1.2 典型的操作系統(tǒng)安全配置

剛安裝的Windows操作系統(tǒng)一般都符合美國《可信計算機系統(tǒng)評估準則》C2級安全級別的操作系統(tǒng)，安全性并不高。而且這些新安裝的操作系統(tǒng)都存在不少漏洞、風險或者配置問題，如果對這些風險、漏洞或者配置問題不了解，不采取相應的措施，就會使操作系統(tǒng)完全暴露給入侵者，進而導致操作系統(tǒng)甚至整個計算機出現(xiàn)安全問題。本實驗講述一些典型的操作系統(tǒng)安全配置。

1.2.1 賬戶安全設置

操作系統(tǒng)的賬戶是進入操作系統(tǒng)的第一道大門，安全性非常重要。操作系統(tǒng)賬戶安全設置方法如下。

第1步：用鼠標單擊屏幕左下方的“開始”按鈕，出現(xiàn)如圖1.1所示的Windows功能界面。

第2步：在圖1.1中用鼠標單擊“控制面板”按鈕，出現(xiàn)如圖1.2所示界面。

第3步：用鼠標單擊圖1.2中的“用戶賬戶”，出現(xiàn)如圖1.3所示界面。

1.限制賬戶數量

去掉所有的測試賬戶、共享賬戶和普通部門賬戶等。經常檢查系統(tǒng)的賬戶，刪除已經不使用的賬戶。賬戶經常是黑客們入侵系統(tǒng)的突破口，系統(tǒng)的賬戶越多，黑客們得到合法用戶的權限的可能性也就越大。對于Windows操作系統(tǒng)的主機來說，如果系統(tǒng)賬戶超過10個，一般能找出一兩個弱口令賬戶，所以賬戶數量不要大于10個。

2.保護管理員賬戶

管理員賬戶是計算機系統(tǒng)中最重要的賬戶，一旦被竊取，計算機將徹底無秘可言。這里介紹一些保護管理員賬戶的方法。

首先是新建立一個名為“Administrator”的賬戶，方法如下。用鼠標單擊如圖1.4所示的“管理其他賬戶”按鈕。

這時出現(xiàn)如圖1.5所示的界面。

用鼠標單擊圖1.5中的“在電腦設置中添加新用戶”按鈕，出現(xiàn)如圖1.6所示的界面。

單擊“將其他人添加到這臺電腦”按鈕，出現(xiàn)如圖1.7所示界面。

在圖1.7的文本框中輸入賬戶名，注意一定要帶上“Administrator”。單擊“下一步”按鈕，出現(xiàn)如圖1.8所示界面。

在圖1.8的文本框中輸入一個超長的密碼，至少20位以上，并且是數字、字母和符號組合的，這個密碼只輸入一次，也不用記住。單擊“下一步”按鈕，出現(xiàn)如圖1.9所示的界面。

這樣就新生成了一個賬戶“Administrator@bupt.edu.cn”，查看這個賬戶的屬性如圖1.10所示。

圖1.10中顯示這個賬戶是“標準”賬戶，而不是管理員賬戶。通過以上這些操作，達到了以下目的。

1）創(chuàng)建了一個“陷阱賬戶”，即“Administrator@bupt.edu.cn”。它有超長并且復雜的密碼，而且不是管理員賬戶。這樣黑客第一眼看到，會以為這個賬戶是管理員賬戶，他也很難破解這個有20多位復雜密碼的賬戶；即使破解了，作用也不大，因為它只是一個一般的賬戶，而不是管理員賬戶。

2）保護了真正的管理員賬戶“李劍”，因為表面上看不出這個才是管理員賬戶。

3）這里沒有多余的賬戶，只有兩個。

3.給管理員賬戶設置一個安全的密碼

好的密碼對于一個賬戶來說是非常重要的，但是也是最容易被忽略的。一些網絡管理員創(chuàng)建賬戶的時候往往用公司名、計算機名或者其他一些一猜就中的字符作為用戶名，然后又把這些賬戶的密碼設置得比較簡單，比如：“welcome”“iloveyou”“l(fā)etmein”或者和用戶名相同的密碼等。這樣的賬戶應該要求用戶首次登錄的時候更改成復雜的密碼，還要注意經常更改密碼。

