[谨防安全策略的五大基本错误]xp本地安全策略在里
XP系统的“本地安全策略”
XP系统的“本地安全策略”XP系统的“本地安全策略”我们单击“控制面板→管理工具→本地安全策略”后,会进入“本地安全策略”的主界面。
在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。
第一、加固系统账户a.禁止枚举账号我们知道,某些具有黑客行为的蠕虫病毒,可以通过扫描Windows 2000/XP系统的指定端口,然后通过共享会话猜测管理员系统口令。
因此,我们需要通过在“本地安全策略”中设置禁止枚举账号,从而抵御此类入侵行为,操作步骤如下:在“本地安全策略”左侧列表的“安全设置”目录树中,逐层展开“本地策略→安全选项”。
查看右侧的相关策略列表,在此找到“网络访问:不允许SAM账户和共享的匿名枚举”,用鼠标右键单击,在弹出菜单中选择“属性”,而后会弹出一个对话框,在此激活“已启用”选项,最后点击“应用”按钮使设置生效。
b.账户管理为了防止入侵者利用漏洞登录机器,我们要在此设置重命名系统管理员账户名称及禁用来宾账户。
设置方法为:在“本地策略→安全选项”分支中,找到“账户:来宾账户状态”策略,点右键弹出菜单中选择“属性”,而后在弹出的属性对话框中设置其状态为“已停用”,最后“确定”退出。
下面,我们再查看“账户:重命名系统管理员账户”这项策略,调出其属性对话框,在其中的文本框中可自定义账户名称(图1)。
第二、指派本地用户权利如果你是系统管理员身份,可以指派特定权利给组账户或单个用户账户。
在“安全设置”中,定位于“本地策略→用户权利指派”,而后在其右侧的设置视图中,可针对其下的各项策略分别进行安全设置(图2)。
例如,若是希望允许某用户获得系统中任何可得到的对象的所有权:包括注册表项、进程和线程以及NTFS文件和文件夹对象等(该策略的默认设置仅为管理员)。
首先应找到列表中“取得文件或其他对象的所有权”策略,用鼠标右键单击,在弹出菜单中选择“属性”,在此点击“添加用户或组”按钮,在弹出对话框中(图3)输入对象名称,并确认操作即可。
XP防黑安全策略
主题:系统防黑安全设置测试环境:Windows xp 系统常在网上漂..谁能不中招?现在互联网不断普及,很多网站都存在病毒及恶意软件;如果大家上了这些有病毒的网站,将导致自己成为别人的肉鸡,甚至自己的密码网银被盗等……相信大家都很郁闷中马之后的破电脑吧,很慢很纠结。
今天就教大家如何来拯救我们的电脑!首先,建议打上系统补丁,微软那些没完没了的补丁还是很有用的!其次,我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。
在上网时打开它们,这样即便有黑客进攻我们,安全也是有保证的。
把自己系统的微软补丁打全了,就不中了,除非是0day;在上不能确定的网址的时候禁止ActiveX和JS;有能力用虚拟机上网。
一、安全设置之——拒绝网马1、在命令提示符下输入"regsvr32.exe shell32.dll /u/s",然后回车就OK了....意思是说,即使我们IE有漏洞,木马被下载下来也不会被执行.不管你的IE有没有打补丁,我们的电脑就不会再沦为别人的肉鸡了.以后我们如果还需要使用Shell.application控件就可以在命令提示符下输入"regsvr32.exe shell32.dll /i/s"重新注册这个控件即可.2、网页木马默认的临时路径:C:\Documents and Settings\Administrator\Local Settings\TempC:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files这目录都是浏览网页留下的COOK临时文件夹,一般网页木马就是临时保存在这个路径,我们可以通过限制让木马在这个临时路径,不让木马执行;如果木马保存在这个路径,但没有执行,那么电脑是不会中病毒的。
如何限制?执行“控制面板”——“本地安全策略”——“软件限制策略”;第一次设置的时候会没有刚才的东西,只要你在右击“软件限制策略”就有东东让你添加啦;让我们继续操作;“其他规则”;在“其他规则”上右键选择“新路径规则”添加我们要防范木马的路径!我们把刚才所说的网页木马临时保存的路径限制一下,无论用户的访问权如何,软件都不会运行。
系统本地安全策略
3、只开放服务需要的端口与协议。
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口.
