 序 中 去 o 在 因 特 网 上, ActiveX 被 嵌 入 到 网 页 中, 随 网 页 传 送 到 客 户 的 浏 览 器 上, 并 在 客 户 端 执 行 通 过 编 程,ActiveX 控 件 可 以 与 Web 浏 览 器 交 互 或 与 客 户 交 互 5
常 见 的 一 些 插 件 安 全 配 置 o Flash 动 画 播 放 插 件 o Microsoft MediaPlayer 插 件 o CNNIC 通 用 网 址 插 件 o 对 标 记 为 可 安 全 执 行 脚 本 的 ActiveX 控 件 执 行 脚 本 o 对 没 有 标 记 为 可 安 全 执 行 脚 本 的 ActiveX 控 件 进 行 初 始 化 执 行 脚 本 : o 下 载 未 签 名 的 ActiveX 控 件 o 下 载 已 签 名 的 ActiveX 控 件 o 运 行 ActiveX 控 件 和 插 件 内 容 分 级 审 查 课 外 阅 读 o 有 关 管 理 Internet Exlorer 增 强 的 安 全 配 置 以 使 用 户 和 管 理 员 可 以 访 问 企 业 Intranet 和 Internet 上 的 可 信 资 源 和 网 站 的 更 多 信 息, 请 访 问 Microsoft 网 站, 以 下 载 Managing Internet Exlorer Enhanced Security Configuration ( 管 理 Internet Exlorer 增 强 的 安 全 配 置 ) 白 皮 书 : o Windows XP 系 统 的 基 本 安 全 保 障 控 制 面 板 安 全 中 心 Windows 安 全 中 心 o Windows 安 全 中 心 (Windows Security Center) 是 微 软 自 Windows XP SP2 才 开 始 提 供 的 一 个 新 型 电 脑 安 全 管 理 工 具 o 提 供 了 防 火 墙 的 部 分 功 能 o 提 供 自 动 更 新 功 能 o 它 支 持 与 一 些 世 界 著 名 防 毒 软 件 产 品 之 间 的 通 信 合 作, 自 动 检 测 防 病 毒 软 件, 如 Norton, 提 高 电 脑 的 安 全 防 护 能 力 o 当 没 有 安 装 防 毒 软 件 或 防 毒 软 件 被 关 闭 时 就 会 提 醒 用 户, 从 而 降 低 了 电 脑 受 病 毒 攻 击 的 机 会 和 风 险 6
如 何 启 动 windows 安 全 中 心 o 在 运 行 中 输 入 services.msc o 控 制 面 板 - 管 理 工 具 - 服 务 o 找 到 Security center, 右 击 属 性, 启 动 服 务 什 么 是 windows 服 务? 制 定 服 务 瘦 身 计 划 o Windows 服 务 也 称 为 Windows Service, 它 是 Windows 操 作 系 统 和 Windows 网 络 的 基 础, 属 于 系 统 核 心 的 一 部 分, 它 支 持 着 整 个 Windows 的 各 种 操 作 o Windows Service 是 一 种 可 随 Windows 操 作 系 统 启 动 而 启 动 的, 在 后 台 运 行 的, 通 常 不 和 用 户 产 生 交 互 的 程 序 它 无 法 通 过 双 击 来 运 行 Windows 服 务 的 组 成 o 一 个 服 务 可 执 行 文 件 ; o 一 个 服 务 控 制 程 序 (SCP); o 服 务 控 制 管 理 器 (SCM), 负 责 在 HKLM\SYSTEM\CurrentControlSet\Services 下 创 建 服 务 键 值 o Www 服 务 o Htc 服 务 o Ft 服 务 o Automatic 更 新 o Event Log ( 事 件 记 录 文 件 ) o 用 户 可 通 过 SCP 控 制 服 务 的 启 动 停 止 暂 停 等,SCP 会 通 过 SCM 调 用 服 务 程 序 7
