经常有人说,Windows XP从根基上就不够安全,现在我们向你介绍增强Windows XP安全性的专业方法。
在Windows XP Professional中,为了增强易用性,默认情况下微软关闭或完全禁止了很多安全特性。这等于在你的系统中开了很多门,甚至不用借助专业的工具就可以实现入侵。以用户权限为例,在安装过程中,Windows会自动创建一个不受任何保护的管理员帐户,并将进行安装操作的人的帐户添加到管理员组。这也就意味着,任何使用这种方式登录的人都可以获得所有的管理权限。
这种特性也会被以同样方式运行的病毒借用。但只要你了解一些常识,并使用正确的工具,你就可以把原本容易被入侵的系统放入一个安全的数字保险箱。
检查隐藏用户
默认情况下,Windows XP会在安装过程中创建四个预先设置好的帐户:Administrator、Guest、Help Assistant以及Support,不过很多人并没有注意到这一点,因为“控制面板”中的“用户帐户”选项只显示其中两类帐户:用户自己的帐户还有Guest。如果想要看到完整的默认帐户以及用户帐户列表,你需要运行“管理工具”下的“计算机管理”控制台单元,然后在“本地用户和组”节点下查看。
要解决这个问题,只要取消用户帐户的所有管理特权,并按照下面介绍的操作给所有具有管理特权的帐户设置一个高强度、安全的密码——这是你应该优先关注的。
启动系统后最好不要显示欢迎屏幕,为了确保只有被授权的人才可以访问系统,最好以传统的Windows登录界面方式进入系统,这种方式从Windows NT时代就开始使用了。
控制访问方式
要更改“欢迎屏幕”选项,并为不受保护的Administrator帐户添加密码。请在欢迎屏幕上按下Ctrl+Alt+Del组合键两次,打开传统Windows登录对话框,在用户名一栏中输入“Administrator”。保持密码为空,如果可以登录,就说明你的Administrator帐户并没有受到保护。
打开“控制面板” “用户帐户” “更改用户登录或注销的方式”,取消对“使用欢迎屏幕”选项的选择,并点击“应用选项”按钮确认更改。
在“用户帐户”窗口中点击“更改帐户”,然后点击“Administrator”图标。点击“创建密码”,然后输入你的密码。在随后出现的对话框中回答有关是否要限制他人对你的文件和文件夹进行访问的问题,选择“是的,仅供我使用”,这样就可以阻止具有有限权限的用户访问由管理员创建的文件了。你还可以通过“计算机管理”控制单元重设密码(如图1),方法会在下面详细介绍。
安全的密码并不单纯指密码的长度必须很长,而是指密码必须很难被猜中。这样的密码必须至少包含15位字符,同时还要包含大小写字母、数字,以及至少一个特殊字符,例如@、#或者$等。密码越复杂越好,不过你要确保自己能记住这样的密码,通常使用句子或者短语作为密码更好记一点。
自动保证密码安全
如果你更改了自己帐户的密码,请确保新密码和老密码有较大不同。当创建和保存新密码的时候,有些工具,例如Keepass(http://keepass.sourceforge.net)相当有用。该软件内置的密码生成器可以根据你的需要创建安全的密码。你可以选择要生成的密码中需要包含哪些字符以及密码的长度,你还可以借助鼠标指针的移动以及键盘输入来生成随机密码。Keepass也可以用来管理你的密码。
别依赖管理特权
一旦将Administrator帐户纳入保护,你就可以开始配置其他用户帐户了。要配置其他用户帐户,请使用Administrator帐户登录,然后打开“本地用户和组”管理单元;在“组”节点下,用右键单击“Administrators”,然后选择“属性”;在“成员”框中选中你想要从该组中删除的帐户,然后点击“删除”按钮确认删除。
如果想要向该组中添加帐户,请在该组的“属性”对话框中重复与上文所述类似的操作,不过在用户的“属性”对话框中点击“添加”按钮。
这样做的不便之处在于被从Administrators组删除的用户只拥有更少的权限,但在进行一些日常操作,例如安装新软件的时候往往需要管理员帐户的协助。要在这种情况下协助用户,你可以通过按下Windows徽标键+L键打开登录界面,并使用管理员帐户登录。
正确使用特权
如果你正在使用非管理员帐户,那么你就必须忍受不少限制。大致来说,如果一个应用程序深入系统的操作越多,那么该程序就需要越高的权限。
甚至Windows XP自带的一些组件也需要管理员权限,例如磁盘碎片整理程序、数据备份程序,还有一些控制面板选项,例如firewall.cpl、main.cpl以及sysdm.cpl等。
