以下操作用于独立使用的个人Windows系统,并不完全适用于Windows域中的系统。
(1)安装操作系统(如果需要的话)。
应该在一个受保护的网络环境中安装操作系统。这个网络可以是一个完全独立的网络,使用可移动的媒介(如光盘和U盘)把操作系统镜像和所有可用的补丁包传输过来,也可以是一个访问受限的广域网。理想情况下,系统禁止入站访问,而出站访问仅仅能访问系统安装和打补丁所需要的关键站点。
初始安装应该仅安装系统所需的最少组件,以及系统正常工作所需的额外的软件包。
(2)启用Windows更新。
Windows系统安装完毕,默认情况下系统更新是自动运行的。如果没有启用,在Windows 7下,可以通过以下操作启动它:“控制面板”→“系统和安全”→“Windows Update”→“更改设置”→“自动安装更新(推荐)”,如图6-7所示。
图6-7 配置Windows自动安装更新
(3)移除不需要的服务、应用和协议。
① 删除服务。
通过以下操作查看系统安装的服务:点击“控制面板”→“系统和安全”→“管理工具”→“服务”,如图6-8所示。
图6-8 服务窗口
找到不需要的服务,如“Windows Media Center Receiver Service”和“Windows Media Center Scheduler Service”。查看要删除的服务的名称。方法如下:选中要删除的服务“Windows Media Center Receiver Service”,单击右键,选择“属性”,弹出服务属性窗口,如图6-9所示。该服务的服务名称是“ehRecvr”。
图6-9 服务属性对话框
以管理员身份打开命令提示符窗口,输入如下格式的命令:sc delete "服务名称"(如果服务名中有空格,则使用双引号,双引号必须是为英文符号),如图6-10所示,显示删除成功。使用同样的方法删除其他不需要的服务。再次查看系统安装的服务,会发现刚才删除的服务已经没有了。
图6-10 删除指定的服务
② 删除应用。方法如下:点击“控制面板”→“程序”→“卸载程序”,然后单击需要卸载的程序,单击“卸载”按钮。
③ 删除协议。
这里主要指通信协议。方法如下:点击“控制面板”→“网络和Internet”→“网络和共享中心”→“更改适配器设置”,选择一个网络连接,打开其“属性”对话框,如图6-11所示。选择不需要的协议,如“可靠多播协议”,然后单击“卸载”按钮。
图6-11 网络连接属性对话框
(4)配置用户、组及权限。
一般情况下,Windows 7默认有两个账户,一个是管理员账户,一个是来宾账户,并且来宾账户是禁用的,默认情况下管理员账号以普通用户的身份访问系统。这是比较安全的设置。如果管理员账户的名称是Administrator,应该改成其他名称。方法如下:点击“控制面板”→“用户账户和家庭安全”→“用户账户”→“管理其他账户”,然后单击“Administrator”账户,选择“更改账户名称”,给出新的名称即可。
应该给系统中的所有账户设置复杂的口令(或密码),还可以通过本地安全策略中的密码策略,强制要求系统中的所有账户必须使用复杂的口令,甚至设置每个口令的最短和最长使用期限等。可以通过如下方法找到“密码策略”:点击“控制面板”→“系统和安全”→“管理工具”→“本地安全策略”→“账户策略”→“密码策略”,如图6-12所示。
如果要在系统中创建多个账户和组,可以通过以下方式创建:点击“控制面板”→“系统和安全”→“管理工具”→“计算机管理”→“本地用户和组”,如图6-13所示。组可将用户集合起来,用于管理和共同资源的授权。以下是创建、使用账户和组的基本原则:
① 为每个用户创建一个唯一的账户,为每个账户分配完成工作的最小特权。
② 根据用户可访问的资源的种类,创建几个资源组。
③ 根据用户对资源的访问权限,将各个用户账户添加到相应的资源组中。
④ 根据用户可访问的资源的种类,创建相应的文件夹并为资源组分配恰当的权限,将各个资源放入相应的文件夹中。(www.daowen.com)
图6-12 密码策略
图6-13 创建、管理用户和组
一般来说,独立使用的个人Windows系统较少创建多个账户和组。
(5)配置资源控制。
使用如图6-12所示的安全策略,对用户的特权、用户可运行的软件等进行限制。一般来说,独立使用的个人Windows系统较少进行此类配置。
(6)安装和配置额外的安全控制。
Windows 7为我们提供了防火墙工具和反间谍软件工具,如图6-14和图6-15所示。启用它们基本上可以阻止大多数攻击或恶意软件。
当然,如果希望系统得到更加全面的保护,则需要安装功能全面的专业安全工具了,如AVG安全软件,如图6-16所示。
图6-14 Windows 高级防火墙
图6-15 反间谍软件工具Windows Defender
图6-16 AVG软件主界面
(7)测试基本的操作系统安全,确保上述步骤充分满足安全需求。
可以使用微软的MBSA(Microsoft Baseline Security Analyzer)工具进行测试。该工具可以:
① 检测一台或多台计算机中潜在的安全问题。
② 检测操作系统中未应用的关键更新。
③ 使用微软的安全更新数据库分析计算机。
④ 收集找到的漏洞,可以使用微软的安全基线分析工具生成分析报告。
图6-17所示为MBSA的界面。单击“Scan a computer”,显示如图6-18所示。单击“Start Scan”开始扫描,扫描分析结果如图6-19和图6-20所示。
图6-17 MBSA软件主界面
图6-18 MBSA扫描单台计算机选项
图6-19 MBSA扫描结果(1)
图6-20 MBSA扫描结果(2)
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。