CN1652498A - 视窗操作系统安全定制的方法及装置 - Google Patents
视窗操作系统安全定制的方法及装置 Download PDFInfo
- Publication number
- CN1652498A CN1652498A CN 200410004116 CN200410004116A CN1652498A CN 1652498 A CN1652498 A CN 1652498A CN 200410004116 CN200410004116 CN 200410004116 CN 200410004116 A CN200410004116 A CN 200410004116A CN 1652498 A CN1652498 A CN 1652498A
- Authority
- CN
- China
- Prior art keywords
- module
- user
- option
- security
- setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种视窗操作系统安全定制的方法,用于对与视窗操作系统(Windows)安全性有关的选项进行配置;该方法为:启动安全定制装置生成具有安全定制选项的设置界面;通过所述设置界面接受用户的安全定制操作;根据用户操作的安全定制选项,自动调用Windows操作系统提供的应用编程接口(API)对相应的Windows操作系统中的安全选项进行设置。
Description
技术领域
本发明计算机安全技术,尤其涉及视窗操作系统(Windows操作系统)安全定制的方法及装置。
背景技术
随着计算机和网络的普及,安全的挑战日益严峻。安全风险来自于利用系统的脆弱点。导致脆弱点的重要原因之一是操作系统及其自带的应用程序存在缺陷。操作系统启用了许多工具和服务,而这些工具和服务在给用户提供方便的同时也留下了各种安全漏洞。当以这种方式配置的计算机连接到网络中时,极有可能遭到黑客的攻击。众所周知,视窗操作系统(Windows操作系统)就存在许多这样的漏洞。
针对Windows操作系统,传统的应对措施无非有两种:
措施一,不停地更新Microsoft发布的Windows补丁。
措施二,利用Windows操作系统自带的工具通过手工方式对安全项进行设置,如修改帐号及其权限、修改文件访问权限、停止服务、禁止端口、修改注册表选项等等。
传统的应对措施有如下几个明显的缺点:
措施一:
从漏洞被发现,到引起Microsoft注意,到Microsoft发布补丁,到系统管理员给系统打补丁,每一个环节都需要一段时间,而在这整个过程中系统处于不设防状态。
通常,Microsoft发布补丁不会通知到用户。因此,用户需要定期扫描相关网站以发现最新的补丁,这往往使系统管理员疲于奔命。
措施二:
由于操作系统的漏洞多,手工操作不仅费时费力,而且容易出错,同时需要相当的专业知识;更糟的是,一旦重装系统,所有过程都得重来一遍。因此,工作量大而且效率低。
发明内容
本发明的目的在于提供一种视窗操作系统安全定制的方法及装置,以方便快捷地对Windows操作系统进行安全定制操作。
视窗操作系统安全定制的方法,用于对与视窗操作系统安全性有关的选项进行配置;该方法包括步骤:
启动安全定制装置生成具有安全定制选项的设置界面;
通过所述设置界面接受用户的安全定制操作;
根据用户操作的安全定制选项,自动调用Windows操作系统提供的应用编程接口(API)对相应的Windows操作系统中的安全选项进行设置。
其中:
在调用Windows操作系统提供的API之前,从与用户操作的安全定制选项对应的配置文件中获取配置信息。
所述的安全定制选项包括文件目录的访问权限设置、注册表键的访问权限设置、注册表键值设置、通信端口设置、Internet信息服务设置、帐号检查和规则设置、审计规则设置和目录共享设置中的一项或多项。
在对注册表键的访问权限、注册表键值、帐号检查和规则进行设置前备份原配置数据,当需要使系统复到安全定制前的状态时根据备份文件的内容进行恢复设置。
所述设置界面上提供每一安全定制选项的功能说明;或当用户操作安全定制选项时动态显示该选项功能说明。