設置密碼的時候最好要大于8位，并且是數字、字母和符號組合而成的。例如“iAlkiec928e$*@%KWid”就是一個好密碼。

這里給好的密碼下了個定義：安全期內無法破解出來的密碼就是好密碼，密碼策略是42天必須改密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長的時間才能破解出來。

1.2.2 設置屏幕保護

設置屏幕保護密碼是防止其他人員在未授權的情況下使用計算機。方法如下。

第1步：單擊屏幕左下方的“開始”按鈕，出現(xiàn)如圖1.11所示的界面。

第2步：單擊圖1.11中的“設置”按鈕，出現(xiàn)如圖1.12所示的“Windows設置”界面。

第3步：單擊圖1.12中的“個性化”按鈕，出現(xiàn)如圖1.13所示的鎖屏界面。

第4步：單擊圖1.13中的“屏幕保護程序設置”按鈕，出現(xiàn)如圖1.14所示的界面。

第5步：在圖1.14中選擇自己喜歡的屏幕保護程序，設置等待時間為1min，最后再勾選“在恢復時顯示登錄屏幕(R)”選項。

這樣設置之后，當使用計算機的人在1min之內不使用計算機的時候，就會出現(xiàn)屏幕保護程序。重新使用計算機的時候，會顯示登錄界面，讓使用者重新輸入登錄密碼。

1.2.3 設置隱私權限

目前個人隱私保護很重要，Windows 10同樣注重用戶的個人隱私保護。

第1步：在“Windows設置”中單擊“隱私”按鈕，如圖1.15所示。

第2步：這時會出現(xiàn)“更改隱私選項”界面，如圖1.16所示。

第3步：在圖1.16中的“更改隱私選項”包括四個選項如下。

● 允許應用使用廣告ID，以便基于你的應用使用情況投放你更感興趣的廣告（關閉該模式將會重置你的ID）。

● 允許網站通過訪問我的語言列表來提供本地相關內容。

● 允許Windows跟蹤應用啟動，以改進開始和搜索結果。

● 在設置應用中為我顯示建議的內容。

用戶可以根據自己的喜好，來選擇自己所需要的隱私保護選項。

1.2.4 更新與安全

Windows 10自帶“更新與安全”設置，可以進行相關的安全設置。

第1步：打開Windows設置，單擊其中的“更新和安全”按鈕，如圖1.17所示。

第2步：這時出現(xiàn)如圖1.18所示的界面，單擊其中的“Windows更新”按鈕。

第3步：這時可以看到目前的Windows操作系統(tǒng)是不是最新的版本，以及上次檢查更新的時間。例如圖1.18中上次檢查更新時間是“昨天，8：42”。對操作系統(tǒng)的更新是非常必要的，這樣就可以補上操作系統(tǒng)的很多漏洞。

第4步：也可以選擇“Windows安全”選項，如圖1.19所示。

第5步：在“Windows安全”選項的“保護區(qū)域”當中包括七個選項，它們分別是病毒和威脅防護、賬戶保護、防火墻和網絡保護、應用和瀏覽器控制、設備安全性、設備性能和運行狀況、家庭選項。用戶可以根據自己的意愿選擇其中的安全選項進行設置。

第6步：也可以打開“Windows Defender安全中心”，如圖1.20所示。這里由于篇幅關系不再詳述，感興趣的讀者可以自己進行更多的安全設置。

1.2.5 關閉不必要的服務

計算機中通常安裝了一些不必要的服務，如果這些服務沒有用的話，最好能將它們關閉。例如：為了能夠在遠程方便地管理服務器，很多機器的終端服務都是開著的，如果開了，要確認已經正確地配置了終端服務。有些惡意程序也能以服務方式悄悄地運行服務器上的終端服務，要留意服務器上開啟的所有服務并每天檢查。Windows中可禁用的服務及其相關說明如表1.1所示。

