Vista系统无疑个非常安全的系统,但安全的是没有上限的,何况Vista在默认的情况下的某些设置也不利于安全,下面就让我们手工打造Vista的铜墙铁壁。
一、网络相关
1、远程桌面
Windows Vista支持远程桌面,方便了远程维护和操作,但是远程桌面默认的端口是3389,因此攻击者可以通过默认端口连接远程桌面。我们可以通过设置,改变默认端口,增强远程桌面的安全性。另外在某些情况下需要和客户端的操作系统版本相关,例如不允许某些操作系统登陆远程桌面,这些都可以在Vista中实现。
(1)、改变端口
在Windows Vista开始菜单中输入regedit 打开注册表编辑器,定位到:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 分支,在右边可以找到一个名为PortNumber类型为REG_DWORD键,双击修改它为非3389端口即可,如图1所示。(图1)
提示:由于1到1024端口已经被分配满了,为了防止冲突建议修改为1024到65535之间的任意端口。
(2)、弹性设置
第一步:打开“控制面板”下的“系统与维护”选项,找到“系统”并打开它(或在桌面上“计算机”右键中选择“属性”并找到“远程设置”选项卡)。
第二步:如果是从另一台运行Windows Vista的客户机远程连接本系统,可使用最下方的“只允许运行带网络级身份验证的远程桌面的计算机连接”选项,这能够提供更强的安全性。
第三步:如果希望从运行Windows 2000/XP客户机连接本系统,则只能使用“允许运行任意版本远程桌面的计算机连接”,但是可能会有一定的风险。(图2)
2、ARP病毒
ARP病毒是危害局域网的大敌,可以运用Vista的ARP命令达到保护自己,以免受到ARP病毒的危害。操作步骤是:
第一步:在cmd中输入 arp -d 命令删除当前网关的IP地址与MAC映射表,然后使用 arp -a 命令更新网关IP与地址与MAC的映射关系。
第二步:使用arp -s <网关IP地址> <网关MAC地址>绑定主机MAC地址与网关。例如:
arp -s 192.168.1.1 00-50-56-C0-00-08 操作如图3所示。(图3)
3、局域网隐身
局域网中,如果不想让别人看到自己,可以通过Vista的命令来隐藏自己,达到网络安全,操作方法是在cmd命令提示符中输入net config server /hidden:yes即可,如果需要让对方在网络邻居看到自己可以再次输入net config server/hidden:no ,操作如图4所示。(图4)
4、防火墙
在家庭中,特别是有小孩的家里需要对其浏览的网站进行设置。内置在Windows Vista中的高级防火墙和网络感知特性能够让家长按地点应用策略,更具弹性,也更安全,操作步骤如下:
第一步:打开开始菜单,在“开始搜索”框中输入“mmc.exe”,打开管理控制台。
第二步:点击控制台中的“文件”菜单中的“添加/删除管理单元”,在弹出可用的管理单元中,选择“高级安全Windows防火墙”,然后点击中间的“添加”,在弹出“选择计算机”对话框中选择“本地计算机”,再点击“完成”,点击“确定”。
第三步:右键点击导航窗格中的“出站规则”,选择“新规则”。
第四步:从“新建出站规则向导”中点击“下一步”,然后在“此程序路径”中浏览并选择“c:\Program Files\Internet Explorer\iexplore.exe”,然后点击“打开”,再点击“下一步”;在“操作”界面中默认是“阻止连接”,在“配置文件”界面中确保“公用”复选框被选中,清除“域”和“专用”上的复选框,然后点击“确定”按钮;在“名称”界面中给这个规则命名并输入描述信息,最后点击“确定”。(图5)
5、IE防钓鱼
网络钓鱼危害用户的上网安全,Vista的IE7.0就具有防钓鱼功能,操作如下:
第一步:运行IE7.0,点击“工具”,在下拉菜单中单击“仿冒网站筛选”,依次展开后,可以看到四个选项。
第二步:根据自己的需求在“检查此网站”、“关闭自动网站检查”、“报告此网站”、“仿冒网站筛选设置”这四个选项中进行设置。(图6)
二、系统相关
1、帐户相关
(1)、不显示登陆帐户
操作操作步骤:
第一步:运行gpedit.msc进入组策略对象编辑器,依次打开:“计算机配置”→“windows设置”→“安全设置”→“本地策略”→“安全选项”,定位到“交互式登陆:不显示最后的用户名”。
第二步:右击“属性”选择“已启用”,系统默认是禁用。
(2)、帐户锁定
操作步骤如下:
第一步:运行Secpol.msc进入安全设置,依次点击“帐户策略”→“密码策略”→“帐户锁定策略”,定位到“帐户锁定阀”,右击“属性”,修改其值为3,然后点击“确定”。(可以根据自己的安全需要设置。)