一种视窗操作系统安全定制装置,用于对与视窗操作系统(Windows)安全性有关的选项进行配置,其中该工具包括:设置界面模块,以及由文件目录的访问权限设置模块、注册表键的访问权限设置模块、注册表键值设置模块、通信端口设置模块、Internet信息服务设置模块、帐号检查和规则设置模块、审计规则设置模块和目录共享设置模块中的一项或多项构成的安全设置模块;所述设置界面模块用于提供安全定制选项并接受用户的操作,并根据用户操作的选项触发对应的安全设置模块;所述文件目录的访问权限设置模块用于严格化缺省的文件目录访问权限;所述注册表键的访问权限设置模块用于严格化缺省的注册表访问权限;所述注册表键值设置模块用于修改缺省的注册表键值;所述服务设置模块用于关闭不必要的服务;所述通信端口设置模块用于通信端口过滤,以关闭系统中不必要的TCP和UDP端口;所述Internet信息服务设置模块用于更改缺省的WWW/FTP/SMTP的设置;所述帐号检查和规则设置模块用于严格化系统缺省的用户/用户组及其权限,设定用户密码策;所述审计规则设置模块用于设定审计策略;所述目录共享设置模块用于关闭不必要的目录共享。
采用本发明可以自动对系统进行安全设置,免去了手工设置的麻烦;而且可以方便地让系统恢复到原始状态。通过使用配置文件,用户可以对系统进行细粒度的定制。
附图说明
图1为图1为计算机的结构示意图;
图2为本发明安全定制装置的逻辑结构示意图;
图3为设置界面示意图;
图4为本发明的流程图。
具体实施方式
参阅图1,图中显示了一台计算机的基本结构,用它来实施本发明的方法。计算机的处理器通过总线和存储器相连接,同时还通过总线连接输入输出接口,存储器包括内存和外存,基本的外存如硬盘等;输入输出接口连接操作键盘和显示装置,通讯接口经通讯线连接到网络或其它通信设备。
在存储器中存储存有Windows操作系统程序和其它可执行程序,计算机启动时首先加载Windows操作系统程序,其它可执行程序运行在该操作系统上。Windows操作系统中存在多个与系统安全相关的选项,其中大多选项的缺省配置为开放状态,登录该计算机的用户可对其进行任意设置。对于这些选项,如果用户具备足够的专业知识足的话,可利用系统中的工具通过手工方式进行设置权限,以提高系统的安全性。
本发明为了避免手工操作的繁琐和对用户专业知识的要求,通过安全定制装置来方便快捷的对与系统安全相关的选项进行设置。
参阅图2所示,Windows操作系统安全定制装置遵循最小化原则,即在不影响应用运行的前提下,提供尽可能少的权限和服务。该工具包括如下模块:
设置界面模块,用于提供安全定制选项并接受用户的操作,并根据用户操作的选项触发对应的安全设置模块;
文件目录的访问权限设置模块,用于严格化缺省的文件目录访问权限;
注册表键的访问权限设置模块,用于严格化缺省的注册表访问权限;
注册表键值设置模块,用于修改缺省的注册表键值;
服务设置模块,用于关闭不必要的服务;
通信端口设置模块,用于通信端口过滤,以关闭系统中不必要的TCP和UDP端口;
Internet信息服务(Internet Information Services,IIS)设置模块,用于更改缺省的WWW/FTP/SMTP的设置;
帐号检查和规则设置模块,用于严格化系统缺省的用户/用户组及其权限,设定用户密码策;
审计规则设置模块,用于设定审计策略;
目录共享设置模块,用于关闭不必要的目录共享。
对设置界面模块提供的安全定制选项,用户可以选择其中的任意项进行设置。该工具可根据不同应用的需求定制配置文件,进而达到定制Windows操作系统的目的。
参阅图3所示,该图仅表示一个简单的设置界面,当设置项前面的方框被选中时,就进行相应项的设置。
定制开始时,先对要设置的注册表访问权限、注册表键值、帐户权限进行备份成文件。当需要恢复到原始状态时,则根据该文件的内容进行设置,使安全定制后的系统可以恢复到定制前的状态。在设置界面上提供恢复选项,当用户选中该选项时,自动将注册表键的访问权限、注册表键值、帐号检查和规则恢复为安全定制前的设置。
参阅图4所示,实现安全定制的过程如下:
步骤10:启动安全定制装置生成具有安全定制选项的设置界面。
步骤20:通过所述设置界面接受用户的安全定制操作。
步骤30:根据用户操作的安全定制选项,自动调用Windows操作系统提供的应用编程接口(API)对相应的Windows操作系统中的安全选项进行设置:
如果用户选择通信端口设置选项,则自动进行通信端口过滤(步骤301);
如果用户选择目录共享设置选项,则自动关闭不必要的目录共享(步骤302);
如果用户选择服务设置选项,则自动关闭不必要的服务(步骤303);
如果用户选择审计规则设置选项,则自动设定审计策略(步骤304);
如果用户选择文件目录访问权限设置选项,则严格化缺省的文件目录访问权限(步骤305);
如果用户选择注册表键的访问权限设置选项,则严格化缺省的注册表访问权限(步骤306);
如果用户选择注册表键值设置,则自动修改缺省的注册表健值(步骤307);
如果用户选择审计规则设置,则严格化缺省的用户/用户组及其权限(步骤308);
如果用户选择IIS服务设置,则更改缺省的WWW/FTP/SMTP(步骤309)。
