下面是小编给大家整理的潜伏在windows默认设置中的陷阱Windows安全,本文共10篇,欢迎大家借鉴与参考,希望对大家有所帮助。
篇1:潜伏在windows默认设置中的陷阱Windows安全
在默认设置条件下直接运行windows,很多端口就会处于开放状态,由于多种服务会自动起动,因此不需进行复杂的设置就能够使用各种服务。但如果置之不理,就可能成为攻击者的攻击对象。安全对策的基础是严格区分必要和不需要的服务,然后关闭不需要的服务。为此就必须了解windows在默认设置中处于开放状态的具有代表性的端口的作用及其危险性,并进行适当的设置。
通过因特网,服务器硬盘中的内容全部都可以看见。而且还能够非常轻松地篡改和删除其中的数据。也许读者会想:哪里有有设置如此笨拙的服务器?!很多人觉得只要不进行极端的设置、故意对外公开硬盘中的内容,就不会出现这种情况。
但实际上,在windows中,即便管理员并非明确地起动某种服务、或者开放某个端口,也有可能发生这种情况。
在默认设置下,windows会开放提供文件共享服务的tcp的139号端口。因此,在默认条件下起动文件共享服务后,系统就进入等待状态。由此,机器就会始终处于被攻击者访问共享资源的危险境地。而共享资源则可以利用net命令轻松地进行分配。尽管c盘如果没有管理员权限就无法共享,但如果不经意地将guest帐号设置为有效以后,就能够访问c盘,这样一来就非常轻松地破坏硬盘。而且,今后也有可能发现其它利用文件共享服务发动攻击的严重安全漏洞。
安全对策的基本原则是关闭不需要的服务。如果不起动服务,即便外部发来连接请求,机器也不会作出响应。要做到这一步,电脑管理员就必须充分了解哪些服务是必须的,以及目前实际上起动了哪些服务。
但是,在windows中,在默认条件下会起动很多服务,而且很多时候各服务的作用也不容易搞清楚。而很多管理员不仅认识不到端口开放的危险性,而且在不了解服务的作用和必要性的情况下就会直接连接因特网。
应该注意的5个端口
那么,实际上在windows默认条件下所开放的端口有哪些呢?笔者在安装了windows系统后,对在默认条件下开放的端口进行了一次调查。调查中使用了免费端口扫描工具“nmap”(www.insecure.org/nmap/)。
结果如表1和表2。在几乎所有的windows中所开放的端口包括135、137、138和139。此外,在、xp和.net server中445端口也是开放的。windows在默认条件下开放的众所周知的端口就是这5个。
这些到底是不是真正必要的服务呢?要想下结论,就必须充分了解这些端口各自的作用。虽说在默认条件下是开放的,但如果保持这种默认设置不变,就会在无意识的情况下受到非法访问。因此,应该尽可能关闭不需要的服务。无论如何也不能停止的服务必须使用过滤软件,确保能够防止外部访问。
下面对几乎所有的windows在默认条件下开放的最具代表性的5个端口即135、137、138、139和445等各自的作用作一详细介绍。了解它们的作用后,就能够推测出开放端口后可能存在哪些危险,从而就可以方便地制定相应的对策。
利用工具验证到的135端口的危险性
虽说大家都说非常危险,但即难以了解其用途,又无法实际感受到其危险性的代表性端口就是135号。但是7月能够让人认识到其危险性的工具亮相了,这就是“ie<|>en”。
该工具是由提供安全相关技术信息和工具类软件的“securityfriday.com”公司(www.securityfriday.com)在网上公开提供的。其目的是以简单明了的形式验证135端口的危险性,呼吁用户加强安全设置。不过,由于该工具的威力非常大,因此日本趋势科技已经将该工具的特征代码追加到了病毒定义库文件中。如果在安装了该公司的病毒扫描软件的电脑中安装ie<|>en,就有可能将其视为病毒。
可以看到ssl的内容
ie<|>en是一种远程操作ie浏览器的工具。不仅可以从连接到网络上的其他电脑上正在运行的ie浏览器中取得信息,而且还可以对浏览器本身进行操作。具体而言,就是可以得到正在运行的ie浏览器的窗口一览表、各窗口所显示的web站点的url及cookie,以及在检索站点中输入的检索关键词等信息。
该工具所展示的最恐怖的情况是,在非加密状态下可以看到本应受到ssl保护的数据。所以可
关 键 字:Windows安全
篇2:潜伏在Windows默认设置中的陷井
在公司内部环境中务必将DCOM设置为无效
回避这种危险的最好办法是关闭RPC服务,在“控制面板”的“管理工具”中选择“服务”,在“服务”窗口中打开“Remote Procedure Call”属性。在属性窗口中将启动类型设置为“已禁用”,自下次起动开始RPC就将不再启动(要想将其设置为有效,在注册表编辑器中将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs”的“Start”的值由0x04变成0x02后,重新起动机器即可)。不过,进行这种设置后,将会给Windows的运行带来很大的影响。比如Windows XP Professional,从登录到显示桌面画面,就要等待相当长的时间。这是因为Windows的很多服务都依赖于RPC,而这些服务在将RPC设置为无效后将无法正常起动。由于这样做弊端非常大,因此一般来说,不能关闭RPC服务。
