当前位置:文档之家 › 第11章 Windows 操作系统安全_y

第11章 Windows 操作系统安全_y

  • 格式:ppt
  • 大小:1.88 MB
  • 文档页数:49

下载文档原格式

  / 49

合集下载

Windows系统中的系统安全设置指南

Windows系统中的系统安全设置指南

Windows系统中的系统安全设置指南在今天的数字时代,计算机的安全性变得越来越重要。

对于使用Windows操作系统的用户来说,掌握Windows系统中的系统安全设置是至关重要的。

本文将为大家提供一份系统安全设置指南,帮助用户提高Windows系统的安全性。

一、更新操作系统保持Windows操作系统的最新版本非常重要,因为每个操作系统版本的发布都会修复已知的漏洞和安全缺陷。

要确保自己的系统是最新的,请执行以下步骤:1. 打开Windows设置。

可以在开始菜单中找到“设置”图标,点击打开。

2. 在“设置”窗口中,选择“更新和安全”选项。

3. 在“更新和安全”窗口中,点击“检查更新”按钮。

4. Windows系统会自动检查是否有可用的更新。

如果有,点击“安装”以安装更新。

二、使用强密码使用强密码是防止他人未经授权访问您的计算机的重要步骤。

强密码应采用以下要求:1. 包含至少8个字符。

2. 结合大写字母、小写字母、数字和特殊字符。

3. 避免使用常见的密码(如“123456”或“admin”)。

4. 定期更改密码。

为了设置强密码,请按照以下步骤操作:1. 打开Windows设置,选择“账户”选项。

2. 在“账户”窗口中,点击“登录选项”。

3. 在“登录选项”中,点击“密码”旁边的“更改”按钮。

4. 输入当前密码,并按照要求输入并确认新密码。

三、启用防火墙防火墙是Windows系统的重要安全特性,可以帮助阻止未经授权的访问和恶意软件。

确保您的防火墙是启用状态,请按照以下步骤操作:1. 打开Windows设置,选择“更新和安全”选项。

2. 在“更新和安全”窗口中,选择“Windows安全”。

3. 在“Windows安全”窗口中,点击“防火墙和网络保护”。

4. 确保防火墙选项是开启状态。

四、安装可靠的防病毒软件安装可靠的防病毒软件可以帮助您检测和清除计算机中的病毒和恶意软件。

以下是选择和安装防病毒软件的步骤:1. 在互联网上搜索可靠的防病毒软件,并选择一个您信任的软件。

《windows系统安全》课件

《windows系统安全》课件

Windows系统安全检测
1
安装系统漏洞检测软件
了解如何使用系统漏洞检测软件来发
扫描恶意软件和病毒
2
现和修复Windows系统中的潜在漏洞。
掌握使用安全软件进行系统扫描,以
检测并清除潜在的恶意软件和病毒。
3
维护系统补丁以提高安全性
了解如何定期更新系统补丁和安全更 新,以增强Windows系统的安全性。
《Windows系统安全》 PPT课件
Windows系统安全的重要性以及如何保护自己免受威胁的关键步骤。通过本 课程,了解如何防范病毒、恶意软件和网络攻击,提高安全意识。
简介
Windows系统安全是指保护并确保计算机操作系统免受潜在威胁和攻击的措施。了解Windows系统安全 的重要性以及为什么我们需要关注它。
Windows系统安全解决方案
使用杀毒软件、防火墙 等进行防御
了解常见的防御工具和措施, 如杀毒软件、防火墙和入侵检 测系统,以提高Windows系统 的ows系 统中的漏洞,以防止潜在的攻 击和入侵。
提高用户安全意识
培养用户对Windows系统的安 全意识和最佳实践,如强密码 使用和定期备份数据。
结论
Windows系统安全是我们不能忽视的重要议题。通过采取正确的安全策略,我们可以减少安全问题的发 生,并保护个人和组织的数据和隐私。
Windows系统安全威胁
病毒、蠕虫、木马
恶意软件的不同类型对Windows系统的威胁。了解这些威胁的特点以及可能带来的损害。
恶意软件的危害
恶意软件如何对个人和组织的数据、隐私和安全造成危害。掌握发现和应对这些威胁的方法。
网络攻击引发的安全问题
网络攻击如何成为Windows系统安全的威胁。了解常见的攻击类型和防护策略。

