操作系统安全防范设置点滴

一斛酒

[这个贴子最后由一斛酒在 2004/01/25 07:54pm 第 1 次编辑]

黑客攻击、病毒侵袭，“冲击波”过后，又是“QQ尾巴”，微软的安全漏洞一个接一个……一时间，网络成了风雪飘摇的江湖，身在网中的剑客们，人人自危，不知如何自保。其实，要想修炼一身金钟罩，还要先看看自己是南派北派、少林还是武当，才能依法修炼。所以，先来看看你的操作系统安全不安全吧。

Windows 98是一款较老的系统，它也是Microsoft最著名的操作系统。以其对硬件强大的管理性和软件兼容性成为单机用户的首选操作系统。因为Windows 98在安装的时候支持非常规的“克隆”形式，也是局域网内客户机、办公用机和学生用机的常用系统。由于其自身能够支持的网络服务较少而相对安全。缺点是：稳定性不强，极易出现蓝屏死机。
由于Windows 98“先天”的安全性，用户可以稍微降低系统的防护程序。一般情况下做到以下三点即可。
1． 安装杀毒软件
防病毒产品是每一款系统都应该具备的安全保障，无论是国产的金山、江民，还是国外的熊猫、Norton都能够很好保护系统免受病毒袭击。但要注意及时升级病毒库，否则会对一些新病毒缺乏抵抗力。
2． 适当对系统升级和打补丁
Windows 98不像Windows 2000系统——Microsoft三天两头要求下载最新的漏洞补丁。Windows 98的用户自身也很少“Updata”升级的，虽然一些新补丁程序能够增强系统的稳定性，但不能改变“蓝屏”的老毛病。建议在Microsoft公布有重大隐患的安全漏洞时进行系统升级即可。
3． 禁止Ping命令探测系统
Ping是网络中常用的一个指令，它可以帮助用户了解网络的通讯状况，不过它也会泄漏回复Ping请求计算机的系统信息（如图1）。

注：TTL值为255时，系统为Windows 98；TTL值为128时，系统为Windows XP；TTL值为248时，系统为Linux。
不仅是Windows 98用户，Windows 2000/ XP用户都应该屏蔽掉Ping指令访问。网络防火墙都提供有禁止Ping命令的设置，以常用的“天网防火墙”为例，直接启用软件主界面里“IP规则”中的“防止别人用Ping命令探测”即可（如图2）。


相当于Windows 98系统的升级版，Windows Me稳定性稍强于Windows 98。

Windows 2000是一款把“专用的服务器Windows NT系统”同“个人操作系统”结合的系统。适用于服务器、客户机。优点是：稳定性强，一般不会出现“蓝屏”死机；Server版提供强大的网络功能，可以在上面实现大部分的网络服务；对应用软件的兼容性强于Windows NT。缺点是：漏洞太多，安全性不高，因提供较多的网络服务，成为黑客攻击的对象。

Windows XP保留了Windows 2000的稳定性，又融入了更多的个人用户操作特性，是除Windows 98系统外，个人用户使用较多的系统之一。优点是：软件兼容性好，其兼容性更优于Windows 2000；对硬件的支持比Windows 98更卓越，因为是新发布的系统，里面包含了更多新硬件的驱动程序；安全性较高，系统内部集成了网络防火墙；稳定性好，可以和Windows 2000媲美，一般不会出现“蓝屏”死机。缺点是：资源占有量大，对计算机的硬件要求较高。建议个人用户使用Windows XP操作系统。
Windows XP以其稳定性、强大的个人和网络功能为大家所推崇，而它的“NT内核”，让我们不得不加强安全防护。
1． 常规的安全防护
所谓“常规的安全防护”即施行同Windows 98一样的安装防病毒软件、升级系统、禁止Ping三种安全方式。要强调的是Windows XP和它的前辈Windows 2000一样，漏洞层出不穷，对于系统的升级不能像对Windows 98般马虎，除了要安装Microsoft针对“冲击波”的漏洞补丁外，建议将Windows XP升级为最新的Service Pack 1（升级后会提高资源占有，不过安全性、稳定性有所提高）。
2． 禁止远程协助，屏蔽闲置的端口
在Windows XP上有一项名为“远程协助”的功能，它允许用户在使用计算机发生困难时，向MSN上的好友发出远程协助邀请，来帮助自己解决问题。
而这个“远程协助”功能正是“冲击波”病毒所要攻击的RPC（Remote Procedure Call）服务在Windows XP上的表现形式。建议用户不要使用该功能，使用前也应该安装Microsoft提供的RPC漏洞工具和“冲击波”免疫程序。禁止“远程协助”的方法是：打开系统属性对话框（右键“我的电脑”、“属性”），在“远程”项里去掉“允许从这台计算机发送远程协助邀请”前面的“√”。
使用系统自带的“TCP/IP筛选服务”就能够限制端口。方法如下：在“网络连接”上单击右键，选择“属性”，打开“网络连接属性”对话框，在“常规”项里选中里面的“Internet协议（TCP/IP）”然后单击下面的[属性]按钮，在“Internet协议（TCP/IP）属性”窗口里，单击下面的[高级]按钮，在弹出的“高级TCP/IP设置”窗口里选择“选项”项，再单击下面的[属性]按钮，最后弹出“TCP/IP筛选”窗口，通过窗口里的“只允许”单选框，分别添加“TCP”、“UDP”、“IP”等网络协议允许的端口（如图3），未提供各种服务的情况，可以屏蔽掉所有的端口。这是最佳的安全防范形式。

