用本地安全策略保护系统安全

技术  /  管理员 发布于 7年前   168

Windows XP系统自带的“本地安全策略”是一个很不错的系统安全管理工具，利用好它可以使我们的系统更安全。　　

　　首先，我们就来说一下如何启动“本地安全策略”。单击“控制面板”　“管理工具”　“本地安全策略”后，会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。　　

　　接下来我们来探讨一下“本地安全策略” 的妙用。　　

　　禁止枚举账号　　

　　我们知道，某些具有黑客行为的蠕虫病毒可以通过扫描Windows 2000/XP系统的指定端口，然后通过共享会话猜测管理员系统口令。因此，我们需要通过在“本地安全策略”中设置禁止枚举账号，从而抵御此类入侵行为，操作步骤如下：
　　

　　

　　在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略”　“安全选项”。查看右侧的相关策略列表，在此找到“网络访问：不允许SAM账户和共享的匿名枚举”（图1），用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。　　

　　账户管理　　

　　为了防止入侵者利用漏洞登录机器，我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为：在“本地策略”　“安全选项”分支中，找到“账户：来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。

　　下面，我们再查看“账户：重命名系统管理员账户”这项策略，调出其属性对话框，在其中的文本框中可自定义账户名称（图2）。


　　指派本地用户权利　

　　如果你是系统管理员身份，可以指派特定权利给组账户或单个用户账户。在“安全设置”中，定位于“本地策略”　“用户权利指派”，而后在其右侧的设置视图中，可针对其下的各项策略分别进行安全设置（图3）。
　　 　　例如，若是希望允许某用户获得系统中任何可得到的对象的所有权：包括注册表项、进程和线程以及NTFS文件和文件夹对象等（该策略的默认设置仅为管理员）。首先应找到列表中“取得文件或其他对象的所有权”策略，用鼠标右键单击，在弹出菜单中选择“属性”，在此点击“添加用户或组”按钮，在弹出对话框中输入对象名称，并确认操作即可。　　

　　活用IP策略　　

　　我们知道，无论是哪一种黑客程序，大多都是通过端口作为通道。

　　因此，我们需要关闭那些可能成为入侵通道的端口。你可以上网查询一下相关危险端口的资料，以做到有备而战。下面我们以Telnet利用的23端口为例来加以说明（笔者的操作系统为Windows XP）。

　　首先单击“运行”在框中输入“mmc”后回车，弹出控制台的窗口。我们依次选择“文件”　“添加/删除管理单元”　“在独立标签栏中点击‘添加'”　“IP安全策略管理”，最后按提示完成操作。这时，我们已把“IP安全策略，在本地计算机”（以下简称“IP安全策略”）添加到“控制台根节点”下（图4）。  　　现在双击“IP安全策略”就可以新建一个管理规则。右击“IP安全策略”，在弹出的快捷菜单中选择“创建IP安全策略”，打开IP安全策略向导，点击“下一步”　“名称默认为‘新IP安全策略'”　“下一步”　“不必选择‘激活默认响应规则'”，注意：在点击“下一步的同时，需要确认此时“编辑属性”被选中，然后选择“完成，出现“新IP安全策略属性”窗口（图5），选择“添加”，然后一直点击“下一步”，不必选择“使用添加向导”选项。


　　在寻址栏的源地址应选择“任何IP地址”，目标地址选择“我的IP地址”（不必选择镜像）。在协议标签栏中，注意类型应为TCP，并设置IP协议端口从任意端口到此端口23，最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”，选中它，切换到“筛选器操作”标签栏，依次点击“添加”　“名称默认为‘新筛选器操作'”　“添加”　“阻止”　“完成”。

　　新策略需要被激活才能起作用，具体方法是：在“新IP安全策略”上点右键，选择“指派”刚才制定的策略。　　

　　现在，当我们从另一台电脑Telnet到设防的这一台时，系统会报告登录失败；用扫描工具扫描这台机子，会发现23端口仍然在提供服务。以同样的方法，大家可以把其他任何可疑的端口都封杀掉，让不速之客们大叫“不妙”去吧。　　

　　加强密码安全　　

　　在“安全设置”中，先定位于“账户策略”　“密码策略”，在其右侧设置视图中，可酌情进行相应的设置，以使我们的系统密码相对安全，不易破解。防破解的一个重要手段就是定期更新密码，大家可据此进行如下设置：鼠标右键单击“密码最长存留期”，在弹出菜单中选择“属性”，在弹出的对话框中，大家可自定义一个密码设置后能够使用的时间长短（限定于1至999之间）。

　　此外，通过“本地安全设置”，还可以通过设置“审核对象访问”跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。诸如此类的安全设置，不一而足。大家在实际应用中会逐渐发觉“本地安全设置”的确是一个不可或缺的系统安全工具。