【文章內(nèi)容簡介】 ，往往都是源于用戶知識的不足而引起。（2）系統(tǒng)的缺陷它與安全相關(guān)程序內(nèi)部所固有的缺陷，入侵者利用它可以輕松獲得對系統(tǒng)或數(shù)據(jù)的非法訪問。第三章 個人計算機(jī)安全配置及防范本章從多方面描述了個人計算機(jī)安全配置及防范，主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。目的在于為用戶提供信息的保密，認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)，數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞（1）使用正版可靠安裝盤，來防止病毒的侵入。（2）將系統(tǒng)安裝在NTFS分區(qū)上，進(jìn)行文件系統(tǒng)安全設(shè)置。（3）系統(tǒng)和數(shù)據(jù)要分開存放在不同的磁盤上，最少建立兩個分區(qū)，一個系統(tǒng)分區(qū)，一個應(yīng)用程序分區(qū)。（4）安裝其它的服務(wù)和應(yīng)用程序補(bǔ)丁（5）在安裝其它程序之后，重新應(yīng)用安全補(bǔ)丁 系統(tǒng)用戶帳號用戶帳號一方面為每個用戶設(shè)置相應(yīng)的密碼、隸屬的組、保存?zhèn)€人文件夾及系統(tǒng)設(shè)置；另一方面將每個用戶的程序、數(shù)據(jù)等互相隔離，在不關(guān)閉計算機(jī)的情況下，不同用戶可以互相訪問資源。對于一個剛安裝完的系統(tǒng)，如果沒有設(shè)置我們都是以administration這個超級管理員用戶登錄的，此用戶對計算機(jī)有完全的操作權(quán)限，因此如果我們以此用戶登錄個人計算機(jī)如果中了木馬病毒等，對計算機(jī)和個人信息安全會造成嚴(yán)重的損害，因此我們要設(shè)置一個常用用戶賬號并對其加密，超級管理員也要加密，并且密碼設(shè)置的盡量復(fù)雜。 加強(qiáng)密碼安全及設(shè)置密碼規(guī)則（1）選擇較長的口令，大多數(shù)系統(tǒng)都接受長字符串的口令?？诹钤介L， 要猜出或試出它所有的可能組合就越難。（2）口令最好選用字母和數(shù)字等字符的多種組合方式，避免口令字符單一化。（3）最好不要單純使用自己的名字、生日、電話號碼和簡單英語單詞， 因為這些都是容易被別人猜到的信息。（4）經(jīng)常更換口令，如一個月?lián)Q一次，避免一個口令在長期使用的過程 中被人破譯獲取。 系統(tǒng)的安全配置 系統(tǒng)安全設(shè)置 (1)用戶管理 刪除所有不需要的賬號，禁用所有暫時不用的賬號。一定要禁用“guest”用戶。重命名系統(tǒng)默認(rèn)的管理員“Administrator”，然后再創(chuàng)建一個名為“Administrator”的用戶，并分配給這個新用戶一個復(fù)雜無比的口令，最后不讓它屬于任何組。 （2）使用NTFS文件系統(tǒng) FAT32無法提供用戶所需的針對于本地的單個文件與目錄的權(quán)限設(shè)置。NTFS格式是服務(wù)器必須的，使用FAT32文件系統(tǒng)沒有安全性可言。 （3）不讓系統(tǒng)顯示上次登錄的用戶名 通過修改“管理工具”中的“本地安全策略”的相應(yīng)選項或修改系統(tǒng)注冊表來實現(xiàn)。 增強(qiáng)操作系統(tǒng)的安全，除了啟用強(qiáng)壯的密碼外，操作系統(tǒng)本身有賬戶的安全策略。賬戶策略包含密碼策略和賬戶鎖定策略。在密碼策略中，設(shè)置增加密碼復(fù)雜度，提高暴力破解的難度，曾強(qiáng)安全性。圖31 本地安全配置配置步驟：依次選擇“運(yùn)行”→“本地安全策略”→“賬戶策略”→“密碼策略”。如圖31所示。（1）強(qiáng)制密碼歷史。Windows Server 2003 SP1中“強(qiáng)制密碼歷史”設(shè)置的默認(rèn)值最多為24個密碼。要增強(qiáng)此策略設(shè)置的有效性，也可以配置“密碼最短使用期限”設(shè)置以便密碼無法被立即更改。（2）密碼最短使用期限“密碼最短使用期限”設(shè)置的值范圍介于0~999天；0允許更改密碼。此策略設(shè)置的默認(rèn)值為1天。（3）密碼最長使用期限。此策略設(shè)置的值范圍為1~999天。設(shè)置配置為0，意味著密碼永不過期。此設(shè)置的默認(rèn)值為42天。定期的更改密碼有助于防止密碼遭破壞。如圖32所示圖32 密碼期限（4）密碼必須符合復(fù)雜性要求。如果啟用該策略，如圖43所示。則密碼必須符合一下最低要求。不得明顯包含用戶賬戶名或用戶全名的一部分。長度至少為6個字符。包含來自以下4個類別中的3個字符：英文大、小寫字母，10個基本數(shù)字（0~9）。