3． 禁止终端服务远程控制
“终端服务”是Windows XP在Windows 2000系统（Windows 2000利用此服务实现远程的服务器托管）上遗留下来的一种服务形式。用户利用终端可以实现远程控制。“终端服务”和“远程协助”是有一定区别的，虽然都实现的是远程控制，终端服务更注重用户的登录管理权限，它的每次连接都需要当前系统的一个具体登录ID，且相互隔离，“终端服务”独立于当前计算机用户的邀请，可以独立、自由登录远程计算机。
在Windows XP系统下，“终端服务”是被默认打开的，（Windows 2000系统需要安装相应的组件，才可以开启和使用终端服务）也就是说，如果有人知道你计算机上的一个用户登录ID，并且知道计算机的IP，它就可以完全控制你的计算机。
在Windows XP系统里关闭“终端服务”的方法如下：右键选择“我的电脑”、“属性”，选择“远程”项，去掉“允许用户远程连接到这台计算机”前面的“√”即可。
4．关闭Messenger服务
Messenger服务是Microsoft集成在Windows XP系统里的一个通讯组件，它默认情况下也是被打开的。利用它发送信息时，只要知道对方的IP，然后输入文字，对方的桌面上就会弹出相应的文字信息窗口，且在未关闭掉Messenger服务的情况下强行接受。
很多用户不知道怎么关闭它，而饱受信息的骚扰。其实方法很简单，进入“控制面板”，选择“管理工具”，启动里面的“服务”项，然后在Messenger项上单击右键，选择“停止”即可（如图4）。

5． 防范IPC默认共享
Windows XP在默认安装后允许任何用户通过空用户连接（IPC＄）得到系统所有账号和共享列表，这本来是为了方便局域网用户共享资源和文件的，但是任何一个远程用户都可以利用这个空的连接得到你的用户列表。黑客就利用这项功能，查找系统的用户列表，并使用一些字典工具，对系统进行攻击。这就是网上较流行的IPC攻击。
要防范IPC攻击就应该从系统的默认配置下手，可以通过修改注册表弥补漏洞：
第一步：将HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous 项设置为“1”，就能禁止空用户连接。
第二步：打开注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\ LanmanServer\Parameters 项。
对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。
对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。
6． 合理管理Administrator
Windows 2000/XP系统，系统安装后都会默认创建一个Administrator用户，它拥有计算机的最高管理权限。而有的用户在安装时，根本没有给Administrator用户设置密码。黑客就利用这一点，使用高级用户登录对方计算机。因此，个人用户应该妥善保管“Administrator”用户信息，Windows 2000登录时，要求输入Administrator用户的登录密码，而Windows XP在正常启动后，是看不到Administrator用户的，建议使用Windows XP的用户进入安全模式，再在“控制面板”的“用户账户”项里为Administrator用户添加密码，或者将其删除掉，以免留下隐患。
针对个人操作系统的安全防护，笔者就介绍Windows 98与Windows XP两款，至于Windows 2000由于它有Professional和Server版本之分，两种版本的Windows 2000防护形式类似Windows XP与Windows 2003，这里就不分开来具体介绍了，下面来说说针对服务器使用的Windows 2003和Linux系统。

Windows 2003是Microsoft发布的最新一款服务器操作系统，内部集成的网络组件和服务多于Windows 2000，不过操作复杂（连“重启”时，系统都会询问重启的原因），不适合个人用户。虽然它是最新的服务器版操作系统，可以说是Windows XP的 Server版升级，但对于安全问题，同样不能疏忽。
1． 升级和打补丁
Windows 2003的是比较新的系统，还没有像Windows 2000的SP 4补丁程序，不过它的服务器组件仍是以IIS为核心，像“冲击波”等病毒同样能够伤害它，所以定期检查升级以及给服务器系统打补丁是非常必要的。
2． 利用“网络监视器”
“网络监视器”是从Windows 2000 Server就开始引入的一个监视网络通讯状况的服务器组件，它可以细致到监视一个数据包的具体内容，以供用户详细了解服务器的数据流动情况，使用“网络监视器”可以帮助网管查看网络故障，检测黑客攻击。
点击Windows Server 2003的桌面[开始]→[程序]→[管理工具]中的“网络监视器”（运行网络监视器之前必须确保网络监视器已经安装，在默认情况下网络监视器作为2003的组件没有被安装，需要在“控制面板”的“添加/删除 Windows 组件”中添加“网络监视器”），来启动“网络监视器”。
进入监视器的主菜单后，点击工具栏中的三角形（类似[Play]）按钮，就开始监视指定网卡的通信了。网络监视器提供了“网络利用率”、“每秒帧数”、“每秒字节数”、“每秒广播数”等网络通信监控功能（如图5），这些参数对于网络故障的排除和网络监控具有非常重要的作用。