那么接下来铱悸堑亩圆呤切畔包过滤。但是这同样也会给Windows的运行带来各种影响。比如,如果在客户端关闭135端口,就无法使用Outlook连接Exchange Server。因为管理分布式处理的MSDTC、负责应用程序之间的信息交换的MSMQ以及动态地向连接网络的电脑分配地址的DHCP等服务也都使用这个端口。
就Windows网络的高桥基信表示:“在Windows服务中,有很多服务需要使用RPC。另外,Windows网络并不是设想在客户端与服务器之间存在防火墙的状态而组建的。因此公司内部网络环境中使用过滤功能时,应该在充分验证后加以实施”。也就是说,在公司内部环境中不仅是客户端,即便是服务器也无法关闭135端口。服务器方面,为了使活动目录和主域实现同步,就要使用135端口。
凳侨从邪旆ㄖ唤DCOM设置为无效。这就是利用Windows NT/2000/XP标准集成的“dcomcnfg.exe”工具。从DOS命令中运行该工具以后,打开分布式COM配置属性窗口,选择“默认属性”页标,取消“在这台计算机上启用分布式COM”选项即可。在公司内部不使用DCOM,并且不想让其他计算机操作自己电脑COM的时候,就应该采用这种设置。
如故强突Ф耍也有办法禁止远程登录电脑。依次选择“控制面板”、“管理工具”和“本地安全策略”,打开本地安全设置窗口,选择本地策略中的用户权利指派,然后利用该项下的“拒绝从网络访问这台计算机”,指定拒绝访问的对象。如果想拒绝所有的访问,最好指定为“Everyone”。
箍服务器应该关闭135端口
箍于因特网上的服务器基本上不使用RPC。如前所述,尽管危险性比公司内部环境低,但只要不运行使用DCOM的特定应用程序(只要不是必须的服务),就应该关闭135端口。比如只是作为Web服务器、邮件或DNS服务器来使用的话,即便关闭135端口,也不会出现任何问题。
不剐枰通过因特网来使用DCOM应用程序时,就不能关闭该端口。但需要采取严格管理密码的措施。
具体堆裕就是说通过137端口除了该机的计算机名和注册用户名以外,还可以得到该机是否为主域控制器和主浏览器、是否作为文件服务器使用、IIS和Samba是否正在运行以及Lotus Notes是否正在运行等信息。据SecurityFriday.com公司的Michiharu Arimoto介绍:“除了计算机名以外,还可以准确地了解IIS、主域控制器、主域浏览器以及文件服务器等相关信息。虽说不是百分之百,但有时还能够得到其他信息”。
也就是说V灰您想获得这些信息,只需向这台个人电脑的137端口发送一个请求即可。只要知道IP地址,就可以轻松做到这一点。不只是公司内部网络,还可以通过因特网得到这样的信息。
对于攻击者来说U饧蛑碧方便了,可以很容易地了解目标电脑的作用及网络的结构。随意地泄漏这样的信息,就好象是很友好地告诉攻击者应该如何来攻击自己的电脑。比如,如果知道IIS服务正在运行,就可以轻松地了解这台电脑上已经起动的服务。攻击者根本不必特意地通过端口扫描来寻找可以下手入侵的端口。
另外H绻捕捉到正在利用137端口进行通信的信息包,还有可能得到目标主机的起动和关闭时间。这是因为Windows起动或关闭时会由137端口发送特定的信息包。如果掌握了目标主机的起动时间,就可以非常轻松地使用上一次所讲的IE`en等软件通过135端口操作对方的DCOM。
应该注意的5个端口
那么J导噬显Windows默认条件下所开放的端口有哪些呢?笔者在安装了Windows系统后,对在默认条件下开放的端口进行了一次调查。调查中使用了免费端口扫描工具“Nmap”(www.insecure.org/nmap/)。
在几乎擞械Windows中所开放的端口包括135、137、138和139。此外,在2000、XP和.NET Server中445端口也是开放的。Windows在默认条件下开放的众所周知的端口就是这5个。
这些到底是不是真毡匾的服务呢?要想下结论,就必须充分了解这些端口各自的作用。虽说在默认条件下是开放的,但如果保持这种默认设置不变,就会在无意识的情况下受到非法访问。因此,应该尽可能关闭不需要的服务。无论如何也不能停止的服务必须使用过滤软件,确保能够防止外部访问。
下面对几乎擞械Windows在默认条件下开放的最具代表性的5个端口即135、137、138、139和445等各自的作用作一详细介绍。了解它们的作用后,就能够推测出开放端口后可能存在哪些危险,从而就可以方便地制定相应的对策。
烙霉ぞ哐橹さ降135端口的危险性
虽说大家都说非常危险5即难以了解其用途,又无法实际感受到其危险性的代表性端口就是135号。但是207月能够让人认识到其危险性的工具亮相了,这就是“IE`en”。
该工具是由提供安认喙丶际跣畔⒑凸ぞ呃嗳砑的“SecurityFriday.com”公司(www.securityfriday.com)在网上公开提供的。其目的是以简单明了的形式验证135端口的危险性,呼吁用户加强安全设置。不过,由于该工具的威力非常大,因此日本趋势科技已经将该工具的特征代码追加到了病毒定义库文件中。如果在安装了该公司的病毒扫描软件的电脑中安装IE`en,就有可能将其视为病毒。
