1、4.2 實例Windows系統安全配置Windows操作系統安全配置包括：賬號安全管理、網絡安全管理、IE瀏覽器安全配置、注冊表安全、Windows組策略、Windows權限管理和Windows安全審計等方面。 賬號安全管理1重命名和禁用默認的賬戶安裝好Windows XP Professional后，系統會自動建立兩個賬戶：Administrator和Guest。在Windows XP Professional中，右鍵單擊桌面上“我的電腦”圖標，選擇“管理”菜單項，打開“計算機管理”窗口，如圖4.1所示。在左邊列表中找到并展開“本地用戶和組”，單擊“用戶”，可以看到系統中的賬戶。1. 圖4.

2、1 “計算機管理”窗口（1）Administrator賬戶。Administrator（管理員）賬戶擁有計算機的最高管理權限，每一臺計算機至少需要一個擁有管理員權限賬戶，但不一定必須使用Administrator這個名稱。黑客入侵計算機系統的常用手段之一就是試圖獲得管理員賬戶的密碼。如果系統的管理員賬戶的名稱沒有修改，那么黑客將輕易得知管理員賬戶的名稱，接下來就是尋找密碼了。比較安全的做法是對系統的管理員賬戶的名稱進行修改，這樣，如果黑客要得到計算機系統的管理員權限，需要同時猜測賬戶的名稱和密碼，增加了黑客入侵的難度。（2）Guest賬戶。在Windows XP Professional中，G

3、uest賬戶即所謂的來賓賬戶，只有基本的權限并且默認是禁用的。如果不需要Guest賬戶，一定禁用它，因為Guest也為黑客入侵提供了方便。禁用Guest賬戶的方法是，在圖4.1右邊窗口中，雙擊Guest賬戶，在彈出的“Guest屬性”對話框中選中“賬戶已停用”。注意：在Windows XP Home中，不允許停用Guest賬戶，那么一定要為Guest賬戶設置復雜的密碼。不要忘記為所有賬戶設置足夠復雜的密碼。2可靠的密碼（1）密碼策略。盡管絕對安全的密碼是不存在的，但是相對安全的密碼還是可以實現的。在開始菜單中打開“運行”對話框，輸入“secpol.msc”打開“本地安全設置”窗口，如圖4.2所

4、示，展開“賬戶策略”，單擊“密碼策略”，右側有6項關于密碼的設置策略，通過這些策略的配置，就可以建立完備密碼策略，這樣密碼就可以得到最大限度的保護。關于這6個策略的說明見表4.2。2. 圖4.2 “本地安全設置”窗口（2）操作系統的登錄密碼。Windows XP的登錄密碼存放在系統的C:WINDOWSsystem32config下的sam文件中，sam文件就是存放賬號和密碼的數據庫文件。當登錄系統時，系統會自動和sam進行比較，如果發現此賬號和密碼與sam文件中的加密數據符合，用戶就會順利登錄，如果錯誤則無法登錄。注意：為了保障密碼安全性，用戶應該過一段時間就要更改自己的密碼。（3）給賬戶雙重

5、加密。雖然為賬戶設置了復雜的密碼，但密碼總有被破解的可能。此時可以為賬戶設置雙重加密。在開始菜單中打開“運行”對話框，輸入“syskey”打開“保證Windows XP賬戶數據庫的安全”對話框，如圖4.3所示，選中“啟用加密”，單擊“確定”按鈕，這樣程序就對賬戶完成了雙重加密，不過這個加密過程對用戶來說是透明的。注意：該項操作是不可逆，一旦啟用加密則不可以禁用。如果想更進一步體驗這種雙重加密功能，那么可以在圖4.3中單擊“更新”按鈕，打開“啟動密碼”對話框，如圖4.4所示，這里有“密碼啟動”和“系統產生的密碼”兩個選項。 3. 圖4.3 保證Windows XP賬戶數據庫的安全 圖4.4 啟動

6、密碼如果選擇“密碼啟動”，那么需要自己設置一個密碼，這樣在登錄Windows XP之前需要先輸入這個密碼，然后才能選擇登錄的賬戶。如果選擇“系統產生的密碼”，那么又有兩個選項，系統的默認選項是“在本機上保存啟動密碼”，如果選擇該選項，那么程序僅在后臺完成加密過程，在用戶登錄時不要求輸入任何密碼，因為密碼就保存在計算機的內部。如果對安全要求很高，那么可以選擇“在軟盤上保存啟動密碼”，單擊“確定”按鈕之后會提示在軟驅里放入一張軟盤，創建完畢后會在軟盤上生成一個StartKey.Key文件，以后每次啟動系統時必須放入該軟盤才能登錄，此時相當于系統有了一張可以隨身攜帶的鑰匙盤。注意：如果選擇“在軟盤上

7、保存啟動密碼”，則建議創建一張備用盤。3最小特權原則最小特權原則是系統安全中最基本的原則之一。最小特權：指的是在完成某種操作時所賦予網絡中每個主體（用戶或進程）必不可少的特權。最小特權原則：是指應限定網絡中每個主體所必需的最小特權，確保可能的事故、錯誤、網絡部件的篡改等原因造成的損失最小。最小特權原則一方面給予主體“必不可少”的特權，這就保證了所有的主體都能在所賦予的特權之下完成所需要完成的任務或操作；另一方面，它只給予主體“必不可少”的特權，這就限制了每個主體所能進行的操作。最小特權原則有效地限制、分割了用戶對數據資料進行訪問時的權限，降低了非法用戶或非法操作可能給系統及數據帶來的損失，對于

