第7部分 操作系统安全配置方案.ppt

现在要恢复E盘上的文件，所以选择E盘，点击按钮“Next”，如图7-30所示。 软件开始自动扫描该盘上曾经有哪些被删除了文件，根据硬盘的大小，需要一段比较长的时间，如图7-31所示。 扫描完成以后，将该盘上所有的文件以及文件夹显示出来，包括曾经被删除文件和文件夹，如图7-32所示。 选中某个文件夹或者文件前面的复选框，然后点击按钮“Next”，就可以恢复了。如图7-33所示。 在恢复的对话框中选择一个本地的文件夹，将文件保存到该文件夹中，如图7-34所示。 选择一个文件夹后，电击按钮“Next”，就出现了恢复的进度对话框，如图7-35所示。 本章总结 本章分成三部分介绍Windows 2000的安全配置。 三部分共介绍安全配置三十六项，如果每一条都能得到很好的实施的话，改服务器无论是在局域网还是广域网，即使没有网络防火墙，已经比较安全了。 需要重点理解三大部分中的每一项设置，并掌握如何设置。 本章习题 【1】、简述操作系统帐号密码的重要性，有几种方法可以保护密码不被破解或者被盗取？ 【2】、简述审核策略、密码策略和帐户策略的含义？这些策略如何保护操作系统不被入侵。 【3】、如何关闭不需要的端口和服务？ 【4】、编写程序实现本章所有注册表的操作。（上机完成） 【5】、以报告的形式编写Windows 2000 Server/Advanced Server的安全配置方案。 审核策略默认设置 审核策略在默认的情况下都是没有开启的，如图7-11所示。 双击审核列表的某一项，出现设置对话框，将复选框“成功”和“失败”都选中，如图7-12所示。 5 开启密码策略 密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如表7-3所示 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 密码最长存留期 15天 强制密码历史 5个 设置选项如图7-13所示。 6 开启帐户策略 开启帐户策略可以有效的防止字典式攻击，设置如表7-4所示。 策略 设置 复位帐户锁定计数器 30分钟 帐户锁定时间 30分钟 帐户锁定阈值 5次 设置帐户策略 设置的结果如图7-14所示。 7 备份敏感文件 把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们 8 不显示上次登录名 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。 修改注册表禁止显示上次登录名，在HKEY_LOCAL_MACHINE主键下修改子键： Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，将键值改成1，如图7-15所示。 9 禁止建立空连接 默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。 可以通过修改注册表来禁止建立空连接。在HKEY_LOCAL_MACHINE主键下修改子键： System\CurrentControlSet\Control\LSA\RestrictAnonymous，将键值改成“1”即可。如图7-16所示。 10 下载最新的补丁 很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出了很久了，还放着服务器的漏洞不补给人家当靶子用。 谁也不敢保证数百万行以上代码的Windows 2000不出一点安全漏洞。 经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的唯一方法。 安全配置方案高级篇 高级篇介绍操作系统安全信息通信配置，包括十四条配置原则： 关闭DirectDraw、关闭默认共享 禁用Dump File、文件加密系统 加密Temp文件夹、锁住注册表、关机时清除文件 禁止软盘光盘启动、使用智能卡、使用IPSec 禁止判断主机类型、抵抗DDOS 禁止Guest访问日志和数据恢复软件 1 关闭DirectDraw C2级安全标准对视频卡和内存有要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏），但是对于绝大多数的商业站点都是没有影响的。 在HKEY_LOCAL_MACHINE主键下修改子键： SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，将键值改为“0”即可，如图7-17所示。 2 关闭默认共享 Windows 2000安装以后，系统会创建一些隐藏的共享，可以在DOS提示符下输入命令Net Share 查看，