|
|
随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!
Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。 Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。
权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。
我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。
Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。
我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。 读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。
希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。
为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U .0,安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。
一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
假设服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creator owner拥有特 1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。
2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。
3.尽量不要把各种软件安装在默认的路径下
默认情况下Windows系统有几个服务需要关闭才能更有效的保护服务器。其中一个服务就是远程注册表服务,如果黑客连接到我们的计算机并且计算机启用了远程注册表服务(Remote Registry)的话他还可以通过远程注册表操作系统任意服务,因此远程注册表服务要得到特别保护。当然不要以为仅仅将该服务关闭就可以高枕无忧,黑客可以通过命令行指令将服务轻松开启。
要想彻底关闭远程注册表服务可以采用如下方法:
一、通过任务栏的“开始->运行”,输入regedit进入注册表编辑器。
二、找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的“RemoteRegistry”项。
三、右键点击“RemoteRegistry”项,选择“删除”。
http://tech.163.com/用户在登录Windows 2003时,Windows 2003会自动在在登录对话框中显示出上次登录的用户名称,如果这是一台公共计算机,就有可能造成用户名的泄露,从而给一些不怀好意的人以可乘之机。
如果你是系统管理员,你可以采用下面的方法将在登录对话框中显示上次登录用户名的功能取消,这样Windows 2003就会要求用户每次登录时都必须键入用户名,从而提高计算机的使用安全性。
不显示上次登录的用户名
一、打开“我的电脑”——“控制面板”,双击打开“管理工具”。
二、在“管理工具”界面中,双击打开“本地安全策略”。
三、在弹出的“本地安全设置”对话框中,选择“安全选项”。
四、在“安全选项”列表中,选择“交互式登录:不显示上次的用户名”。
五、单击右键,选择“属性”。
六、在弹出的“交互式登录:不显示上次的用户名属性”选项框中,选择“已启用”,单击“确定”按钮,完成设置。
http://tech.163.com/在Windows系统运行出错的时候,系统内部有一个DR.WATSON程序会自动将系统调用的隐私信息保存下来。隐私信息将保存在user.dmp和drwtsn32.log文件中。攻击者可以通过破解这个程序而了解系统的隐私信息。因此我们要阻止该程序将信息泄露出去。 找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ AeDebug”,将AUTO键值设置为0,现在DR.WATSON就不会记录系统运行时的出错信息了。
在注册表中进行设置
一、单击“开始”——“运行”,输入“regedit”打开注册表编辑器。
二、在注册表编辑器中找到“HKEY_LOACL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ AeDebug”项。
三、在右边对应的键值中找到“AUTO”,右键单击,在弹出的菜单中,选择“修改”。
