论文3(计算机络安全).docVIP

天津电子信息职业技术学院 专题报告（论文） 题目: 系统加固方法归纳与主动防御 姓 名 张志成 学 号 14 专业班级 计算机网络技术S12-2 完成时间 2014年 月 日 目录 一、账号管理、认证授权 1 （一）、账号安全 1 （二）、口令 1 （三）、授权 1 二、日志配置 2 （一）、审核策略设置 2 （二）、日志记录策略设置 2 三、通信协议 2 （一）、IP协议安全 2 四、设备其他安全要求 3 （一）、屏幕保护 3 （二）、共享文件夹及访问权限 3 （三）、补丁管理 4 （四）、防病毒管理 4 （五）、Windows服务 4 （六）、启动项 4 五、主动防御 5 （一）、内容简介 5 （二）、主动防御的实现 5 一、账号管理、认证授权 （一）、账号安全 1.根据系统的要求，设定不同的账户和账户组，管理员用户，数据库用户，审计用户，来宾用户等。 2.删除或锁定与设备运行、维护等与工作无关的账号，提高系统帐户安全。 3.对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。提高系统安全性。 （二）、口令 1.设置密码策略 减少密码安全风险；防止系统弱口令的存在，减少安全隐患。对于采用静态口令认证技术的设备，口令长度至少6位，且密码规则至少应采用字母（大小写穿插）加数字加标点符号（包括通配符）的方式。 2. 设置有效的锁定策略有助于防止攻击者猜出的密码 （二）、日志记录策略设置 化系统日志记录，防止日志溢出。设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件如果日志的大小超过系统默认设置，则无法正常记录超过最大记录值后的所有系统日志、应用日志、安全日志等 三、通信协议 （一）、IP协议安全 1.启用TCP/IP筛选 过滤不必要的端口，提高系统安全性，对没有自带防火墙的Windows系统，启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选，只开放业务所需要的TCP，UDP端口和IP协议如不有效过滤系统中存在的不必要的端口以及默认的端口会增加潜在被攻击和非法利用的安全风险 2. 开启系统防火墙 启用Windows XP和Windows 2003自带防火墙，过滤不必要的端口，提高系统安 全性。根据业务需要限定允许访问网络的应用程序和允许远程登陆该设备的IP地址范围。没有访问控制，系统可能被非法登陆或使用，从而增加潜在被攻击的安全风险 3. 启用SYN攻击保护 启用SYN攻击保护，提高系统安全性；指定触发SYN洪水攻击保护所必须超过的 TCP连接请求数阀值为5；指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500；指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。如不启用SYN攻击保护，系统则容易被SYN拒绝服务攻击后导致迅速当机。 四、设备其他安全要求 （一）、屏幕保护 1.启用屏幕保护程序 启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击；设置带密码的屏幕保护，并将时间设定为5分钟 2. 设置Microsoft网络服务器挂起时间 设置Microsoft网络服务器挂起时间，防止管理员忘记锁定机器被非法利用；对于远程登陆的帐号，设置不活动断连时间15分钟 （二）、共享文件夹及访问权限 1.关闭默认共享 非域环境中，关闭Windows硬盘默认共享，例如C$，D$，提高系统安全性能防止攻击者利用系统默认共享如：C$、D$等，非法对系统的硬盘进行访问，以及通过IPC$方式暴力破解帐户和密码 2. 设置共享文件夹访问权限 设置共享文件夹访问权限，防止用户非法访问。只允许授权的账户拥有权限共享此文件夹。增加系统未授权的用户非法访问共享文件夹的风险 （三）、补丁管理 1、安装系统补丁 修复系统漏洞。应安装最新的Service Pack补丁集。对服务器系统应先进行兼容性测试。如系统未打补丁或补丁未打全，不是最新的补丁，则面临容易被攻击、渗透和控制的风险 （四）、防病毒管理 1.安装、更新杀毒软件 安装防病毒软件，并及时更新，提高系统防病毒能力。如系统中未安装防病毒软件或防病毒软件未及时更新，则系统面临容易被病毒感染的风险 2. 数据执行保护配置 提高系统抵抗非法修改文件的性能。对于Windows XP SP2及Windows 2003对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置