Windows 操作系统安全

Windows 操作系统安全

Windows 操作系统安全概述1、操作系统安全简介2、Windows Server 2003 安全环境3、Windows Server 2003注册表安全4、Windows Server 2003安全设置一、操作系统安全简介随着INTERNET应用的日益广泛,计算机系统的安全问题日益引起人们的重视。

操作系统是连接计算机硬件、上层软件及用户的桥梁,它的安全性是至关重要的。

早在20世纪60年代,安全操作系统的研究就引起了研究机构(尤其是美国军方)的重视。

1983年,美国国防部颁布了历史上第一个计算机安全评价标准,这就是著名的可信计算机系统评价标准,简称TCSEC,又称橙皮书。

1985年,美国国联部又对TCSEC进行了修订。

相对来说,中国的安全操作系统研究起步比较晚,但也开展了一系列的工作。

1993年,国防科技大学对基于TCSEC标准的安全操作系统SUNIX的研究与开发进行了探讨。

1998年,该研究所按昭TCSEC标准的B1安全等级的要求对UNIX操作系统的内核进行了改造。

1999年,中国科学院软件研究所在地推出了红旗LINUX中文操作系统发行版本。

到2000年,中国的安全操作系统研究人员相继推出了一批基于LINUX的安全操作系统开发成果。

二、Windows Server 2003安全环境Windows Server 2003安全技术主要体现在以下几方面:1、身份验证:通过交互式登录和网络身份验证等方式验证用户的身份。

2、访问控制:通过给用户和组指定权限来允许或拒绝用户对相应资源的访问。

3、授权管理器:授权管理器提供了基于角色的访问控制。

管理员可以基于角色进行授权,来确定某角色所能执行的操作。

4、安全配置管理器:安全配置管理器允许管理员创建、应用和编辑本地计算机、组织单位或域的安全性。

5、软件限制策略:使用软件限制策略,可以标识软件并控制它在本地计算机、组织单位、域或站点中的运行能务。

6、审核安全事件:设置审核策略,以便记录用户和系统的活动。

第11章 Windows 操作系统安全

第11章 Windows 操作系统安全

版权所有,盗版必纠
11.2.1 保护帐号
版权所有,盗版必纠
11.2.1 保护帐号
• 3. 管理员帐号改名 • Windows 2000中的Administrator帐号是不能被停用的, 这意味着别人可以一遍又一边的尝试这个帐户的密码。把 Administrator帐户改名可以有效的防止这一点。 • 不要使用Admin之类的名字,改了等于没改,尽量把它伪 装成普通用户,比如改成:guestone。具体操作的时候 只要选中帐户名改名就可以了,如图11.3所示。
版权所有,盗版必纠
11.2.1 保护帐号
版权所有,盗版必纠
11.2.1 保护帐号
版权所有,盗版必纠
11.2.2 设置安全的密码
• 好的密码对于一个网络是非常重要的,但是也是最容易被 忽略的。一些网络管理员创建帐号的时候往往用公司名, 计算机名,或者一些别的一猜就到的字符做用户名,然后 又把这些帐户的密码设置得比较简单,比如: “welcome”、“iloveyou”、“letmein”或者和用户名 相同的密码等。这样的帐户应该要求用户首此登陆的时候 更改成复杂的密码,还要注意经常更改密码。 • 这里给好密码下了个定义:安全期内无法破解出来的密码 就是好密码,也就是说,如果得到了密码文档,必须花43 天或者更长的时间才能破解出来,密码策略是42天必须改 密码。
第11章 Windows 操作系统安全
版权所有,盗版必纠ห้องสมุดไป่ตู้


Windows NT(New Technology)是微软 公司第一个真正意义上的网络操作系统,发展 经 过 NT3.0 、 NT40 、 NT5.0 ( Windows 2000 ) 和 NT6.0 ( Windows 2003 ) 、 Windows XP等众多版本,并逐步占据了广大 的中小网络操作系统的市场。但是在 Windows系统里面有一些安全配置,在默认 情况下是没有设置的,需要根据具体情况进行 设置。

