Windows操作系统安全配置.ppt

Chapter 物理安全 物理安全 　　重要主机应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。 禁止从软盘和CD Rom启动系统 　　一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。 查看键盘、主机、显示器、计算机桌等与计算机环境相关的设备是否有多余的东西 账号、密码安全 停掉Guest 帐号　在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest 加一个复杂的密码。 如果要启动Guest 帐号，一定要查看该账号的权限，只能以受限权限运行。 账号、密码安全 限制不必要的用户数量 　　去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。 使用安全密码 　　一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。 账号、密码安全 把系统administrator帐号改名　　大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。 创建一个陷阱帐号　　什么是陷阱帐号? 创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts 忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。 账号、密码安全 不让系统显示上次登陆的用户名 　　默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName把 REG_SZ 的键值改成 1 . 本地安全策略 开启密码密码策略策略　　　　　 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 开启帐户策略 策略　　　　　　　 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 本地安全策略 本地安全策略 打开管理工具找到本地安全设置.本地策略.安全选项　　 网络访问.不允许SAM帐户的匿名枚举 启用 网络访问.可匿名的共享 将后面的值删除 网络访问.可匿名的命名管道 将后面的值删除 网络访问.可远程访问的注册表路径 将后面的值删除 网络访问.可远程访问的注册表的子路径 将后面的值删除 网络访问.限制匿名访问命名管道和共享  本地安全策略 打开审核策略 　　开启安全审核是win2000/XP最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：策略　　　　　　　设置审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败 服务安全 关闭不必要的服务 　　windows 2000 的 终端、远程注册表等服务，都可能给你的系统带来安全漏洞。为了能够在远程方便