Windows操作系统安全配置

目标：学习《计算机网络安全》

操作系统安全配置是网络安全的基础之一。以Windows 10操作系统为基础，记录书中的Windows操作系统的一些相关安全配置。

操作系统概述

操作系统（OS：Operating System）是管理计算机硬件与软件资源的计算机程序，同时也是计算机系统的内核与基石。

操作系统需要处理如管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等基本事务。操作系统也提供一个让用户与系统交互的操作界面。操作系统的类型非常多样，不同机器安装的操作系统可从简单到复杂，可从移动电话的嵌入式系统到超级计算机的大型操作系统。许多操作系统制造者对它涵盖范畴的定义也不尽一致，例如有些操作系统集成了图形用户界面，而有些仅使用命令行界面，而将图形用户界面视为一种非必要的应用程序。典型的操作系统有如下几种。

1. Windows操作系统

Windows操作系统是一款由美国微软公司开发的窗口化操作系统。它采用了图形化操作模式。图形用户界面（GUI：Graphical User Interface，又称图形用户接口）是指采用图形方式显示的计算机操作用户界面，它比起从前的指令操作系统如DOS更为人性化。Windows操作系统是目前世界上使用最广泛的操作系统。微软公司还开发了一些适合服务器的操作系统，像Windows server 2019等。因为对计算机硬件性能的要求比较高，一般的台式机不会装此类操作系统。

2. UNIX操作系统 UNIX操作系统是1969年在贝尔实验室诞生的，最初在中小型计算机上应用。最早移植到80286微机上的UNIX系统，称为Xenix。Xenix系统的特点是短小精干，系统开销小，运行速度快。UNIX为用户提供了一个分时系统以控制计算机的活动和资源，并且提供一个交互、灵活的操作界面。UNIX被设计成为能够同时运行多进程，支持用户之间共享数据。同时，UNIX支持模块化结构，当你安装UNIX操作系统时，只需要安装工作需要的部分。例如，UNIX支持许多编程开发工具，但是如果你并不从事开发工作，你只需要安装最少的编译器。用户界面同样支持模块化原则，互不相关的命令能够通过管道相连接用于执行非常复杂的操作。UNIX有很多种，许多公司都有自己的版本。

3. Linux操作系统 Linux操作系统是目前全球最大的一个自由免费操作系统软件，其本身是一个功能可与UNIX和Windows媲美的操作系统，具有完备的网络功能。它的用法与UNIX非常相似，因此许多用户不再购买昂贵的UNIX，转而使用Linux等免费系统。 Linux操作系统最初由芬兰人Linus Torvalds开发，其源程序在Internet上公开发布，由此，引发了全球计算机爱好者的开发热情，许多人下载该源程序并按自己的意愿完善某一方面的功能，再发回网上。Linux也因此被雕琢成为一个全球最稳定的、最有发展前景的操作系统。曾经有人戏言：要是比尔·盖茨把Windows的源代码也做同样处理，现在Windows中残留的许多BUG早已不复存在，因为全世界的计算机爱好者都会成为Windows的义务测试和编程人员。

4. Mac OS操作系统 Mac OS操作系统是美国苹果计算机公司为它的Macintosh计算机设计的操作系统，该机型于1984年推出，在当时的PC还只是DOS枯燥的字符界面的时候，Mac率先采用了一些至今仍为人称道的技术，如GUI图形用户界面、多媒体应用、鼠标等。Macintosh计算机在出版、印刷、影视制作和教育等领域有着广泛的应用。Windows至今在很多方面还有Mac的影子。如图13-4所示为Mac OS操作系统界面。

5. Netware操作系统 Netware是NOVELL公司推出的网络操作系统。Netware最重要的特征是基于基本模块设计思想的开放式系统结构。Netware是一个开放的网络服务器平台，可以方便地对其进行扩充。Netware系统对不同的工作平台（如DOS、Macintosh等），不同的网络协议环境如TCP/IP以及各种工作站操作系统提供了一致的服务。该系统内可以增加自选的扩充服务（如替补备份、数据库、电子邮件以及记账等），这些服务可以取自Netware本身，也可取自第三方开发者。

典型的操作系统安全配置

刚安装的操作系统一般都是符合C2级安全级别的操作系统（关于操作系统的安全级别会在后面章节“网络信息安全风险评估”中讲到）。但是这些新安装的操作系统都存在不少漏洞或者配置问题，如果对这些漏洞或者配置问题不了解，不采取相应的措施，就会使操作系统完全暴露给入侵者，进而导致操作系统甚至整个计算机出安全问题。本节讲述一些典型的操作系统安全配置。

