第9讲 操作系统安全配置.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 比如原来在E盘上有一些数据文件，被黑客删除了，选择左边栏目“Data Recovery”，然后选择左边的按钮“Advanced Recovery”，如图所示。 进入Advanced Recovery对话框后，软件自动扫描出目前硬盘分区的情况，分区信息是直接从分区表中读取出来的，如图所示。 现在要恢复E盘上的文件，所以选择E盘，点击按钮“Next”，如图所示。 软件开始自动扫描该盘上曾经有哪些被删除了文件，根据硬盘的大小，需要一段比较长的时间，如图所示。 扫描完成以后，将该盘上所有的文件以及文件夹显示出来，包括曾经被删除文件和文件夹，如图所示。 选中某个文件夹或者文件前面的复选框，然后点击按钮“Next”，就可以恢复了。如图所示。 在恢复的对话框中选择一个本地的文件夹，将文件保存到该文件夹中，如图所示。 选择一个文件夹后，电击按钮“Next”，就出现了恢复的进度对话框，如图所示。 本章总结 本章分成三部分介绍Windows 2000的安全配置。 三部分共介绍安全配置三十六项，如果每一条都能得到很好的实施的话，改服务器无论是在局域网还是广域网，即使没有网络防火墙，已经比较安全了。 需要重点理解三大部分中的每一项设置，并掌握如何设置。 * * * * * * * * * * * * * * * * * * * * * * * 设置端口界面如图所示。 一台Web服务器只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。 4 开启审核策略 安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。 很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下表的这些审核是必须开启的，其他的可以根据需要增加。 策略 设置 审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败 审核策略默认设置 审核策略在默认的情况下都是没有开启的，如图所示。 双击审核列表的某一项，出现设置对话框，将复选框“成功”和“失败”都选中，如图所示。 5 开启密码策略 密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如下表所示 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 密码最长存留期 15天 强制密码历史 5个 设置选项如图所示。 6 开启帐户策略 开启帐户策略可以有效的防止字典式攻击，设置如表所示。 策略 设置 复位帐户锁定计数器 30分钟 帐户锁定时间 30分钟 帐户锁定阈值 5次 设置帐户策略 设置的结果如图所示。 7 备份敏感文件 把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们 8 不显示上次登录名 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。 修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键： Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，将键值改成1，如图所示。 9 禁止建立空连接 默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。 可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键： System\CurrentControlSet\Control\LSA\RestrictAnonymous，将键值改成“1”即可。如图所示。 10 下载最新的补丁 很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。 谁也不敢保证数百万行以上代码的Windows 2000不出一点安全漏洞。 经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的唯一方法。 安全配置方案高级篇 高级篇介绍操作系统安全信息通信配置，包括十四条配置原则： 关闭DirectDraw、关闭