常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3(邮件服务)。
关闭139端口的方法是在“网络和拨号连接”——“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
对于个人用户来说,可以在以上各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动后端口再次打开。现在你不用担心你的端口和默认共享了。
⑤只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
⑥预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法,而Windows 2000/2003应付的方法很简单。Windows 2000/2003自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。如果没有上面这些服务就没有必要打开这些端口。
4、禁止建立空连接
Windows 2000/XP的默认安装允许任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接:
配置本地安全策略
定期进行安全漏洞扫描,发现漏洞及时修复,减少系统被攻击的 风险。
网络访问控制
通过VPN、VLAN等手段,对网络进行分区隔离,实现对网络资 源的合理管控。
03
配置本地安全策略的步骤
分析当前安全状况
要点一
确定网络拓扑结构
要点二
识别关键资产
了解当前网络环境,包括服务器、工 作站、路由器等设备的分布和连接方 式。
05
结论
配置本地安全策略的意义
保障计算机系统安全性
配置正常运行和数据 安全。
提高网络安全性
通过配置本地安全策略,可以加强对网络访问和数据传输的安全管理,有效防止网络攻击 和数据泄露。
保护个人隐私
配置本地安全策略可以限制不必要的网络连接和数据传输,降低个人隐私泄露的风险。
密码至少包含8个字符,且包 含大写字母、小写字母、数字
和特殊字符。
密码定期更换
要求用户每90天更换一次密码, 降低密码被破解的风险。
密码使用规范
禁止使用常用密码、生日等容易被 猜到的密码,规范密码的使用行为 。
网络安全策略
网络安全架构设计
设计合理的网络安全架构,部署防火墙、入侵检测系统等安全设 备。
未来发展及趋势
01
加强数据加密
随着网络攻击手段的不断升级,数据加密技术将越来越受到重视,未
来的安全策略将更加注重数据加密技术的运用。
02
AI赋能安全策略
随着人工智能技术的不断发展,AI将赋能安全策略,通过智能分析、
自动防御等技术提高安全策略的效率和精准度。
03
全面风险管理
未来的安全策略将更加注重全面风险管理,通过对各个方面的风险进
加强内部管控
Win XP本地安全策略(secpol.msc)四大应用技巧
[img]/catchpic/D/D2/D2F99D70AC80C65EEE2DF3188AC12B1A.jpg[/img]
三、活用IP策略
我们知道,无论是木马、后门,还是漏洞、嗅探,大多都是通过端口作为通道。
因此,我危险端口的资料,以做到有备而战。
一、加固系统账户
1.禁止枚举账号
我们知道,某些具有黑客行为的蠕虫病毒,可以通过扫描Windows 2000/XP系统的指定端口,然后通过共享会话猜测管理员系统口令。因此,我们需要通过在“本地安全策略”中设置禁止枚举账号,从而抵御此类入侵行为,操作步骤如下:
在“本地安全策略”左侧列表的“安全设置”目录树中,逐层展开“本地策略→安全选项”。查看右侧的相关策略列表,在此找到“网络访问:不允许SAM账户和共享的匿名枚举”,用鼠标右键单击,在弹出菜单中选择“属性”,而后会弹出一个对话框,在此激活“已启用”选项,最后点击“应用”按钮使设置生效。