8、系統安全具有至關重要的作用。但目前大多數系統的管理員對于最小特權原則的認識還不夠深入。尤其是對于Windows系列操作系統，因為系統所賦予用戶的默認權限是最高的權限，例如Windows下的目錄和文件的默認權限是Everyone均具有完全的權限，而Administrator則有對整個系統的完全控制。如果系統的管理員不對此進行修改，則系統的安全性將非常薄弱。當然，最小特權原則只是系統安全的原則之一，如縱深防御原則、特權分離原則、強制存取控制等。如果要使系統達到相當高的安全性，還需要其他原則的配合使用。4.2.2 網絡安全管理隨著計算機網絡的應用向縱深普及，網絡的安全問題也日益突出，網絡入侵事件頻繁

9、發生，由于計算機網絡系統的開放性，因此網絡入侵具有以下特點。（1）沒有時間地域的限制，跨越國界攻擊就如同在現場進行攻擊一樣方便。（2）通過網絡的攻擊往往混雜在大量正常的網絡活動之中，隱蔽性強，并且入侵手段越來越復雜。下面將介紹通過對系統的配置來增強網絡方面的安全性。1先關閉不需要的端口第1步：在桌面右鍵單擊“網上鄰居”，選擇“屬性”，打開“網絡連接”窗口，然后右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”對話框，然后在“常規”選項卡里雙擊“Internet協議（TCP/IP）”，彈出“Internet協議（TCP/IP）屬性”對話框，單擊下面的“高級”按鈕，彈出“高級TCP/IP設置

10、”對話框，選擇“選項”選項卡，如圖4.5所示。再單擊“屬性”按鈕，彈出“TCP/IP篩選”對話框，如圖4.6所示。第2步：在圖4.6中，選中“只允許”單選框，分別添加TCP、UDP和IP等網絡協議允許的端口，如果沒有提供其他網絡服務，那么可以屏蔽掉所有的端口，這樣大大增強了系統的安全性。注意：設置完端口后需要重新啟動計算機。 4. 圖4.5 “高級TCP/IP設置”對話框 圖4.6 “TCP/IP篩選”對話框2關閉不需要的服務相關服務及其功能見表4.3。把不必要的服務都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全原則和標準來說，多余的東西就沒必要開啟，減少一份隱患。3禁止NetBIO

11、S默認情況下，為了建立網絡連接，Windows會安裝很多協議和運行很多服務，其中一些協議和服務都不是必需的，例如NetBIOS、文件和打印機共享等，而“最小的服務最小的權限最大的安全”這個等式是永遠成立的，因此我們有必要關掉不需要的服務，卸載不需要的協議，來增強我們的系統安全。第1步：在桌面右鍵單擊“網上鄰居”，選擇“屬性”，打開“網絡連接”窗口，然后右鍵單擊“本地連接”，選擇“屬性”，打開“本地連接屬性”對話框，如果不需要共享文件和打印機，那么在“常規”選項卡里將“Microsoft Windows網絡的文件和打印機共享”卸載。第2步：雙擊“Internet協議（TCP/IP）”，彈出“In

12、ternet協議（TCP/IP）屬性”對話框，單擊下面的“高級”按鈕，彈出“高級TCP/IP設置”對話框，選擇“WINS”選項卡，如圖4.7所示，取消“啟用LMHOSTS查詢（L）”，然后選擇“禁用TCP/IP上的NetBIOS”。第3步：在開始菜單中打開“運行”對話框，輸入“services.msc”打開“服務”窗口，找到TCP/IP NetBIOS Helper這個服務，停止這個服務，并設置啟動類型為手動或禁止。第4步：重新啟動計算機。4禁止遠程協助Windows XP上的“遠程協助”功能允許用戶在使用計算機發生困難時，向MSN上的好友發出遠程協助邀請，來幫助自己解決問題。而這個“遠程協助

13、”功能正是“沖擊波”病毒所要攻擊的RPC（Remote Procedure Call，遠程過程調用）服務在Windows XP上的表現形式。建議用戶禁用該功能。禁止“遠程協助”功能的方法是：在桌面右鍵單擊“我的電腦”，選擇“屬性”，打開“系統屬性”對話框，如圖4.8所示，在“遠程”選項卡里取消“允許從這臺計算機發送遠程協助邀請”。 5. 圖4.7 “高級TCP/IP設置”對話框 圖4.8 “系統屬性”對話框5終端服務用戶利用“終端服務”可以對遠程計算機系統實現遠程控制。在Windows XP系統下，“終端服務”默認是被打開的，即如果有人知道該計算機上的一個賬號以及計算機的IP地址，那么他就有可

14、能控制該計算機。有兩種辦法解決“終端服務”的安全問題。（1）禁用“終端服務”。在圖4.8中，在“遠程”選項卡里取消“允許用戶遠程連接到此計算機（C）”。（2）更改“終端服務”監聽端口，如圖4.9所示，在注冊表編輯器中，按照HKEY_ LOCAL_MACHINESYSTEMCurrent ControlSetControlTerminalServerWinStations RDP-Tcp路徑找到“PortNumber”=dword:00002683，將端口值更改為5858（讀者可以任意指定，最好是1024以上的不常用端口），重新啟動計算機后更改生效。6. 圖4.9 更改“終端服務”監聽端口注意：