Windows操作系统安全

Windows操作系统安全

Windows操作系统安全Windows操作系统安全一、Windows操作系统简介1.1 Windows操作系统的定义1.2 Windows操作系统的版本及发展历程二、Windows操作系统安全概述2.1 Windows操作系统安全性的重要性2.2 主要威胁与攻击方式概述三、物理安全措施3.1 服务器房间的物理访问控制3.2 硬件设备的安全保护措施四、用户账户与访问控制4.1 用户账户管理4.1.1 创建和管理用户账户4.1.2 用户密码策略4.2 访问控制列表(ACL)4.3 用户权限管理五、安全更新与补丁管理5.1 Windows操作系统的安全更新 5.2 自动更新和手动更新的选择5.3 安全补丁的安装与管理六、网络安全保护6.1 防火墙的设置与配置6.2 网络隔离与防止入侵6.3 网络安全检测与防御七、与恶意软件防护7.1 安装和更新防软件7.2 定期进行安全扫描7.3 培训与教育用户防范恶意软件八、数据备份与恢复8.1 数据备份策略8.2 自动备份工具的使用8.3 数据恢复与紧急事故响应九、安全日志和审计9.1 安全日志的记录和分析9.2 审计与监控关键事件9.3 安全事件响应与处理十、物理设备的安全销毁10:1 设备信息的清除与销毁10:2 数据的安全销毁方式10:3 硬盘的物理销毁方法附件:本文档涉及的相关附件,请参阅附件。

法律名词及注释:1:数据保护法:即个人信息保护法,用于规定和保护个人数据的收集、使用和存储。

2:网络安全法:旨在保护网络空间安全,维护网络主权,维护网络安全和社会公共利益。

3:计算机犯罪法:用于打击和处罚计算机犯罪行为,如黑客攻击、网络诈骗等。

Windows操作系统安全

Windows操作系统安全

尝试陈述2、启用账户策略账户策略是Windows账户办理的重要东西。

翻开“控制面板〞→“办理东西〞→“当地安然策略〞,选择“用户策略〞。

双击“暗码策略〞,用于决定系统暗码的安然规那么和设置。

此中,符合复杂性要求的暗码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。

双击此中每一项,可按照需要改变暗码特殊的设置。

〔1〕双击“暗码暗码必需符合复杂性要求〞,选择“启用〞。

翻开“控制面板〞中“用户和暗码〞项,在弹出的对话框中选择一个用户后,单击“设置暗码〞按钮。

在呈现的设置暗码窗口中输入暗码。

此时暗码符合设置的暗码要求。

〔2〕双击上图中的“暗码长度最小值〞;在弹出的对话框中可设置可被系统采取的账户暗码长度最小值。

一般为达到较高安然性,暗码长度最小值为8。

〔3〕双击“暗码最长存留期〞,在对话框中设置系统要求的账户暗码的最长使用期限为42天。

设置暗码自动保留期,用来提醒用户按期点窜暗码,防止暗码使用时间过长带来的安然问题。

〔4〕双击“暗码最短保留期〞,设置暗码最短存留期为7天。

在暗码最短保留期内用户不克不及点窜暗码,防止入侵的攻击者点窜帐户暗码。

〔5〕双击“强制暗码历史〞和“为域中所有用户使用可复原的加密存储暗码〞,在相继弹出的类似对话框中,设置让系统记住的暗码数量和是否设置加密存储暗码。

至此,暗码策略设置完成。

3、开机时设置为“不自动显示上次登录〞Windows默认设置为开机时自动显示上次登录的帐户名,许多用户也采用了这一设置。

这对系统来说是很不安然的,攻击者会从当地或Terminal Service的登录界面看到用户名。

4、禁止枚举帐户名为了便于长途用户共享当地文件,Windows默认设置长途用户可以通过空连接枚举出所有当地帐户名,这给了攻击者可乘之机。

要禁用枚举账户名,执行以下操作:翻开“当地安然策略〞项,选择“当地策略〞中的“安然选项〞,选择“对匿名连接的额外限制〞项,在“当地策略设置〞中选择“不允许枚举SAM账户和共享〞任务二:文件系统安然设置〔1〕翻开采用NTFS格式的磁盘,选择一个需要设置用户权限的文件夹。

