利用组策略阻击黑客

2005年2月17日 　　来源: 个人电脑  

　　网络已经成了现在人们生活的一部分，不过很多人仍然为网络安全而发愁，为什么呢？因为现在智能化的网络安全漏洞扫描越来越多了。除了安装个人防火墙之外，还有没有其他简单的方法来阻截那些“黑客”呢？答案是肯定的：有！

　　对于学过MCSE的人都知道，Windows 2000和XP里组策略的功能十分强大。合理地配置组策略的一些功能 ，完全可以抵挡得住一般的攻击。

　　要打开组策略是很简单的事了，在运行里输入：gpedit.msc。一个友好的界面就出现在你面前了，如图1所示。它给大家的印象很像计算机管理控制台，其实它也属于控制台的一种。不说太多废话了，开始我们的具体配置。在黑客入侵的时候他们经常要在对方的机器上执行一些程序，如：net.exe、cmd.exe和at.exe等，如果我们能禁止这些程序的运行，那么他们就很难入侵我们的机器了。

　　我们来看如何在组策略中禁止运行指定的程序。

　　依次展开“用户配置”→“管理模板”→“系统”子键，此时可以看到一个“不要运行指定的Windows应用程序”选项（图2），双击该项，打开相应的窗口，可以在“说明”选项卡中查看相关说明。在“设置”选项卡中选择“启用”选项（图3），启动禁止运行指定应用程序的功能，单击“不允许的应用程序的列表”后的“显示”按钮，打开列表框，在列表框中单击“添加”，打开“添加项目”窗口（图4），然后在窗口中输入需要禁止运行的程序名（可以不输入路径），“确定”后，该应用程序就会出现在列表框中，最后单击“确定”按钮，关闭窗口，用户的设置即可生效，此后，这些指定的应用程序就不能运行了。

　　我们最好把compmgmt.msc禁用掉，这是计算机管理的控制台（图5）。可防止别人远程连接计算机。

　　光禁止了这些命令是远远不够的，还是不能防范别人对你的扫描，我们要把“帐户锁定策略”配置好（在“开始”菜单的“运行”中输入secpol.msc即可打开“本地安全策略”，在“本地安全策略”的“安全策略”下面可以看到“帐户锁定策略”），如果别人使用简单密码扫描的话，这个策略可以用到，如图所示（图6）。我们可以双击“帐户锁定阀值”，在出现的窗口中（图7），设定几次登陆失败则锁定用户账户（尝试登录失败的次数可设置为1到999之间的值，或者通过将值设置为0指定始终不锁定该帐户。），除非管理员进行了重新设置或该帐户的锁定期已满。这样当别人扫描几次不成功的话，这个帐户将被锁定了。注意，对于使用CTRL+ALT+DELETE或带有密码保护的屏幕保护程序锁定的工作站或计算机上，失败的密码尝试不计入失败的登录尝试次数。

　　再进一步，如果是个人用户，不要为别人提供共享之类的服务。我们可以在组策略中禁止掉它，方法是打开“本地安全策略”→“本地策略”→“用户权利指派”，在右边的窗口中找到“从网络访问此计算机”（图8），双击之，在出现的窗口中根据您的需要进行设定（图9），比方说可以删除其中的某些用户或组。

　　当然，如果你还要想再安全些，那就要拒绝一些端口的访问，我们在默认安装Windows 2000/XP的时候会默认开放一些端口，如135、139，445，如果你安装了IIS，那么开放的就更多了，这个时候我们就要拒绝外部的IP地址来连接我们所开放这些端口了。网络上有这么一条规则：端口开放得越多，就越危险，如果想安全那么就要开放最少的端口。我们如何关闭这些默认的端口呢？其实在组策略中也是很容易实现的，我们就先举个139的例子吧！

