操作系統(tǒng)的安全策略基本配置原則_第1頁
操作系統(tǒng)的安全策略基本配置原則_第2頁
操作系統(tǒng)的安全策略基本配置原則_第3頁
操作系統(tǒng)的安全策略基本配置原則_第4頁
操作系統(tǒng)的安全策略基本配置原則_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、 操作系統(tǒng)的安全策略基本配置原則 平安配置方案中級篇主要介紹操作系統(tǒng)的平安策略配置,包括十條基本配置原則: (1)操作系統(tǒng)平安策略,(2)關(guān)閉不必要的服務(wù) (3)關(guān)閉不必要的端口, (4)開啟審核策略 (5)開啟密碼策略, (6)開啟帳戶策略,(7)備份敏感文件,(8)不顯示上次登陸名,(9)禁止建立空連接 (10)下載最新的補丁1 操作系統(tǒng)平安策略利用Windows 2000的平安配置工具來配置平安策略,微軟供應(yīng)了一套的基于管理掌握臺的平安配置和分析工具,可以配置服務(wù)器的平安策略.在管理工具中可以找到本地平安策略.可以配置四類平安策略:帳戶策略,本地策略,公鑰策略和IP平安策略.在默認(rèn)的狀況

2、下,這些策略都是沒有開啟的.2 關(guān)閉不必要的服務(wù)Windows 2000的Terminal Services(終端服務(wù))和IIS(Internet 信息服務(wù))等都可能給系統(tǒng)帶來平安漏洞.為了能夠在遠(yuǎn)程便利的管理服務(wù)器,許多機器的終端服務(wù)都是開著的,假如開了,要確認(rèn)已經(jīng)正確的配置了終端服務(wù).有些惡意的程序也能以服務(wù)方式靜靜的運行服務(wù)器上的終端服務(wù).要留意服務(wù)器上開啟的全部服務(wù)并每天檢查.Windows2000可禁用的服務(wù)服務(wù)名說明Computer Browser維護(hù)網(wǎng)絡(luò)上計算機的最新列表以及供應(yīng)這個列表Task scheduler允許程序在指定時間運行Routing and Remote Acc

3、ess在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)供應(yīng)路由服務(wù)Removable storage管理可移動媒體,驅(qū)動程序和庫Remote Registry Service允許遠(yuǎn)程注冊表操作Print Spooler將文件加載到內(nèi)存中以便以后打印.要用打印機的用戶不能禁用這項服務(wù)IPSEC Policy Agent管理IP平安策略以及啟動ISAKMP/Oakley(IKE)和IP平安驅(qū)動程序Distributed Link Tracking Client當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知Com+ Event System供應(yīng)大事的自動發(fā)布到訂閱COM組件。3 關(guān)閉不必要的端口關(guān)閉端口意味著削減功能,假

4、如服務(wù)器安裝在防火墻的后面,被入侵的機會就會少一些,但是不行以認(rèn)為高枕無憂了.用端口掃描器掃描系統(tǒng)所開放的端口,在Winntsystem32driversetcservices文件中有知名端口和服務(wù)的對比表可供參考.該文件用記事本打開.設(shè)置本機開放的端口設(shè)置本機開放的端口和服務(wù),在IP地址設(shè)置窗口中點擊按鈕高級。在消失的對話框中選擇選項卡選項,選中 TCP/IP篩選,點擊按鈕屬性.設(shè)置端口界面.一臺Web服務(wù)器只允許TCP的80端口通過就可以了.TCP/IP篩選器是Windows自帶的防火墻,功能比較強大,可以替代防火墻的部分功能.4 開啟審核策略平安審核是Windows 2000最基本的入侵

5、檢測方法.當(dāng)有人嘗試對系統(tǒng)進(jìn)行某種方式(如嘗試用戶密碼,轉(zhuǎn)變帳戶策略和未經(jīng)許可的文件訪問等等)入侵的時候,都會被平安審核記錄下來.必需開啟的審核如下表:策略設(shè)置審核系統(tǒng)登陸大事勝利,失敗審核帳戶管理勝利,失敗審核登陸大事勝利,失敗審核對象訪問勝利審核策略更改勝利,失敗審核特權(quán)使用勝利,失敗審核系統(tǒng)大事勝利,失敗審核策略默認(rèn)設(shè)置審核策略在默認(rèn)的狀況下都是沒有開啟的.設(shè)置審核策略雙擊審核列表的某一項,消失設(shè)置對話框,將復(fù)選框勝利和失敗都選中.5 開啟密碼策略密碼對系統(tǒng)平安特別重要.本地平安設(shè)置中的密碼策略在默認(rèn)的狀況下都沒有開啟.需要開啟的密碼策略如表所示策略設(shè)置密碼簡單性要求啟用密碼長度最小值6

6、位密碼最長存留期15天強制密碼歷史5個設(shè)置密碼策略設(shè)置選項.6 開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊.策略設(shè)置復(fù)位帳戶鎖定計數(shù)器30分鐘帳戶鎖定時間30分鐘帳戶鎖定閾值5次設(shè)置帳戶策略7 備份敏感文件把敏感文件存放在另外的文件服務(wù)器中;把一些重要的用戶數(shù)據(jù)(文件,數(shù)據(jù)表和項目文件等)存放在另外一個平安的服務(wù)器中,并且常常備份它們8 不顯示上次登錄名默認(rèn)狀況下,終端服務(wù)接入服務(wù)器時,登陸對話框中會顯示上次登陸的帳戶名,本地的登陸對話框也是一樣.黑客們可以得到系統(tǒng)的一些用戶名,進(jìn)而做密碼猜想.修改注冊表禁止顯示上次登錄名,在HKEY_LOCAL_MACHINE主鍵下修改子鍵SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName,將鍵值改成1.9 禁止建立空連接默認(rèn)狀況下,任何用戶通過空連接連上服務(wù)器,進(jìn)而可以枚舉出帳號,猜想密碼. 可以通過修改注冊表來禁止建立空連接.在HKEY_LOCAL_MACHINE主鍵下修改子鍵:SystemCurrentControlSetControlLSARestrictAnon ymous,將鍵值改成1即可.10 下載最新的補

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論