操作系统安全

操作系统安全操作系统安全是保护计算机系统不受未经授权的访问、恶意软件和其他潜在威胁的技术和措施。

它涉及保护计算机硬件、软件和数据免受未经授权的访问、更改、破坏或泄露。

以下是一些提高操作系统安全的方法和措施。

1. 更新操作系统:定期更新操作系统是保持系统安全性的关键。

操作系统供应商经常发布安全补丁和更新,以修复已知的漏洞和弱点,并提供更高的安全性。

用户应及时安装这些更新,并确保系统始终运行最新版本的操作系统。

2. 安装防病毒软件:为了保护操作系统免受恶意软件的感染和攻击,用户应安装和更新防病毒软件。

防病毒软件能够扫描和检测恶意软件,阻止它们进入系统,并清除已感染的文件。

3. 配置防火墙:防火墙是网络入侵的第一道防线。

配置和启用防火墙能够监控和控制网络流量,阻止未经授权的访问和恶意软件的传输。

操作系统通常附带了简单的防火墙功能,用户应该确保其正确配置。

4. 设定强密码:操作系统登录密码是保护系统免受未经授权访问的重要组成部分。

使用强密码可以增加密码破解的难度,例如使用包含大写字母、小写字母、数字和特殊字符的复杂密码。

此外,用户应定期更改密码,并避免在多个账户间使用相同的密码。

5. 限制用户权限:操作系统应允许为每个用户分配适当的权限和访问权限。

用户的权限应限制在其工作职责所需的最低级别上。

这样可以减少未授权的访问和操作风险,保护系统和数据的安全性。

6. 数据备份:定期备份系统和重要数据是减少数据丢失和破坏风险的重要措施。

用户可以使用外部存储设备或云存储来备份数据,并确保备份是可靠和完整的。

7. 培训和教育:为了有效保护操作系统安全,用户应该接受相关培训和教育,了解操作系统安全的重要性和措施。

这样可以增强用户的安全意识,并避免犯下常见的安全错误。

总之,操作系统安全是保障计算机系统顺利运行和数据安全的关键因素。

通过更新操作系统、安装防病毒软件、配置防火墙、设定强密码、限制用户权限、数据备份以及培训和教育,用户可以提高操作系统的安全性,并减少安全威胁产生的风险。

CIW-11(windows操作系统安全)


Windows 2003认证与授权访问
使用账户名称/ 口令进行认证
Winlogon
用户A
成功
访 问
令牌 User=S-1-21- S-1-5-21-15070013331204550764-1011284298-500
Group1=EveryOne S-1-1-0 Group2=Administrators S-1-5-32-544
用户可以添加文件和子录 具有Read和Add的权限 有Add和Read的权限, 另外还可以更改文 件的内容,删除文件和子目录 有Change的权限,另外用户可以更改权限 和获取目录的所有权
Change
Full control
RXWD
RXWDPO
Windows系统的用户权限
子颁发机构代 码,共有4个; 具有唯一性
S-1-3-0 Creator Owner S-1-3-1 Creator Group
添加/删除帐户
• Win2003/XP下
– 管理工具—计算机管理—本地用户和组
• 命令行方式
– – – – net user 用户名 密码 /add [/delete] 将用户加入到组 net localgroup 组名 用户名 /add [/delete] net 是黑客在windows平台下最好的朋友之一
• 访问令牌(Access tokens): 用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相 当于用户访问系统资源的票证,当用户试图访问系统资源时 ,将访问令牌提供给Windows 系统,然后Windows NT检 查用户试图访问对象上的访问控制列表。如果用户被允许访 问该对象,系统将会分配给用户适当的访问权限。 访问令牌是用户在通过验证的时候有登陆进程所提供的,所以 改变用户的权限需要注销后重新登陆,重新获取访问令牌。