15、“終端服務”和“遠程協助”是有區別的，雖然都是實現遠程控制，但是“終端服務”更注重用戶的登錄管理權限，它的每次連接都需要當前系統的一個具體賬號，獨立于當前計算機用戶的邀請，可以獨立、自由登錄遠程計算機。6防范IPC默認共享Windows XP在默認安裝后允許任何用戶通過空用戶連接（IPC$）得到系統所有賬號和共享列表，這本來是為局域網用戶共享資源和文件提供方便，但是任何一個遠程用戶也可以利用這個空連接得到用戶列表。黑客利用該功能，得到系統的用戶列表，然后使用一些字典攻擊工具，對系統進行攻擊，這就是網上比較流行的IPC攻擊。要防范IPC攻擊，可以通過修改注冊表禁止空用戶連接。第1步：將HKEY_

16、LOCAL_MACHINESYSTEMCurrentControlSetControlLSA的RestrictAnonymous項設置為1，如圖4.10所示。7. 圖4.10 禁止空用戶連接第2步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanman Server Parameters的AutoShareServer項設置為0，如圖4.11所示。8. 圖4.11 設置AutoShareServer和AutoShareWks第3步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLan

17、man Server Parameters的AutoShareWks項設置為0，如圖4.11所示。另外，也可永久關閉IPC$和默認共享所依賴的服務：lanmanserver（server）。在開始菜單中打開“運行”對話框，輸入“services.msc”打開“服務”窗口，找到server這個服務，停止這個服務，并且設置啟動類型為手動或禁止。7IP安全策略利用操作系統的策略功能，通過新建IP安全策略來關閉計算機中的危險端口，據此可以防范病毒和木馬的入侵與蔓延，新建IP安全策略的步驟如下。第1步：依次選擇“開始”“設置”“控制面板”“性能和維護”“管理工具”菜單命令，雙擊“本地安全策略”圖標，打開

18、“本地安全設置”窗口，如圖4.12所示，選中“IP安全策略，在本地計算機”，然后在右邊窗格的空白處右鍵單擊鼠標，再右鍵菜單選擇“創建IP安全策略”，彈出“IP安全策略向導”對話框，如圖4.13所示，單擊“下一步”按鈕，如圖4.14所示。 9. 圖4.12 本地安全設置 圖4.13 “IP安全策略向導”對話框第2步：在圖4.14中，為新的安全策略命名，單擊“下一步”按鈕，如圖4.15所示。顯示“安全通信請求”對話框，取消“激活默認響應規則”，單擊“下一步”按鈕，如圖4.16所示。第3步：在圖4.16中，選中“編輯屬性”復選框，單擊“完成”按鈕，如圖4.17所示，顯示“example屬性”對話框，

19、將“使用添加向導”左邊的對鉤去掉，然后單擊“添加”按鈕，顯示“新規則屬性”對話框，如圖4.18所示。第4步：在圖4.18中，單擊“添加”按鈕，彈出“IP篩選器列表”對話框，如圖4.19所示，將“使用添加向導”左邊的對鉤去掉，然后單擊“添加”按鈕，彈出“篩選器屬性”對話框，如圖4.20所示。 10. 圖4.14 IP安全策略命名 圖4.15 安全通信請求 11. 圖4.16 完成IP安全策略向導 圖4.17 “example屬性”對話框 12. 圖4.18 “新規則屬性”對話框 圖4.19 “IP篩選器列表”對話框第5步：在圖4.20中，源地址選“任何IP地址”，目標地址選“我的IP地址”。第6

20、步：如圖4.21所示，選擇“協議”選項卡，在“選擇協議類型”下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“135”，單擊“確定”按鈕，這樣就添加了一個屏蔽TCP 135（RPC）端口的篩選器，它可以防止外界通過135端口連接本臺計算機。隨后單擊“確定”按鈕返回到“篩選器列表”對話框，如圖4.22所示，可以看到已經添加了一條策略。 13. 圖4.20 “篩選器 屬性”對話框尋址 圖4.21 “篩選器 屬性”對話框協議14. 圖4.22 “篩選器列表”對話框第7步：重復以上步驟繼續添加TCP 137、139、445端口和UDP 135、139、445端口，為它們建立相應的篩選器。重

21、復以上步驟添加TCP 1025、2745、3127、6129、3389等危險端口的屏蔽策略，建立好上述端口的篩選器，最后在圖4.22中單擊“確定”按鈕，返回“新規則屬性”對話框，如圖4.23所示（區別于圖4.18）。第8步：在圖4.23中，選擇“新IP篩選器列表”，然后單擊左邊圓圈，激活新IP篩選器，然后選擇“篩選器操作”選項卡，如圖4.24所示。第9步：在圖4.24中，將“使用添加向導”左邊的對鉤去掉，然后單擊“添加”按鈕，彈出“新篩選器操作屬性”對話框，如圖4.25所示，在“安全措施”選項卡中，選擇“阻止”單選按鈕，然后單擊“確定”按鈕，返回到“新規則 屬性”對話框，如圖4.26所示。 1