下面将要介绍的Runas命令在这里就可以用到。不过对每个应用程序都分别用鼠标右键点击,然后输入密码显得有些麻烦(如图2),尤其是在日常操作经常需要用到的时候。这时候直接修改应用程序的快捷方式就简单多了。
管理模式下运行的应用程序
如果你希望让一个程序运行在管理模式下(而你并没有使用管理员帐户登录),请用鼠标右键点击该程序快捷方式的图标,选择“属性”,在该快捷方式运行的命令前添加“runas /user:[username]”,这样整行命令就变成了“runas /user:[username] “C:\[program filename.exe]””。
在这个例子中,“[username]”代表管理员帐户的用户名。当你下一次“通过”该快捷方式启动程序的时候,系统会自动打开一个命令提示行窗口,你需要在这里输入该管理员帐户的密码。在你输入密码的时候,输入的内容并不会显示在命令行窗口中,这是正常的,Windows并不会显示你输入的内容,而且光标的位置也不会随着你的输入移动,不用担心。
联合使用runas命令以及/savecred参数可以实现更方便的操作。该参数让Windows记住你输入的管理员帐户密码。这样完整的命令就变成了:
runas /user:[username] /savecred “C:\[programfilename.exe]”
通过这种方式记忆的密码可以通过“用户帐户” “管理我的网络密码”选项进行管理,而且可以随时从中将密码删除。
|
没什么用的安全中心
创建一个安全的系统也包含可通过“控制面板”打开的Windows XP安全中心(如图3、4)。通过该功能可以管理的设置包括Windows Update、Windows防火墙,还有病毒扫描程序。因为“安全更新”功能是系统的一个服务,而非一个应用程序,因此它是可以随意操作的。例如,病毒可以欺骗该服务,说防病毒软件目前的病毒定义是最新的,Troj/Bdoor-HK以及W32.Spybot.NLX do这类病毒甚至可以干脆关闭该功能。你不能因为安全中心服务没有报告任何问题就认为你的系统是安全的。而且安全中心服务本身也缺乏有效的防病毒软件和反间谍软件,因此你仍需要自己安装相应的软件。
简单的七个步骤创建安全的Windows XP系统
通过创建一个新的帐户,将该帐户的特权限制到最小,并且禁止该帐户对系统进行任何修改——只需要七个步骤就可以全面提高你系统的安全性。要做到这一点,你可以使用虚拟机(例如运行Virtual PC)或者配置一台安全的“公用”系统。
| 第一步
要配置一个公用的XP系统,你需要安装免费的Microsoft Shared Computer Toolkit(MSCT),该软件可以从www.microsoft.com/windowsxp/sharedaccess下载;还需要安装User Profile Hive Cleanup(下载地址http://tinyurl.com/5ewty)。同时为了使用Windows磁盘保护(Windows Disk Protection,WDP)功能,你还必须有至少1GB的可用硬盘空间,另外你可能还需要有一个分区管理工具,例如Symantec Norton Partition Magic,用这个工具来更改Windows分区的大小。
第二步
使用管理员帐户登录,并运行uphclean-Setup.msi启动MSCT的安装程序。点击“Next”按钮,接受C:\Program Files\Microsoft Shared Computer Toolkit为默认的安装位置。当安装完成后,你可以打开Getting Started向导。
第三步
在向导的第二步设置全局限制,例如禁止在C盘根目录下创建文件或文件夹。对于公用计算机,最好能启用这里显示的所有选项。
第四步
在向导的第三步,点击“Open User Accounts”设置界面,创建一个受限制的用户帐户。然后点击第四步中显示的“Log off now”注销,并使用新建的帐户登录以便对该帐户进行配置。
第五步
配置好之后,再次使用管理员帐户登录,在向导的第五步点击“Open UserRestrictions”。在“Select a Profile”选项下选择新建的帐户,选中“Lock this Profile”选项。在“Optional Restrictions”选项下还有很多额外的限制,为这个共享帐户启用所有建议的限制,然后点击“OK”按钮应用。
第六步
在向导的第六步点击“Log off now”按钮注销,并使用新帐户登录,测试所有限制。测试完成后再次注销,使用管理员帐户登录,继续其余的配置。
