windows安全配置

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

windows系统安全配置深圳市安盾椒图科技有限公司目录Windows操作系统简介1安全配置解决方案初级篇2安全配置解决方案中级篇3安全配置解决方案高级篇4Windows系统WindowsNT(NewTechnology)是微软公司第一个真正意义上的网络操作系统,发展经过NT3.0、NT40、NT5.0(Windows2000)和NT6.0(Windows2003)等众多版本,并逐步占据了广大的中小网络操作系统的市场。WindowsNT众多版本的操作系统使用了与Windows9X完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。与Windows9X相比,WindowsNT的网络功能更加强大并且安全。WindowsNT系列操作系统WindowsNT系列操作系统具有以下三方面的优点。(1)支持多种网络协议由于在网络中可能存在多种客户机,如Windows95/98、AppleMacintosh、Unix、OS/2等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协议、IPX/SPX等。WindowsNT系列操作支持几乎所有常见的网络协议。(2)内置Internet功能随着Internet的流行和TCP/IP协议组的标准化,WindowsNT内置了IIS(InternetInformationServer),可以使网络管理员轻松的配置等服务。(3)支持NTFS文件系统Windows9X所使用的文件系统是FAT,在NT中内置同时支持FAT和NTFS的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性安全配置方案初级篇安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:物理安全、停止Guest帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS分区运行防毒软件和确保备份盘安全1.物理安全服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。2.停止Guest帐号在计算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest帐号登陆系统。为了保险起见,最好给Guest加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性,设置拒绝远程访问,如图所示。3.限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。对于WindowsNT/2003主机,如果系统帐户超过10个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10个。4.多个管理员帐号虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用。因为只要登录系统以后,密码就存储再WinLogon进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少Administrator登录的次数和时间。5.管理员帐号改名Windows2003中更改Administrator帐号,如果不更改Administrator这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone。具体操作的时候只要选中帐户名改名就可以了,如下图所示6.陷阱帐号所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组,如图所示。7.更改默认权限共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。设置某文件夹共享默认设置如图所示8.安全密码好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43天或者更长的时间才能破解出来,密码策略是42天必须改密码。9.屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码将屏幕保护的选项“密码保护”选中就可以了,并将等待时间设置为最短时间“1秒”,如图所示10.NTFS分区NTFS:微软WindowsNT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。11.防毒软件WindowsNT服务器一般都没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。设置了放毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。12.备份盘的安全一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。不能把资料备份在同一台服务器上,这样的话还不如不要备份。安全配置方案中级篇安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁1.操作系统安全策略利用Windows的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。在管理工具中可以找到“本地安全策略”,主界面如图所示。可以配置四类安全策略:帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下,这些策略都是没有开启的。2.关闭不必要的服务Windows的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。Windows2000作为服务器可禁用的服务及其相关说明如下表所示Windows可禁用的服务服务名说明ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体、驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件3.关闭不必要的端口关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了。用端口扫描器扫描系统所开放的端口,在system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如下图所示设置本机开放的端口和服务,在IP地址设置窗口中点击按钮“高级”,如下所示。在出现的对话框中选择选项卡“选项”,选中“TCP/IP筛选”,点击按钮“属性”,如图所示设置端口界面如图所示。一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能。4.开启审核策略安全审核是Windows2000最基本的入侵检测方法。当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下表的这些审核是必须开启的,其他的可以根据需要增加。审核策略表策略设置审核系统登陆事件成功,失败审核帐户管理成功,失败审核登陆事件成功,失败审核对象访问成功审核策略更改成功,失败审核特权使用成功,失败审核系统事件成功,失败审核策略默认设置审核策略在默认的情况下都是没有开启的,如图所示。双击审核列表的某一项,出现设置对话框,将复选框“成功”和“失败”都选中,如图所示。5.开启密码策略密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如下表所示策略设置密码复杂性要求启用密码长度最小值6位密码最长存留期15天强制密码历史5个设置选项如下图所示。6.开启帐户策略开启帐户策略可以有效的防止字典式攻击,设置如下表所示。策略设置复位帐户锁定计数器30分钟帐户锁定时间30分钟帐户锁定阈值5次设置帐户策略设置的结果如下图所示。7.备份敏感文件把敏感文件存放在另外的文件服务器中,虽然服务器的硬盘容量都很大,但是还是应该考虑把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。8.不显示上次登录名默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名,进而做密码猜测。修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键下修改子键:Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName,将键值改成1,如图所示。9.禁止建立空连接默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测密码。可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键:System\CurrentControlSet\Control\LSA\RestrictAnonymous,将键值改成“1”即可。如图所示10.下载最新的补丁很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的Windows不出一点安全漏洞。经常访问微软和一些安全站点,下载最新的ServicePack和漏洞补

1 / 77
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功