22、5. 圖4.23 “新規則 屬性”對話框 圖4.24 “篩選器 操作”選項卡 16. 圖4.25 “新篩選器操作 屬性”對話框 圖4.26 “新規則 屬性”對話框第10步：在圖4.26中，單擊“新篩選器操作”左邊圓圈，激活新篩選器操作，單擊“關閉”按鈕，返回“example屬性”對話框，如圖4.27所示。第11步：在圖4.27中，在“新IP篩選器列表”左邊打對鉤，然后單擊“關閉”按鈕，返回到“本地安全設置”窗口，如圖4.28所示。第12步：在圖4.28中，右鍵單擊新添加的IP安全策略“example”，然后選擇“指派”。完成上述端口設置，重新啟動電腦后，上述網絡端口就被關閉了，從而增強了計算機

23、的安全性。 17. 圖4.27 “example屬性”對話框 圖4.28 “本地安全設置”窗口4.2.3 IE瀏覽器Internet Explorer是非常流行的瀏覽器軟件，本節將以IE 7.0為準介紹如何安全使用IE瀏覽器。第1步：打開Internet Explorer，依次選擇“工具”“Internet選項”，打開“Internet選項-安全風險”對話框，如圖4.29所示，選擇“安全”選項卡。第2步：在圖4.29中，選擇“Internet”，就可以對Internet區域的一些安全選項進行設置了。雖然有不同級別的默認設置，但是最好根據實際情況調整一下。單擊“自定義級別”按鈕，出現“安全設置-

24、Internet區域”對話框，如圖4.30所示，其中是所有IE的安全設置。 18. 圖4.29 “安全”選項卡 圖4.30 “安全設置-Internet區域”對話框下面介紹圖4.30中主要的安全設置。 下載已簽名的ActiveX控件。經過第三方認證機構簽名，證明該ActiveX控件是安全的，并且可以設置為允許下載這種控件。 下載未簽名的ActiveX控件。與經過簽名認證的ActiveX控件相比，未經簽名認證的ActiveX控件可能會包含潛在的安全隱患，因此這個選項最好不要設置為啟用。如果設置為詢問，可以根據正在訪問的站點的性質由自己決定是否下載安裝未經認證的ActiveX控件。 運行Activ

25、eX控件和插件。假設已經禁止了所有ActiveX控件和插件的運行，那么這個選項就可以放心的設置為“管理員認可”。這個選項不建議設置為允許。 活動腳本。現在腳本程序非常流行，通過腳本程序可以建立很多實用的網頁，如果禁用腳本程序，一些網頁將不能正常瀏覽。這里建議設置為禁用，至于少數重要的但是不能正常瀏覽的網頁，將在后面介紹解決辦法。 Java小程序腳本。Javascript是一種公開的、多平臺、面向對象的腳本語言。很多網頁中都使用了Javascript腳本，但是安全起見最好禁用它。第3步：如果進行了IE的安全設置后，影響到少數必須要訪問的站點，但是為了安全又不想把Internet區域的安全級別設置

26、得太低，那么可以將一些信任的站點添加到“可信站點”中去。方法是：在圖4.29的Internet選項的“安全”選項卡中，單擊“可信站點”，然后單擊“站點”按鈕，出現如圖4.31所示的對話框，輸入希望添加的網址，然后單擊右側的“添加”按鈕。第4步：打開圖4.29中的“內容”選項卡，單擊自動完成的“設置”按鈕，出現如圖4.32所示的“自動完成設置”對話框，所列出來的每一項，自動完成功能都會保存特定的內容，其中有如下內容： Web地址。會保存在IE地址欄中輸入過的內容。 19. 圖4.31 添加可信站點 圖4.32 “自動完成設置”對話框 表單。會保存在網頁中填寫的資料，例如論壇上的發言（除用戶名和密

27、碼），搜索引擎中使用過的關鍵字。 表單上的用戶名和密碼。會保存登錄論壇或其他網頁時輸入的用戶名和密碼。 提示我保存密碼。當登錄一個網站或者論壇時都會輸入相應的賬號和密碼，然后會彈出“自動完成”對話框，提示：“是否讓Windows記住該密碼”，注意，出現這段提示時請用戶慎重選擇。雖然該功能在使用上非常方便，但是要根據具體環境進行不同的選擇，比如在使用公共計算機時，就不要讓計算機保存密碼，防止其他人利用用戶記錄在這臺計算機上登錄信息登錄用戶進入的論壇、網站，甚至進入用戶的個人郵箱等。有些用戶也許根本沒有注意就隨便單擊了“保存密碼”按鈕，等看清楚的時候，密碼已經保存到瀏覽器中了，而這些密碼信息被保存

28、到本地計算機中的Cookies文件中，只要把Cookies文件刪除就可以了。自動完成可以節省很多時間，但同時也帶來了很大的安全隱患。網絡安全起見，可以打開Internet Explorer，依次選擇“工具”“刪除瀏覽的歷史記錄”，打開“刪除瀏覽的歷史記錄”對話框，如圖4.33所示，在此刪除瀏覽的歷史記錄。第5步：打開圖4.29中的“高級”選項卡，如圖4.34所示，下面介紹圖4.34中主要的設置。 20. 圖4.33 刪除瀏覽的歷史記錄 圖4.34 “高級”選項卡 不將加密的頁面存盤。啟用了這個選項后，對于加密頁面（主要是URL以https打頭的）將不會保存到Internet臨時文件夾中。如果多