第七步
点击“Windows Disk Protection”,在“Restart Action”选项下选中“Turn On”选项(如图6)。当你设置好所有选项后,点击“OK”重启动系统。现在其他用户就可以安全地登录到系统中来了。
安全规则Top 10
适度的怀疑/b>
不要不加思索就打开电子邮件附件,不要相信你不认识的人,不要回应不速之客的具有诱惑信息的电子邮件,不要
点击任何色彩鲜艳的具有“免费”字样的网页链接,不要随意泄漏私人信息。
保护你的Administrator帐户
这是你系统中最重要的帐户,必须使用一个经常更改的、安全的密码保护起来。
检查弱点
微软的免费工具MBSA 2.0(www.microsoft.com/technet/security/tools/mbsahome.mspx)可以对你的系统进行彻
底的检查,并告知你找到的所有需要注意的潜在安全隐患。
限制特权
日常使用中轻易不要使用管理员帐户,这种情况下使用受限制帐户更好一点。
别忘了打补丁
采用手动还是自动方式为系统安装补丁并不重要,不过一个打过所有补丁的系统相对更加安全一些,这个原则对于其他微软产品,例如Office也是适用的。
保持你的定义文件为最新
只有在各自的定义文件更新过之后, /间谍软件才可以对系统提供有效的保护。
使用保护软件
如果没有桌面防火墙、防病毒/间谍软件的保护,任何系统都不应该投入使用。
了解最新信息
如果你对即将爆发的攻击有所了解,那么在遇到的时候就能沉着应对。微软、Symantec等很多企业都提供免费的安全公告,同时你也可以访问www.windowsitpro.com获得重要信息。
使用恰当的浏览器
Internet Explorer的易用性并不是特别强,因为它没有大量高级功能,而且还非常不安全。Opera和Firefox则是更好也更加安全的浏览器。
学习安全常识
你对计算机以及计算机安全了解得越多,你就越容易找到系统中导致安全漏洞的缺陷。
隐形的危胁1:ADS
NTFS文件系统有一个经常被忽略的“特性”,那就是ADS(Alternate Data Stream,可交换数据流)。简单来说,这是一种高级的文件属性,可以被附加到文件或者目录上,该属性中可以包含一定的数据。举例来说,这些附加的数据流可能会包含一些危险的可执行文件,可能造成安全隐患。
事实上,不管是Windows资源管理器还是“dir”命令都无法显示ADS,这也就使得ADS可能成为恶意代码的藏身之处。ADS和下面将要介绍的所谓的“rootkits”都比较麻烦,目前只有很少的防病毒软件可以检测并清理。
除此之外,附加了ADS的文件在Windows中显示时体积上不会有任何变化,这也就意味着,如果使用操作系统自带的功能,你根本无法判断出哪些文件被附加了ADS。甚至还有更糟的:创建ADS的操作并不会受到NTFS访问控制列表的限制——也就是说,任何用户,不管对一个文件或文件夹有没有访问权限,都可以在该文件(夹)上附加ADS。
追踪和删除ADS
Windows XP,甚至微软的下一代操作系统Vista中都没有提供查看ADS的工具。不过在微软网站上有一个开发中的工具:ntfsext.exe,可以为Windows资源管理器提供对ADS的支持(下载地址http://tinyurl.com/4do6h)。
在下载的自解压文件中,你可以找到strmext.zip这个文件。将该文件中的内容解压缩出来,然后将strmext.dll复制到C:\Windows\System32,并使用下列命令注册该文件:
regsvr32 StrmExt.dll
这样就可以在Windows资源管理器的“文件属性”对话框中添加一个“Streams”选项卡。
为了让这个选项卡出现在“文件夹属性”以及“根目录属性”对话框中,你还需要对注册表的下述键值进行修改:
键1: Hkey_Classes_Root\Directory\shellex\PropertySheetHandlers\{C3ED1679-814B-4DA9-AB00-1CAC71F5E337}
键2: Hkey_Classes_Root\Root\shellex\PropertySheet-Handlers\{C3ED1 679-814B-4DA9-AB00-1CAC71F5E 337}
免费的ADS扫描工具
