信息安全概述.pptVIP

13.3.5 Windows XP安全防范 1.操作系统的漏洞 讨·算机操作系统是一个庞大的软件程序集合，由于其设计开发过程复杂，操作系统开发人员必然存在认知局限，使得操作系统发布后仍然存在弱点和缺陷的情况无法避免，即操作系统存在安全漏洞，它是计算机不安全的根本原因。 操作系统安全隐患一般分为两部分:一部分是由设计缺陷造成的，包括协议方面、网络服务方面、共享方面等的缺陷。另一部分则是由于使用不当导致，主要表现为系统咨源或用户账户权限设置不当。 Windows XP最有名的漏洞是RPC接口漏洞。RPC(远程过程调用)提供一种程序进程间的通信机制，使得可以在一台计算机上运行另外一台计算机上安装的程序，而不必把那个程序复制到本地来运行。大部分计算机操作系统都支持RPCo Windows的RPC在处理TCP/IP消息交换的部分时，存在处理异常格式消息报文的方式不正确的缺陷，为攻击者留下了漏洞。“冲击波”和“震荡波”病毒就是利用RPC的漏洞破坏系统的。 操作系统发布后，开发厂商会严密监视和搜集其软件的缺陷，并发布漏洞补丁程序来进行系统修复。例如，微软公司为Windows XP发布的漏洞补丁程序就有10余种，用于修补诸如RPC溢出、IE的URL错误地址分解、跨域安全模型、虚拟机安全检查不严密等漏洞。常 用的SP2打包补丁程序也起到了修补漏洞的功能。 第二十九页，共四十六页。 13.3.5 Windows XP安全防范 2.操作系统安全设置 安全设置是指计算机操作系统中一些与安全相关的设置，如用户权限设置、共享设置、安全属性设置等。 1)取消自动登录设置 在安装Windows时如果不经意选择了自动登录选项，则每当计算机系统启动时都不会要求用户输入用户名和密码，而是自动利用用户前次登录使用过的用户名和密码进行登录。这样，其他人就会很容易进入自己的计算机，这是不安全的。 2)修改超级管理员名称和密码 Windows安装时默认的超级管理员名称为Administrator，如果不更改，攻击者就会免除试探超级管理员名称，而直接重复尝试这个账户的密码(穷举)。因此，安装完操作系统后应该将Administrator更改为其他名称，并设置不少于16位的管理员密码。当然，最好不要使用Admin之类的名字，应尽量把它伪装成普通用户，比如改成Guestl等。 另外，具有系统管理员权限的用户过多对系统也是不安全的。具有系统管理员权限的用户最好不超过两个，创建一个一般权限的账号用来处理一些日常事务，另一个具有Administrator权限的用户只在必要的时候使用。可以让管理员使用“RUN AS”命令来执行一 些需要特权才能做的工作，以方便管理。 另外还可以创建一个名为“administrator”的本地账户，把它的权限设置为最低，并加上 一个超过10位的复杂密码;或者在它的login script中进行相关设置。 (3)进行账户设置 建立尽可能少的账户，多余的账号一律删除。多一个账户就多一份安全隐患。 Windows安装时会自动生成一个Guest账户，这是一个公开账户。默认情况下，Guest账户是不启用的。若起用该账户，应该给它加一个比较复杂的密码。 创建新账户时，账户密码最好是8位以上，应包括特殊符号、英文大小写字母，避免使用单词。要限制用户的权利，只给用户真正需要的权利，权限最小化原则是安全的重要保障。 (4)使用安全密码 一个安全的密码对于信息安全是非常重要的，但它是最容易被忽视的。很多管理员创建账号的时候往往用简单的用户名和密码，甚至使用默认的用户名以及简单的密码，这对系统安全来说是非常危险的。在设置密码时一定要遵循以下原则:密码的长度至少应是6位或6位以上，不要用生日、电话号码等简单数字或英文单词作为密码;尽量采用大小写字母混合、数字和字母混合。另外，保持口令安全还要做到:不要将密码写下来;不要将密码存于电脑文件中;不要在不同系统上使用同一口令;在输入口令时应确认身边无人;定期改变口令，至少6个月要改变一次。最后这点是十分重要的，定期地改变口令，会使计算机遭受黑客攻击的风险降低到一定限度之内。 第三十页，共四十六页。 13.3.5 Windows XP安全防范 (5)调整匿名访问的限制值 计算机的注册表中登记了控制匿名用户获取本机信息的级别设置，默认情况下注册表中的Restrict Anonymous被设置为。，匿名用户就可以通过网络获取本机的信息，包括用户名和 共享名等。这些信息可能被攻击者用于攻击，因此，将Restrict Anony~值调整到更高的1或2，可以防止攻击者窃取系统管理员账号和网络