此外,通过“本地安全设置”,还可以进行通过设置“审核对象访问”,跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件。诸如此类的安全设置,不一而足。大家在实际应用中会逐渐发觉“本地安全设置”的确是一个不可或缺的系统安全工具。
[[i] 本帖最后由 saly 于 2007-6-7 09:28 编辑 [/i]]
2.账户管理
为了防止入侵者利用漏洞登录机器,我们要在此设置重命名系统管理员账户名称及禁用来宾账户。设置方法为:在“本地策略→安全选项”分支中,找到“账户:来宾账户状态”策略,点右键弹出菜单中选择“属性”,而后在弹出的属性对话框中设置其状态为“已停用”,最后“确定”退出。
下面,我们再查看“账户:重命名系统管理员账户”这项策略,调出其属性对话框,在其中的文本框中可自定义账户名称(图1)。
哪里出了问题
哪里出了问题一、guest账户导致的问题多数的共享问题与guest帐户有关。
首先关于guest为什么不能访问的问题:1、默认情况下,xp 禁用guest帐户2、预设情况下,xp的本地安全策略严禁guest用户从网络出访。
如果满足用户以下条件中的一个,就可能将出现此问题:(1)guest、everyone和guests三个帐户中,其中任意一个帐户具有“拒绝从网络访问这台计算机”的登录权利。
(2)guest、everyone和guests三个帐户中,都不具备“从网络出访此计算机”的登入权利。
所以,恳请从已经开始--运转--gpedit.msc--计算机布局--windows设置--安全设置--本地策略--“用户权力指派”,双击右边的“从网络出访此计算机”,确保其中存有everyone,双击左边的“婉拒从网络出访此计算机”,确保其就是觑的。
3、默认情况下,xp的本地安全策略 -> 安全选项里,"帐户:使用空密码用户只能进行控制台登陆"是启用的,也就是说,空密码的任何帐户都不能从网络访问只能本地登陆,guest默认空密码。
所以,最简单的方法就是:不用启用guest,仅修改上面的安全策略“网络访问:本地账户的共享和安全模式”为"经典:本地用户以自己的身份验证"就行了。
别的系统访问xp就可以自己输入帐户信息。
当然,如果需要使用guest用户访问xp的话,要进行上面的三个设置:启用guest、修改安全策略允许guest从网络访问、禁用3里面的安全策略或者给guest加个密码。
二、发生改变网络出访模式打开简单文件共享时,xp是把从网络登录的所有用户都按来宾账户处理的,请更改网络的访问模式。
打开我的电脑→工具→文件夹选项→查看→去掉“使用简单文件共享(推荐)”选项; 这样即使不开启guest,你也可以通过输入本地的账户和密码来登录你要访问的计算机,本地的账户和密码为你要访问的计算机内已经建立的账户和密码。
本地安全策略打不开问题
本地安全策略打不开问题在Windows系统中,本地安全策略是一个很重要的工具,它可以帮助我们管理系统的安全性。
但是有时候我们会遇到本地安全策略打不开的问题,这会给我们带来很多不便。
本文就为大家介绍一下本地安全策略打不开的原因和解决方法。
一、本地安全策略打不开的原因1.权限不足当我们尝试打开本地安全策略时,系统可能会提示我们权限不足的信息。
这很可能是因为我们没有管理员权限,或者我们的账户所属的用户组没有权限访问本地安全策略。
2.本地安全策略服务未启动本地安全策略是依赖于一个名为“安全帐户管理器”的服务的。
如果我们的系统中安全帐户管理器服务未启动,那么就无法访问本地安全策略。
3.系统故障有时候我们会遇到系统故障的情况,这也可能会导致本地安全策略打不开。
例如,我们的Windows系统文件被破坏或丢失,就可能会导致本地安全策略无法正常打开。
二、本地安全策略打不开的解决方法1.提升权限当我们遇到权限不足的问题时,我们需要提升我们的权限。
我们可以尝试使用管理员账户登录系统,或者使用“以管理员身份运行”功能来打开本地安全策略。
2.启动安全帐户管理器服务如果我们的系统中安全帐户管理器服务未启动,那么我们需要启动这个服务。