账户安全

操作系统的账户是进入操作系统的第一道大门，安全性非常重要。

1. 限制账户数量 去掉所有的测试账户、共享账户和普通部门账户等。经常检查系统的账户，删除已经不使用的账户。账户是黑客们入侵系统的突破口，系统的账户越多，黑客们得到合法用户的权限的可能性一般也就越大。对于Windows操作系统的主机来说，如果系统账户超过10个，一般能找出一两个弱口令账户，所以账户数量不要大于10个。

2. 保护管理员账户 管理员账户是计算机系统里最重要的账户，一旦被窃取，计算机将彻底无安全可言。这里介绍一些保护管理员账户的方法。

首先新建立一个名为“Administrator”的账户，输入一个超长的密码，至少20位以上，并且是数字、字母和符号的组合。这个密码只输入一次，也不用记住。生成了一个账户“Administrator@xxxx.xxx.cn”。设置这个账户的属性，这个账户是“标准”账户，而不是管理员账户。

通过以上这些操作，达到了如下目的：
（1）创建了一个“陷阱账户”——“Administrator@xxxx.xxx.cn”。它有超长的并且复杂的密码，但并不是管理员账户。这样黑客第一眼看到，还以为这个是管理员账户。他也很难破解这个有20多位复杂密码的账户。即使破解了，作用也不大，因为它只是一个一般的账户，而不是管理员账户。
（2）保护了真正的管理员账户“xx”。因为表面上看不出这个才是管理员账户。
（3）这里没有多余的账户，只有两个，降低了安全风险。

3. 给管理员账户设置一个安全的密码 好的密码对于一个账户来说是非常重要的，但也是最容易被忽略的。一些网络管理员创建账号的时候往往用公司名、计算机名，或者一些别的易猜到的字符作为用户名，然后又把这些账户的密码设置得比较简单，如“welcome”“iloveyou”“letmein”等或者和用户名相同的密码。这样的账户应该在首次登录的时候更改成复杂的密码，还要注意经常更改密码。

设置密码的时候最好要大于8位，并且是数字、字母、符号组合而成的。例如“iAlkiec928e$*@%KWid”就是一个好密码。

设置屏幕保护

设置屏幕保护是防止内部人员在未授权的情况下使用计算机。这样设置之后，当使用计算机的人在1min之内不使用计算机的时候，就会出现屏幕保护程序。重新使用计算机的时候，会显示登录界面，让使用者输入登录密码。

设置隐私权限

设置隐私包括以下个选项：
允许应用使用广告ID，以便基于你的应用使用情况投放你更感兴趣的广告（关闭该模式将会重置你的ID）。
允许网站通过访问我的语言列表来提供本地相关内容。
允许Windows跟踪应用启动，以改进开始和搜索结果。
在设置应用中为我显示建议的内容。
用户可以根据自己的喜好，来选择自己所需要的隐私保护选项。

更新与安全

“更新和安全”设置，可以进行相关的安全设置。

这时可以看到目前的Windows是不是最新的版本，以及上次检查更新的时间。对操作系统的更新是非常必要的，这样操作系统的很多漏洞就可以补上。 也可以选择“Windows安全选项” 在“Windows安全选项”的“保护区域”当中包括七个选项：病毒和威胁防护；账户保护；防火墙和网络保护；应用和浏览器控制；设备安全性；设备性能和运行状况；家庭选项。用户可以根据自己的意愿选择其中的安全选项进行设置。 也可以打开“Windows Defender安全中心”

关闭不必要的服务

计算机里通常安装了一些不必要的服务，最好能将这些服务关闭。例如，为了能够在远程方便地管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确地配置了终端服务。有些恶意的程序也能以服务方式悄悄地运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows中可禁用的服务及其相关说明如表

Windows中可禁用的服务

服务名	说明
Task scheduler	允许程序在指定时间运行
Routing and Remote Access	在局域网以及广域网环境中为企业提供路由服务
Remote Registry Service	允许远程注册表操作
Print Spooler	将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务
Distributed Link Tracking Client	当文件在网络域的NTFS卷中移动时发送通知
COM+ Event System	提供事件的自动发布到订阅COM组

打开“服务”的方法如下： 在控制面板里打开“管理工具”

Windows防火墙的使用

Win10系统里提供了强大的防火墙功能。下面以关闭特定端口443为例，介绍Win10关闭某个特定端口的方式。其实和Win7一样，都是通过新建防火墙的策略实现的。首先在控制面板里找到管理工具，再在管理工具里找到“高级安全Windows Defender防火墙”