四、在弹出的“编辑字符串”对话框,“数值数据”下输入“0”,点击“确定”按钮,设置完成。
在用户安全设置方面
1.禁用Guest账号。不论工作组模式还是域模式,都应该禁用此账号。惟一的例外就是极少数量(10台以下)的机器之间用网上邻居互访共享文件夹,且不和公网相连,可以继续保持此账号。
2.限制不必要的用户。此时需注意:
(1)在工作组模式中,默认账号有Administrator、Guest。如果要用IIS(Internet Information Server)建设各类站点,则IUSER_computername和IWAM_computername也是默认账号,不能停用。因前者是IIS匿名访问账号,后者是IIS匿名执行脚本的账号。这两个账号默认有密码,是由系统分配的,用户不要更改其密码,更不要删除,否则IIS不能匿名访问和执行脚本;如果有终端服务则TsInternetUser也是默认账号,不能停用。
(2)在域模式中,Administrator组中会增加Domain Admins和Enterprise Admins两个组中的成员,另外还会有Krbtgt账号,默认是被禁用的,这个账号是密钥分发账号。
3.开启用户策略。其中有用户锁定阀值设置,将它设置为多少才合适呢?用户在登录时,Windows会采用加密协议加密用户的用户名和密码。在域环境中,如果只是单纯的系统(即什么软件都不装),用户进行登录时,Windows会尝试用Kerbos协议验证,不成功则会再用Ntlm验证,此时的验证的方式有两种;如果该账户同时又是Outlook的用户,验证的方式将有6种之多,也就是说用户在登录时如果密码输入错误,一次登录就要浪费掉6次账户锁定值。因此,微软技术支持中心的工程师建议将这个锁定值设置为13,这样才可以实现错误输入密码3次再锁定账户的目的。
在密码安全设置方面
在给账号设置密码时,不是密码位数越多越好,在符合密码复杂性原则的基础上,7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的,它是由密码所采用的加密算法决定的。
有一点大家需注意:屏幕保护存在一个安全漏洞,即他人可以在不进入系统的情况下,利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后,只要这个“屏幕保护程序”一运行,Cmd窗口就会弹出且以系统身份运行,默认是最大权限。因此,采用设置屏幕保护密码的做法并不安全,正确的做法应是网管员离开工位时要锁定计算机(Windows 2000下,按Ctrl+Alt+Del,在弹出的“关机”菜单中选择“锁定计算机”即可)。
在系统安全设置方面
1.使用NTFS格式分区。NTFS分区要比FAT分区安全很多,且只有使用NTFS分区才能真正发挥Windows 2000的作用。Windows 2000自带了转换NTFS分区的工具Convert。在命令提示符?葱蠧onvert x /FS NTFS(x 为所要转换的盘符),执行时如果转换的是非*作系统所在分区,则立即执行分区转换;如果转换的是*作系统所在分区,则重启后执行分区转换。注意:此转换过程是单向不可逆的,即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换,但这样做不能保证绝对安全,在某些情况下会导致分区不可用,所以建议只用Convert命令来转换分区格式;如果非要用第三方工具,一定要事先做好备份。另外,据我个人经验,并不需要将所有分区都做成NTFS分区,而应保留一个分区为FAT32,用于存放一些常用工具,并可方便Ghost备份。
2.到微软网站下载最新的补丁程序。强烈建议!这是每一个网络管理员都应该有的好习惯。这里说明一点:微软每隔一定时间推出的Servicespacks是针对近期推出的Hotfix的综合,如果你经常做Hotfix补丁,那么当后一版的Servicespacks推出后可能会和你的Hotfix冲突。因为Servicespacks也是要经过测试的,而测试阶段可能又有新的Hotfix推出,当你做了新的Hotfix补丁后再打旧版的Servicespacks补丁时就会产生冲突。
3.关闭默认共享。这里必须要修改注册表,否则每次重启之后默认共享还会出现。在注册表“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下,在右栏空白位置点击鼠标右键,选择“新建”,再选“字符串值”,名称中输入:“delipc$”,这里的名字可以随便取,然后双击它就会弹出一个窗口来,输入:“net share ipc$/del”,下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN$。