其中，“网络利用率”是网络当前负载与最大理论负载量的比率。以使用共享式以太网为例，它的最大网络利用率不过在50%左右，如果超过这个数值，网络就饱和了，网络速度会非常慢；交换式以太网（采用交换机）的最大利用率则可达80%左右。“每秒广播数”是被监视的网卡发出和接收到的广播帧的数量，正常情况下，每秒广播帧数是比较少的，它视网络上的电脑数量而定；而在发生“广播风暴”时，每秒广播帧数非常多，高达1000帧/秒以上。
3． DHCP给客户机分配IP地址
使用动态DHCP IP分配功能，可以让你管理的局域网内的客户机使用动态IP，这是阻止局域网攻击的有效手段。
在个人和家用为主的Windows XP系统中Microsoft没有加入DHCP等网络组件，Windows Server 2003又重新加入了这一服务。使用方式如下：进入“控制面板”，打开“管理工具”里的“DHCP”网络服务，在DHCP窗口左边的树型结构里，选中当前服务器，在上面单击右键选择“新建作用域”（作用域是DHCP分配给客户机的IP地址范围）。
首先是输入“作用域名称”，该项只是为了提示使用者，可填任意内容。但是设置可分配的IP地址范围必须要按照网络规模规划IP地址，譬如有20台客户机，可输入起始IP三为“192.168.0.8”；结束为IP“192.168.0.28”。下面的子网掩码和长度都为默认的“255.255.255.0”和“24”（如图6）。

接下来是输入排除的IP，有时候，希望IP地址段中留出一个或者一部分专用，如分配给提供其他服务的服务器使用，则需要在“排除IP地址”里分别输入欲保留的单个IP地址或IP地址段，输入完成后点击[添加]，它允许输入多段排除的IP地址。也可以直接[下一步]来跳过“排除IP”向导。
使用了DHCP功能后，设定被分配IP的计算机时，使用其默认设置即可，IP和DNS都选定为“自动获得”，如果以前指定了IP和其他网络设置地址都应该重新设定为“自动获得”以免引起网络地址冲突错误。
在Windows XP适用的安全办法在Windows 2003上同样适用，毕竟它们出自同一个内核。
开放的Linux

Linux的源代码公开，用户可以根据自己需要修改系统核心。安全性也优于Windows系列操作系统，至少Linux上的病毒很少见。不过它操作复杂，习惯Windows的用户，对Linux不易上手。除服务器使用外，个人用户使用较少。
Linux作为自由、开放的象征，越来越受到广大用户的关注，但真正使用的个人用户较少，主要是因为它的系统特性，及周边的软件开发商较少，让它只在服务器系统领域有所普及。它的安全防护，下面只稍做介绍：
1． 禁止访问重要文件
Linux不像Windows，它不但公布源代码，其核心程序还可以根据用户需要任意修改，而对于系统中的某些关键性文件如inetd.conf和lilo.conf等，同样可以被（远程登录用户）修改，为了保护系统安全，可以事先修改其属性，以防止非法的入侵和修改。
首先进入Linux的命令界面，输入指令：
　　# chmod 600 /etc/inetd.conf
改变文件属性为600。
再输入指令：
　　# chattr +i /etc/inetd.conf
保证文件的属主为root 。
这样，对该文件的任何改变都将被禁止。只有再通过指令：
　　# chattr -i /etc/inetd.conf
root重新设置复位标志后才能进行修改。
2． 禁止远程访问
在Linux中可通过/etc/hosts.allow 和/etc/hosts.deny 这2个文件允许和禁止远程主机对本地服务的访问。方法是：进入Linux的命令界面，调出hosts.deny文件，加入以下指令：
　　# Deny access to everyone.
　　ALL: ALL@ALL
所有服务对所有外部主机禁止，除非由hosts.allow文件指明允许。
在hosts.allow 文件内，加入允许访问的主机方法如下：
调出hosts.allow文件，加入以下指令：
　　#Just an example:
　　http: 192.168.1.8 yanghao.com
意思是允许IP地址为192.168.18和主机名为yanghao.com的机器作为客户机访问http服务。
系统的安全防护方式，笔者就介绍到这里，不可能面面俱到。使用Windows XP及其他的“NT核心”系统的用户应该更注意安全问题，在使用XP时，最好将自带的防火墙打开（Microsoft在新发售的Windows XP中也将防火墙设置为默认打开）。任何系统的用户都应具备一定的安全知识，如：不轻易泄漏自己的网络和系统信息；不执行来历不明的程序等。安全的系统环境要靠自己打造。
若有不是之处，敬请指正。