Windows 2000 安全讲座课件.pptVIP

Windows 2000 安全讲座 引 言 随着网络时代的到来，互连网开始进入社会的每一个角落，经济、文化、军事和社会生活正在越来越强烈地依赖网络。 Internet的发展虽然促进了技术的进步，但其本身的跨国界、无主管、不设防、开放、自由、缺少法律约束等特性在带来机遇的同时也带来了巨大的风险，安全成为影响网络效能的重要问题。 网络安全实际是一台台单机安全的一个集中体现，只有保证了单机的安全才能更好的保障网络的安全。要保障网络的安全首先要研究单机的安全。 网络安全的目的 进不来 使用访问控制机制，阻止非授权用户进入网络 拿不走 使用授权机制，实现对用户的权限控制 看不懂 使用加密机制，确保信息不暴露给未授权的实体或进程 改不了 使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据。 走不脱 使用审计、监控、防抵赖等安全机制，监视并记录攻击者、破坏者行为痕迹。 如何保障Windows 2000的安全？ 安全必须从整体上来考虑，就如一个木水桶，大多数木板都很高，只是有一块或两块板子较低，那么这只木水桶也不能装多少水。 我们需要从整体考虑影响Windows 2000安全的相关因素。 Windows 2000的安全策略 适应性原则 制定的安全策略必须是和网络的实际应用环境相结合。 动态性原则 安全策略存在一定的时效性，而安全措施应随网络规模和技术的发展而不断的进行适应性调整。 简单性原则 安全的网络是相对简单的网络。（如减少网络设备的种类和网络服务、捆绑协议的种类） 系统性原则 全面考虑网络上各类用户、各种设备、各种运行环境下的安全策略。 身份认证安全篇 开启帐户策略 系统开放的帐号要尽可能少，并且严格控制所有帐号权限，轻易不要给帐号以特殊权限。 策略　　　　　　　 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 停掉Guest 帐号 　　在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了帐号安全，最好给guest 加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。 限制不必要的用户数量 去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机，如果系统帐户超过10个，一般都能找出一两个弱口令帐户。(曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户)。 管理员帐号 创建2个管理员用帐号 创建一个一般权限帐号用来收信以及处理一些日常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理。 把系统administrator帐号改名 windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。(不要使用Admin之类的名字，尽量把它伪装成普通用户，比如改成：guestone 。) 创建一个陷阱帐号 　　创建一个名为” Administrator”的本地帐户，把它的权限设置成最低(什么事也干不了)，并且加上一个超过10位的超级复杂密码。可以借此发现入侵企图。 不让系统显示上次登陆的用户名 　　默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是： HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把 REG_SZ 的键值改成 1 . 使用安全密码 一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得过于简单，比如 “welcome” “letmein”或者和用户名相同等等。应该要求用户首次登陆的时候更改成复杂的密码，还要注意经常更改密码。 开启密码密码