以下对各设置的实现进行详细说明:
1、文件目录访问权限设置在操作系统中
用户对文件或目录的权限是通过ACL(Access Control List,访问控制列表)授予的。ACL是ACE(Access Contol Entity,访问控制项)的列表,ACE是指用户(如,administrator)对对象(如,c:\windows)的权限(如,完全控制、读、写等)。在缺省的情况下,有的用户对有的文件或目录具有高的权限,是安全的隐患,例如所有用户对C:\具有“完全控制”的权限。通过调用SetNamedSecurityInfo()等API,可以只让administrator具有“完全”控制的权限。以下是配置文件的一个片段。其中带;的行是注释。
[SET FILES ACLS]
;/P:替代原有ACLS,/A:在原有ACLS上增加,/T:包含整个目录树。
;F:完全控制,R:读,W:写,X:执行,C:更改,N:无任何权限,大小写无关。
如C:\/P administrators:F即:administrators对目录C:\有完全控制的权限。
2、注册表访问权限设置
在注册表中,用户对文件或目录的权限是通过ACL(Access Contol List,访问控制列表)授予的。ACL是ACE(Access ContolEntity,访问控制项)的列表,ACE是指用户(如,administrator)对对象(如,HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Shares)的权限(如,完全控制、读、写等)。在缺省的情况下,有的用户对有的注册表项具有高的权限,是安全的隐患。通过调用SetSecurityInfo()等API,可以限制某些用户的权限。以下是配置文件的一个片段。
[SET REGISTER ACLS]
;/P:替代原有ACLS,/A:在原有ACLS上增加,/T:包含整个目录树。
;F:完全控制,R:读,W:写,X:执行,C:更改,N:无任何权限,大小写无关。
如:
HKEY_LOCAL_MACHINE\System\CurrentContolSet\Services\LanmanServer\Shares/T/p administrators:f
即:administrators对注册表项HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Shares及其所有子项具有完全控制的权限。
3、注册表键值设置
一些缺省的注册表键值的设置,方便了用户,但却是安全的隐患,如允许远程访问及修改注册表等。通过调用RegSetValueEx()等API,修改缺省的值,可以消除这些隐患。以下是配置文件的一个片段。
如[SET REGISTER VALUES]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentcontrolSet\Control\SecurePipeServers\winreg=1 REG_DWORD
即:将注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentcontrolSet\Control\SecurePipeServers下的键winreg的值设为1,数据类型为REG_DWORD,;1代表disable,即除管理员外的其它帐号不能远程访问及修改注册表。
4、服务设置
在缺省的情况下,Windows操作系统提供了很多的服务。而其中的部分有已知的安全漏洞。通过调用StopService()等API来关闭不需要的服务,保证只启动需要的服务,最大限度地提高系统的安全性。以下是配置文件的一个片段。
[ALLOWED SERVICES]
;以下表示系统中允许运行的服务,AUTO表示自动启动,MANUAL表示手动启动。
Distributed File System=AUTO
DHCP Client=MANUAL
DHCP Server=AUTO
DNS Client=AUTO
Event Log=AUTO
Internet Authentication Service=AUTO
Server=AUTO
Workstation=AUTO
Network Connections=MANUAL
Plug and Play=AUTO
IPSEC Policy Agent=AUTO
Remote Procedure Call(RPC)=AUTO
Security Accounts Manager=AUTO
System Event Notification=AUTO