可以看到SSL的内容
IE`en是一种远程操作IE浏览器的工具。不仅可以从连接到网络上的其他电脑上正在运行的IE浏览器中取得信息,而且还可以对浏览器本身进行操作。具体而言,就是可以得到正在运行的IE浏览器的窗口一览表、各窗口所显示的Web站点的URL及Cookie,以及在检索站点中输入的检索关键词等信息。
该工具苏故镜淖羁植赖那榭鍪牵在非加密状态下可以看到本应受到SSL保护的数据。所以可以由此获取加密前或者还原后的数据。如果使用IE`en,甚至能够直接看到比如在网络银行等输入的银行现金卡密码等信息。
IE`en使用的是Windows NT4.0/2000/XP标准集成的分布式对象技术DCOM(分布式组件对象模块)。使用DCOM可以远程操作其他电脑中的DCOM应用程序。该技术使用的是用于调用其他电脑所具有的函数的RPC(Remote Procedure Call,远程过程调用)功能。而这个RPC使用的就是135端口。
烙RPC功能进行通信时,就会向对方电脑的135端口询问可以使用哪个端口进行通信。这样,对方的电脑就会告知可以使用的端口号。实际的通信将使用这个端口来进行。135端口起的是动态地决定实际的RPC通信所使用的端口的端口映射作用。
如故抢用DCOM技术开发的应用程序,都可以像IE浏览器那样进行操作。比如,连接正在利用Excel工作的其他电脑,获取单元格中输入的值,或者对这个值本身进行编辑并非不可能的事情。
不梗要想利用该方法操纵他人的电脑,就必须知道该机的IP地址和注册名以及密码。因此,通过因特网而受到第三者的攻击的可能性非常低。而危险性最高的是公司内部环境。尤其是客户端更为危险。这是因为在大多情况下不仅可以轻而易举地得到他人的IP地址和注册名,而且密码的管理也不是很严格。学校以及网吧等多台电脑采用相同设置的场合也需加以注意。
在公司内部环境中务必将DCOM设置为无效
回避这种危险的最好办法是关闭RPC服务。在“控制面板”的“管理工具”中选择“服务”,在“服务”窗口中打开“Remote Procedure Call”属性。在属性窗口中将启动类型设置为“已禁用”,自下次起动开始RPC就将不再启动(要想将其设置为有效,在注册表编辑器中将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs”的“Start”的值由0x04变成0x02后,重新起动机器即可)。不过,进行这种设置后,将会给Windows的运行带来很大的影响。比如Windows XP Professional,从登录到显示桌面画面,就要等待相当长的时间。这是因为Windows的很多服务都依赖于RPC,而这些服务在将RPC设置为无效后将无法正常起动。由于这样做弊端非常大,因此一般来说,不能关闭RPC服务。
那么接下来铱悸堑亩圆呤切畔包过滤。但是这同样也会给Windows的运行带来各种影响。比如,如果在客户端关闭135端口,就无法使用Outlook连接Exchange Server。因为管理分布式处理的MSDTC、负责应用程序之间的信息交换的MSMQ以及动态地向连接网络的电脑分配地址的DHCP等服务也都使用这个端口。
就Windows网络的高桥基信表示:“在Windows服务中,有很多服务需要使用RPC。另外,Windows网络并不是设想在客户端与服务器之间存在防火墙的状态而组建的。因此公司内部网络环境中使用过滤功能时,应该在充分验证后加以实施”。也就是说,在公司内部环境中不仅是客户端,即便是服务器也无法关闭135端口。服务器方面,为了使活动目录和主域实现同步,就要使用135端口。
凳侨从邪旆ㄖ唤DCOM设置为无效。这就是利用Windows NT/2000/XP标准集成的“dcomcnfg.exe”工具。从DOS命令中运行该工具以后,打开分布式COM配置属性窗口,选择“默认属性”页标,取消“在这台计算机上启用分布式COM”选项即可。在公司内部不使用DCOM,并且不想让其他计算机操作自己电脑COM的时候,就应该采用这种设置。
如故强突Ф耍也有办法禁止远程登录电脑。依次选择“控制面板”、“管理工具”和“本地安全策略”,打开本地安全设置窗口,选择本地策略中的用户权利指派,然后利用该项下的“拒绝从网络访问这台计算机”,指定拒绝访问的对象。如果想拒绝所有的访问,最好指定为“Everyone”。
箍服务器应该关闭135端口
箍于因特网上的服务器基本上不使用RPC。如前所述,尽管危险性比公司内部环境低,但只要不运行使用DCOM的特定应用程序(只要不是必须的服务),就应该关闭135端口。比如只是作为Web服务器、邮件或DNS服务器来使用的话,即便关闭135端口,也不会出现任何问题。
不剐枰通过因特网来使用DCOM应用程序时,就不能关闭该端口。但需要采取严格管理密码的措施。
具体堆裕就是说通过137端口除了该机的计算机名和注册用户名以外,还可以得到该机是否为主域控制器和主浏览器、是否作为文件服务器使用、IIS和Samba是否正在运行以及Lotus Notes是否正在运行等信息,