最 小 化 服 务 o 用 户 在 缺 省 安 装 操 作 系 统 时, 可 能 会 把 所 有 全 部 的 功 能 ( 包 括 Web FTP 等 ) 设 置 为 激 活 状 态, 这 种 不 安 全 状 态 有 时 很 容 易 让 攻 击 者 有 机 会 得 到 系 统 管 理 员 的 权 限 o 慎 重 地 从 系 统 中 删 除 或 禁 用 没 有 明 确 用 途 的 一 切 服 务, 从 而 减 小 受 攻 击 的 机 会 o 为 保 留 下 来 的 服 务 加 上 适 当 的 安 全 增 强 措 施 开 始 运 行 services.msc 右 击 我 的 电 脑 管 理 计 算 机 管 理 服 务 和 应 用 程 序 服 务 关 闭 Alert 服 务 (MSN QQ 非 法 推 送 恶 意 垃 圾 信 息 ) 关 闭 Server 服 务 ( 信 息 泄 露 的 通 道 ) 关 闭 CliBook 服 务 ( 暴 露 隐 私 信 息 ) 关 闭 Remote Registry 服 务 ( 黑 客 入 侵 的 途 径 ) 关 闭 Task Scheduler 服 务 ( 非 法 攻 击 的 载 体 ) 封 死 黑 客 的 后 门 : 计 算 机 的 每 一 项 Internet 协 议 总 是 与 计 算 机 的 端 口 相 对 应, 端 口 越 多, 被 设 置 后 门 的 风 险 就 越 大 关 闭 文 件 和 打 印 共 享 功 能 删 除 不 必 要 的 协 议, 如 NetBIOS(Windows 网 络 的 ) 关 闭 Netware 和 Windows 网 络 客 户 端 ( 家 庭 单 机 上 网 ) o 部 分 服 务 或 协 议 简 介 1. NetBEUI(NetBIOS 扩 展 用 户 接 口 ) NetBIOS 是 IBM 于 1985 年 提 出 的 主 要 用 于 20 到 200 台 计 算 机 的 小 型 局 域 网 中 NetBEUI 协 议 可 以 看 作 是 微 软 在 NetBIOS 协 议 的 延 伸 和 改 良 版 本, 具 有 体 积 小 效 率 高 及 速 度 快 等 特 点 NetBEUI 是 一 种 广 播 型 传 输 协 议, 而 NetBIOS 仅 仅 是 通 过 一 组 命 令 来 让 系 统 使 用 网 络 而 已 部 分 服 务 或 协 议 简 介 1. NetBEUI(NetBIOS 扩 展 用 户 接 口 ) 在 Windows95/98 和 Windows NT 中 被 用 作 默 认 协 议 安 装 该 协 议 主 要 用 于 本 地 局 域 网 中, 一 般 不 能 用 于 与 其 他 网 络 的 计 算 机 进 行 沟 通, 由 于 不 支 持 路 由 功 能, 这 是 其 不 适 合 于 跨 网 段 的 大 型 网 络 的 重 要 原 因 部 分 服 务 或 协 议 简 介 1. NetBEUI(NetBIOS 扩 展 用 户 接 口 ) 要 实 现 在 网 上 邻 居 进 行 正 常 计 算 机 及 文 件 浏 览, 首 先 需 要 客 户 机 把 自 己 的 名 字 ( 计 算 机 名 专 有 NetBIOS 名 字 ) 在 网 上 注 册, 然 后 通 过 本 地 特 定 的 名 字 解 析 方 法 把 所 注 册 的 名 称 与 对 应 的 IP 地 址 进 行 关 联 匹 配, 这 样,Windows 系 统 才 可 以 通 过 浏 览 服 务 在 网 上 邻 居 进 行 访 问 8