《信息安全概论》课件—11Windows 操作系统安全


11.2.4 关闭不必要的服务
11.2.5 关闭不必要的端口
• 关闭端口意味着减少功能,如果服务器安装在防火墙的后 面,被入侵的机会就会少一些,但是不可以认为高枕无忧 了。可以在操作系统里来限制端口的访问,如图11.7所示 为从操作系统TCP/IP里限制端口,只开放4个端口。关于 这一点,在前面网络后门与网络隐患一章中已经讲过了。
户组策略设置相应权限,并且经常检查系统的帐户,删除 已经不使用的帐户。 • 帐户很多是黑客们入侵系统的突破口,系统的帐户越多, 黑客们得到合法用户的权限可能性一般也就越大。 • 对于Windows NT/2000主机,如果系统帐户超过10个, 一般能找出一两个弱口令帐户,所以帐户数量不要大于10 个。这些不用的帐户可以去掉,如图11.2所示。
11.2.4 关闭不必要的服务
• 计算机里通常安装有了些不必要的服务,如果这些服务没 有用的话,最好能将这些服务关闭。例如:为了能够在远 程方便的管理服务器,很多机器的终端服务都是开着的, 如果开了,要确认已经正确的配置了终端服务。有些恶意 的程序也能以服务方式悄悄的运行服务器上的终端服务。 要留意服务器上开启的所有服务并每天检查。Windows 中可禁用的服务及其相关说明如表11.1所示。
11.2.1 保护帐号
11.2.1 保护帐号
11.2.2 设置安全的密码
• 好的密码对于一个网络是非常重要的,但是也是最容易被 忽略的。一些网络管理员创建帐号的时候往往用公司名, 计算机名,或者一些别的一猜就到的字符做用户名,然后 又把这些帐户的密码设置得比较简单,比如: “welcome”、“iloveyou”、“letmein”或者和用户名 相同的密码等。这样的帐户应该要求用户首此登陆的时候 更改成复杂的密码,还要注意经常更改密码。

windows操作系统安全

windows操作系统安全1.实验目的(1) Windows账户与密码的安全设置(2) 文件系统的保护和加密(3) 安全策略与安全模板的使用(4) 审核和日志的启用(5) 学会本机漏洞检测软件MBSA的使用2.实验器材一台装有Windows 7 6.1(7600)操作系统的计算机,磁盘格式配置为NTFS,预装MBSA (Microsoft Baseline Security Analyzer)工具。

3.实验原理3.1.账户和口令账户和口令是登录系统的基础,也是众多黑客程序攻击和窃取的对象。

因此,系统账户和口令的安全是非常重要的,也是可以通过合理设置来实现的。

普通用户常常在安装系统后长期使用系统的默认设置,忽视了Windows系统默认设置的不安全性,而这些不安全性常常被攻击者利用,通过各种手段获得合法的账户,进一步破解口令。

所以,首先需要保障账户和密码安全。

3.2.文件系统Windows系统提供的磁盘格式有FAT,FAT32以及NTFS。

其中,FAT格式和FAT32格式没有考虑对安全性方面的更高需求,例如无法设置用户访问权限等。

NTFS文件系统是Windows 操作系统中的一种安全的文件系统。

管理员或用户可以设置每个文件夹的访问权限,从而限制一些用户和用户组的访问,以保障数据的安全。

3.3 数据加密软件EFS采用加密文件系统(EFS)的加密功能对敏感数据文件进行加密,可以加强数据的安全性,并且减小计算机和磁盘被窃或者被拆换后数据失窃的隐患。

EFS采用了对称和非对称两种加密算法对文件进行加密,首先系统利用生成的对称密钥将文件加密成为密文,然后采用EFS 证书中包含的公钥将对称密钥加密后与密文加附在一起。

文件采用EFS加密后,可以控制特定的用户有权解密数据。

这样即使攻击者能够访问计算机的数据存储器,也无法读取用户数据。

只有拥有EFS证书的用户,采用证书中公约对应的私钥,先解密公钥加密的对称密钥,然后再用对称密钥解密密文,才能对文件进行读写操作。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

