windows安全与防范.docxVIP

Windows操作系统安全与防范一、设置安全强壮密码的原则　操作系统的密码(口令)十分重要，它是抵抗攻击的第一道防线，我们必须把密码安全作为安全策略的第一步。如果攻击者未能窃取到系统密码，那么他就不能很好地和系统进行交互信息，对系统所能采取的入侵的方法也就不多了。因此，必须设置安全强壮的密码。所有安全强壮的密码至少要有下列四方面内容的三种：　·大写字母　·小写字母　·数字　·非字母数字的字符，如标点符号等　安全的密码还要符合下列的规则　·不使用普通的名字或昵称　·不使用普通的个人信息，如生日日期　·密码里不含有重复的字母或数字　·至少使用八个字符 另外，应该还要求用户42天必须修改一次密码。　以下举例说明强壮密码的重要性：假设密码设置为6位(包括任意五个字母和一位数字或符号)，则其可能性将近有163亿种。不过这只是是理论估算，实际上密码比这有规律得多。例如，英文常用词条约5000条，从5000个词中任取一个字母与一个字符合成口令，仅有688万种可能性，在一台赛扬600(CPU主频)的计算机上每秒可运算10万次，则破解时间仅需1分钟！即使采用穷举方法，也只需9个小时；因此6位密码十分不可靠。而对于8位密码(包括七个字母和一位数字或符号)来说，若完全破解，则需要将近三年的时间。因此，密码不要用全部数字，不要用自己的中英文名，不要用字典上的词，一定要数字和字母交替夹杂，并最好加入@#$%!*?之类的字符。　二、如何强制使用安全强壮的密码　WindowsNT/2000系统在默认配置下允许任何字符或字符串作为密码，包括空格，这是相当不安全的，下面我们通过修改注册表使得用户设定的密码中必须同时包含字母和数字，从而增强系统的安全性。具体设置如下：　首先在“开始”“运行”菜单中输入regedit.exe程序，如下图：　然后进入主键：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies　新建Network子键(项)，　在右侧窗口中新建(右键选择“新建”)一个名为AlphanumPwds的双字节(操作系统的不同，出来的菜单可能有不同，Dword同样表示双字节)值，(右键选择”新建”)　数值为1即可。　(注：后面将会有大量操作注册表的描述，过程如上图大致类似，就不再采用图示。)注册表各项解释如下：名称：指某个值的标示名，比如上图的AlphanumPwds。　类型： 指该名称的数据类型，共有三种：REG_SZ字符串型，它的数据可以是字符串；REG_BINARY二进制数据类型，它的数据就只能是0和1的组合； REG_DWORD是双字节数据类型，它的数据可以是十六进制数据。　数据： 表示该值的内容。　我们还可以在密码策略中进行相关的设置。　在”控制面板” “管理工具” “本地安全策略” “帐户策略”中的”密码策略”，双击想要更改的项目，比如修改密码长度最小值：点确定就可以了。按照上面的步骤作如下设置： 密码复杂性要求 启用 密码长度最小值 8位强制密码历史 5次强制密码历史 42天　注：后两项会因操作系统的不同，设置名称等会不尽相同，但意义都一样。　最后，请重新启动计算机生效。　三、如何设置安全的帐号策略　对于WindowsNT系统而言，帐号策略的设置是通过域用户管理器来实施的，从用户　管理器的菜单中选择用户权限，可以设置密码使用时间，长度以及连续登录失败后的锁　定机制等。具体方法是：　在上面的本地安全策略编辑器里，打开”帐户策略”，配置如下图所示：　四、系统文件权限的分类　当要给文件设置权限的时候，要首先保证该分区格式为NTFS(WindowsNT的文件系　统)，当然你也可以使用文件分配表(FAT)格式，但是FAT文件系统没有对文件的　访问权限加以任何限制，FAT只在那些相对来讲对安全要求较低的情况下使用。在NTFS　文件系统中，可以使用权限对单个文件进行保护，并且可以把该权限应用到本地访问　和网络访问中。在NTFS文件系统上，可以对文件设置文件权限，对目录设置目录权限，　用于指定可以访问的组和用户以及允许的访问等级时。　如果实施了NTFS的文件系统格式，可通过系统的资源管理器直接来管理文件的安　全，设置目录或文件的权限。以regedit.exe文件为例，右键选择“属性”，　在“安全”标签里面选择不同组的名称，就可以更改配置他们对该文件的操作权限。　基于文件级的权限可以分配下面几种：读取(用户可以读取该文件的内容)，写入　(用户可以写入数据到该文件中)，读取及执行(用户可以执行该程序)，修改　(用户可以修改该文件内容，包括删除)，完全控制(以上所有权限都有)。因此，适　当地为不同权限的帐号分配相应的访问权限(在”允许”，”拒绝”栏分别打勾，)对于文件系统的安全是致关重