4.锁住注册表。Windows 2000提供了一个叫Regedt32.exe的工具,它也是一个注册表编辑器。与Regedit.exe不同的是它有一个“安全”选项,可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权,例如设置成只有Administrator才能读取和修改,不给其他人可乘之机。
在服务安全设置方面
1.关闭不必要的端口。可惜Windows 2000并不支持关闭端口的选项,我们只好选用第三方工具,关闭一些关键端口,比如Telnet等。
2.设置好安全记录的访问。Windows 2000*作系统自带了审核工具,默认不开启。如果一旦开启了审核策略,用户可以在事件日志里查看安全日志,里面会有详细的审核记录,审核通常为成功和失败两种。不过,建议平时不要常开安全审核,因为审核量很大,通常一个错误的密码输入就可以在日志中记录一页多的条目,非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在“开始”菜单的“运行”中输入“Eventvwr.msc”查看安全日志,就可以看到审核的消息。注:具体如何实现请参见微软知识库文章“Microsoft Knowledge Base Article - (网址是:http://support.microsoft.com。
3.把敏感文件存放在另外的文件服务器中。出于对性能和安全的双重考虑,建议有条件的用户将域控制器与Web服务器、数据库服务器等其他重要服务器分开,即不要用同一台服务器运行多种服务。同时,一定要进行及时、有效的备份,最好有一个详尽的备份计划。
注册表是Windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
恶意网站往往通过修改注册表来破坏我们的系统,甚至禁用注册表,也就是通过修改注册表 来给注册表自身加锁,当注册表被锁定以后,我们也可以在系统中解除锁定。
一、单击“开始”-“运行”,输入“gpedit.msc”,打开组策略编辑器。
二、在“组策略编辑器”对话框中,选择“‘本地计算机’策略”-“用户配置”-“管理模块”-“系统”。
三、在“系统”右边对应的选项列表中,选择“阻止访问注册表编辑工具”。
四、右键单击“阻止访问注册表编辑工具”,选择“属性”。
五、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已启用”,单击“确定”按钮。锁定注册表编辑器。
六、在弹出的“阻止访问注册表编辑工具属性”对话框中,将默认设置“未配置”改为“已禁用”,单击“确定”按钮。解除锁定注册表编辑器。 http://tech.163.com/SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。从上图可看到,服务器接收到连接请求(syn=j),将此信息加入未连接队列,并发送请求包给客户(syn=k,ack=j+1),此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,重发请求包,一直到超时,才将此条目从未连接队列删除。配合IP欺骗,SYN攻击能达到很好的效果,通常,客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送syn包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统运行缓慢,严重者引起网络堵塞甚至系统瘫痪。
为防范SYN攻击,win2000系统的tcp/ip协议栈内嵌了SynAttackProtect机制,Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。默认情况下,Win2000操作系统并不支持SynAttackProtect保护机制,需要在注册表以下位置增加SynAttackProtect键值:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
当SynAttackProtect值(如无特别说明,本文提到的注册表键值都为十六进制)为0或不设置时,系统不受SynAttackProtect保护。
当SynAttackProtect值为2时,系统通过减少重传次数和延迟未连接时路由缓冲项(route cache entry)防范SYN攻击。
修改注册表,防止SYN攻击
一、单击“开始”——“运行”输入“regedit”,单击“确定”按钮,打开注册表。
二、找到注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect。
三、点击右键修改 SynAttackProtec t键值的属性。
三、在弹出的“编辑DWORD值”对话框数值数据栏中输入“2”
