利用组策略阻击黑客
2005年2月17日 来源: 个人电脑网络已经成了现在人们生活的一部分,不过很多人仍然为网络安全而发愁,为什么呢?因为现在智能化的网络安全漏洞扫描越来越多了。除了安装个人防火墙之外,还有没有其他简单的方法来阻截那些“黑客”呢?答案是肯定的:有!
对于学过MCSE的人都知道,Windows 2000和XP里组策略的功能十分强大。合理地配置组策略的一些功能 ,完全可以抵挡得住一般的攻击。
要打开组策略是很简单的事了,在运行里输入:gpedit.msc。一个友好的界面就出现在你面前了,如图1所示。它给大家的印象很像计算机管理控制台,其实它也属于控制台的一种。不说太多废话了,开始我们的具体配置。在黑客入侵的时候他们经常要在对方的机器上执行一些程序,如:net.exe、cmd.exe和at.exe等,如果我们能禁止这些程序的运行,那么他们就很难入侵我们的机器了。
我们来看如何在组策略中禁止运行指定的程序。
依次展开“用户配置”→“管理模板”→“系统”子键,此时可以看到一个“不要运行指定的Windows应用程序”选项(图2),双击该项,打开相应的窗口,可以在“说明”选项卡中查看相关说明。在“设置”选项卡中选择“启用”选项(图3),启动禁止运行指定应用程序的功能,单击“不允许的应用程序的列表”后的“显示”按钮,打开列表框,在列表框中单击“添加”,打开“添加项目”窗口(图4),然后在窗口中输入需要禁止运行的程序名(可以不输入路径),“确定”后,该应用程序就会出现在列表框中,最后单击“确定”按钮,关闭窗口,用户的设置即可生效,此后,这些指定的应用程序就不能运行了。
我们最好把compmgmt.msc禁用掉,这是计算机管理的控制台(图5)。可防止别人远程连接计算机。
光禁止了这些命令是远远不够的,还是不能防范别人对你的扫描,我们要把“帐户锁定策略”配置好(在“开始”菜单的“运行”中输入secpol.msc即可打开“本地安全策略”,在“本地安全策略”的“安全策略”下面可以看到“帐户锁定策略”),如果别人使用简单密码扫描的话,这个策略可以用到,如图所示(图6)。我们可以双击“帐户锁定阀值”,在出现的窗口中(图7),设定几次登陆失败则锁定用户账户(尝试登录失败的次数可设置为1到999之间的值,或者通过将值设置为0指定始终不锁定该帐户。),除非管理员进行了重新设置或该帐户的锁定期已满。这样当别人扫描几次不成功的话,这个帐户将被锁定了。注意,对于使用CTRL+ALT+DELETE或带有密码保护的屏幕保护程序锁定的工作站或计算机上,失败的密码尝试不计入失败的登录尝试次数。
再进一步,如果是个人用户,不要为别人提供共享之类的服务。我们可以在组策略中禁止掉它,方法是打开“本地安全策略”→“本地策略”→“用户权利指派”,在右边的窗口中找到“从网络访问此计算机”(图8),双击之,在出现的窗口中根据您的需要进行设定(图9),比方说可以删除其中的某些用户或组。
当然,如果你还要想再安全些,那就要拒绝一些端口的访问,我们在默认安装Windows 2000/XP的时候会默认开放一些端口,如135、139,445,如果你安装了IIS,那么开放的就更多了,这个时候我们就要拒绝外部的IP地址来连接我们所开放这些端口了。网络上有这么一条规则:端口开放得越多,就越危险,如果想安全那么就要开放最少的端口。我们如何关闭这些默认的端口呢?其实在组策略中也是很容易实现的,我们就先举个139的例子吧!
第一步,在组策略的“计算机配置”→“Windows设置”→“安全设置”中右击“IP安全策略,在本地机器”,在弹出菜单中选择“管理IP筛选器表和筛选器操作”(图10),启动管理IP筛选器表和筛选器操作对话框(图11)。我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略。
第二步,在“管理IP筛选器表”中,按“添加”按钮建立新的IP筛选器;
在出现的IP筛选器对话框内,填上合适的名称,我们这儿使用“TCP139”(图12),描述随便填写。单击右侧的“添加…”按钮,启动IP筛选器向导。接着跳过欢迎对话框,点击“下一步”。在“IP通信源”页面中,“源地址(S)”选“任何IP地址”(图13),因为我们要阻止传入的访问。点击“下一步”按钮,在“IP通信目标”页面中“目标地址”选“我的IP地址”(图14),点击“下一步”,在“IP协议类型”页面中选择协议类型为“TCP”(图15),然后点击“下一步”。在“IP协议端口”页面,选择“到此端口”并设置为“139”(图16),其它不变,点击“下一步”,完成操作,关闭IP筛选器列表对话框,会发现TCP139的IP筛选器出现在“管理IP筛选器”列表中。
第三步,选择“管理筛选器操作”标签,创建一个拒绝操作:
首先单击“添加”按钮,启动“筛选器操作向导”,跳过欢迎页面,然后在筛选器操作名称页面填写名称,比如填写“拒绝”,最后在筛选器操作常规选项页面将行为设置为“阻止”,点击“完成”即可。
第四步:关闭“管理IP筛选器表和筛选器操作”对话框,然后创建IP安全策略:
1.右击“IP安全策略,在本地机器”,选择“创建IP安全策略”,启动IP安全策略向导。跳过欢迎页面,点击下一步。
2.在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写“拒绝对TCP139端口的访问”,描述可以随便填写,进入下一步。
3.在安全通信要求页面,不选择“激活默认响应规则”,点击下一步。
4.在完成页面,选择“编辑属性”,点击“完成”。
5.在“拒绝对tcp139端口的访问属性”对话框中进行设置。首先设置规则;单击下面的“添加…”按钮,启动安全规则向导,跳过欢迎页面,点击下一步,在隧道终结点页面,选择默认的“此规则不指定隧道”(图17),点击下一步。在网络类型页面,选择默认的“所有网络连接”(图18),在身份验证方法页面,选择默认的“Active Directory默认值(Kerberos V5协议)”,在IP筛选器列表页面选择我们刚才建立的“TCP139”筛选器(图19),进入下一步。在筛选器操作页面,选择我们刚才建立的“拒绝”操作(图20),进入下一步,在完成页面,不选择“编辑属性”,按确定。
6.关闭“拒绝对TCP139端口的访问属性”对话框。
第五步,你需要指派和应用IPsec安全策略:
缺省情况下,任何IPsec安全策略都未被指派,首先我们要对新建立的安全策略进行指派。在组策略中,右击我们刚刚建立的“拒绝对TCP139端口的访问属性”安全策略,选择“指派”。然后在右边的空白处右击,按“刷新”就可以刷新组策略。学会了对139端口的封锁,对其它端口的封锁就一定会了吧,大家可以自己尝试。
最后,对于网页中一些自动执行的隐含程序,我们也可以进行有效的阻止。方法是在“开始”菜单的“运行”中输入“gpedit.msc”,打开组策略窗口,然后选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”,在右边的窗口中选择“禁用Internet Explorer组件的自动安装”,双击它,然后选择“启用”即可,最后按刷新即可。
以上介绍的东西只是组策略的冰山一角而已,还有很多其它的功能有待大家在实践中发现。
http://www.pcpro.com.cn/topic.php?id=4135
页:
[1]