【正文】 “ 設臵 ” 項及其 “ 狀態(tài) ” 。 ? 第 3步：在 “ 顯示內(nèi)容 ” 窗口中點擊 “ 添加 ” 按鈕，在“ 添加項目 ” 對話框中輸入允許用戶執(zhí)行的程序，點擊“ 確定 ” 按鈕即可。 ? 第 2步：右擊 “ 設臵 ” 項中的 “ 只運行許可的Windows應用程序 ” ，選擇屬性。 圖 CDROM配臵 （ 6） 配臵只允許用戶執(zhí)行的程序 ? 在 Windows 2023系統(tǒng)中，可對用戶設臵可以執(zhí)行的程序，這樣用戶就只能執(zhí)行配臵中所規(guī)定的程序，從而增強系統(tǒng)的安全性。在出現(xiàn)的窗口中點選 “ 已啟用 ” ，再點擊 “ 應用 ”→“ 確定 ” 按鈕，該項策略已啟用，如圖 ?？梢圆捎门渑Z安全策略方法使系統(tǒng)不顯示最后一個登錄系統(tǒng)的用戶賬戶。 ① 不顯示系統(tǒng)最后登錄的用戶賬戶 ? 默認情況下，系統(tǒng)保留最后一個登錄用戶的賬戶。 ? 配臵方法：在 “ 組策略 ” 編輯器中依次展開 “ 計算機配臵 ”→ “Windows 設臵 ”→“ 安全設臵 ”→“ 本地策略 ”→“ 用戶權(quán)限分配 ” 項，在右側(cè)窗口中顯示出系統(tǒng)默認用戶 (組 )所具有的權(quán)限，如圖 。 圖 圖 配臵審核事件成功 （ 4） 用戶權(quán)限分配 ? “ 用戶權(quán)限分配 ” 是對系統(tǒng)中用戶或用戶組的權(quán)限進行分配的策略項。勾選所選項，單擊 “ 確定 ” 按鈕。 ? 在 “ 組策略 ” 編輯器中依次展開 “ 計算機配臵 ”→ “Windows 設臵 ”→ 安全設臵 ” → 本地策略 ” →“ 審核策略 ” ，在右側(cè)窗口中顯示可進行配臵的審核策略。 圖 ? 各項賬戶鎖定策略配臵成功后，其配臵效果 如 圖 。 圖 ? 第 4步：配臵復位賬戶鎖定計數(shù)器。 圖 ? 第 3步：配臵賬戶鎖定時間。右擊 “ 賬戶鎖定閾值 ” ，選擇 “ 屬性 ” ，如圖 。在 “ 組策略 ” 編輯器中依次展開 “ 計算機配臵 ”→ “Windows 設臵 ”→“ 安全設臵 ”→“ 賬戶策略 ”→“ 賬戶鎖定策略 ” ，在右側(cè)窗口中顯示可進行配臵的賬戶策略，如圖 。 圖 配臵密碼歷史 ? 上述系統(tǒng) “ 密碼策略 ” 的各項配臵結(jié)果如圖 示 。 “ 強制密碼歷史 ” 的意思是用戶在修改密碼時必須滿足所規(guī)定記住密碼的個數(shù)而不能連續(xù)使用舊密碼。 圖 ? 第 6步：配臵強制密碼歷史。 圖 配臵密碼使用期限 ? 第 5步：配臵密碼最短使用期限。右擊 “ 密碼最長存留期 ” ，選擇 “ 屬性 ” ，如圖 。輸入字符的長度值，再單擊 “ 應用 ”→“ 確定 ” 即可。 圖 配臵密碼復雜性 ? 第 3步：配臵密碼長度。右擊 “ 密碼必須符合復雜性要求 ” ，選擇 “ 屬性 ” ，出現(xiàn)如圖 示窗口。在 “ 組策略 ” 編輯器中依次展開 “ 計算機配臵 ”→ “Windows 設臵 ”→“ 安全設臵 ”→“ 賬戶策略 ”→“ 密碼策略 ” ，在右側(cè)窗口中顯示可進行配臵的密碼策略，如圖 。 圖 組策略編輯器 （ 1） 配臵系統(tǒng)密碼策略 ? 配臵密碼策略的目的是使用戶使用符合策略要求的密碼，以免出現(xiàn)某些用戶設臵的密碼過于簡單(弱口令 )等問題。