29、人共用同一臺計算機，這個選項是很有必要的，這樣別人就無法通過Internet臨時文件窺探到你訪問過的加密網頁了（如某些電子商務網站的信用卡付費頁面）。 檢查發行商的證書是否吊銷。如果選擇了這個選項，當訪問某些需要認證的站點時，IE會首先檢查給站點提供的證書是否依然有效。一般情況下，建議啟用該設置。 檢查服務器的證書吊銷。這個選項將會使IE檢查站點服務器的證書是否仍然有效，一般也應該啟用這個設置。 檢查下載的程序的簽名。如果啟用了這個設置，在下載了程序后IE會通過簽名自動檢查程序是否被非法改動過。一般應當啟用這個設置。 將提交的POST重定向到不允許發送的區域時發出警告。啟用這個設置后，在某些論

30、壇或類似論壇的地方提交的一些信息如果被發送到了其他的服務器上，IE就會發出警報提醒。所以安全起見該設置也應當啟用。 使用SSL 2.0、SSL 3.0和TLS 1.0。它們都與在Internet上通過協議加密數據有關。例如一些網站的身份認證和重要數據的傳輸，在這過程中都會用到SSL加密。因此最佳建議是這3個選項全部啟用。但是如果啟用后你訪問某些加密站點時出現錯誤，那么可以禁用除SSL 2.0之外的其他兩個協議，因為不同版本之間可能會有沖突，而SSL 2.0是被采用的最廣泛的，一般的加密站點都會支持。 在安全和非安全模式之間轉換時發出警告。當啟用這個設置之后，如果要從一個安全的網頁（可能是經過S

31、SL加密的）進入到一個不安全的網頁時，IE會發出警告提醒，以避免在不知情的情況下泄露一些私人的信息。 使用被動FTP（用于防火墻和DSL調制解調器兼容）。這個設置將會允許在使用IE瀏覽FTP服務器時使用被動模式，這種模式更加安全，因為服務器方無法獲得本地IP地址，如果不能正常訪問某些FTP服務器，就可以試試啟用或者禁用這個設置。第6步：打開圖4.34中的“常規”選項卡，單擊瀏覽歷史記錄的“設置”按鈕，如圖4.35所示，依據硬盤空間大小來設定臨時文件夾的容量大小。在上網的過程中IE會在系統盤內自動地把瀏覽過的圖片、Cookies等數據信息保留在Internet臨時文件夾內，目的是為了便于下次訪問

32、該網頁時迅速調用已保存在硬盤中的網頁文件，從而加快上網的速度。但是，上網的時間一長，Internet臨時文件夾的容量會越來越大，這樣將導致磁盤碎片的產生，影響系統的正常運行。因此，可以考慮改變Internet臨時文件的路徑，這樣既可以減輕系統的負擔，還可以在系統重裝后保留臨時文件。單擊圖4.35中的“移動文件夾”按鈕，選擇Internet臨時文件夾路徑。第7步：打開圖4.36中的“隱私”選項卡，通過滑桿來設置Cookie的隱私設置，從高到低依次為：阻止所有Cookie、高、中上、中、低、接受所有Cookie6個級別，默認級別為中。另外，要選中“打開彈出窗口阻止程序”。 21. 圖4.35 In

33、ternet臨時文件和歷史記錄設置 圖4.36 “隱私”選項卡第8步：注冊表中與IE相關的設置。 IE首頁網址，如圖4.37所示：HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page22. 圖4.37 IE首頁網址鍵值 HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain中的鍵值。4.2.4 注冊表注冊表是Windows的重要組成部分，它存放了Windows中所有應用程序和系統配置信息。在Windows功能和應用軟件被執行前，首先從注冊表中取出參數，根據這些

34、參數決定軟件的具體運行過程。注冊表也是黑客攻擊的主要對象之一。黑客通過對被攻擊方注冊表的的訪問獲取大量系統信息，甚至直接擊毀系統。注冊表中包含了有關計算機如何運行的信息。Windows將它的配置信息存儲在以樹狀格式組織的數據庫（注冊表）中。注冊表編輯器是用來查看和更改系統注冊表設置的高級工具，盡管可以用注冊表編輯器查看和修改注冊表，但通常不必這樣做，因為更改不正確可能會損壞系統。除非絕對必要，否則請不要編輯注冊表。由于注冊表項中值的改變會直接影響系統性能，不得隨意改變或刪除其他注冊表項。如果注冊表有錯誤，可能會導致計算機無法正常工作。能夠編輯和還原注冊表的高級用戶可以安全地使用注冊表編輯器執行

35、以下任務：清除重復項或刪除已被卸載或刪除的程序的項。要打開注冊表編輯器，請依次單擊“開始”“運行”命令，輸入regedit，然后單擊“確定”按鈕。如圖4.38所示，文件夾表示注冊表中的項，并顯示在注冊表編輯器窗口左側的定位區域中。在右側的主題區域中，則顯示項中的值項。雙擊值項時，將打開編輯對話框。23. 圖4.38 注冊表編輯器1注冊表編輯器項與數據類型注冊表編輯器的定位區域顯示文件夾，每個文件夾表示本地計算機上的一個預定義的項。訪問遠程計算機的注冊表時，只出現HKEY_USERS和HKEY_LOCAL_MACHINE兩個預定義項。注冊表編輯器項的說明見表4.4。表4.5列出當前由系統定義和使