版权所有,盗版必纠
11.2.10 关闭系统默认共享Байду номын сангаас
• 第三种方法:注册表改键值法。
• 单击“开始”→“运行”输入“regedit”确定后,打开注册表编辑器,找 到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters”项,双击右侧窗口中的 “AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共 享。如果没有AutoShareServer项,可自己新建一个再改键值。然后还 是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭 admin$共享。最后到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\L sa”项处找到“restrictanonymous”,将键值设为1,关闭IPC$共享。本 方法必须重启机器才能生效,但一经改动就会永远停止共享。
版权所有,盗版必纠
11.2.6 开启系统审核策略
• 审核策略在默认的情况下都是没有开启的。打开“控制 面板”→“管理工具”→“本地安全设置”→“审核策 略”,如图11.8所示。(或者运行secpol.msc程序)
版权所有,盗版必纠
11.2.6 开启系统审核策略
• 从图中可以看到,9个审核策略都没有打开。最好将这些信 息审核信息都打开。以便于以后出现安全事件的时候进行 查找。双击要打开的审核策略选项,出现如图 11.9 所示 的界面。
版权所有,盗版必纠
11.2.1 保护账号
• 2. 限制用户数量 • 去掉所有的测试账户、共享账号和普通部门账号等等。用户组 策略设置相应权限,并且经常检查系统的账户,删除已经不使 用的账户。 • 账户很多是黑客们入侵系统的突破口,系统的账户越多,黑客 们得到合法用户的权限可能性一般也就越大。 • 对于Windows NT/2000主机,如果系统账户超过10个, 一般能找出一两个弱口令账户,所以账户数量不要大于10个。 这些不用的账户可以去掉,如图11.2所示。
版权所有,盗版必纠
11.2.10 关闭系统默认共享
• 第四种方法:停止服务法。这种方法最简单,打开“控制面板” 的“计算机管理”窗口中,单击展开左侧的“服务和应用程序” 并选中其中的“服务”,此时右侧就列出了所有服务项目。共享 服务对应的名称是“Server”(在进程中的名称为 services), 找到后右击它,在弹出的菜单中选择“属性”,如图 11.17 所 示。在弹出的Server属性界面当中选择“常规”标签,把“启 动类型”由原来的“自动”更改为“已禁用”。然后单击下面 “服务状态”的“停止”,再单击“确定”,如图 11.18 所示。 这样,系统中所有的共享都会去掉了。
11.2.9 下载最新的补丁
版权所有,盗版必纠
11.2.10 关闭系统默认共享
• 系统的共享为用户带来了众多麻烦,经常会有病毒通过共享 来进入电脑。Windows 2000/XP/2003版本的操作系统 提供了默认共享功能,这些默认的共享都有“$”标志,意为 隐含的,包括所有的逻辑盘(C$,D$,E$……)和系统目 录Winnt或Windows(admin$)。 • 这些共享,可以在DOS提示符下输入命令net share 查看, 如图11.15所示。因为操作系统的C盘、D盘等全是共享的, 这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传 播方式之一就是扫描局域网内所有带共享的主机,然后将病 毒上传到上面。下面给大家介绍5种可以关闭操作系统共享 的方法。
• 如果采用这种方法关闭共享,当用户重新启动计算机后,那些共享又会加上 了!所以这种方法不能从根本上解决问题。
• 第二种方法:批处理法。打开记事本,输入以下内容(记得每行最后要
回车): • net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete net share e$ /delete • ……(有几个硬盘分区就写几行这样的命令) • 将以上内容保存为NotShare.bat(注意后缀),然后把这个批处理文件拖 到“程序”→“启动”项,这样每次开机就会运行它,也就是通过net命令 关闭共享。如果哪一天需要开启某个或某些共享,只要重新编辑这个批处理 文件即可(把相应的那个命令行删掉)。
版权所有,盗版必纠
11.2.10 关闭系统默认共享
版权所有,盗版必纠
11.2.10 关闭系统默认共享
版权所有,盗版必纠
11.2.10 关闭系统默认共享
• 第五种方法:卸载“文件和打印机共享”法。方法是右 击“网上邻居”选“属性”,在弹出的“网络和拨号连 接”窗口中右击“本地连接”选“属性”,从“此连接 使用下列选定的组件”中选中“ Microsoft 网络的文件 和打印机共享”后,单击下面的“卸载”,再单击“确 定”,如图11.19所示。
版权所有,盗版必纠
11.2.4 关闭不必要的服务
版权所有,盗版必纠
11.2.5 关闭不必要的端口
• 关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被 入侵的机会就会少一些,但是不可以认为高枕无忧了。可以在操 作 系 统 里 来 限 制 端 口 的 访 问 , 如 图 11.7 所 示 为 从 操 作 系 统 TCP/IP里限制端口,只开放4个端口。关于这一点,在前面网 络后门与网络隐患一章中已经讲过了。
版权所有,盗版必纠
11.2.7 开启密码策略
• 系统密码在默认的情况下都是没有开启的。打开“控制面 板”→“管理工具”→“本地安全设置”→“密码策略”, 如图11.10所示。
版权所有,盗版必纠
11.2.7 开启密码策略
版权所有,盗版必纠
11.2.8 开启账户锁定策略
• 系统账户锁定策略在默认的情况下都是没有开启的 。打开 “控制面板”→“管理工具”→“本地安全设置”→“账户 锁定策略”,如图11.11所示。
11.2.4 关闭不必要的服务
• 计算机里通常安装有了些不必要的服务,如果这些服务没有 用的话,最好能将这些服务关闭。例如:为了能够在远程方 便的管理服务器,很多机器的终端服务都是开着的,如果开 了,要确认已经正确的配置了终端服务。有些恶意的程序也 能以服务方式悄悄的运行服务器上的终端服务。要留意服务 器上开启的所有服务并每天检查。Windows 中可禁用的服 务及其相关说明如表11.1所示。
版权所有,盗版必纠
11.2.1 保护账号
版权所有,盗版必纠
11.2.1 保护账号
• 3. 管理员账号改名 • Windows 2000中的Administrator账号是不能被停用的, 这意味着别人可以一遍又一边的尝试这个账户的密码。把 Administrator账户改名可以有效的防止这一点。 • 不要使用Admin之类的名字,改了等于没改,尽量把它伪装 成普通用户,比如改成:guestone。具体操作的时候只要选 中账户名改名就可以了,如图11.3所示。
版权所有,盗版必纠
11.2.10 关闭系统默认共享
版权所有,盗版必纠
11.2.10 关闭系统默认共享