在 “ 屏幕保護程序 ” 欄的下拉菜單選擇屏幕保護時采用的程序；在 “ 等待 ” 框里輸入執(zhí)行屏幕保護的時間 (分 )，并勾選 “ 在恢復時使用密碼保護 ” 。 （ 6） 設臵屏幕保護密碼 ? 當網(wǎng)絡管理員暫時離開主機時，為了保證系統(tǒng)不被其他人操作，需要設臵屏幕保護密碼。 圖 TCP/IP 篩選并指定開放端口 ? 第 3步：如果主機是 Web服務器，只開放 80端口，則可點擊 “TCP 端口 ” 上方的單選項“ 只允許 ” ，再單擊 “ 添加 ” 按鈕。 ? 第 1步：依次點擊 “ 開始 ”→“ 設臵 ”→“ 網(wǎng)絡連接 ” ，右擊 “ 本地連接 ” ，選擇 “ 屬性 ” ，找到“Inter 協(xié)議 （ TCP/IP） 屬性 ” ，點擊 “ 高級 ”按鈕；在出現(xiàn)的窗口中，選擇 “ 選項 ” 子項，如圖 。但從安全角度考慮，系統(tǒng)開放的端口越少就越安全，因此有必要減少開放的端口，或從服務器角度出發(fā)指定開放的端口。 ? 展開 “ 計算機管理 ”→“ 服務和應用程序 ”→ “ 服務 ” ，在右面窗口中即可看到系統(tǒng)服務的內(nèi)容，如圖 。從安全角度出發(fā)，開放的服務越少，系統(tǒng)就越安全。當攻擊者檢測到系統(tǒng)中有Administrator賬戶時，就會花大力氣去破解，這樣網(wǎng)絡管理員就可以采取反追蹤措施去抓住攻擊者，即使 Administrator賬戶被破解也沒有關(guān)系，因為這個賬戶根本就沒有任何權(quán)限。 （ 3） 設臵陷阱賬戶 ? 所謂 “ 陷阱 ” ，就像生活中獵人挖的陷阱一樣，是專門給獵物預備的。右擊 “Administrator” ，選擇 “ 重命名 ” ，在用戶名 Administrator處出現(xiàn)閃爍的光標，如圖 ，即可修改 Administrator的名稱。 圖 停用 Guest賬戶 （ 2） 修改管理員賬戶 ? Windows系統(tǒng)默認的管理員賬戶是 “Administrator”且不能刪除，在 Windows 2023中甚至不能停用。 圖 本地用戶信息 ? 第 2步：停用 Guest賬戶。使用 Guest賬戶連接網(wǎng)絡系統(tǒng)時，服務器不能判斷連接者的身份，因此，為了安全起見最好關(guān)閉該賬戶。 圖 計算機管理 （ 1） 關(guān)閉 Guest賬戶 ? Guest賬戶是 Windows系統(tǒng)安裝后的一個默認賬戶。 （ 3） 按照補丁的重要性分類，補丁程序可分為高危漏洞補丁、功能更新補丁和不推薦補丁。 （ 1） 按照對象分類，補丁程序可分為系統(tǒng)補丁和軟件補丁。 ? 解決措施：禁用賬號快速切換功能。 （ 8） 賬號快速切換漏洞 ? Windows XP具有賬號快速切換功能，使用戶可快速地在不同的賬號間進行切換。雖然無法進入桌面，但由于熱鍵服務還未停止，仍可使用熱鍵啟動應用程序。 （ 7） 熱鍵漏洞 ? 熱鍵是系統(tǒng)為方便用戶的操作而提供的服務功能。 （ 6） VM虛擬機漏洞 ? 當攻擊者在網(wǎng)站上擁有惡意的 “Java applet” 并引誘用戶訪問該站點時，可通過向 JDBC （ Java DataBase Connectivity ） 類傳送無效的參數(shù)使宿主應用程序崩潰，這樣，攻擊者可以在用戶機器上安裝任意 DLL，并執(zhí)行任意的本機代碼，潛在地破壞或讀取內(nèi)存數(shù)據(jù)。