Simple TCP/IP Services=AUTO
Windows Internet Name Service(WINS)=AUTO
Windows Time=MANUAL
5、通信端口设置
在缺省的情况下,对所有的TCP和UDP的端口号都是开放的,即接收发给任何端口号的数据,这给系统造成了很大的安全隐患。如BLAST病毒就是通过135端口对系统造成破坏的。通过修改注册表键值HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\Tcpip\parameters\Interfaces\网卡标志\TCPAllowedPorts,其中的“网卡标志”是HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersio\\NetworkCards\网卡序号的键值,而“网卡序号”为1、2等。以下是配置文件的一个片段。
[ALLOWED TCP PORTS]
;以下是TCP协议允许的通信端口号
20
21
137
138
139
161
162
1433
1500
6、目录共享设置
在缺省的情况下,系统有一些默认的共享,如驱动器,这是个安全隐患。通过修改键值HKEY_LOCAL_MACHINE\system\ControlSet001\Services\LanmanServer\Parameters,消除该安全隐患。
7、审计规则设置
为了日后发生安全事故时有据可查,必须记录用户的重要操作。通过调用LsaSetInformationPolicy()等API,记录用户的重要操作,保证系统的可追查性。
8、帐号检查和规则设置:严格化系统缺省的用户/用户组及其权限,设定用户密码策略和锁定策略。在缺省的情况下,系统的某些内置组有较高的权限;对帐号的密码设置也没有任何限制,如可以把密码设为空,给系统带来安全隐患。通过调用LsaRemoveAccountRights()等API来限制帐号权限;调用NetUserModalsSet()等API来设置帐号规则,以消除安全隐患。
[System Accounts Rules]
;以下:系统帐号规则设置
forcelogoff:5
;设置用户有效登录时间到期时,在结束用户与服务器的会话前,等待的分钟数。可以设置成“NO”用以强制注销。
minpwlen:7
;设置帐户密码的最小长度。
minpwage:1
;用户密码最小有效天数。
maxpwage:90
;用户密码最大有效天数。
uniquepw:6
;用户输入相同的错误密码的最大次数。
9、IIS服务设置
更改缺省的WWW/FTP/SMTP的设置,如更改主目录、端口号等。通过系统提供的CLSID(class ID,类号)为CLSID_MSAdminBase的COM服务,修改IIS的缺省设置,以达到加固系统的目的。以下是配置文件的一个片段。
[IIS METABASE VALUES]
;以下是IIS METABASE中的设置内容
WebDefPath=d:\inetpub\wwwroot
;WEB服务器的缺省目录
FtpDefPath=d:\inetpub\ftproot
;FTP服务器的缺省目录
WEB Enable Parent Path=NO
;NO代表禁用户路径,YES则代表不禁用。
WEB Anonymous Visit=NO
;WEB服务器匿名访问设置:YES代表允许匿名访问;NO代表拒绝。
WEB Enable Show IP IN HTTP Header=NO
;“内容位置”标头中的IP地址设置:NO代表隐藏IP地址,YES则代表显示。
本发明以一种便捷的方式实现了对Windows操作系统的安全定制,提高了系统的安全性。用户无需太多的专业知识,只需点击修改帐号及其权限、修改文件访问权限、停止服务、禁止端口、修改注册表等选项,此类的设置便自动完成。另外,发现设置不正确,用户可以使用该工具让系统回退到原始状态。该工具还提供了配置文件,让用户更改适合于应用的配置。
Claims (7)
1、视窗操作系统安全定制的方法,用于对与视窗操作系统(Windows)安全性有关的选项进行配置;其特征在于该方法包括步骤:
启动安全定制装置生成具有安全定制选项的设置界面;
通过所述设置界面接受用户的安全定制操作;
根据用户操作的安全定制选项,自动调用Windows操作系统提供的应用编程接口(API)对相应的Windows操作系统中的安全选项进行设置。
2、如权利要求1所述的方法,其特征在于,在调用Windows操作系统提供的API之前,从与用户操作的安全定制选项对应的配置文件中获取配置信息。
