Vista，将安全进行到底

发布:admin | 发布时间: 2010年2月17日

微软安全研究员Jeff Jones公布了最新一期操作系统漏洞计分榜，结果显示Windows Vista依然是最安全的桌面操作系统，其次是Windows XP。由此可见，相比Xp而言，Vista无疑是一个非常安全的系统，但安全的定义往往不是绝对的，更何况Vista在默认情况下某些设置也不利于它的安全，下面我们就从点滴着手，将系统安全进行到底。
一、帐户策略，停用省是非。
　　众所周知，很多软件可破解并修改Administrator帐户密码，Vista系统亦如此，因此为避免该问题，要先停用该帐户。首先用一个非Administrator帐户登录系统，依次打开“控制面板”→“管理工具”→“计算机管理”，展开“系统工具”→“本地用户和组”→“用户”，在右侧窗口双击“Administrator”，在打开的“Administrator属性”中，确认已选了“帐户已停用”，接着切换到“隶属于”选项，选“Administrators”，点击“删除”按钮，这样，Administrator帐户就被停用了。
二、权限设置，适度为原则。
建立Vista用户帐户，应尽量减少具有管理员权限的帐户数量，管理员帐户的数量越少，计算机系统受到修改和破坏的几率越少。如果普通权限用户对拥有的权限不满意，管理员可以通过“新建组”或者修改“组权利”的方式，让普通用户权限获得一定程度的权利提升。打开“控制面板”→“管理工具”→“本地安全策略”，打开“本地安全设置”，在随后的窗口中打开“本地策略”→“用户权限分配”，你可以双击“策略”列表中的某个选项，然后再选定某个用户，单击“删除”按钮即可撤销该用户的权限。同理，也可双击“策略”列表中的某选项，在弹出的窗口中点击“添加用户点击”来赋予某个用户权限。
三、密码防范，复杂不易破。
为防止普通用户随意设置密码，管理员应使用安全策略强制他设置符合复杂性要求的密码，以增加破解难度。登录系统，打开“控制面板”→“管理工具”→“本地安全策略”打开“本地安全设置”，点击“帐户策略”→“密码策略”，双击策略列表中“密码必须符合复杂性要求”，在属性窗口中选择“已启用”，点击“确定”按钮，设置完毕后，再双击策略列表中“密码长度最小值”，在属性窗口中设置密码最少为8个字符。
四、巧设锁定，猜猜进不来。
在开始菜单的搜索框输“gpedit.msc”，打开组策略对象编辑器，然后点击“计算机设置”→ “Windows设置” →“安全设置”，编辑本地安全策略，浏览至“帐户策略” →“帐户锁定策略”，接下来双击“帐户锁定阈值”，此项设置触发用户帐户被锁定的登录尝试失败的次数。将登录尝试失败次数设置为 0 -999 之间。Windows Vista接下来将自动为您设置帐户锁定时间与复位帐户锁定计数器的时间间隔，一般而言，我们可使用默认值，当然，您也可根据自己需要修改，修改完毕退出即可。
五、ARP病毒，离我远一点。
　ARP病毒十分猖獗，是危害局域网安全的大敌，我们可以运用Vista的ARP命令达到保护自己，免受ARP病毒的危害。具体操作步骤是：首先，在cmd中输入 arp -d 命令，删除当前网关的IP地址与MAC映射表，然后使用 arp -a 命令更新网关IP与地址与MAC的映射关系，接下来，使用arp -s <网关IP地址> <网关MAC地址>，绑定主机MAC地址与网关，例如：arp -s 192.168.0.2 00-50-56-C0-00-08。
    六、远程维护，安全应考虑。
    许多人喜欢用远程桌面功能，但该功能易给非法攻击者提供入侵“通道”，如何保护好“通道”安全呢？先在系统桌面中，用鼠标逐一单击“开始”→“设置”→“网络连接”，在出现的网络连接界面中找到ADSL连接图标，右击，选择右键菜单中“属性”，打开用户帐户控制界面，单击“继续”，进入目标连接属性窗口，在该窗口单击“共享”选项卡，打开设置页面，将“允许其他网络用户通过此计算机的Internet连接来连接”选中，单击“设置”按钮，进入高级设置界面，将高级设置界面中“远程桌面”选中，单击“确定”退出，如此一来，网络管理员日后管理维护时，安全性就会得到明显保证。
    七、网络钓鱼，防你没商量。
　网络钓鱼危害用户的上网安全，Vista的IE7.0就具有防钓鱼功能，操作如下：首先，运行IE7.0，点击“工具”，在下拉菜单中单击“仿冒网站筛选”，依次展开后，可以看到四个选项。接下来，根据自己的需求在“检查此网站”、“关闭自动网站检查”、“报告此网站”、“仿冒网站筛选设置”这四个选项中进行设置。
    八、防火墙外，非法攻击难。
　　病毒或黑客常通过Ping攻击导致系统瘫痪。为防Ping攻击，我们可巧设系统防火墙：先以特权账号进入，打开控制面板，单击“系统和维护”，在界面中选“管理工具”，打开管理工具窗口，鼠标双击“高级安全Windows防火墙”，单击“继续”，进入高级防火墙安全设置界面，选中界面左侧的“入站规则”，右击，从弹出的菜单中执行“新规则”，将弹出新规则创建窗口，将该窗口中“自定义”选中，单击“下一步”，在其后界面中选“所有程序”，当询问欲将新规则应用到哪些网络协议以及通信端口时，选择“ICMPv4”，单击“下一步”，此时选中“阻止连接”，同时设好应用该规则的场合，最后为新规则命名，重启，这样系统就不会遭Ping攻击了。　　
以上只是笔者在使用过程中的些许体会，当然，相对于XP系统，我们对Vista的认识还不是很多，可能很多的安全问题还没有考虑到，抛砖引玉吧，希望有此类经验的朋友提出更好的方法。