四、单击“确定”,继续在注册表中添加下列键值,防范SYN洪水攻击。
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0 http://tech.163.com/默认安装WINDOWS系统的情况下,所有的硬盘都是隐藏共享,据说是为了管理方便,把系统安装分区自动进行共享,这样可以在网络中访问你的资源,不过这些默认共享的目录是只有系统管理员才能够在网络中查看的,因为在在共享名后边加上了美元号($),除非别人知道这个共享,否则他是找不着的。虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
修改注册表防范IPC$攻击:
一、单击“开始”——“运行”,输入“regedit”单击“确定”按钮,打开注册表。
二、防范IPC$攻击,查找注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的“RestrictAnonymous”项。
三、单击右键,选择“修改”。
四、在弹出的“编辑DWORD值”对话框中数值数据框中添入“1”,将“RestrictAnonymous”项设置为“1”,这样就可以禁止IPC$的连接,单击“确定”按钮。
修改注册表关闭默认共享
一、对于c$、d$和admin$等类型的默认共享则需要在注册表中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项。在该项的右边空白处,单击右键选择新建DWORD值。
二、添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。
注:如果系统为Windows 2000 Server或Windows 2003,则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows 2000 PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。 http://tech.163.com/【简
介】
作为用户来说,可采用必要的安全设置来解决问题,而使用密码来保护系统则是首要的。下面介绍Windows XP中如何进行密码的保护,和一些使用方法。
目前使用Windows XP的用户越来越多。由于开发者微软公司(Microsoft)在Windows操作系统和浏览器上留下了大量的安全漏洞,使得袭击个人电脑成为一件异常容易的事情。即便是你安装了Windows XP最新的补丁程序Service Pack 2,你的个人电脑仍难免会受到侵袭。如何才能保障系统的安全呢?作为用户来说,可采用必要的安全设置来解决问题,而使用密码来保护系统则是首要的。下面介绍Windows XP中如何进行密码的保护,和一些使用方法。
1、如何设置可靠的密码
如何才能设置一个可靠的密码呢?其实在Win XP系统中通过本地安全设置就可以完成。在“开始”→“运行”窗口中输入“secpol.msc”并回车就可以打开“本地安全设置窗口”。或者通过“控制面板”→“管理工具”→“本地安全策略”来打开这个设置界面。在“本地安全设置”窗口的左侧展开“账户策略”→“密码策略”,在右边窗格中就会出现一系列的密码设置项(如图1),经过这里的配置,就可以建立一个完备的密码策略,使密码得到最大限度的保护。在设置项中时,首先要启用“密码必须符合复杂性要求”策略,然后设置“密码最短存留期”,最后开启“强制密码历史”。设置好后,在“控制面板”中重新设置管理员的密码,这时的密码不仅是安全的(不低于6位且包含不同类别的字符),而且以后修改密码时也不易出现与以前重复的情况。
2、密码提示不可忽视
由于工作繁忙或其它什么原因,当我们忘记了自己的密码时,虽说可以找到管理员来修改用户的密码,但有这样做是很麻烦的!其实在Windows XP中是允许用户创建一个提示的,以便在用户忘记密码的时候能够获得一些线索。打开“控制面板”,单击或双击“用户账户”图标(如图2),接下来的步骤需要根据您系统的设置来进行。
如果您是系统管理员,选择您的账户名后,点击“更改我的密码”或“创建密码”链接(如果您没有设置密码如图3),输入您的当前密码(如果已经设置)、新密码以及密码提示。即使您只是想添加密码提示信息,仍然需要在顶端文本框中输入当前的密码。不过,设置密码提示时还要注意: 你要确保密码提示在不暴露密码的同时,可以帮助您清楚地回忆起密码,因为所有人都能够看到您的密码提示。当您完成以上的操作后,点击“更改密码”或“创建密码”按钮。这样,当再次出现登录时忘记密码的情况,点击密码提示右边的“?”号按钮就可以看到您设定的密码提示了。
