国产精品麻豆久久99,韩日在线播放,午夜体验,鲁鲁狠色综合色综合网站,亚洲视频区,高清2019av手机版,精品中文字幕不卡在线视频

安全管理網(wǎng)

操作系統(tǒng)的安全策略基本配置原則

  
評(píng)論: 更新日期:2016年11月27日

  安全配置方案中級(jí)篇主要介紹操作系統(tǒng)的安全策略配置,包括十條基本配置原則:
  (1)操作系統(tǒng)安全策略,(2)關(guān)閉不必要的服務(wù) (3)關(guān)閉不必要的端口, (4)開(kāi)啟審核策略 (5)開(kāi)啟密碼策略, (6)開(kāi)啟帳戶策略,(7)備份敏感文件,(8)不顯示上次登陸名,(9)禁止建立空連接 (10)下載最新的補(bǔ)丁
  1 操作系統(tǒng)安全策略
  利用Windows 2000的安全配置工具來(lái)配置安全策略,微軟提供了一套的基于管理控制臺(tái)的安全配置和分析工具,可以配置服務(wù)器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四類安全策略:帳戶策略,本地策略,公鑰策略和IP安全策略.在默認(rèn)的情況下,這些策略都是沒(méi)有開(kāi)啟的.
  2 關(guān)閉不必要的服務(wù)
  Windows 2000的Terminal Services(終端服務(wù))和IIS(Internet 信息服務(wù))等都可能給系統(tǒng)帶來(lái)安全漏洞.為了能夠在遠(yuǎn)程方便的管理服務(wù)器,很多機(jī)器的終端服務(wù)都是開(kāi)著的,如果開(kāi)了,要確認(rèn)已經(jīng)正確的配置了終端服務(wù).
  有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù).要留意服務(wù)器上開(kāi)啟的所有服務(wù)并每天檢查.Windows2000可禁用的服務(wù)服務(wù)名說(shuō)明
  Computer Browser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表Task scheduler允許程序在指定時(shí)間運(yùn)行Routing and Remote Access在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removable storage管理可移動(dòng)媒體,驅(qū)動(dòng)程序和庫(kù)Remote Registry Service允許遠(yuǎn)程注冊(cè)表操作Print Spooler將文件加載到內(nèi)存中以便以后打印.要用打印機(jī)的用戶不能禁用這項(xiàng)服務(wù)IPSEC Policy Agent管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序Distributed Link Tracking Client當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知Com+ Event System提供事件的自動(dòng)發(fā)布到訂閱COM組件。
  3 關(guān)閉不必要的端口
  關(guān)閉端口意味著減少功能,如果服務(wù)器安裝在防火墻的后面,被入侵的機(jī)會(huì)就會(huì)少一些,但是不可以認(rèn)為高枕無(wú)憂了.用端口掃描器掃描系統(tǒng)所開(kāi)放的端口,在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對(duì)照表可供參考.該文件用記事本打開(kāi).
  設(shè)置本機(jī)開(kāi)放的端口
  設(shè)置本機(jī)開(kāi)放的端口和服務(wù),在IP地址設(shè)置窗口中點(diǎn)擊按鈕"高級(jí)"。
  在出現(xiàn)的對(duì)話框中選擇選項(xiàng)卡"選項(xiàng)",選中 "TCP/IP篩選",點(diǎn)擊按鈕"屬性".
  設(shè)置端口界面.
  一臺(tái)Web服務(wù)器只允許TCP的80端口通過(guò)就可以了.TCP/IP篩選器是Windows自帶的防火墻,功能比較強(qiáng)大,可以替代防火墻的部分功能.
  4 開(kāi)啟審核策略
  安全審核是Windows 2000最基本的入侵檢測(cè)方法.當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式(如嘗試用戶密碼,改變帳戶策略和未經(jīng)許可的文件訪問(wèn)等等)入侵的時(shí)候,都會(huì)被安全審核記錄下來(lái).必須開(kāi)啟的審核如下表:
  策略設(shè)置
  審核系統(tǒng)登陸事件成功,失敗
  審核帳戶管理成功,失敗
  審核登陸事件成功,失敗
  審核對(duì)象訪問(wèn)成功
  審核策略更改成功,失敗
  審核特權(quán)使用成功,失敗
  審核系統(tǒng)事件成功,失敗
  審核策略默認(rèn)設(shè)置
  審核策略在默認(rèn)的情況下都是沒(méi)有開(kāi)啟的.
  設(shè)置審核策略
  雙擊審核列表的某一項(xiàng),出現(xiàn)設(shè)置對(duì)話框,將復(fù)選框"成功"和"失敗"都選中.
  5 開(kāi)啟密碼策略
  密碼對(duì)系統(tǒng)安全非常重要.本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒(méi)有開(kāi)啟.需要開(kāi)啟的密碼策略如表所示
  策略設(shè)置
  密碼復(fù)雜性要求啟用
  密碼長(zhǎng)度最小值6位
  密碼最長(zhǎng)存留期15天
  強(qiáng)制密碼歷史5個(gè)
  設(shè)置密碼策略
  設(shè)置選項(xiàng).
  6 開(kāi)啟帳戶策略
  開(kāi)啟帳戶策略可以有效的防止字典式攻擊.
  策略設(shè)置
  復(fù)位帳戶鎖定計(jì)數(shù)器30分鐘
  帳戶鎖定時(shí)間30分鐘
  帳戶鎖定閾值5次
  設(shè)置帳戶策略
  7 備份敏感文件
  把敏感文件存放在另外的文件服務(wù)器中;把一些重要的用戶數(shù)據(jù)(文件,數(shù)據(jù)表和項(xiàng)目文件等)存放在另外一個(gè)安全的服務(wù)器中,并且經(jīng)常備份它們.
  8 不顯示上次登錄名
  默認(rèn)情況下,終端服務(wù)接入服務(wù)器時(shí),登陸對(duì)話框中會(huì)顯示上次登陸的帳戶名,本地的登陸對(duì)話框也是一樣.黑客們可以得到系統(tǒng)的一些用戶名,進(jìn)而做密碼猜測(cè).修改注冊(cè)表禁止顯示上次登錄名,在HKEY_LOCAL_MACHINE主鍵
  下修改子鍵Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont
  DisplayLastUserName,將鍵值改成1.
  9 禁止建立空連接
  默認(rèn)情況下,任何用戶通過(guò)空連接連上服務(wù)器,進(jìn)而可以枚舉出帳號(hào),猜測(cè)密碼. 可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接.在HKEY_LOCAL_MACHINE主鍵下修改子鍵:
  System\CurrentControlSet\Control\LSA\RestrictAnon ymous,將鍵值改成"1"即可.
  10 下載最新的補(bǔ)丁
  很多網(wǎng)絡(luò)管理員沒(méi)有訪問(wèn)安全站點(diǎn)的習(xí)慣,以至于一些漏洞都出了很久了,還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用.經(jīng)常訪問(wèn)微軟和一些安全站點(diǎn),下載最新的Service Pack和漏洞補(bǔ)丁,是保障服務(wù)器長(zhǎng)久安全的唯一方法.
 

網(wǎng)友評(píng)論 more
創(chuàng)想安科網(wǎng)站簡(jiǎn)介會(huì)員服務(wù)廣告服務(wù)業(yè)務(wù)合作提交需求會(huì)員中心在線投稿版權(quán)聲明友情鏈接聯(lián)系我們