网络安全等级保护：正确配置 Windows系统

正确配置Windows

正确配置 Windows（重点关注Windows 10/11和Windows Server 2019）包含许多方面。必须禁用不必要的服务、正确配置注册表、启用防火墙、正确配置浏览器等等。“防火墙实际应用”讨论了Internet 连接防火墙以及有状态数据包检查和无状态数据包检查的过程，本章后面的部分讨论了浏览器安全性。现在，让我们回顾一下Windows安全配置中的其他重要因素。

账户、用户、组和密码

任何 Windows 系统都带有某些默认用户账户和组。这些通常可能成为想要破解这些账户密码并从而进入服务器或网络的入侵者的起点。只需重命名或禁用其中一些默认账户即可提高您的安全性。

在 Windows 10 中，转到“开始”并输入“账户”。图 1显示的屏幕与您将看到的屏幕类似。

图 1用户和组

您还可以转至控制面板 > 用户账户。您将看到类似于图 2所示的屏幕。

图 2用户账户

通过选择管理账户，可以添加、删除或更改任何用户账户，如图8-3所示。

图 3管理用户账户

管理员账户

默认管理员账户具有管理权限，黑客经常试图获取管理员账户的登录信息。猜测登录是一个双重过程，首先识别用户名，然后识别密码。默认账户允许黑客绕过此过程的前半部分。

管理员应禁用此账户。如果双击任何账户（回想一下之前图3中显示的“用户和组”实用程序），您将能够更改账户类型。该屏幕的具体外观和感觉取决于您如何到达它。通过控制面板将使您看到与在开始时简单地输入用户不同的外观。账户类型如图4所示。

图 4更改账户类型

显然，拥有具有管理权限的账户对于维护服务器是必要的。下一步是添加一个新账户，该账户具有无害的名称（例如 temp_clerk、接待员等），并授予该账户管理权限。这样做会使黑客的任务变得更加困难，因为他必须首先确定哪个账户实际上具有管理权限，然后才能尝试破坏该账户。

一些专家建议简单地重命名管理员账户，或使用具有表明其用途的用户名的管理员账户。这不是本书的推荐，原因如下：

·重点是黑客不应该能够轻易判断哪个用户名具有管理权限。

·简单地将管理员账户重命名为其他名称，但仍表明其管理权限，并不能解决这种情况。

其他账户

我们重点关注管理员账户，因为它是最常成为黑客攻击目标的账户，但 Windows 还包括其他默认用户账户。对所有违约账户进行同样严格的处理是个好主意。任何默认账户都可能成为黑客破坏系统的网关。您应该特别注意的一些账户包括：

·IUSR_Machine name：运行 IIS 时，将为 IIS 创建默认用户账户。它的名称是 IUSR_ 和您的机器的名称。这是黑客试图入侵的常见账户。建议按照为管理员账户建议的方式更改此项。

·ASP.NET：如果您的计算机正在运行 ASP.NET，则会为 Web 应用程序创建默认账户。熟悉 .NET 的黑客可能会针对此账户。

·数据库账户：许多关系数据库管理系统（例如 SQL Server）都会创建默认用户账户。入侵者，尤其是想要获取您的数据的入侵者，可能会瞄准这些账户。

仅供参考：禁用管理账户的替代方法

另一个安全选项是启用默认管理员账户，但将其从管理员组的成员更改为非常受限制的用户账户。然后，必须确保没有任何管理员使用此账户。此时，您可以简单地监视服务器日志以查找登录此账户的尝试。在短时间内重复尝试可能意味着有人试图破坏系统安全。

启用管理员账户并显着减少访问权限并监视任何使用该账户的尝试，为您提供了针对黑客的虚拟陷阱。

当然，必须拥有所有这些服务和其他服务的账户。这里的建议是确保这些账户的名称不明显并且不使用默认账户。

添加任何新账户时，请始终为新账户的用户或组授予执行其工作所需的最少数量和类型的权限，甚至是 IT 员工的账户。以下是一些可能没有想到的限制用户访问/权限的示例：

·PC技术人员不需要数据库服务器的管理权限。尽管她在 IT 部门，但她不需要访问该部门的所有内容。

·管理人员可以使用驻留在Web服务器上的应用程序，但他们当然不应该拥有该服务器的权限。

·仅仅因为程序员开发在服务器上运行的应用程序并不意味着他应该拥有该服务器的完全权限。

·也许这可能是加强 RBAC（基于角色的访问控制）、DAC（自主访问控制）和MAC（强制访问控制）过程的另一个立场。

这些只是设置用户权限时需要考虑的几个示例。请记住：始终为该人员提供完成工作所需的最少访问权限。这个概念通常被称为最小特权，是安全的基石。