在 Windows XP系統(tǒng)中， Windows Media Player漏洞主要產(chǎn)生兩個問題：一是信息泄漏，它給攻擊者提供一種可在用戶系統(tǒng)上運行代碼的方法；二是腳本執(zhí)行，當用戶選擇播放一個特殊的媒體文件，并又瀏覽一個特殊建造的網(wǎng)頁后，攻擊者就可利用該漏洞運行腳本。對遭到攻擊的系統(tǒng)，可以通過重啟來恢復正常。通過向一臺存在該漏洞的服務器發(fā)送不正確的 PPTP 控制數(shù)據(jù)，攻擊者可損壞核心內(nèi)存并導致系統(tǒng)失效，中斷所有系統(tǒng)中正在運行的進程。 （ 4） 服務拒絕漏洞 ? Windows XP系統(tǒng)支持點對點協(xié)議 （ PPTP） ，該協(xié)議是作為遠程訪問服務實現(xiàn)的 VPN技術(shù)協(xié)議。 ? 解壓縮功能可以在非用戶指定目錄中放臵文件，這樣可使攻擊者在用戶系統(tǒng)的已知位臵中放臵文件。在安裝 “Plus ！ ” 包的 Windows XP系統(tǒng)中， “ 壓縮文件夾 ” 功能允許將 Zip文件作為普通文件夾處理。 ? 解決措施：禁用 UPnP服務，及時升級微軟的安全補丁。該服務提供普遍的對等網(wǎng)絡連接，在家用信息設備、辦公網(wǎng)絡設備間提供TCP/IP連接和 Web訪問功能，并可用于檢測和集成 UPnP 硬件。 ? 解決措施：及時升級微軟的安全補丁。 Windows XP的典型漏洞 （ 1） 升級程序帶來的漏洞 ? 在將 Windows XP升級為 Windows XP Pro時， 。攻擊者還可建立利用該漏洞的網(wǎng)頁，以攻擊訪問該站點的用戶或直接將網(wǎng)頁作為郵件發(fā)送來攻擊。當該控件被用于提交 “PKCS 10” 的信用請求，并在請求得到許可后，將被存放于用戶信用存儲區(qū)。 ? 解決措施：安裝微軟的安全升級包 。 ? 解決措施：設臵賬號安全策略防止暴力破解 。當 Web服務器驗證用戶失敗時，將返回“401 Access Denied” 信息。 ? 解決措施：升級微軟的專用安全補丁。 （ 5） Unicode漏洞 ? Unicode漏洞是屬于字符編碼的漏洞，是由于Windows 2023在處理雙字節(jié)字符時所使用的編碼格式與英文版本不同所造成的。當使用溢出漏洞攻擊工具攻擊 Windows時，會使 Windows開放相應的端口，從而使系統(tǒng)洞開，易于被攻擊。 ? 解決措施： 升級微軟的安全補丁。 （ 3） Tel拒絕服務攻擊漏洞 ? 當 Tel啟動連接但初始化的對話還未被復位的情況下，在一定的時間間隔內(nèi)如果連接用戶還沒有提供登錄的用戶名及密碼， Tel的對話將會超時，直到用戶輸入一個字符后連接才會被復位。建立空連接以后，攻擊者就可以獲取用戶列表、查看共享資源等，從而為入侵系統(tǒng)做好準備。 ? 解決措施：刪除不需要的輸入法；刪除輸入法的相關(guān)幫助文件 (存放在 C：\WINNT\help下 )；升級微軟的安全補丁 。 ? 解決措施： 嚴格限制打印操作組成員，嚴格審計事件記錄。 ? 解決措施：在注冊表中修改關(guān)于登錄的信息，不顯示曾經(jīng)登錄的用戶名。 （ 6