第一种方法: 右键关系法。方法是打开“控制面 板”→“管理工具”→“计算机管理”→“共享文件 夹”→“共享”,在相应的共享文件夹上右击停止共享即可, 如图11.16所示。
版权所有,盗版必纠
11.2.10 关闭系统默认共享
版权所有,盗版必纠
11.1 Windows 操作系统介绍
11.2.1 保护账号
• 1. 保护guest账号 • 可以将guest账号关闭、停用或改名。如果必需要用guest账号 的话,需将guest列入拒绝从“网络访问”名单中(如果没有共享文件 夹和打印机),防止guest从网络访问计算机、关闭计算机以及查看日 志。如图11.1所示。
版权所有,盗版必纠
11.2.8 开启账户锁定策略
版权所有,盗版必纠
11.2.9 下载最新的补丁
• 下载操作系统最新的安全补丁可以下载一些工具如,奇虎360安全卫士 等。打开奇虎360安全卫士软件主界面,选择“修复系统漏洞”选项, 如图11.12:
版权所有,盗版必纠
11.2.9 下载最新的补丁
版权所有,盗版必纠
版权所有,盗版必纠


• 第11章 Windows 操作系统安全 • 11.1 Windows 操作系统介绍 • 11.2 Windows 2000安全配置 • 11.3 安装Windows操作系统注意事项 • 11.4 给操作系统打补丁
版权所有,盗版必纠
• Windows NT系列操作系统具有以下三方面的优点。 • 1. 支持多种网络协议 • 由于在网络中可能存在多种客户机,如Windows 95/98、 Apple Macintosh、Unix、OS/2等等,而这些客户机可能 使用了不同的网络协议,如TCP/IP协议、SPX/IPX等。 Windows NT系列操作支持几乎所有常见的网络协议。 • 2. 内置Internet功能 • 随着Internet的流行和TCP/IP协议组的标准化,Windows NT内置了IIS(Internet Information Server),可以使 网络管理员轻松的配置WWW和FTP等服务。 • 3. 支持NTFS文件系统 • Windows 9X所使用的文件系统是FAT,在NT中内置同时支 持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以 提高文件管理的安全性,用户可以对NTFS系统中的任何文件、 目录设置权限,这样当多用户同时访问系统的时候,可以增加文 件的安全性。
版权所有,盗版必纠
11.2.3 设置屏幕保护密码
• 设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。 注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费 系统资源,黑屏就可以了。将屏幕保护的选项“密码保护” 选中就可以了,并将等待时间设置为最短时间“ 1 分钟”, 如图11.6所示。