据SecurityFriday.com公司的Michiharu Arimoto介绍:“除了计算机名以外,还可以准确地了解IIS、主域控制器、主域浏览器以及文件服务器等相关信息。虽说不是百分之百,但有时还能够得到其他信息”。
也就是说V灰您想获得这些信息,只需向这台个人电脑的137端口发送一个请求即可。只要知道IP地址,就可以轻松做到这一点。不只是公司内部网络,还可以通过因特网得到这样的信息。
对于攻击者来说U饧蛑碧方便了,可以很容易地了解目标电脑的作用及网络的结构。随意地泄漏这样的信息,就好象是很友好地告诉攻击者应该如何来攻击自己的电脑。比如,如果知道IIS服务正在运行,就可以轻松地了解这台电脑上已经起动的服务。攻击者根本不必特意地通过端口扫描来寻找可以下手入侵的端口。
另外H绻捕捉到正在利用137端口进行通信的信息包,还有可能得到目标主机的起动和关闭时间。这是因为Windows起动或关闭时会由137端口发送特定的信息包。如果掌握了目标主机的起动时间,就可以非常轻松地使用上一次所讲的IE`en等软件通过135端口操作对方的DCOM。
使用137端口,管理计算机名
137端口为什么会把这种信息包泄漏到网络上呢?这是因为,在Windows网络通信协议--“NetBIOS over TCP/IP(NBT)”的计算机名管理功能中使用的是137端口。
计算幻管理是指Windows网络中的电脑通过用于相互识别的名字--NetBIOS名,获取实际的IP地址的功能。可以用两种方法使用137端口。
一种方法是N挥谕一组中的电脑之间利用广播功能进行计算机名管理。电脑在起动时或者连接网络时,会向位于同组中的所有电脑询问有没有正在使用与自己相同的NetBIOS名的电脑。每台收到询问的电脑如果使用了与自己相同的NetBIOS名,就会发送通知信息包。这些通信是利用137端口进行的。
另一种方法是烙WINS(Windows因特网名称服务)管理计算机名。被称为WINS服务器的电脑有一个IP地址和NetBIOS名的对照表。WINS客户端在系统起动时或连接网络时会将自己的NetBIOS名与IP地址发送给WINS服务器。与其他计算机通信时,会向WINS服务器发送NetBIOS名,询问IP地址。这种方法也使用137端口。
如上耸觯为了得到通信对象的IP地址,137端口就要交换很多信息包。在这些信息包中,包括有如表3所示的很多信息。利用广播管理计算机名时,会向所有电脑发送这些信息。如果使用NBT,就会在用户没有查觉的情况下,由电脑本身就会向外部散布自己的详细信息。
138端口用于浏览
138端口也和137端口一样会向外部发送自己的信息。尽管信息量没有137端口那么多,但其特点是会被别人得到Windows的版本信息。比如,会泄漏Windows版本是Windows 2000 Server。
138端口提供NetBIOS的浏览功能。该功能用于显示连接于网络中的电脑一览表。比如,在Windows2000中由“网络邻居”中选择“整个网络”后,就会完整地显示连接于网络中的电脑。
该功能使用的是与上面私驳募扑慊名管理不同的运行机制。在浏览功能中,被称为主浏览器的电脑管理着连接于网络中的电脑一览表的浏览列表。每台电脑在起动时或连接网络时利用138端口广播自己的NetBIOS名。收到NetBIOS名的主浏览器会将这台电脑追加到浏览列表中。需要显示一览表时,就广播一览表显示请求。收到请求的主游览器会发送浏览列表。关闭电脑时,机器会通知主浏览器,以便让主浏览器将自己的NetBIOS名从列表中删除掉。这些信息的交换使用的是138端口。由于这里也会进行广播,因此就会将自己的电脑信息发送给同组中的所有电脑。
箍服务器应关闭NetBIOS
NetBIOS服务使用了137和138端口的向外部发送自己信息的功能。一般情况下,这是一种在连接在因特网上的公开服务器不需要的服务。因为NetBIOS主要用于Windows网络中。因此,公开服务器应该停止这种服务。
抖杂谠诠司内部网络环境中构筑Windows网络的电脑来说,NetBIOS则是必要的服务。如要停止NetBIOS,反过来就必须放弃Windows网络的方便性。
停止NBT服务的方法。选择“将NetBIOS over TCP/IP设置为无效”
不梗如果是Windows 2000以上的版本,不使用NetBIOS也能够管理计算机名(详情后述)。因此如果是全部由Windows 2000以上的个人电脑构筑而成的网络,就可以停止NBT。虽说如此,此时方便性就会降低,比如,无法显示用于寻找文件共享对象的信息。
蚁胪VNetBIOS服务,首先由控制面板中选择目前正在使用的网络连接,在属性窗口中查看“Internet协议(TCP/IP)”的属性。在“常规”页标中单击“高级”按钮,在“WINS”页标中选择“禁用TCP/IP上的NetBIOS(S)”即可。这样,就可以关闭137、138以及后面将要讲到的139端口。
在此需易⒁庖坏恪NetBEUI协议如果为有效,NetBIOS服务将会继续起作用。在Windows 95中,NetBIOS是在默认条件下安装的。在更高的Windows版本中,如果选择也可以安装。所以不仅要停止NBT,还应该确认NetBEUI是否在起作用。如果使用NetBEUI,即便关闭137端口,也仍有可能向外部泄漏表3所示的信息。
