11.2.4 关闭不必要的服务
11.2.5 关闭不必要的端口
• 关闭端口意味着减少功能，如果服务器安装在防火墙的后 面，被入侵的机会就会少一些，但是不可以认为高枕无忧 了。可以在操作系统里来限制端口的访问，如图11.7所示 为从操作系统TCP/IP里限制端口，只开放4个端口。关于 这一点，在前面网络后门与网络隐患一章中已经讲过了。
户组策略设置相应权限，并且经常检查系统的帐户，删除 已经不使用的帐户。 • 帐户很多是黑客们入侵系统的突破口，系统的帐户越多， 黑客们得到合法用户的权限可能性一般也就越大。 • 对于Windows NT/2000主机，如果系统帐户超过10个， 一般能找出一两个弱口令帐户，所以帐户数量不要大于10 个。这些不用的帐户可以去掉，如图11.2所示。
11.2.4 关闭不必要的服务
• 计算机里通常安装有了些不必要的服务，如果这些服务没 有用的话，最好能将这些服务关闭。例如：为了能够在远 程方便的管理服务器，很多机器的终端服务都是开着的， 如果开了，要确认已经正确的配置了终端服务。有些恶意 的程序也能以服务方式悄悄的运行服务器上的终端服务。 要留意服务器上开启的所有服务并每天检查。Windows 中可禁用的服务及其相关说明如表11.1所示。
11.2.1 保护帐号
11.2.1 保护帐号
11.2.2 设置安全的密码
• 好的密码对于一个网络是非常重要的，但是也是最容易被 忽略的。一些网络管理员创建帐号的时候往往用公司名， 计算机名，或者一些别的一猜就到的字符做用户名，然后 又把这些帐户的密码设置得比较简单，比如： “welcome”、“iloveyou”、“letmein”或者和用户名 相同的密码等。这样的帐户应该要求用户首此登陆的时候 更改成复杂的密码，还要注意经常更改密码。
ห้องสมุดไป่ตู้ 目录
• 第11章 Windows 操作系统安全 • 11.1 Windows 操作系统介绍 • 11.2 Windows 2000安全配置 • 11.3 安装Windows操作系统注
意事项 • 11.4 给操作系统打补丁
11.1 Windows 操作系统介绍
• Windows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界 面和完全相同的操作方法，使用户使用起来比较方便。与Windows 9X相比， Windows NT的网络功能更加强大并且安全。
第11章 Windows 操作系统安全
概述
Windows NT（New Technology）是微软 公司第一个真正意义上的网络操作系统，发展 经 过 NT3.0 、 NT40 、 NT5.0 （ Windows 2000 ） 和 NT6.0 （ Windows 2003 ） 、 Windows XP等众多版本，并逐步占据了广大 的中小网络操作系统的市场。但是在 Windows系统里面有一些安全配置，在默认 情况下是没有设置的，需要根据具体情况进行 设置。
11.2.1 保护帐号
11.2.1 保护帐号
• 3. 管理员帐号改名 • Windows 2000中的Administrator帐号是不能被停用的，
这意味着别人可以一遍又一边的尝试这个帐户的密码。把 Administrator帐户改名可以有效的防止这一点。 • 不要使用Admin之类的名字，改了等于没改，尽量把它伪 装成普通用户，比如改成：guestone。具体操作的时候 只要选中帐户名改名就可以了，如图11.3所示。
11.2.1 保护帐号
• 1. 保护guest帐号
•
可以将guest帐号关闭、停用或改名。如果必需要用guest帐号
的话，需将guest列入拒绝从“网络访问”名单中(如果没有共享文件
夹和打印机)，防止guest从网络访问计算机、关闭计算机以及查看日
志。如图11.1所示。
11.2.1 保护帐号
• 2. 限制用户数量 • 去掉所有的测试帐户、共享帐号和普通部门帐号等等。用
• 这里给好密码下了个定义：安全期内无法破解出来的密码 就是好密码，也就是说，如果得到了密码文档，必须花43 天或者更长的时间才能破解出来，密码策略是42天必须改 密码。
11.2.3 设置屏幕保护密码
• 设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。 注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费 系统资源，黑屏就可以了。将屏幕保护的选项“密码保护” 选中就可以了，并将等待时间设置为最短时间“1分钟”， 如图11.6所示。
11.2.1 保护帐号
11.2.1 保护帐号
• 4. 建陷阱帐号 • 陷阱帐号是创建一个名为“Administrator”的本地帐户，
把它的权限设置成最低，什么事也干不了的那种，并且加 上一个超过10位的超级复杂密码。 • 这样可以让那些企图入侵者忙上一段时间了，并且可以借 此发现它们的入侵企图。可以将该用户隶属的组修改成 Guests组。密码为大于32位的数字＋字符＋符号密码， 如图11.4所示。建立的陷阱帐号如图11.5所示。
• Windows NT系列操作系统具有以下三方面的优点。 • 1. 支持多种网络协议 • 由于在网络中可能存在多种客户机，如Windows 95/98、Apple
Macintosh、Unix、OS/2等等，而这些客户机可能使用了不同的网络协议， 如TCP/IP协议、IPX/SPX等。Windows NT系列操作支持几乎所有常见的 网络协议。 • 2. 内置Internet功能 • 随着Internet的流行和TCP/IP协议组的标准化，Windows NT内置了IIS （Internet Information Server），可以使网络管理员轻松的配置WWW 和FTP等服务。 • 3. 支持NTFS文件系统 • Windows 9X所使用的文件系统是FAT，在NT中内置同时支持FAT和NTFS 的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户 可以对NTFS系统中的任何文件、目录设置权限，这样当多用户同时访问系统 的时候，可以增加文件的安全性。