钱宏武

[摘要]微软的Windows serer 2003系统越来越成为中小型网络服务器和个人用户在选择操作系统时的重点考虑对象。但2003系统作为微软的系列代表作之一,也继承了以往的安全特性。本文主要从个人用户的角度阐述了如何加强windows 2003系统的安全性,以保障用户数据资源。

[关键词]安全 windows 注册表

本学期本人讲授的专业课之一是windows serer 2003系统组网。在讲到系统安全性时学生提了一个问题:忘记了系统开机密码后如何恢复,能否不重装系统的解决?于是提示学生当前市面上有很多进行密码破解的小软件可以免费获取。但由此也意识到一个普遍存在的一个问题:大多数的用户只知道自己需要使用到windows系统,但是对于这个系统本身可能带给我们的威胁却不请不楚,因而可能遭受到莫大的损失。在此,本人就这些年在windows系统教学中总结的关于windows系统安全防护策略做个归纳,与大家共享。

一、系统自动保存漏洞防护

在默认状态下Windows 2003系统会将你输入的密码内容自做主张地记忆下来保存在系统特定的缓存中,以后想再次调用密码时,不需要重复输入密码,只需要输入密码的前几个字符,剩余的密码内容就会自动被系统补全。很明显,保存在Windows 2003系统特定缓存中的密码记录,一旦被黑客利用的话,就可能给系统带来安全威胁。为了确保密码信息不被泄露,可以禁止系统把密码信息写入缓存,这样就能切断黑客获得密码信息的“通道”了,具体操作是:

选择“开始”/“运行”命令,在弹出的运行对话框中,输入注册表编辑命令“regedit”;然后依次单击注册表窗口中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies分支,检查“policies”分支下面是否包含“Network”子项;倘若找不到“Network”子项时,不妨选中“policies”主键并用鼠标右键单击之,从弹出的快捷菜单中依次执行“新建”/“项”命令,并将该项命名为“Network”。

接着再将“Network”项选中,并用鼠标右键单击该项右侧区域中的空白位置,再执行右键菜单中的“新建”命令,选中下面的“DWORD”命令;然后将新建的DWORD值名称设置为“DisablePasswordCaching”,将其数值设置为“0x00000001”,最后单击“确定”按钮退出注册表界面;完成上面设置后,将重启系统,所做的设置即可生效。

对于用户最常用的Windows XP系统,需要用户定期删除Cookies文件和临时文件夹中的文件。并在自动保存中设置不允许保存“表单上的用户名和密码”。

二、防止网页泄密

“网页泄密”,主要是指浏览了恶意网页后,本地系统的硬盘有可能被网页设置成共享,这样Internet中的用户就能查看到本地系统中的隐私信息,从而给系统安全带来致命的威胁。

用上述的方法进入注册表,并找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan分支,检查“LanMan”主键下面是否包含“RWC$”选项,倘若找到的话,就说明本地硬盘已经被设置为了非法共享,此时可以将“RWC$”键值选中并删除,这样就能将恶意网页私下创建的非法共享给删除了;为了防止日后本地硬盘再次被恶意网页非法共享,可以打开“我的电脑”窗口,找到Windows系统安装路径下面的system目录,并用鼠标右键单击该目录窗口中的“Vserer.xd”文件(该文件是文件与打印机共享虚拟设备的驱动文件),从弹出的快捷菜单中执行“删除”命令,将它从系统中删除掉;下面再打开注册表窗口,用鼠标依次展开注册表分支HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Serices\VxD,接着将“VxD”主键下面的“Vserer”选项选中,并执行菜单栏中的“删除”命令,以便将“Vserer”选项删除掉;最后重新启动计算机,这样来自Internet中的任意网页,日后都无法将本地硬盘设置为隐藏共享了。

三、防止通过Guest用户访问日志记录

不管是服务器操作系统还是Windows XP等桌面操作系统,安装系统时都会创建一个内置的帐户名Guest,这个帐户通常用于通过网络匿名访问本地资源。但这个帐户也同时给我们的系统留下了安全隐患:黑客或者病毒木马等程序可以通过Guest帐户访问本地的一些关键信息。

防止Guest帐户被利用的方法是:打开系统注册表界面,依次打开以下的键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serices\EentLog\ Application注册表分支,然后在对应的右边子窗口中右击空白位置,并执行快捷菜单中的“新建”/“双字节值”命令;并将新建好的双字节值名称命名为“RestrictGuestAccess”,将它的数值设置为“1”,再单击“确定”按钮,并刷新注册表,就可以阻止Guest或匿名帐号来访问应用日志文件了;当然,最简单的方法就是禁用“来宾账户”Guset和administrator。或者更改administrator帐户的名称。

四、防止某些服务带来的漏洞

在默认状态下,Windows 2003系统开启了很多服务,不过其中有不少服务是“聋子的耳朵—摆设”,甚至有的服务还能给系统安全带来潜在威胁。因此,最好是将一些不常用到的服务统统屏蔽掉,以免黑客或攻击者利用这些闲置的服务,来窃取系统的隐私信息。具体操作方法是:

依次单击系统桌面中的“开始”/“控制面板”/“管理工具”/“服务”命令,在弹出的服务列表窗口中,可以清楚地看到每一个服务的运行状态和注释说明。在该列表中,可以将系统暂时用不到的服务全部停止掉,比如说Remote Registry服务、telnet服务、Error Reporting Serice服务、NetMeeting Remote Desktop Sharing服务等。

作为一个复杂的操作系统,各种各样的服务、应用都在这个平台上运行,带来的问题当然也是非常多,这里只能列举几个典型的以作抛砖引玉之效。网络中没有绝对的安全,只有每一个使用系统的人都养成良好的操作习惯,保持高度的警觉,才能使使用的系统面对复杂的网络环境减少被感染被侵占的危险,用户才能得到一个安全舒适的网络运行环境。

参考文献:[1]李劲. Windows 2003 Serer网络管理手册.北京:中国青年出版社,2004.[2]《黑客防线》编辑部.黑客防线2006精华奉献本(上、下册).北京:人民邮电出版社,2006.[3]Roger A.Grimes著.张志斌,贾旺盛等译.恶意传播代码——Windows病毒防护.北京:机械工业出版社,2004.