139和445端口是危险的代名词
两佑谖⑷硗络上的电脑之间使用137和138端口取得IP地址。然后进行文件共享和打印机共享等实际通信。通信过程是通过SMB(服务器信息块)协议实现的。这里使用的是139和445端口。
SMB与CIFS的区别。Windows 2000以前版本的Windows使用NetBIOS协议解决各计算机名的问题。通过向WINS服务器发送通信对象的NetBIOS名,取得IP地址。而Windows以后的版本所采用的CIFS则利用DNS解决计算机的命名问题。根据DNS服务器中的名字列表信息,寻找需要通信的对象。如果顺利地得到对象的IP地址,就可以访问共享资源。
在SMB通信中,首先使用上述的计算机名解释功能,取得通信对象的IP地址,然后向通信对象发出开始通信的请求。如果对方充许进行通信,就会确立会话层(Session)。并使用它向对方发送用户名和密码信息,进行认证。如果认证成功,就可以访问对方的共享文件。在这些一连串的通信中使用的就是139端口。
Windows 2000和XP除此之外还使用445端口。文件共享功能本身与139端口相同,但该端口使用的是与SMB不同的协议。这就是在Windows 2000中最新使用的CIFS(通用因特网文件系统)协议。
CIFS和SMB解决计算机名的方法不同。SMB使用NetBIOS名的广播和WINS解决计算机名,而CIFS则使用DNS。
因此T谖募服务器和打印服务器使用Windows的公司内部网络环境中,就无法关闭139和445端口。很多情况下,文件共享和打印机共享在普通的业务中是不可缺少的功能。而客户端如果自身不公开文件,就可以关闭这两个端口。
假如是2000版本以后的Windows构成的网络,就可以关闭139端口。这是因为如前所述,该网络只用445端口就能够进行文件共享。由于在解决计算机名过程中使用DNS,所以也可以关闭137和138端口。不过,在目前情况下,基本上所有的网络系统都还在混合使用2000以前的Windows版本。在混合网络环境中由于必须使用139端口通过SMB协议进行通信,因此就无法关闭139端口。另外,浏览时还需要137~139端口。
箍服务器绝对应该关闭这些端口
在因特蜕瞎开的服务器要另当别论。公开服务器打开139和445端口是一件非常危险的事情。就像本文开头所说的那样,如果有Guest帐号,而且没有设置任何密码时,就能够被人通过因特网轻松地盗看文件。如果给该帐号设置了写入权限,甚至可以轻松地篡改文件。也就是说在对外部公开的服务器中不应该打开这些端口。通过因特网使用文件服务器就等同自杀行为,因此一定要关闭139和445端口。对于利用ADSL永久性接入因特网的客户端机器可以说也是如此。
夜乇139端口,与137和138端口一样,可以选择“将NetBIOS over TCP/IP设置为无效”。而要想关闭445端口则必须进行其他工作。利用注册表编辑器在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”中追加名为“SMBDeviceEnabled”的DWORD值,并将其设置为0,然后重新起动机器。
.NET中安全策略改变了吗?
就像在此智八讲的那样,直接在默认设置条件下使用现有的Windows将会出现各种各样的危险。这是因为Windows是为了让初学者不需进行复杂设置就可以使用而开发的。
比如Windows 2000 Server,在安装该系统时,会自动安装IIS。而且只需起动个人电脑,IIS服务就会启动。虽然Windows NT 4.0 Server可以选择是否安装IIS,但在默认条件下该服务的复选框是有效的。与2000一样,在起动电脑时,IIS服务也会自动起动。
而Linux则在很多方面都采取的是完全不同的思路。比如,RedHat Linux 7.3在安装过程中必须让用户设置防火墙。由于防火墙有“高”、“中”、“低”三种等级,因此所拦截的信息包也各不相同。如果选择“高”将关闭53(DNS)、67和68(DHCP)以外的全部端口,如果选择“中”,尽管会打开1024以上的端口,但在一般人熟知的端口中打开的只有53、67和68三个。
安装应用程序时的作法也不汀RedHat Linux 7.3在安装时可选择“工作站”、“服务器”和“桌面”三种类型。因此即使选择“服务器”,如果用户不选择构筑兼容Windows的文件服务器“Samba”和Web服务器“Apache”等,就不会进行安装。另外,即便安装以后,也不会直接起动。如果用户明确地启动必要的服务后,没有设置利用过滤软件过滤信息包,相应端口就不会打开。
如怪豢悸欠奖阈裕Windows要更好一些。这是因为即便不进行复杂的设置,系统也能够自动起动各种服务。但这样一来,就甚至极有可能起动用户不希望起动的服务,而且这些服务往往还是在用户不知晓的情况下起动的。可以这样说,如果希望安全地运行服务器,或者希望保护自己的客户端个人电脑免受危险,那么最好不要随便安装和设置。