如果密码提示没有起作用的话,Windows还提供了另外一种解决方法。打开控制面板,单击或双击“用户账户”图标(根据您的系统的设置)。如果您是系统管理员,点击您的账户名,并且在“用户账户”对话框的左边“相关任务”栏中,找到“阻止一个已忘记的密码”链接。点击这一链接,打开“忘记密码向导”对话框,这一向导将创建一个“密码重设盘”,使您能够在忘记密码时使用此盘创建一个新的密码。 如果您的计算机已经登录到网络域中,注销后重新登录到本机(此方法只适用于Windows登录密码,不适用于域用户密码)。按住“Ctrl+Alt+Delete”组合键,然后点击“更改密码”按钮,最后,点击“备份”按钮启动“忘记密码向导”。 这一向导同时对您提出警告,因为“密码重设盘”的创建,含有一定的危险性,任何人都可以使用这一张“密码重设盘”来登录Windows XP,都可以以该用户的名义进入用户帐户,并操作真正用户所能操作的一切。鉴于这一提示,当您点击“完成”按钮创建完成密码重设盘后,应该将此盘放在一个适当的地方,以防丢失或失泄密。不过这种方法也有一个缺点,就是需要软盘,并且要求在设密码时建立密码重设盘,对于没有软驱的机器就没办法了。
3、重设帐户密码
即使您忘记了Windows登录密码,并且没有创建密码重设盘,也不是完全没有可能来解决这个问题的。如果您的计算有一个系统管理员账户,您可以使用此账户登录Windows并为其他账户重设密码。首先,打开控制面板,单击或双击“用户账户”图标(根据您的系统的设置),选择忘记密码的账户名并点击“重设密码”和“更改密码”(选项名称视您是否连接到域而定)。根据提示输入2次新的密码,然后点击“确定”。(注意:“重设密码”按钮对于登录到域环境的用户有可能无效,这一操作只适用于修改Windows登录密码,不适用于修改域登录密码。)重设Windows密码可能会导致登录站点和网络连接的密码丢失,但是至少您不会因为忘记密码而无法进行任何操作了。
4、确保可信的登陆界面
将您的计算机设置成登录Windows之前必须按“Ctrl+Alt+Delete”组合键,是为了保护计算机免受某些特洛伊木马的攻击。一些特洛伊木马程序可以模仿Windows登录界面,欺骗用户输入用户名和密码。使用“Ctrl+Alt+Delete”组合键可以确保您看到的是真实可信的Windows登录界面。为了使连接到域中计算机的这一设置有效,您需要使用管理员身份登录,在控制面板中打开“用户账户”图标,选择“高级”选项卡,在“安全登录”项目中,选中“要求用户按Ctrl+Alt+Delete”复选框,然后点击“确定”按钮。
5、组合键锁定计算机
在离开办公桌的时候,为确保计算机的安全,需要锁定您的计算机,这样只有输入密码才能够再次使用。如果您的计算机已经登录到域中,只需按下“Ctrl+Alt+Delete”组合键,然后点击“锁定计算机”按钮即可。当您返回后,再次按下“Ctrl+Alt+Delete”组合键,输入密码即可。如果是在没有登录域的情况下,按下“+L”组合键,无需关闭所有应用程序即回到登录界面。当您返回时,选择您的账户名并输入相应密码即可。 6、设定锁定快捷方式
如果在使用电脑的过程中,有急事需要短暂离开电脑的话,很多人都知道可以通过使用CTRL+ALT+DEL组合键或屏幕保护程序来达到锁定屏幕的目的。如果觉得有些复杂的话,我们还可以简单通过鼠标双击桌面的快捷方式或通过在“开始”菜单中选择某一选项的方法来锁定计算机。参照如下的过程:打开您希望放置这一快捷方式的文件夹,在文件夹中单击右键,选择“新建”*“快捷方式”。在弹出的“创建快捷方式”对话框中,输入“rundll32.exe user32.dll,LockWorkStation”(在‘.exe’后有一个空格),然后点击“下一步”按钮,输入快捷方式的名字,点击“完成”按钮就可以。如果您不喜欢这种快捷方式的图标,要改变一下也很容易,右键单击该图标,选择“属性”选项,在“属性”对话框的“快捷方式”选项卡中点击“更改图标”按钮,然后点击“浏览”按钮,在列表中选择一个喜欢的图标文件,并连续单击2次“确定”按钮即为该快捷方式分配新的图标了。怎么样?是不是很方便啊! 7、后备选项锁定
有时候我们需要暂时离开计算机,但经常又会忘记了锁定系统——怎么办呢?其实解决这个问题很简单,可以设定在屏幕保护、系统挂起或是休眠的情况下自动锁定系统。这些设置在默认情况下是激活的,您可以再检查一下。右键单击桌面,选择“属性”选项,在“显示属性”对话框的“屏幕保护程序”选项卡中,选择一个屏幕保护程序(如果需要)。确认等待的时间设定并选中“在恢复时显示欢迎屏幕”或“在恢复时使用密码保护”复选项。打开控制面板,如果您使用的是“分类视图”模式,点击“性能和维护”链接。然后,单击或双击“电源管理”(视系统设置而定),进入“电源选项属性”对话框,在“高级”选项卡中选中“在计算机从待机状态恢复时,提示输入密码”复选框(如图5),点击“确定”按钮即可。这一切都简单明了,根本不用懂什么注册表,也不用使用什么复杂的软件,你说简单不简单?
|