36、用的數據類型。2維護注冊表安全性（1）給注冊表項指派權限。打開注冊表編輯器，右鍵單擊想要指派權限的項，選擇右鍵菜單中的“權限”，出現如圖4.39所示的對話框，給所選項指派訪問級別：如果要授予用戶讀取該項內容的權限，但不保存對文件的任何更改，對“讀取”選中“允許”復選框。如果要授予用戶打開、編輯所選項和獲得其所有權的權限，對“完全控制”選中“允許”復選框。如果要授予用戶對所選項的特別權限，請單擊“高級”。出現如圖4.40所示的“高級安全設置”對話框。 24. 圖4.39 指派訪問級別 圖4.40 高級安全設置如果要給子項指派權限，并希望指派給父項的可繼承權限能夠應用于子項，要選中圖4.40中“從

37、父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目（I）。”復選框。如果在向某個父項指派權限，并且希望其子項的所有現有權限被父項的可繼承權限代替，則請選中“用在此顯示的可以應用到子對象的項目替代所有子對象的權限項目”復選框。（2）給注冊表項指派特殊訪問。打開注冊表編輯器，右鍵單擊想要指派“特殊訪問權”的項，選擇右鍵菜單中的“權限”，出現如圖4.39所示的對話框，單擊“高級”按鈕，出現如圖4.40所示的“高級安全設置”對話框，再雙擊要為其指派特別訪問權的用戶或組，出現如圖4.41所示的“權限項目”對話框，在“權限”下，對每個要允許或拒絕的權限選中“允許”或“拒絕”復選框。（3）向

38、權限列表中添加用戶或組。打開注冊表編輯器，右鍵單擊想要更改其權限列表的項，選擇右鍵菜單中的“權限”，出現如圖4.39所示的對話框，單擊“添加”按鈕，出現如圖4.42所示的“選擇用戶或組”對話框，單擊用戶名或組名，再單擊“確定”按鈕。 25. 圖4.41 “權限項目”對話框 圖4.42 “選擇用戶或組”對話框（4）審核注冊表項的活動。打開注冊表編輯器，右鍵單擊想要審核的項，選擇右鍵菜單中的“權限”，出現如圖4.39所示的對話框，單擊“高級”按鈕，然后單擊“審核”選項卡，如圖4.43所示，雙擊組名或用戶名，出現如圖4.44所示“審核項目”對話框，在“訪問”下，選中或清除要審核或停止審核活動的“成功

39、”和“失敗”復選框，再單擊“確定”按鈕。 26. 圖4.43 “審核”選項卡 圖4.44 “審核項目”對話框注意：必須以管理員或Administrators組成員身份登錄才能完成該操作。如果計算機連接到網絡，網絡策略設置可能也會阻止你完成該操作。必須在指定要審核的事件之前首先添加用戶或組。審核操作明顯地降低計算機的速度。關于圖4.44中審核項的說明見表4.6。（5）取得注冊表項的所有權。打開注冊表編輯器，右鍵單擊想要取得其所有權的項，選擇右鍵菜單中的“權限”，出現如圖4.39所示的對話框，單擊“高級”按鈕，然后單擊“所有者”選項卡，然后在“將所有者更改為”下面，單擊新的所有者，再單擊“確定”按

40、鈕。3導入或導出注冊表項（1）將全部或部分注冊表導出到文本文件中。打開注冊表編輯器，單擊“文件”菜單上的“導出”命令。在“文件名”中，輸入注冊表文件的名稱。在“導出范圍”下，如果要備份整個注冊表，則單擊“全部”。如果只備份注冊表樹的某一分支，單擊“選定的分支”，然后輸入要導出的分支名稱，單擊“保存”按鈕。（2）導入部分或全部注冊表。打開注冊表編輯器，單擊“文件”菜單上的“導入”命令。查找要導入的文件，單擊選中該文件，再單擊“打開”按鈕。注意：在資源管理器中，雙擊擴展名為.reg的文件也可以將該文件導入到計算機的注冊表中。4解開被鎖注冊表案例：打開IE瀏覽器后發現默認主頁被修改了，此時考慮到進入

41、注冊表來修改相應鍵值，但是發現注冊表被鎖了，下面給出利用系統策略編輯器解開被鎖注冊表的方法。在開始菜單中打開“運行”對話框，輸入“gpedit.msc”打開“組策略”窗口，如圖4.45所示，然后，依次展開“用戶配置”“管理模板”“系統”，雙擊右側窗口中的“阻止訪問注冊表編輯工具”，在彈出的對話框中（圖4.46）選擇“已禁用”，單擊“確定”按鈕后即可為注冊表解鎖。 27. 圖4.45 “組策略”窗口 圖4.46 阻止訪問注冊表編輯工具4.2.5 Windows組策略組策略設置定義了系統管理員需要管理的用戶桌面環境的多種組件，例如，用戶可用的程序、用戶桌面上出現的程序以及“開始”菜單選項。組策略包

42、括影響用戶的“用戶配置”策略設置和影響計算機的“計算機配置”策略設置。如圖4.47所示，“計算機配置”是對整個計算機中的系統配置進行設置的，是對計算機中所有用戶的運行環境起作用；“用戶配置”則是對當前用戶的系統配置進行設置的，它僅對當前用戶起作用。下面介紹組策略與安全有關的一些設置。第1步：打開“組策略”窗口。在開始菜單中打開“運行”對話框，輸入“gpedit.msc”打開“組策略”窗口，如圖4.47所示。28. 圖4.47 “組策略”窗口第2步：隱藏電腦的驅動器。在圖4.47中，依次展開“用戶配置”“管理模板”“Windows組件”，然后單擊“Windows資源管理器”，雙擊右側窗口中的“隱