单击“高级安全Windows Defender防火墙”,出现的界面，可以看到有“出站规则”和“入站规则”的选项。

这里对出站规则和入站规则都要进行设置。设置的方式相同, 单击“入站规则”选项，其中有一个是“新建规则...”，单击“新建规则...”，在出现的规则类型界面中，选择“端口”项，然后单击“下一步”按钮。选择规则应用于TCP，然后选择“特定本地端口”，填上“443”端口，单击“下一步”按钮，选择“阻止连接”，继续单击“下一步”按钮，直接单击“下一步”按钮即可，可填写新建规则的名称，也可以填写一些有关的描述。这些信息填写完成后，单击“完成”按钮就可以了。

关闭系统默认共享

操作系统的共享为用户带来了方便，也带来了很多麻烦，经常会有病毒通过共享进入计算机。Windows 2000/XP/2003/7/10版本的操作系统提供了默认共享功能，这些默认的共享都有“$”标志，意为隐含的，包括所有的逻辑盘（C$，D$，E$…）和系统目录Winnt或Windows（admin$），还有的带有IPC$共享。

查看这些共享的方法是同时按下Windows键和〈R〉键，在出现的运行界面当中输入“cmd”，按“确定”按钮后，出现界面。这是DOS操作界面。在界面当中输入命令“net share”，按〈Enter〉键后会出现计算机当中的所有共享。共享信息也可以在“控制面板”→“管理工具”→“计算机管理”当中查看。

因为操作系统的C盘、D盘等全是共享的，这就给黑客的入侵带来了很大的方便。“震荡波”病毒的传播方式之一就是扫描局域网内所有带共享的主机，然后将病毒上传到这些主机上。下面给大家介绍几种关闭操作系统共享的方法。

第1种方法：批处理法。

打开记事本，输入以下内容（记得每行最后要按〈Enter〉键）：

net share ipc$/delete
net share admin$/delete
net share c$/delete
net share d$/delete
net share e$/delete
……（有几个硬盘分区就写几行这样的命令）

将以上内容保存为NotShare.bat（注意后缀），然后把这个批处理文件拖到“程序”→“启动”项，这样每次开机就会运行它，也就是通过net命令关闭共享。如果哪一天需要开启某个或某些共享，只要重新编辑这个批处理文件即可（把相应的那个命令行删掉）。

第2种方法：注册表改键值法。

单击“开始”→“运行”，输入“regedit”并确定后，打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”项，双击右侧窗口中的“AutoShareServer”项，将键值由1改为0，这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项，可自己新建一个再改键值。然后还是在这一窗口下找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享。最后到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享。本方法必须重启计算机后才能生效，但一经改动就会永远停止共享。

第3种方法：停止服务法。

这种方法最简单，打开“控制面板”→“管理工具”→“计算机管理”窗口，单击展开左侧的“服务和应用程序”并选中其中的“服务”，此时右侧就列出了所有服务项目。共享服务对应的名称是“Server”（在进程中的名称为services）

用鼠标右击Server服务，在弹出的菜单中选择“停止”。 Server服务停止后的系统状态。这样，系统中所有的共享都会去掉了。

下载最新的补丁

下载操作系统和应用程序最新的安全补丁，可以利用一些工具如奇虎360安全卫士等。选择“系统修复”选项，再单击“开始扫描”，就开始扫描漏洞了，结果出来后单击“一键修复”即可。

安装Windows操作系统注意事项

安装一个安全的操作系统可以采用以下几步：
（1）拔掉网线。
（2）安装操作系统。
（3）插上网线。安装软件防火墙，如Norton防火墙、天网防火墙、瑞星防火墙等。
（4）安装防病毒软件，如Norton、瑞星、江民、金山、360杀毒软件等。
（5）安装防恶意软件的软件，如360安全卫士、瑞星卡卡、超级兔子等。
（6）对操作系统进行安全设置。
（7）插上网线。给操作系统打补丁，可以采用360安全卫士等软件来打补丁。
（8）更新防火墙、防病毒、防恶意软件，包括病毒库、恶意软件库等。
（9）安装Easyrecovery数据恢复软件。
（10）安装其他应用软件。

以前有人重新安装计算机后，计算机里总是有病毒。即使把计算机硬盘低级格式化了，重新安装操作系统后病毒还在。这主要是因为他在重新安装操作系统时，没有拔掉网线。刚安装的操作系统没有防护病毒功能，病毒在他安装杀病毒软件之前就已经通过网线进入系统了。所以在重新安装操作系统前，最好先拔掉网线。如果是笔记本电脑，需要在安装操作系统时，关闭无线网络。