第二步:对帐户锁定时间进行设置,此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可设置为30。(30分钟后锁定解除,可以自行设置。)(图7)
2、保护注册表
注册表也是病毒木马最常光顾的地方,可以说是系统安全的重灾区,系统安全必须保护好注册表的某些关机键值。具体步骤如下:
第一步:设置注册表自启动项为everyone只读(Run、RunOnce、RunService),防止木马、病毒通过自启动项目启动。
第二步:设置.txt、.com、.exe、.inf、.ini、bat等文件相关联为everyone只读,防止木马、病毒通过文件关联启动。
第三步:定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services设置其为everyone只读,防止木马、病毒以“服务”方式启动。(图8)
3、目录保护
一些比如temp、system32系统目录往往成了病毒木马的栖身之地,因此要对这些目录进行重点保护,其方法就是利用Windows Vista系统特有的“权限”功能设置某个重要目录为“拒绝访问”,不论对方是什么类型的文件,只要不是以管理员权限的用户修改文件属性后进行读写,那就全部拒绝访问。
下面以修改“c:\Windows”下的“boot”文件夹属性为例进行设置,操作方法如下:
第一步:通过“文件夹选项”,设置“显示所有文件”。
第二步:右键单击boot文件夹,选择“属性”,在弹出的窗口中切换到“安全”选项卡,然后单击下方的“高级”按钮,随后系统会再次弹出一个对话框,切换到“有效权限”选项,然后在对话框下方确定“遍历文件夹/执行权限”,以及最下方的“更改权限”和“取得所有权”等选项取消勾选。(图9)
4、应用程序安装检测
程序安装是威胁系统安全的一个重要方面,很多恶意软件都是通过这个途径进驻系统的,因此在设置应用程序安装检测是非常必要的,设置具体步骤如下:
第一步:运行Secpol.msc进入本地安全策略,依次点击“本地安全策略”→“本地策略”→“安全选项”,定位到“用户帐户控制:检测应用程序安装并提示提升”。
第二步:右键单击,点击“属性”,点选“启用”,然后确定即可。(图10)
提示:如果在企业环境下,运行利用委派安装技术的用户不必要因而也不需要进行安装程序检测。
三、硬件相关
1、禁止移动设备
在某些情况下,比如企业环境下,出于安全的考虑需要对移动进行禁用。在Vista下禁用移动设备非常方便,具体方法如下:
第一步:运行Gpedit.msc打开组策略对象编辑器,然后依次点击:计算机设置→管理模板→系统→设备安装→设备安装限制,选择“禁止安装可移动设备”这条策略启用即可。(图11)
第二步:在命令行下输入命令“Gpupdate /force”刷新策略,另外卸载现有移动设备的驱动程序。
2、BitLocker加密
Vista集成了基于硬件的加密技术,即BitLocker加密,能够确保早期启动组件的完整性,能通过加密整个卷,防止数据被盗或未经授权查看。如果你的主机是旗舰版,并且采用具有受信任的平台模块(TPM)芯片的主板的支持,或者具有可移动USB存储设备(如USB闪存盘等,需要电脑支持USB设备的引导)就可以启用BitLocker加密。操作方法如下:
第一步:运行“gpedit.msc”打开组策略编辑器,依次点击“计算机配置→管理模板→Windows组件→BitLicker驱动器加密”,双击右侧“控制面板设置:启用高级启动选项”,选中“已启用”项,这时下面的“没有兼容的TPM时允许BitLocker”复选框会被自动勾选,最后单击“应用”,确定后返回。(图12)
第二步:仍旧在组策略编辑器中,选择“配置加密方法”打开属性对话框,选中“已启用”项,在“选择加密方法”下拉列表中提供多种不同的安全等级,默认的是“含有扩散器的AES 128位”,根据需要设置,确定后返回,退出组策略编辑器。(图13)
第三步:进入控制面板的“安全”窗口,单击“BitLocker驱动器加密”,在随之弹出的窗口中单击“启用BitLocker”,弹出如图2所示的窗口,点击“启用BitLocker”,在弹出对话框中只能选择“每一次启动时要求启动USB密码”项,接下来选择保存恢复密钥的途径,选择“在USB驱动器上保存密码”。
第四步:密码保存成功后系统要求运行BitLocker系统检查,这是为了确保BitLocker在加密卷之前正确读取恢复和加密密钥,BitLocker将在加密前重新启动计算机以测试系统。
第五步:经过上面操作,系统会自动加密Windows Vista系统所在的分区,加密完成后会重新启动系统,以后你的系统就处于BitLocker的保护之下了。(图14)
总结:通过以上的设置,Vista的安全性将会极大地提高,堪称铜墙铁壁。