我们可以打开Windows服务管理器,找到安全帐户管理器服务,然后将其启动。
3.修复系统文件如果我们的系统文件出现了故障,那么我们需要修复这些文件。
我们可以尝试使用Windows自带的SFC(System File Checker)工具来修复系统文件。
4.使用系统还原如果我们的系统文件无法修复,那么我们可以考虑使用系统还原功能。
我们可以选择一个适当的还原点,将系统恢复到以前的状态。
总结本地安全策略是一个很重要的工具,它可以帮助我们管理系统的安全性。
当我们遇到本地安全策略打不开的问题时,我们需要先找出问题的原因,然后采取相应的解决方法。
希望这篇文章可以帮助大家解决本地安全策略打不开的问题。
在Windows XP默认的安全策略中
w i n d o w s x p操作系统默认的安全策略中,只有管理员组的用户才有权从远端进行远程关机或者远程重启计算机,一般情况下从局域网内其他电脑访问该计算机时,都只有g u e s t用户权限,所以当我们执行上述命令进行局域网远程关机或是局域网远程重启时,便会出现―拒绝访问‖的情况。
那么我们要如何远程关机呢?怎么样简单的实现远程关机操作呢?其实一般我们可以使用远程关机命令和远程关机软件来进行局域网的远程关机或重启操作。
比如可利用w i n d o w s x p的―组策略‖或―管理工具‖中的―本地安全策略‖来实现。
下面以―组策略‖为例进行介绍w i n d o w s x p远程关机的实现方法:w i n d o w s x p远程关机1、单击―开始‖按钮,选择―运行‖,在对话框中输入―g p e d i t.ms c‖,然后单击―确定‖,即可打开组策略编辑器。
2、在―组策略‖窗口的左侧窗格中逐级展开―计算机配置‖→―w i n d o w s设置‖→―安全设置‖→―本地策略‖→―用户权利指派‖。
3、在―组策略‖窗口的右侧窗格中选择―从远端系统强制关机‖,通过双击将其打开。
4、在弹出的对话框中显示目前只有―a d mi n i s t r a t o r s‖组的成员才有权从远程关机;单击对话框下方的―添加用户或组‖按钮,然后在新弹出的对话框中输入―g u e s t‖,再单击―确定‖按扭。
5、这时在―从远端系统强制关机‖的属性中便添加了一个―g u e s t‖用户,单击―确定‖即可。
6、关闭―组策略‖窗口。
通过上述操作后,我们便给计算机s u n b i r d的g u e s t用户授予了远程关机的权限。
以后,倘若您要远程关闭计算机s u n b i r d,只要在网络中其他装有w i n d o w s x p的计算机中输入以下命令即可:s h u t d o w n-s–m \\s u n b i r d-t30(其他参数用法同上)这时,在s u n b i r d计算机的屏幕上将显示一个―系统关机‖的对话框,提示―系统即将关机。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[谨防安全策略的五大基本错误]xp本地安全策略在里企业在编写及实施安全策略时,通常会犯以下五个基本错误。
安全策略旨在提供三大作用:一是保护数据、客户、员工和技术系统;二是定义公司在安全方面的立场;三是尽量减小公司内外的风险,并且万一出现泄密后,尽量减小给公众留下的不利影响。
制订及发布安全策略不仅仅是个好主意,美国的有关法律还规定公司必须这么做,这些法规包括支付卡行业数据安全标准(PCI)、《健康保险可携性及责任性法案》(HIPAA)以及《联邦信息安全管理法案》(FISMA)等。
但企业在编写及实施安全策略时,通常会犯以下五个基本错误。
尽管其中一些错误听上去很可笑,但它们还是会频频发生,这会给许多企业带来重大影响。
错误一
没有制订安全策略
这是一个最大的基本错误。
实际情况是,很多企业根本没有任何安全策略,有的只是制订了“含蓄策略”――所谓的“含蓄策略”