43、藏我的電腦中這些指定的驅動器”，在彈出的對話框中選擇“已啟用”，請從下拉列表上選擇一個驅動器或幾個驅動器。注意：這項策略刪除驅動器圖標。用戶仍可通過使用其他方式繼續訪問驅動器的內容，如通過在映射網絡驅動器對話框、運行對話框或命令窗口上輸入一個驅動器的目錄路徑。同時，此策略不會防止用戶使用程序訪問這些驅動器或其內容，也不會防止用戶使用“磁盤管理”管理單元查看并更改驅動器特性。第3步：防止訪問驅動器。在第2步隱藏電腦的驅動器后，發現我的電腦里指定的磁盤驅動器不見了，但在地址欄輸入盤符后，仍然可以訪問，為了解決該問題，在圖4.47中，雙擊右側窗口中的“防止從我的電腦訪問驅動器”，在彈出的對話框中選擇

44、“已啟用”，從下拉列表中選擇一個驅動器或幾個驅動器。如果你啟用了這項設置，用戶可以瀏覽在“我的電腦”或Windows資源管理器中所選擇的目錄結構，但是不能打開文件夾或訪問其中的內容。同時，他們也無法使用運行對話框或映射網絡驅動器對話框來查看在這些驅動器上的目錄。注意：如果沒有第2步，那么這些代表指定驅動器的圖標仍舊會出現在“我的電腦”中，但是如果用戶雙擊圖標，會彈出“限制”對話框，提示本次操作受限。不過這一設置不會防止用戶使用程序訪問本地和網絡驅動器。并且不防止他們使用磁盤管理單元查看和更改驅動器特性。第4步：隱藏文件夾選項。平時隱藏文件夾后，別人只需在文件夾選項里顯示所有文件，就可以看見了，

45、從Windows資源管理器菜單上刪除文件選項項目并且從控制面板上刪除文件夾選項項目。這樣做用戶就不能使用文件夾選項對話框。可以在組策略里刪除這個選項。在圖4.47中，雙擊右側窗口中的“從工具菜單刪除文件夾選項菜單”，在彈出的對話框中選擇“已啟用”。第5步：關閉縮略圖緩存。有時候在文件夾中瀏覽過圖片，以后雖然刪除了，但是縮略圖緩存可能會被其他人讀取。如果啟用該設置，縮略圖視圖將不被緩存。在圖4.47中，雙擊右側窗口中的“關閉縮略圖的緩存”，在彈出的對話框中選擇“已啟用”。第6步：關閉自動播放。一旦將媒體插入驅動器，自動運行就開始從驅動器中讀取。這會造成程序的設置文件和在音頻媒體上的音樂會立即開始

46、。在默認的情況下，自動運行在軟盤驅動器和網絡驅動器上禁用（但不在CD-ROM驅動器上禁用）。如果啟動這項設置，還可以在CD-ROM驅動器禁用自動運行或在所有驅動器上禁用自動運行。在圖4.48中，依次展開“用戶配置”“管理模板”，然后單擊“系統”，雙擊右側窗口中的“關閉自動播放”，在彈出的對話框中選擇“已啟用”，請從下拉列表上選擇一個驅動器或幾個驅動器。29. 圖4.48 “組策略”窗口注意：這個設置出現在“計算機配置”和“用戶配置”兩個文件夾中。如果兩個設置都配置，“計算機配置”中的設置比“用戶配置”中的設置優先。此設置不阻止自動播放音樂CD。組策略的功能非常強大，本節僅介紹了其中很少的一部分

47、功能，希望能夠起到拋磚引玉的作用。注意：為了防止其他用戶通過組策略來更改自己的設置，可以在C:WINDOWS System32下把gpedit.msc更名，比如改為groupedit.msc，以后在開始菜單中打開“運行”對話框，輸入“groupedit.msc”即可，不影響正常使用。4.2.6 Windows權限Windows NT/2000/XP/2003/Vista/2008提供了非常細致的權限控制項，能夠精確定制用戶對資源的訪問控制能力，大多數的權限從其名稱上就可以基本了解其所能實現的內容。權限是針對資源而言的，設置權限只能以資源為對象，比如“設置某個文件夾有哪些用戶可以擁有相應的權限”

48、，而不能以用戶為主，比如不能“設置某個用戶可以對哪些資源擁有權限”。這就意味著權限必須針對資源而言，脫離了資源去談權限毫無意義。利用權限可以控制資源被訪問的方式，如User組的成員對某個資源擁有“讀取”操作權限、Administrators組成員擁有“讀取寫入刪除”操作權限等。1與Windows權限密切相關的3個概念是：安全標識符、訪問控制列表和安全主體（1）安全標識符（Security Identifier，SID）。在Windows中，系統是通過SID對用戶進行識別的，而不是用戶名。SID可以應用于系統內的所有用戶、組、服務或計算機，因為SID是一個具有唯一性、絕對不會重復產生的數值，所以

