如何利用本地安全策略保障系统安全

系统 Windows
本文介绍了如何利用本地安全策略保障系统安全,其中包括加固系统账户、指派本地用户权利、活用IP策略、加强密码安全等内容。

本地安全策略对于系统管理员来说是至关重要的,下面就介绍了如何利用windows本地安全策略保障来保障我们系统的安全。

Windows XP系统自带的“本地安全策略”是一个很不错的系统安全管理工具,利用好它可以使我们的系统更安全。

首先,我们就来说一下如何启动“本地安全策略”。单击“控制面板”|“管理工具”|“本地安全策略”后,会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。

接下来我们来探讨一下“本地安全策略” 的妙用。

加固系统账户

1.禁止枚举账号

我们知道,某些具有黑客行为的蠕虫病毒可以通过扫描Windows 2000/XP系统的指定端口,然后通过共享会话猜测管理员系统口令。因此,我们需要通过在“本地安全策略”中设置禁止枚举账号,从而抵御此类入侵行为,操作步骤如下:

在“本地安全策略”左侧列表的“安全设置”目录树中,逐层展开“本地策略”|“安全选项”。查看右侧的相关策略列表,在此找到“网络访问:不允许SAM账户和共享的匿名枚举”(图1),用鼠标右键单击,在弹出菜单中选择“属性”,而后会弹出一个对话框,在此激活“已启用”选项,最后点击“应用”按钮使设置生效。


如何利用本地安全策略保障系统安全

2.账户管理

为了防止入侵者利用漏洞登录机器,我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为:在“本地策略”|“安全选项”分支中,找到“账户:来宾账户状态”策略,点右键弹出菜单中选择“属性”,而后在弹出的属性对话框中设置其状态为“已停用”,最后“确定”退出。

下面,我们再查看“账户:重命名系统管理员账户”这项策略,调出其属性对话框,在其中的文本框中可自定义账户名称(图2)。

如何利用本地安全策略保障系统安全

指派本地用户权利

如果你是系统管理员身份,可以指派特定权利给组账户或单个用户账户。在“安全设置”中,定位于“本地策略”|“用户权利指派”,而后在其右侧的设置视图中,可针对其下的各项策略分别进行安全设置(图3)。

如何利用本地安全策略保障系统安全

例如,若是希望允许某用户获得系统中任何可得到的对象的所有权:包括注册表项、进程和线程以及NTFS文件和文件夹对象等(该策略的默认设置仅为管理员)。首先应找到列表中“取得文件或其他对象的所有权”策略,用鼠标右键单击,在弹出菜单中选择“属性”,在此点击“添加用户或组”按钮,在弹出对话框中输入对象名称,并确认操作即可。

活用IP策略

我们知道,无论是哪一种黑客程序,大多都是通过端口作为通道。

因此,我们需要关闭那些可能成为入侵通道的端口。你可以上网查询一下相关危险端口的资料,以做到有备而战。下面我们以Telnet利用的23端口为例来加以说明(笔者的操作系统为Windows XP)。

首先单击“运行”在框中输入“mmc”后回车,弹出“控制台1”的窗口。我们依次选择“文件”|“添加/删除管理单元”|“在独立标签栏中点击‘添加’”|“IP安全策略管理”,最后按提示完成操作。这时,我们已把“IP安全策略,在本地计算机”(以下简称“IP安全策略”)添加到“控制台根节点”下(图4)。

如何利用本地安全策略保障系统安全

现在双击“IP安全策略”就可以新建一个管理规则。右击“IP安全策略”,在弹出的快捷菜单中选择“创建IP安全策略”,打开IP安全策略向导,点击“下一步”|“名称默认为‘新IP安全策略’”|“下一步”|“不必选择‘激活默认响应规则’”,注意:在点击“下一步的同时,需要确认此时“编辑属性”被选中,然后选择“完成,出现“新IP安全策略属性”窗口(图5),选择“添加”,然后一直点击“下一步”,不必选择“使用添加向导”选项。

如何利用本地安全策略保障系统安全

在寻址栏的源地址应选择“任何IP地址”,目标地址选择“我的IP地址”(不必选择镜像)。在协议标签栏中,注意类型应为TCP,并设置IP协议端口从任意端口到此端口23,最后点击“确定”即可。这时在“IP筛选器列表”中会出现一个“新IP筛选器”,选中它,切换到“筛选器操作”标签栏,依次点击“添加”|“名称默认为‘新筛选器操作’”|“添加”|“阻止”|“完成”。

新策略需要被激活才能起作用,具体方法是:在“新IP安全策略”上点右键,选择“指派”刚才制定的策略。

现在,当我们从另一台电脑Telnet到设防的这一台时,系统会报告登录失败;用扫描工具扫描这台机子,会发现23端口仍然在提供服务。以同样的方法,大家可以把其他任何可疑的端口都封杀掉,让不速之客们大叫“不妙”去吧。

加强密码安全

在“安全设置”中,先定位于“账户策略”|“密码策略”,在其右侧设置视图中,可酌情进行相应的设置,以使我们的系统密码相对安全,不易破解。防破解的一个重要手段就是定期更新密码,大家可据此进行如下设置:鼠标右键单击“密码最长存留期”,在弹出菜单中选择“属性”,在弹出的对话框中,大家可自定义一个密码设置后能够使用的时间长短(限定于1至999之间)。

此外,通过“本地安全设置”,还可以进行通过设置“审核对象访问”,跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。诸如此类的安全设置,不一而足。大家在实际应用中会逐渐发觉“本地安全设置”的确是一个不可或缺的系统安全工具。

妙用“本地安全策略” ,让操作系统更安全。希望本文能够对读者有所帮助。

【编辑推荐】

  1. ProFTPD服务器安全策略
  2. Windows 2003内置安全策略的制定
  3. Windows XP安全策略的八方面应用
  4. Windows7 RC中很有用处的安全策略
  5. Windows Server安全策略与组策略之间的关系
责任编辑:韩亚珊 来源: 中关村在线
相关推荐

2009-02-10 09:55:00

2009-04-10 01:52:57

2011-03-29 10:17:38

2011-08-31 14:39:04

Win7资源管理器

2015-03-04 11:10:16

2017-02-07 09:28:29

云安全策略云计算

2011-03-23 10:58:52

2019-08-19 11:26:47

2012-10-26 11:29:33

2011-08-04 15:38:25

UAC本地安全策略

2009-10-27 08:59:48

2012-11-09 10:55:44

2014-04-21 10:24:06

2020-02-02 09:23:44

软件安全渗透测试信息安全

2009-11-06 10:07:45

2015-01-13 09:08:54

内容安全策略CSP

2015-09-02 10:21:55

2012-01-13 10:32:40

ibmdw

2011-10-13 12:42:18

2013-12-10 13:26:51

移动安全MDM
点赞
收藏

51CTO技术栈公众号