使用工具在整个分区中所有文件和文件夹上扫描ADS更加容易一些,声称可以做到这一点的程序包括Streams 1.53(www.sysinternals.com/Utilities/Streams.html)、Lads4.0(www.heysoft.de/Frames/f_sw_la_en.htm)、Crucial ADS 1.0(www.crucialsecurity.com/products),还有ADS Locator(www.safernetworking.org/en/tools/tools_ads.html)。
Streams可以删除不需要的ADS,而Lads(如图7)甚至可以跨越局域网工作。Crucial ADS和ADS Locator都有图形界面。一旦你找到了不需要的ADS,解决的方法也是相当简单的:只要将这些文件移动到FAT分区即可,因为ADS只能存在于NTFS分区上。
或者,你也可以使用“Type”命令将文件的内容写入一个新的文件中,这样可以删除原文件中附加的所有ADS信息:
ren config.sys old.sys
type old.sys > config.sys
del old.sys
隐形的危险2:Rootkit
Windows中的rootkit是另一种危险:rootkit会在系统后台偷偷运行,并将自己运行的进程隐藏起来,让用户无法看到。这些进程可以和注册表项、Windows服务,或者其他文件捆绑起来。如果被未知病毒、间谍软件,或者其他程序滥用,rootkit也会变得相当危险。最近一个影响很大的相关事件就是SONY娱乐公司的某些音频CD为了防止被拷贝,会给用户的计算机中安装rootkit。
因此,最好能安装下面列举的两个非常著名的rootkit检测软件:Rootkit Revealer 1.70(www.sysinternals.com/Utilities/RootkitRevealer.html)以及F-Secure Blacklight(www.f-ecure.com/blacklight),并时常运行。
加密文件系统
Windows XP Professional中自带的一个最重要的安全功能就是加密文件系统(Encrypting File System,EFS),该功能可以用于加密保存在NTFS文件系统分区上的所有文件(如图8)。这个功能非常实用和安全:默认情况下,除了加密文件的人之外,其他任何人都无法解密或者修改文件,而且对于自己加密的文件,使用起来和未加密的文件一样方便。
然而要提醒你注意:使用EFS加密的文件和加密该文件的用户的用户名没有任何关系。因为,当第一次使用该功能的时候,Windows XP会自动创建密钥,这些密钥会被保存在用户自己的配置文件中。
如果没有密钥——比如密钥被无意中删除了,或者你重装了Windows——你就无法解密之前加密的文件了。因此在对系统进行一些较大规模的调整或设置之前,你最好使用Windows自带的备份程序将加密后的文件备份起来(备份的文件依然处于被加密的状态)。或者你也可以使用系统自带的证书导出向导将你的证书和密钥导出保存。要导出密钥,在Internet Explorer的“工具”菜单下点击“Internet选项”,接着打开“内容”选项卡,点击“证书”按钮,打开“个人”选项卡,选中你的证书,然后点击“导出”。
关于使用EFS的详细信息,请参考www.microsoft.com/technet/prodtechnol/winxppro/reskit/c18621675.mspx .
实际上,在文件夹级别上进行加密更好,因为这样可自动加密此后在该文件夹中新建的文件以及子文件夹。在Windows资源管理器中显示你想要加密的文件所在的文件夹图标,用鼠标右键单击该文件夹,选择“属性”;在随后出现的“属性”对话框中点击“高级”按钮,然后选中“加密内容以便保护数据”选项;在随后出现的“确认属性更改”对话框中,你可以直接接受默认选中的“将更改应用于该文件夹、子文件夹和文件”这个选项。
如果经常需要加密或解密文件/文件夹,你也可以将加密命令放在右键菜单中。要做到这一点,运行“Regedit”打开“注册表编辑器”,定位到“Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced”,新建一个名为“EncryptionContextMenu”的DWORD项,将其数值设置为“1”。
进一步的信息
有很多免费的工具可以帮助你保护系统和网络安全,这些工具包括防病毒软件、防火墙、反间谍软件、入侵检测系统等。如果你关心IT安全话题,那么请访问计算机紧急情况处理小组的网站:www.cert.org,在这里你可以看到有关安全漏洞和安全更新的新闻、安全策略方面的技巧,还有更多其他内容。
|