打開“服務”的方法如下。

第1步：在控制面板中打開“管理工具”選項，出現(xiàn)如圖1.21所示的界面。

第2步：雙擊圖1.21中的“服務”選項，出現(xiàn)如圖1.22所示的界面。

第3步：在圖1.22中可以看到計算機當中所有的服務。如果想要關閉哪個服務，就可以對那個服務進行操作。

1.2.6 Windows防火墻的使用

Windows 10系統(tǒng)中提供了強大的自帶防火墻功能，這個設置在本書其他實驗中會有專門講解，這里不再贅述。

1.2.7 關閉系統(tǒng)默認共享

操作系統(tǒng)的共享在為用戶帶來方便的同時也帶來了眾多麻煩，經常會有病毒通過共享進入計算機。Windows操作系統(tǒng)提供了默認共享功能，這些默認的共享都有“$”標志，意為隱含的，包括所有的邏輯盤（C$，D$，E$，…）和系統(tǒng)目錄Winnt或Windows（admin$），還有的帶有IPC$共享。

查看這些共享的方法是按下組合鍵〈Win+R〉，在出現(xiàn)的運行界面當中輸入“cmd”，如圖1.23所示。

單擊“確定”按鈕后，出現(xiàn)如圖1.24所示界面，這是DOS操作界面。在界面當中輸入“net share”命令，按下〈Enter〉鍵后會出現(xiàn)計算機當中已經有的所有共享。

圖中的共享信息也可以在“控制面板”→“管理工具”→“計算機管理”當中查看，如圖1.25所示。

因為操作系統(tǒng)的C盤、D盤等全是共享的，這就給黑客的入侵帶來了很大的方便。“震蕩波”病毒的傳播方式之一就是掃描局域網內所有帶共享的主機，然后將病毒上傳到上面。下面給讀者介紹幾種可以關閉操作系統(tǒng)共享的方法。

第1種方法：批處理法。

打開記事本，輸入以下內容（記得每行最后要按〈Enter〉鍵）。

將以上內容保存為NetShare.bat（注意后綴），然后把這個批處理文件拖放到“程序”→“啟動”項，這樣每次開機就會運行它，也就是通過“net”命令關閉共享。如果哪一天需要開啟某個或某些共享，只要重新編輯這個批處理文件即可（把相應的那個命令行刪掉）。

第2種方法：注冊表改鍵值法。

單擊“開始”→“運行”，輸入“regedit”單擊“確定”按鈕后，打開注冊表編輯器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”項，雙擊右側窗口中的“AutoShareServer”項將鍵值由1改為0，這樣就能關閉硬盤各分區(qū)的共享。如果沒有AutoShareServer項，可以自己新建一個再改鍵值。然后還是在這一窗口下再找到“AutoShareWks”項，也把鍵值由1改為0，關閉admin$共享。最后在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”項處找到“restrictanonymous”項，將鍵值設為1，關閉IPC$共享。本方法必須重啟計算機才能生效，而且一經改動就會永遠停止共享。

第3種方法：停止服務法。

這種方法最簡單，打開“控制面板”→“管理工具”→“計算機管理”窗口。單擊展開左側的“服務和應用程序”并選中其中的“服務”選項，此時右側就列出了所有服務項目。共享服務對應的名稱是“Server”（在進程中的名稱為services），如圖1.26所示。

用鼠標右擊“Server”選項，如圖1.27所示，在彈出的菜單中選擇“停止”選項。

Server服務停止后的系統(tǒng)狀態(tài)如圖1.28所示。這樣，系統(tǒng)中所有的共享都會去掉。

1.2.8 下載最新的補丁

下載操作系統(tǒng)和應用程序最新的安全補丁，可以利用一些工具，如奇虎360安全衛(wèi)士等。打開奇虎360安全衛(wèi)士軟件主界面，如圖1.29所示。選擇“系統(tǒng)修復”選項，再單擊“全面修復”，就可以開始掃描漏洞了。

過一段時間掃描完成后，會有掃描結果，如圖1.30所示。這時系統(tǒng)會顯示有多少項目需要修復，如果都要修復的話，單擊“一鍵修復”即可。