3、如权利要求1所述的方法,其特征在于,所述的安全定制选项包括文件目录的访问权限设置、注册表键的访问权限设置、注册表键值设置、通信端口设置、Internet信息服务(IIS)设置、帐号检查和规则设置、审计规则设置和目录共享设置中的一项或多项。
4、如权利要求3所述的方法,其特征在于,在对注册表键的访问权限、注册表键值、帐号检查和规则进行设置前备份原配置数据,当需要使系统恢复到安全定制前的状态时根据备份文件的内容恢复设置。
5、如权利要求4所述的方法,其特征在于,在设置界面上提供恢复选项,当用户选中该选项时,自动将注册表键的访问权限、注册表键值、帐号检查和规则恢复为安全定制前的设置。
6、如权利要求1至5任一所述的方法,其特征在于,所述设置界面上提供每一安全定制选项的功能说明;或当用户操作安全定制选项时动态显示该选项功能说明。
7、一种视窗操作系统安全定制装置,用于对与视窗操作系统(Windows)安全性有关的选项进行配置,其特征在于该工具包括:设置界面模块,以及由文件目录的访问权限设置模块、注册表键的访问权限设置模块、注册表键值设置模块、通信端口设置模块、Internet信息服务设置模块、帐号检查和规则设置模块、审计规则设置模块和目录共享设置模块中的一项或多项构成的设置模块;其中:
所述设置界面模块用于提供安全定制选项并接受用户的操作,并根据用户操作的选项触发对应的安全设置模块;
所述文件目录的访问权限设置模块用于严格化缺省的文件目录访问权限;
所述注册表键的访问权限设置模块用于严格化缺省的注册表访问权限;
所述注册表键值设置模块用于修改缺省的注册表键值;
所述服务设置模块用于关闭不必要的服务;
所述通信端口设置模块用于通信端口过滤,以关闭系统中不必要的TCP和UDP端口;
所述Internet信息服务设置模块用于更改缺省的WWW/FTP/SMTP的设置;
所述帐号检查和规则设置模块用于严格化系统缺省的用户/用户组及其权限,设定用户密码策;
所述审计规则设置模块用于设定审计策略;
所述目录共享设置模块用于关闭不必要的目录共享。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200410004116 CN1652498A (zh) | 2004-02-07 | 2004-02-07 | 视窗操作系统安全定制的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200410004116 CN1652498A (zh) | 2004-02-07 | 2004-02-07 | 视窗操作系统安全定制的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1652498A true CN1652498A (zh) | 2005-08-10 |
Family
ID=34867624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200410004116 Pending CN1652498A (zh) | 2004-02-07 | 2004-02-07 | 视窗操作系统安全定制的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1652498A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108965286A (zh) * | 2018-07-09 | 2018-12-07 | 国网重庆市电力公司电力科学研究院 | 一种基于python的轻量化网络设备端口探测方法 |
CN109117202A (zh) * | 2018-07-11 | 2019-01-01 | 郑州云海信息技术有限公司 | 一种设置审计型配置项的方法和系统 |
CN109255214A (zh) * | 2018-09-13 | 2019-01-22 | 广东电网有限责任公司 | 一种权限配置方法及装置 |
CN110325992A (zh) * | 2017-02-27 | 2019-10-11 | 微软技术许可有限责任公司 | 对初始计算机操作系统设置选项的远程管理 |
-
2004
- 2004-02-07 CN CN 200410004116 patent/CN1652498A/zh active Pending
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110325992A (zh) * | 2017-02-27 | 2019-10-11 | 微软技术许可有限责任公司 | 对初始计算机操作系统设置选项的远程管理 |