美刮⑷硪蔡岢隽恕爸档靡览档募扑恪保Trustworthy Computing)的计划,并计划利用定于初开始上市的“Windows .NET Server”实现“默认安全”。与Windows 2000不同的是,将不再标准安装IIS服务。即便增加了IIS组件,OS起动时该服务也不会自动运行。
不梗如果只要使用测试版,135、137、138、139和445端口在默认条件下就是打开的。另外,从Windows XP开始导入的“因特网连接防火墙(ICF)”的使用在默认条件下也是无效的。要想在默认设置下实现与Linux相同等级的高安全性,可以说最稳妥的方法是将ICF设置为有效,然后用户再根据自己的需要,选择起动的服务。
篇3:潜伏在Windows默认设置中的危险
在默认设置条件下直接运行Windows,很多端口就会处于开放状态,
潜伏在Windows默认设置中的危险
,
由于多种服务会自动起动,因此不需进行复杂的设置就能够使用各种服务。但如果置之不理,就可能成为攻击者的攻击对象。安全对策的基础是严格区分必要和不需要的服务,然后关闭不需要的服务。为此
篇4:Windows 7账号登录 默认设置
Windows 7账号自动登录 默认设置,“当你重启电脑,任何之前对任务栏作出的自定义设置都会被重设到默认设置,这个问题是由于一个Windows explorer和taskhost.exe之间的运行问题而导致”,微软称,
Windows 7任务栏默认设置
微软确实提供了一种让用户避免遇到任务栏重设的热补丁解决方案,尽管如此,微软却没有提供系统的更新。因此,用户需要和微软客服服务直接联系才能被告知如何解决这个问题,
微软强调这个热补丁只需要加在哪些需要修补的系统软件上,而且这个热补丁还需要更多的测试。因此,如果你不是因为这个问题深受影响的话,微软建议用户等待下一个系统更新。
就像以往的Windows版本一样,用户可以自动登录一个账号。这意味着启动的过程就自动加载了隐私信息。
自动登录有两种设置方式。第一种:用户可以在开始菜单中的搜索框中键入 NETPLWIZ 并回车。第二种:按组合键“win+R” 然后选择运行,键入 control userpasswords2 并回车。在用户账户对话框中选择你希望自动登录的账户,取消“用户必须键入用户名及密码来使用电脑”左侧的复选框选择,然后选择应用。
篇5:Windows XP的默认设置与安全问题
随着电脑越来越深入到普通用户的生活、工作之中,原来只有专业人员才会遇到的问题,例如配置小型(家庭)网络,现在普通用户也会经常遇到,
Windows XP的默认设置与安全问题
,
Windows系列操作系统一直以易用著称,力图让本来复杂的任务通过简单的操作即可完成。但是有的时候,易用性和安全是相互
篇6:windows快捷键Windows安全
一、常见用法:
f1 显示当前程序或者windows的帮助内容,
f2 当你选中一个文件的话,这意味着“重命名”
f3 当你在桌面上的时候是打开“查找:所有文件” 对话框
f10或alt 激活当前程序的菜单栏
windows键或ctrl+esc 打开开始菜单
ctrl+alt+delete 在win9x中打开关闭程序对话框
delete 删除被选择的选择项目,如果是文件,将被放入回收站
shift+delete删除被选择的选择项目,如果是文件,将被直接删除而不是放入回收站
ctrl+n 新建一个新的文件
ctrl+o 打开“打开文件”对话框
ctrl+p 打开“打印”对话框
ctrl+s 保存当前操作的文件
ctrl+x 剪切被选择的项目到剪贴板
ctrl+insert 或 ctrl+c 复制被选择的项目到剪贴板
shift+insert 或 ctrl+v 粘贴剪贴板中的内容到当前位置
alt+backspace 或 ctrl+z 撤销上一步的操作
alt+shift+backspace 重做上一步被撤销的操作
windows键+m 最小化所有被打开的窗口。
windows键+ctrl+m 重新将恢复上一项操作前窗口的大小和位置
windows键+e 打开资源管理器
windows键+f 打开“查找:所有文件”对话框
windows键+r 打开“运行”对话框
windows键+break 打开“系统属性”对话框
windows键+ctrl+f 打开“查找:计算机”对话框
shift+f10或鼠标右击 打开当前活动项目的快捷菜单
shift 在放入cd的时候按下不放,可以跳过自动播放cd。在打开word的时候按下不放,可以跳过自启动的宏
alt+f4 关闭当前应用程序
alt+spacebar打开程序最左上角的菜单
alt+tab 切换当前程序
alt+esc 切换当前程序
alt+enter 将windows下运行的msdos窗口在窗口和全屏幕状态间切换
print screen将当前屏幕以图象方式拷贝到剪贴板
alt+print screen 将当前活动程序窗口以图象方式拷贝到剪贴板
ctrl+f4 关闭当前应用程序中的当前文本(如word中)
ctrl+f6 切换到当前应用程序中的下一个文本(加shift 可以跳到前一个窗口)
在ie中:
alt+right arrow 显示前一页(前进键)
alt+left arrow 显示后一页(后退键)
ctrl+tab 在页面上的各框架中切换(加shift反向)
