| 3.利用加密文件系统(EFS),加密文件或文件夹。
Windows Server 2003支持利用EFS技术对任意文件或文件夹进行加密,这是一种核心的文件加密技术,基于NTFS系统,只有NTFS系统的磁盘才能使用此技术。加密后的文件或文件夹就不可被除此用户以外的任何用户访问,而无论你的身份有多高。这样就能更好的保护自己的敏感数据和重要文件。下面以Tools文件夹加密为例介绍。首先右键打开其属性,在“常规”标签里“选择“高级”选项进入高级属性,图12,将“加密内容以便保护数据”框选中并确认,图13。确定后会出现图14所示的选项。如果选择上面一项,则只加密此文件夹,其他用户虽然不能直接访问此文件夹,但可以通过其他途径如直接键入完整路径来访问里面的内容;如果选择下面一项,则此文件夹内所有的文件和文件夹都将被加密。
图 12
图 13
图 14
使用加密文件系统需要注意以下几点:
* 只有在NTFS系统上才支持数据加密,如果被加密的数据被移动到FAT格式的磁盘上,则会自动解密。
* 将非加密的数据移动到已加密的文件夹中,则会被自动加密,而且此过程是不可逆的,即把已加密的文件夹中数据移动到此文件夹外,数据不会自动解密。
* 无法加密系统文件、已被压缩过的数据和Systemroot文件夹(即安装目录的Windows文件夹)。
* 加密数据不能防止被删除或列出目录,具有访问权限的组或用户即可删除或列出已加密数据的目录。所以应结合组或用户权限设置,进一步保护好数据安全。
4.通过“软件限制策略”限制任意程序的使用。
在计算机的日常使用中,我们总是需要限制某些用户执行所有或部分程序,通过设置合理的规则可以锁定系统所有或部分程序的运行。另一方面,随着网络、Internet以及电子邮件在日常生活中的使用日益增多,越来越多的病毒和木马会故意进行伪装来欺骗我们运行它们。而要做出安全的选择来确定某个程序是否安全是非常困难的。“软件限制策略”控制未知或不信任的软件的运行需求,从而从一定程度上达到预防病毒和木马的功效,为营造一个安全的环境提供了条件。接下来,笔者就介绍一下如何设置“软件限制策略”。
从“管理工具”里打开“本地安全设置”,在左侧的窗口里,可以看见“软件限制策略”,打开后里面包含两个选项:“安全级别”和“其他规则”,图15。
图 15
在“安全级别”里,如果选择了“不允许的”作为默认项,会出现一个提示框,图16,确定后,系统会按新的规则将所有的可执行程序设置为禁用,当试图打开程序时会提示错误,图17。这就达到了锁定所有程序的目的。解锁的办法当然就是还原“不受限的”为默认项了。
图 16
图 17
在“其他规则”里,可以定义四种规则来满足不同的需求:证书规则、哈希规则、Internet区域规则、路径规则。这里以“路径规则”来介绍,其他的用法和作用都基本一样。首先在“其他规则”上点右键,选择“新建路径规则”,图18。点“浏览”选好具体的文件夹,在安全级别里选择“不允许的”,然后确定。这样就达到了对所选的文件夹内所有程序锁定的目的。此时如果继续运行此文件夹内的任何程序都回提示错误,图19。同样在这里可以选择某个具体的程序来锁定。
图 18
图 19
介绍了基本的使用方法,但这并不能满足所有的安全需求。有的时候,我们需要只能运行个别程序,硬盘上其他所有的程序都不能运行。如何达到这个目的呢?首先在“安全级别”里把“不允许的”设置为默认,再到“其他规则”里设置想运行的程序路径,并设置安全级别为“不受限的”。这样,除了新规则规定的程序以外,其他一切程序都不能运行。那么如何利用此规则做好病毒和木马的防御工作呢?我们可以在“其他规则”里设置新规则,路径指向邮件附件保存的路径,然后把安全级别设置为“不允许的”即可。
另外,“软件限制策略”和权限没有关系,如果限制了某个程序不能执行,无论你以何身份身份来运行都会提示不能运行。经过处理后的程序对远程登录的用户一样适用。虽然设置适当的安全规则可以从一定程度上防御病毒和木马的袭击,但切不可把“软件限制策略”当成防病毒软件来使用,这只是缓兵之计。
三、高级安全设置
1.禁止不必要的服务,杜绝隐患。
服务从本质上说也只是一个程序而已,它与其他程序所不同的地方在于它提供一种特殊的功能来支持系统完成特定的工作。Windows Server 2003安装完后默认有84项服务,默认随系统启动的有36项。这里面每一项服务是否安全,特别是那些随系统启动的服务是否有被利用的可能性,这对安全来说了非常重要的。在Windows Server 2003发行后不到2个月就被人发现有了一个基于一项默认服务的漏洞,幸好这个漏洞对Windows Server 2003的危害程度较低,而且这项服务默认状态下是关闭的。下面笔者就结合自己的经验,谈一谈如何安全地配置好系统的所有服务。
从“管理工具”里打开“服务”,图20。可以看到系统所有服务的具体情况。这里仅以典型的Remote Registry服务为例介绍,目的在于提供一个安全配置服务的方法。在服务列表里找到Remote Registry服务,可以看到左面空白部分对这一服务的解释为“使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表……”,可以看出,正常情况下并不需要这项服务,而且如果启用这项服务还可能给系统带来安全隐患,所以必须禁用。双击Remote Registry服务进入其属性设置,图21。在“启动类型”里把默认的“自动”修改为“禁用”,最后确定即可。当此服务被关闭后,一切和注册表有关的远程行为都被终止,这也使得一些恶意网页对本地注册表的修改成了泡影,网上的恶意用户也别想对注册表进行修改和设置,大大降低了系统被破坏和被中上木马的几率,达到了维护系统安全的目的。
图 20
图 21
一个有趣的现象是,微软对Windows Installer服务的介绍中,竟然出现了错别字!!呵呵,图22。
图 22
|