CN110325992B (zh) * | 2017-02-27 | 2023-11-07 | 微软技术许可有限责任公司 | 对初始计算机操作系统设置选项的远程管理 |
CN108965286A (zh) * | 2018-07-09 | 2018-12-07 | 国网重庆市电力公司电力科学研究院 | 一种基于python的轻量化网络设备端口探测方法 |
CN109117202A (zh) * | 2018-07-11 | 2019-01-01 | 郑州云海信息技术有限公司 | 一种设置审计型配置项的方法和系统 |
CN109117202B (zh) * | 2018-07-11 | 2021-05-25 | 郑州云海信息技术有限公司 | 一种设置审计型配置项的方法和系统 |
CN109255214A (zh) * | 2018-09-13 | 2019-01-22 | 广东电网有限责任公司 | 一种权限配置方法及装置 |
CN109255214B (zh) * | 2018-09-13 | 2021-03-19 | 广东电网有限责任公司 | 一种权限配置方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9081960B2 (en) | Architecture for removable media USB-ARM | |
CN1698336A (zh) | 通信设备和验证设备 | |
US9916479B2 (en) | USB dock system and method for securely connecting a USB device to a computing network | |
CN1783088A (zh) | Web浏览器的操作方法和操作装置 | |
US20060048099A1 (en) | Debugging applications under different permissions | |
CN1950807A (zh) | 控制分区访问的分区访问控制系统和方法 | |
US20070288714A1 (en) | Access control apparatus | |
CN1735870A (zh) | 复制防止装置、复制防止方法以及使计算机执行该方法的程序 | |
US20210196406A1 (en) | Operating devices in an operating room | |
CN101056172A (zh) | 认证网络系统 | |
CN1504880A (zh) | 运用Linux完成操作系统自动安装的方法 | |
JP2010282479A (ja) | アクセス制御システム、アクセス制御方法、及びプログラム | |
CN1617496A (zh) | 下一代网络终端自动升级配置的方法 | |
CN1808992A (zh) | 安全管理服务系统及其执行方法 | |
CN1652498A (zh) | 视窗操作系统安全定制的方法及装置 | |
CN101051909A (zh) | 一种控制多设备的授权方法、通信设备和服务器 | |
US20080127168A1 (en) | Setup of workloads across nodes | |
JP5707760B2 (ja) | 情報処理システム、情報処理装置、情報処理方法、情報処理プログラム、及びそのプログラムを記録した記録媒体 | |
US20050210448A1 (en) | Architecture that restricts permissions granted to a build process | |
CN1892615A (zh) | 带有虚地址空间属性的软件行为描述、获取与控制方法 | |
CN1403909A (zh) | 程序执行装置以及用于其中的程序执行方法和程序 | |
CN1617497A (zh) | 一种下一代网络终端的运营维护方法 | |
Cisco | Cisco 11000 SCA 3.1.0 Software Downgrade Release Note | |
Andersen | Changes to functionality in Microsoft Windows XP service pack 2 | |
EP2778956A2 (en) | Processing a link on a device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20050810 |