f5 刷新
ctrl+f5 强行刷新
目的快捷键
激活程序中的菜单栏 f10
执行菜单上相应的命令 alt+菜单上带下划线的字母
关闭多文档界面程序中的当
前窗口 ctrl+ f4
关闭当前窗口或退出程序 alt+ f4
复制 ctrl+ c
剪切 ctrl+ x
删除 delete
显示所选对话框项目的帮助 f1
显示当前窗口的系统菜单 alt+空格键
显示所选项目的快捷菜单 shift+ f10
显示“开始”菜单 ctrl+ esc
显示多文档界面程序的系统
菜单 alt+连字号(-)
粘贴 ctr l+ v
切换到上次使用的窗口或者
按住 alt然后重复按tab,
切换到另一个窗口 alt+ tab
撤消 ctrl+ z
关 键 字:Windows安全
篇7:Windows安全事件日志中的相关事件
帐号登录事件(事件编号与描述) 672 身份验证服务(AS)票证得到成功发行与验证,
Windows安全事件日志中的相关事件
,
673 票证授权服务(TGS)票证得到授权。TGS是一份由Kerberos 5.0版票证授权服务(TGS)发行、且允许用户针对域中特定服务进行身份验证的票证。 674 安全主体重建AS票证或TGS票
篇8:Windows XP中如何节约内存Windows安全
现在我们已经进行了大内存时代,很多的人都把自己的内存升级到了1G以上,但现在很多软件随着功能的加强,对系统资源的占有率也是越来越高,变化之快让我们应接不暇。这个时候应该怎么办呢?下面我们就给大家讲讲Windows XP操作系统中如何更好的节约内存,让每一份资源都能得到合理的利用。
优化内存数据
在Windows中,驻留内存中的数据越多,就越要占用内存资源。所以,桌面上和任务栏中的快捷图标不要设置得太多。如果内存资源较为紧张,可以考虑尽量少用各种后台驻留的程序。平时在操作电脑时,不要打开太多的文件或窗口。长时间地使用计算机后,如果没有重新启动计算机,内存中的数据排列就有可能因为比较混乱,从而导致系统性能的下降。这时你就要考虑重新启动计算机。
启用磁盘写入缓存
在“我的电脑”上单击鼠标右键选择“属性->硬件”,打开设备管理器找到当前正在使用的硬盘,单击鼠标右键选择属性。在硬盘属性的的“策略”页中,打开“启用磁盘上的写入缓存”(如图1)。
图 1
这个选项将会激活硬盘的写入缓存,从而提高硬盘的读写速度。不过要注意一点,这个功能打开后,如果计算机突然断电可能会导致无法挽回的数据丢失。因此最好在有UPS的情况下再打开这个功能。当然,如果你平常使用计算机时不要进行什么重要的数据处理工作,没有UPS也无所谓,这个功能不会对系统造成太大的损失 。
关闭不需要的服务
如果你的家里没有打印机,你可以将“Printer Spooler”服务关闭掉。如果你没有定期执行的任务,将“Task Scheduler”服务关闭掉。对于大多人而言,“Remote Registry”同样没有用,也可以关闭掉。下面是经过上面所有优化后的服务列表,我将优化过的地方用红颜色的圆圈标记了出来。
打开Ultra MDA
在设备管理其中选择IDE ATA/ATAPI控制器中的“基本/次要IDE控制器”,单击鼠标右键选择“属性”,打开“高级设置”页。这里最重要的设置项目就是“传输模式”,一般应当选择“DMA(若可用)”。
监视内存
系统的内存不管有多大,总是会用完的。虽然有虚拟内存,但由于硬盘的读写速度无法与内存的速度相比,所以在使用内存时,就要时刻监视内存的使用情况。Windows操作系统中提供了一个系统监视器,可以监视内存的使用情况。一般如果只有60%的内存资源可用,这时你就要注意调整内存了,不然就会严重影响电脑的运行速度和系统性能。
配置恢复选项
Windows XP 运行过程中碰到致命错误时会将内存的快照保存为一个文件,以便进行系统调试时使用,对于大多数普通用户而言,这个文件是没有什么用处的,反而会影响虚拟内存的性能。所以应当将其关闭。
在“我的电脑”上单击鼠标右键,选择“属性->高级”,在“性能”下面单击“设置”按钮,在“性能选项”中选择“高级”页。这里有一个“内存使用”选项,如果将其设置为“系统缓存”(如图2),Windows XP 将使用约4MB的物理内存作为读写硬盘的缓存,这样就可以大大提高物理内存和虚拟内存之间的数据交换速度。默认情况下,这个选项是关闭的,如果计算机的物理内存比较
关 键 字:Windows安全
篇9:windows安全警报怎么关
windows安全警报怎么关
1、打开控制面板。
2、点击系统和安全。
3、点击Windows Defender防火墙。
4、点击启用或关闭WindowsDefender防火墙。
5、选择关闭Windows Defender防火墙(不推荐)和关闭Windows Defender防火墙(不推荐)。选择完成后点击键盘回车键即可。
6、接下来设置通知,打开控制面板后点击“用户账户”。
7、再次点击“用户账户”。
8、点击更改用户帐户控制设置。
9、将其设置为从不通知。设置完成后点击键盘回车键即可完成设置。这样就关闭windows的安全警报了。
篇10:Windows 安全配置工具
文/Microsoft China.