指虽然经过管理班子的正式讨论,但是没有正式成文,也没有发布给任何人。
这种粗心大意的做法不但留下了安全弱点,企业还有可能违反了法律要求,因为有些法规明确要求公司合理编写及发布安全策略。
当然,一旦策略正式制订完毕,企业常常会发现自己的系统在很多地方都违反了策略。
这没有什么好奇怪的,这表明安全策略并不是完全围绕当前的IT运营标准来制订的。
这就意味着,除了安全策略外,公司还必须把当前系统存在的缺陷记入文档,并且评估改正这些缺陷以便让系统符合新策略要求所需的成本。
错误二
没有更新安全策略
假设你没有犯前面第一个错误,就要留意这个关键的第二点了:单单拥有精心编写的安全策略还不足以改善安全状况。
公司网络和业务流程将来会出现一些变动,这是不可避免的。
安全风险和法规遵从要求也会发生变化。
所以,随着安全威胁和企业环境不断变化,安全策略也要随之变化。
更新安全策略的理由有:部署了新技术(或者处置过期的软件或硬件);出现新的法规要求或者法规要求内容有所更新;公司不断发展;企业合并或重组给系统带来了新的数据和用户;出现了新的业务系列或者商业惯例……实际上,只要公司安全策略保护的各环节出现了任何变化,都要更新安全策略。
如果出现诸如此类的变化后,公司却没有定期评估及更新安全策略,它们的威胁状况就有可能出现门户大开的情况,成了安全方面容易遭到攻击的对象;就算拥有“全新”的安全策略文档,也是如此。
错误三
没有跟踪执行情况
如果你已经落实了安全策略,并且定期更新了策略,这表明你已往理想的安全策略迈出了重要的两步。
但你还是会犯其他错误!
如果公司没有跟踪安全策略是否得到了执行,甚至没有跟踪员
工是不是意识到策略规定的条文,那么安全策略实际上是没有用的,有时甚至从法律上来说是没有用的。
首先,为了能执行安全策略,企业必须确保安全策略发布给了所有员工,并且定期进行安全意识培训,特别是在策略加以更新的时候。
另外为了确保策略的实用性,日常的监控活动必不可少。
通过日志恐怕是跟踪安全策略执行情况最有效的方法。
搜集和
分析日志数据将有助于了解IT环境中出现的情况。
如果一名员工把
与工作有关的电子邮件发送到个人账户,或者试图访问不在权限范围之内的数据,或者企业外面的黑客屡次企图登录企业服务器,但都未得逞……这些事件都会一一被记录到日志中。
通过日志跟踪用户和系统的活动,并将这些数据与安全策略规定的条文进行对比,这才是客观地评估日常安全策略执行情况的最佳方法。
错误四
只考虑了技术方面
假设你避开了上面所述的前三个陷阱,另一个常见错误涉及安
全策略的重点。
如果某项安全策略仅仅包括技术安全(如密码的复杂性、防火
墙规则、IPS警报和反病毒软件更新等),而忽视了人员及其活动方面,公司就很容易遭到“软”威胁的攻击。
软威胁包括:内部人员滥用权限、个人擅自使用企业的计算资源等。
虽然描述技术保护措施,并确保这些技术措施以安全策略为准绳,而不是临时仓促部署很重要,但安全策略必须同时包括“人员、流程和技术”这三个方面。
另外,日志数据对于这三者之间的平衡关系很重要,因为系统
活动(如系统重启动、自动更新及阻止攻击)和用户活动(如日常
IT任务和物理安全)都记录在日志当中,可以拿来与安全策略做对照,也可以拿来证明违反还是遵从了安全策略。
错误五
内容冗长难操作
简而言之,编写的安全策略要让必须遵守该策略的那些人容易理解。
如果编写的安全策略满眼是深奥难解的法律术语,而且长达上百页,大多数员工甚至不想了解策略规定的内容,那么,违反策略的情况肯定会随时发生。
同样,要是编写的策略过于严格,禁止大多数员工完成日常工作所要做的事情,大多数员工就有可能不遵从这项策略。
落实策略之前,需要进行教育工作。
因而,一开始就制订内容明确、容易理解的策略,这对将来提高遵从策略的水平有很大的帮助。
总的来说,安全策略要能够达到预期目的,就必须编写清楚,而且根据需要加以更新。
安全策略必须包括技术和非技术方面。
最后,还应当监控安全策略的执行情况。
(沈建编译)
内容仅供参考。