部 分 服 务 或 协 议 简 介 1. NetBEUI(NetBIOS 扩 展 用 户 接 口 ) 除 了 安 装 TCP/IP 协 议 之 外, 局 域 网 的 计 算 机 最 好 也 安 上 NetBEUI 协 议 另 外 还 有 一 点 要 注 意, 如 果 一 台 只 装 了 TCP/IP 协 议 的 WINDOWS98 机 器 要 想 加 入 到 WINNT 域, 也 必 须 安 装 NetBEUI 协 议 部 分 服 务 或 协 议 简 介 2. Microsoft 网 络 客 户 端 Microsoft 网 络 的 文 件 和 打 印 共 享 一 般 需 要 联 合 设 置, 不 能 单 独 启 用 或 禁 用 某 一 个 服 务 包 括 :Comuter Browser WorkStation Server TCP/IP NetBIOS Heler 四 大 服 务 局 域 网 中 网 上 邻 居 配 置 的 必 选 项, Microsoft 网 络 客 户 端 卸 载 后 无 法 访 问 局 域 网 内 的 共 享 文 件 部 分 服 务 或 协 议 简 介 3. QoS 数 据 包 计 划 程 序 QoS 数 据 包 计 划 程 序 组 件 可 以 在 数 据 传 输 较 慢 或 者 非 常 慢 的 情 况 下 加 快 Internet 连 接 共 享 速 度 当 两 个 网 络 通 过 慢 速 链 路 ( 如 拨 号 线 路 ) 连 接 时 可 能 出 现 这 种 性 能 降 低, 从 而 增 加 流 经 该 慢 速 链 路 上 的 流 量 的 延 迟 通 讯 路 径 中 终 端 设 备 之 间 在 速 度 上 的 不 匹 配 以 及 慢 速 链 路 本 身 通 常 成 为 网 络 瓶 颈 在 正 常 情 况 下, 如 果 网 络 只 用 于 特 定 的 无 时 间 限 制 的 应 用 系 统, 并 不 需 要 QoS, 比 如 Web 应 用, 或 E-mail 设 置 等 但 是 对 关 键 应 用 和 多 媒 体 应 用 就 十 分 必 要 禁 止 建 立 空 连 接 在 默 认 情 况 下, 任 何 用 户 都 可 以 通 过 空 连 接 来 连 接 服 务 器, 枚 举 账 号 并 猜 测 密 码 ( 如 admin root 等 ) 控 制 面 板 管 理 工 具 本 地 安 全 策 略 安 全 设 置 本 地 策 略 安 全 选 项 网 络 访 问 : 不 允 许 SAM 账 户 的 匿 名 枚 举 o 关 闭 远 程 管 理 功 能 : 在 不 需 要 远 程 管 理 计 算 机 时, 将 有 关 远 程 登 录 的 服 务 关 掉 o Windows 防 火 墙 高 级 选 项 卡 在 网 络 连 接 设 置 列 表 框 中 选 择 要 设 置 的 连 接 选 项 设 置 高 级 设 置 做 好 IE 的 安 全 设 置, 减 小 网 页 中 利 用 ActiveX 控 件 或 Java Alets 运 行 的 恶 意 代 码 IE 浏 览 器 工 具 Internet 选 项 安 全 设 置 有 条 件 的 禁 用 与 ActiveX 控 件 和 Java 相 关 的 选 项 隐 藏 自 己 的 IP 地 址 许 多 黑 客 软 件 都 需 要 事 先 了 解 对 方 的 IP 地 址 方 能 发 起 攻 击, 在 局 域 网 用 户 上 网 后, 可 通 过 代 理 服 务 器 隐 藏 自 己 的 IP 地 址 ; 广 域 网 用 户 要 隐 藏 IP 地 址, 必 须 找 到 合 法 的 公 共 代 理 服 务 器, 而 且 应 兼 顾 代 理 上 网 的 数 据 传 输 速 度 9
更 多 详 细 的 信 息 o 可 以 停 止 的 windows 服 务 进 程 将 用 户 的 权 限 限 制 在 他 的 工 作 范 围 之 内. 思 考 题 1. 简 述 应 用 层 安 全 的 主 要 措 施? 2. 简 述 操 作 系 统 账 号 密 码 的 重 要 性, 有 几 种 方 法 可 能 保 护 密 码 不 被 破 解 或 者 盗 取? 3. 简 述 密 码 策 略 和 账 户 策 略 的 含 义, 以 及 这 些 策 略 如 何 保 护 操 作 系 统 不 被 入 侵 10