49、，在刪除了一個賬戶ZTG后，再次創建這個ZTG賬戶時，前一個ZTG與后一個ZTG賬戶的SID是不相同的。這種設計使得賬戶的權限得到了最基礎的保護，杜絕盜用權限的情況。（2）訪問控制列表（Access Control List，ACL）。訪問控制列表是權限的核心技術。這是一個權限列表，用于定義特定用戶對某個資源的訪問權限，實際上這就是Windows對資源進行保護時所使用的一個標準。在訪問控制列表中，每一個用戶或用戶組都對應一組訪問控制項（Access Control Entry，ACE），在“組或用戶名稱”列表中選擇不同的用戶或組時，通過下方的權限列表設置項是不同的這一點就可以看出來。顯然，所有

50、用戶或用戶組的權限訪問設置都將會在這里被存儲下來，并允許隨時被有權限進行修改的用戶進行調整。（3）安全主體（Security Principal）。在Windows中，可以將用戶、用戶組、計算機或服務都看成是一個安全主體，每個安全主體都擁有相對應的賬戶名稱和SID。根據系統架構的不同，賬戶的管理方式也有所不同：本地賬戶被本地的SAM管理，域的賬戶則會被活動目錄進行管理等。一般來說，權限的指派過程實際上就是為某個資源指定安全主體（即用戶、用戶組等），使其可以擁有指定操作的過程。因為用戶組包括多個用戶，所以多數情況下，建議為資源指派權限時使用用戶組來完成，這樣可以統一管理。2權限管理的4項基本原則

51、在Windows中，針對權限的管理有4項基本原則，即拒絕優于允許原則、權限最小化原則、累加原則和權限繼承性原則。這4項基本原則對于權限的設置來說，將會起到非常重要的作用，下面介紹權限管理的4項基本原則。（1）拒絕優于允許原則。該原則是一條非常重要且基礎性的原則，它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權限沖突。例如：用戶ztg既屬于ztgs用戶組，也屬于guangs用戶組，當對guangs組中某個資源進行“寫入”權限的集中分配時，該組中ztg用戶將自動擁有“寫入”權限。但是ztg用戶在實際操作中卻無法執行寫入操作。原來，在ztgs組中同樣也對ztg用戶進行了針對這個資源的權限設置，

52、設置的權限是“拒絕寫入”。基于“拒絕優于允許”的原則，ztg在ztgs組中被“拒絕寫入”的權限將優先guangs組中被賦予的允許“寫入”權限。因此，在實際操作中，ztg用戶無法對這個資源進行寫入操作。（2）權限最小化原則。保持用戶最小的權限是非常有必要的。這條原則可以確保資源得到最大的安全保障。例如：系統中新建的受限用戶ztg在默認狀態下對DIRECT目錄沒有任何權限的，現在需要為ztg用戶賦予對DIRECT目錄有讀取的權限，那么就必須在DIRECT目錄的權限列表中為ztg用戶添加讀取權限。（3）權限繼承性原則。權限繼承性原則可以讓資源的權限設置變得更加簡單。假設現在有個DIRECT目錄，在這

53、個目錄中有DIRECT1、DIRECT2、DIRECT3等子目錄，現在需要對DIRECT目錄及其下的子目錄均設置ztg用戶有寫入權限。因為有繼承性原則，所以只需對DIRECT目錄設置ztg用戶有寫入權限，其下的所有子目錄將自動繼承這個權限的設置。（4）累加原則。這個原則比較好理解，假設現在ztg用戶既屬于ztgs用戶組，也屬于guangs用戶組，它在ztgs用戶組對DIRECT目錄的權限是讀取，在guangs用戶組中對DIRECT目錄的權限是寫入，那么根據累加原則，ztg用戶對DIRECT目錄的實際權限將會是讀取寫入。總之，拒絕優于允許原則是用于解決權限設置上沖突問題的；權限最小化原則是用于保

54、障資源安全的；權限繼承性原則是用于權限設置的自動化的；累加原則是讓權限的設置更加靈活多變。注意：Administrators組的全部成員都可以從其他用戶手中奪取其身份的權力。3文件與文件夾權限文件與文件夾依據是否被共享到網絡上，其權限可以分為NTFS權限與共享權限兩種，這兩種權限既可以單獨使用，也可以相輔使用。兩者之間既能夠相互制約，也可以相互補充。（1）NTFS權限。只要是在NTFS分區上的文件夾或文件，無論是否被共享，都具有此權限。此權限對于使用FAT16/FAT32分區上的文件與文件夾無效。NTFS權限有兩大要素：一是標準訪問權限；二是特別訪問權限。標準訪問權限將一些常用的系統權限選項比

55、較籠統地組成7組權限，分別是：完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入、特別的權限。在大多數情況下，標準訪問權限是可以滿足管理需要的，但對于權限管理要求嚴格的環境，往往就不能滿足要求了，比如只想賦予某用戶有建立文件夾的權限，而不賦予該用戶建立文件的權限；又比如只想賦予某用戶只能刪除當前目錄中的文件，卻不能刪除當前目錄中的子目錄的權限等，此時，就可以使用特別訪問權限了，特別訪問權限不再使用簡單的權限分組，可以實現更具體、全面、精確的權限設置。 設置標準訪問權限。以Windows 2003系統的NTFS分區中名為Inetpub的文件夾為例，可以按照如下方法進行操作。第1步：右鍵單擊Inetpub文件夾，在右鍵菜單中選擇“共享與安全”，顯示“Inetpub屬性”對話框，如圖4.49所示。第2步：在圖4.49中，選擇“安