　　第一步，在组策略的“计算机配置”→“Windows设置”→“安全设置”中右击“IP安全策略，在本地机器”，在弹出菜单中选择“管理IP筛选器表和筛选器操作”（图10），启动管理IP筛选器表和筛选器操作对话框（图11）。我们要先创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略。

　　第二步，在“管理IP筛选器表”中，按“添加”按钮建立新的IP筛选器；

　　在出现的IP筛选器对话框内，填上合适的名称，我们这儿使用“TCP139”（图12），描述随便填写。单击右侧的“添加…”按钮，启动IP筛选器向导。接着跳过欢迎对话框，点击“下一步”。在“IP通信源”页面中，“源地址(S)”选“任何IP地址”（图13），因为我们要阻止传入的访问。点击“下一步”按钮，在“IP通信目标”页面中“目标地址”选“我的IP地址”（图14），点击“下一步”，在“IP协议类型”页面中选择协议类型为“TCP”（图15），然后点击“下一步”。在“IP协议端口”页面，选择“到此端口”并设置为“139”（图16），其它不变，点击“下一步”，完成操作，关闭IP筛选器列表对话框，会发现TCP139的IP筛选器出现在“管理IP筛选器”列表中。

　　第三步，选择“管理筛选器操作”标签，创建一个拒绝操作：

　　首先单击“添加”按钮，启动“筛选器操作向导”，跳过欢迎页面，然后在筛选器操作名称页面填写名称，比如填写“拒绝”，最后在筛选器操作常规选项页面将行为设置为“阻止”，点击“完成”即可。

　　第四步：关闭“管理IP筛选器表和筛选器操作”对话框，然后创建IP安全策略：

　　1.右击“IP安全策略，在本地机器”，选择“创建IP安全策略”，启动IP安全策略向导。跳过欢迎页面，点击下一步。

　　2.在IP安全策略名称页面，填写合适的IP安全策略名称，这儿我们可以填写“拒绝对TCP139端口的访问”，描述可以随便填写，进入下一步。

　　3.在安全通信要求页面，不选择“激活默认响应规则”，点击下一步。

　　4.在完成页面，选择“编辑属性”，点击“完成”。

　　5.在“拒绝对tcp139端口的访问属性”对话框中进行设置。首先设置规则；单击下面的“添加…”按钮，启动安全规则向导，跳过欢迎页面，点击下一步，在隧道终结点页面，选择默认的“此规则不指定隧道”（图17），点击下一步。在网络类型页面，选择默认的“所有网络连接”（图18），在身份验证方法页面，选择默认的“Active Directory默认值（Kerberos V5协议）”，在IP筛选器列表页面选择我们刚才建立的“TCP139”筛选器（图19），进入下一步。在筛选器操作页面，选择我们刚才建立的“拒绝”操作（图20），进入下一步，在完成页面，不选择“编辑属性”，按确定。

　　6.关闭“拒绝对TCP139端口的访问属性”对话框。

　　第五步，你需要指派和应用IPsec安全策略：

　　缺省情况下，任何IPsec安全策略都未被指派，首先我们要对新建立的安全策略进行指派。在组策略中，右击我们刚刚建立的“拒绝对TCP139端口的访问属性”安全策略，选择“指派”。然后在右边的空白处右击，按“刷新”就可以刷新组策略。学会了对139端口的封锁，对其它端口的封锁就一定会了吧，大家可以自己尝试。

　　最后，对于网页中一些自动执行的隐含程序，我们也可以进行有效的阻止。方法是在“开始”菜单的“运行”中输入“gpedit.msc”，打开组策略窗口，然后选择“计算机配置”→“管理模板”→“Windows组件”→“Internet Explorer”，在右边的窗口中选择“禁用Internet Explorer组件的自动安装”，双击它，然后选择“启用”即可，最后按刷新即可。

　　以上介绍的东西只是组策略的冰山一角而已，还有很多其它的功能有待大家在实践中发现。

http://www.pcpro.com.cn/topic.php?id=4135