Windows 2000 安全策略
本部分介绍各种安全策略工具及其有关安全策略应用的优先级顺序,默认情况下,组策略具有继承性和累积性,并且影响 Microsoft Active Directory® 容器中的所有计算机。通过使用组策略对象 (GPO) 可以管理组策略,这些组策略对象是在选定 Active Directory 对象(如站点、域或组织单位 (OU))的特定层次结构中附加的数据结构。
创建了这些 GPO 后,可以按照如下标准顺序应用:LSDOU,其表示 (1) 本地、(2) 站点、(3) 域、(4) OU。后应用的策略优先级高于先应用的策略优先级。如果某台计算机属于某一域,并且在域和本地计算机策略之间存在冲突时,则域策略有效。然而,如果某台计算机不再属于某一域,则应用本地组策略。
计算机加入实施 Active Directory 和组策略的域时,会处理本地 GPO。请注意,甚至在指定了“阻止策略继承”选项时,也会处理本地 GPO 策略。
可以在默认域 GPO 本地策略(审核策略、用户权限分配和安全选项)中定义整个域的帐户策略(密码、帐户锁定和 Kerberos 策略),因为在默认域控制器 GPO 中定义了域控制控制器 (DC) 。对于 DC,在默认 DC GPO 中定义的设置优先级高于在默认域 GPO 中定义的设置。这样,如果在默认域 GPO 中配置用户特权(例如,“域中添加工作站”),则对此域中的 DC 没有影响。
存在有在特定 GPO 中允许强制实施组策略的选项,这样可以防止较低级别的 Active Directory 容器中的 GPO 替代此策略。例如,如果在域级别定义了特定 GPO,并指定强制实施 GPO,则 GPO 包含的策略将会应用于此域中的所有 OU;也就是说,较低级别的容器 (OU) 无法替代此域组策略。
注意:帐户策略安全区域接收它在此域计算机中生效的专门处理方式。此域中的所有 DC 接收来自在域节点配置的 GPO 的帐户策略,而不考虑 DC 的计算机对象的位置。这样可确保对于所有域帐户强制实施一致的帐户策略。域中的所有非 DC 的计算机可按照正常的 GPO 层次结构来获得这些计算机上本地帐户的策略。默认情况下,成员工作站和服务器强制实施其本地帐户域 GPO 中配置的策略设置,但如果存在有替代默认设置的更低范围的其他 GPO,则这些设置将会生效。
本地安全策略
使用本地安全策略可以在本地计算机中设置安全要求,
其主要用于单独计算机或用于将特定安全设置应用于域成员。在 Active Directory 托管网络中,本地安全策略设置具有最低优先级。
• 打开本地安全策略
1.以管理员权限登录到计算机。
2.在 Windows 2000 Professional 计算机中,默认情况下“管理工具”不会作为“开始”菜单中的选项进行显示。要在 Windows 2000 Professional 中查看“管理工具”菜单选项,请单击“开始”,指向“设置”,然后单击“任务栏和开始菜单”。在“任务栏和开始菜单属性”窗口中,单击“高级”选项卡。在“开始菜单设置”对话框中选择“显示管理工具”。单击“确定”按钮完成设置。
3.单击“开始”,指向“程序”,再指向“管理工具”,然后单击“本地安全策略”。这样就可以“本地安全设置”控制台。
图 1:本地安全设置 域安全策略
使用域安全策略可以设置和传播域中所有计算机的安全要求。域安全策略替代域中所有计算机的本地安全策略设置。
• 打开域安全策略
1.打开“Active Directory 用户和计算机”管理单元。
2.右键单击要查看的适当的组织单位或域,然后单击“属性”。例如,要查看域安全策略,右键单击域。要查看域控制器策略,右键单击“域控制器”OU。
3.单击“组策略”选项卡。
4.单击“编辑”按钮。
5.展开“Windows 设置”。
6.在“安全设置”树中执行安全配置。
组织单位组策略对象
应该使用 OU 管理域中的安全策略。此域已经与域控制器 OU 一起提供。但是,可以根据需要定义其他 OU。例如,在域级别应该应用基准设置,然后在 OU 级别应用特定设置。这样,可以创建工作站 OU 并将所有工作站置于其中,创建域服务器 OU 并将所有域成员服务器置于其中,等等。
OU GPO 可以替代由前面讨论的策略界面实施的安全策略设置。例如,如果为域设置的策略与为域控制器 OU 配置的相同策略不兼容,则域控制器不会继承域策略设置。通过在创建 OU GPO 时选择“禁止替代”选项,可以避免发生此情况。“禁止替代”选项会强制所有子容器继承来自父容器的策略,即使在这些策略与子容器的策略有冲突以及为子容器设置了“阻止继承”的情况下也是如此。通过单击 GPO 的“属性”对话框上的“选项”按钮,定位“禁止替代”复选框。
其他安全配置界面
为了便于讨论和实施,本文档重点介绍有关通过 Windows 2000 安全策略管理
文档为doc格式