非字母字符（例如，！、￥、%......）。圖33 密碼復(fù)雜性策略審核介紹審核跟蹤計算機(jī)上用戶和操作系統(tǒng)的活動。審核項包括執(zhí)行的操作‘執(zhí)行改操作的用戶、事件的成功或失敗。審核策略定義了Windows 2003會記錄的安全事件的類型。設(shè)置審核策略來跟蹤事件成功還是失敗，將非授權(quán)使用資源的風(fēng)險消除或降到最低，維持記錄用戶或管理員的活動。打開安全審核為了審核與安全性有關(guān)的事件，Windows 的安全審計功能在默認(rèn)安裝時是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀態(tài)，有利于系統(tǒng)的入侵檢測。你可以從日志中了解到機(jī)器是否在被人蠻力攻擊、非法的文件訪問等。如果系統(tǒng)管理員將審核策略更改為不再審核失敗的登錄嘗試，那么將顯示這一事件。設(shè)置“本地安全策略”中“本地策略”的“審核策略”，建議如圖34所示配置： 圖34 審核策略設(shè)置審核策略 使用組策略下的本地策略，為個人計算機(jī)配置安全設(shè)置，創(chuàng)建一個組策略對象為個人計算機(jī)配置安全設(shè)置。如圖35所示：圖35 組策略安全設(shè)置 Windows注冊表分析與維護(hù)利用Windows注冊表不僅可以幫組用戶、網(wǎng)絡(luò)管理人員提高工作效率，同時也大大加強(qiáng)Windows操作系統(tǒng)的安全性。它包含五個方面的信息：PC全班硬件設(shè)置、軟件設(shè)置、當(dāng)前配置、動態(tài)狀態(tài)和用戶特定設(shè)置等內(nèi)容。注冊表的概述注冊表是Windows系統(tǒng)存儲關(guān)于計算機(jī)配置信息的數(shù)據(jù)庫，包括了系統(tǒng)運(yùn)行時需要調(diào)用運(yùn)行方式的設(shè)置。Windows注冊表包括的項目有：每個用戶的配置文件、計算機(jī)上安裝的程序和每個程序可以創(chuàng)建的文檔類型、文件夾和程序圖標(biāo)的屬性設(shè)置、系統(tǒng)中的硬件、正在使用的端口等。注冊表按層次結(jié)構(gòu)來組織，由項、子項、配置單元和值項組成。單擊“開始”菜單中的“運(yùn)行”命令，在打開的對話框中輸入“regedit”，回車后即可打開注冊表編輯器，如圖36所示；在注冊表編輯器中可以修改、新建或刪除注冊表項，也可以導(dǎo)入和導(dǎo)出注冊表項。圖36 注冊表編輯器注冊表的內(nèi)部結(jié)構(gòu)注冊表是Windows的一個內(nèi)部數(shù)據(jù)庫，是一個巨大的樹狀分層的數(shù)據(jù)庫。它記錄了用戶安裝在機(jī)器上的軟件和每個程序的相互關(guān)聯(lián)關(guān)系；它包含了計算機(jī)的硬件配置，包括自動配置的即插即用的設(shè)備和已有的各種設(shè)備。，內(nèi)部組織結(jié)構(gòu)是一個類似于目錄管理的樹狀分層的結(jié)構(gòu)包括：根鍵、子建、鍵值名稱及鍵值數(shù)據(jù)。注冊表的日常維護(hù)注冊表被破壞后系統(tǒng)會有出現(xiàn)無法啟動，無法關(guān)機(jī)；無法運(yùn)行合法的應(yīng)用程序。破壞注冊表的原因：（1）向系統(tǒng)中添加應(yīng)用程序和驅(qū)動程序。（2）硬件被更換或被損壞。（3）用戶手工修改注冊表。注冊表的備份與恢復(fù)（1）使用regedit備份/恢復(fù)注冊表注冊表的備份運(yùn)行“regedit”，打開“注冊表編輯器”窗口。打開“注冊表”→“導(dǎo)出注冊表文件”菜單命令，彈出“導(dǎo)出注冊表文件”對話框。如圖37所示，選擇注冊表備份文件的保存路徑、名稱以及保存全部還是只保存注冊表的某個分支。根據(jù)需要設(shè)置好后，單擊“保存”按鈕完成注冊表的備份。圖37導(dǎo)出注冊表文件注冊表的恢復(fù)打開“注冊表編輯器”后，運(yùn)行“注冊表”→“導(dǎo)出注冊表文件”，彈出的“引入注冊表文件”對話框。找到已經(jīng)導(dǎo)出的注冊表備份文件，單擊“打開”按鈕即完成注冊表的恢復(fù)，恢復(fù)完成后單擊“確定”按鈕并重啟計算機(jī)。（2）利用注冊表編輯器恢復(fù)用引導(dǎo)盤啟動計算機(jī)，進(jìn)入Windows目錄，在該目錄下鍵入“regedit/C*.reg”，其中*reg為備份的注冊表文件名，然后重新啟動計算機(jī)使新的注冊表生效。 以下是一些可能被攻擊的端口，一般情況下，應(yīng)該要把這些端口屏蔽掉。（1）23端口。若這個端口開著非常的危險，這個端口主要用做TELNET登錄。Telnet服務(wù)給我們的最直接的感受就是它可以使得我們忘掉電腦與電腦之間的距離。利用23端口的Telnet我們可以