WindowsServer2003安全策略的制定.docVIP

Windows Server 2003安全策略的制定(1) 【内容摘要】windowsserver2003作为microsoft最新推出的服务器操作系统，不仅继承了windows2000/xp的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的当然之眩本文就windows2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明，希望能对大家起到抛砖引玉的效果，最终的目标是确保我们的网络服务器的正常运行。一、企…… ----------------------------------------------------------------------------- 　　windows server 2003作为microsoft 最新推出的服务器操作系统，不仅继承了windows 2000/xp的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的当然之选。本文就windows 2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明，希望能对大家起到抛砖引玉的效果，最终的目标是确保我们的网络服务器的正常运行。 　　 　　一、企业账户保护安全策略 　　二、企业系统监控安全策略 　　============================================= 　　 　　一、企业账户保护安全策略 　　 　　用户账户的保护一般 主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。 　　 　　1、提高密码的破解难度 　　提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现，但这常常是用户很难做到的，对于企业网络中的一些安全敏感用户就必须采取一些相关的措施，以强制改变不安全的密码使用习惯。 　　 　　在windows系统中可以通过一系列的安全设置，并同时制定相应的安全策略来实现。在windows server 2003系统中，可以通过在安全策略中设定“密码策略”来进行。window server 2003系统的安全策略可以根据网络的情况，针对不同的场合和范围进行有针对性地设定。例如可以针对本地计算机、域及相应的组织单元来进行设定，这将取决于该策略要影响的范围。 　　 　　以域安全策略为例，其作用范围是企业网中所指定域的所有成员。在域管理工具中运行“域安全策略”工具，然后就可以针对密码策略进行相应的设定。 　　 　　密码策略也可以在指定的计算机上用“本地安全策略”来设定，同时也可在网络中特定的组织单元通过组策略进行设定。 　　 　　2、启用账户锁定策略 　　账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击)，为保护该账户的安全而将此账户进行锁定。使其在一定的时间内不能再次使用，从而挫败连续的猜解尝试。 　　 　　windows2003系统在默认情况下，为方便用户起见，这种锁定策略并没有进行设定，此时，对黑客的攻击没有任何限制。只要有耐心，通过自动登录工具和密码猜解字典进行攻击，甚至可以进行暴力模式的攻击，那么破解密码只是一个时间和运气上的问题。账户锁定策略设定的第一步就是指定账户锁定的阈值，即锁定前该账户无效登录的次数。一般来说，由于操作失误造成的登录失败的次数是有限的。在这里设置锁定阈值为3次，这样只允许3次登录尝试。如果3次登录全部失败，就会锁定该账户。 　　 　　但是，一旦该账户被锁定后，即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户，这就造成了许多不便。为方便用户起见，可以同时设定锁定的时间和复位计数器的时间，这样以来在3次无效登最后就开始锁定账户，以及锁定时间为30分钟。以上的账户锁定设定，可以有效地避免自动猜解工具的攻击，同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定用户账户常常会造成一些不便，但系统的安全有时更为重要。 　　 　　3、限制用户登录 　　对于企业网的用户还可以通过对其登录行为进行限制，来保障其户户账户的安全。这样以来，即使是密码出现泄漏，系统也可以在一定程度上将黑客阻挡在外，对于windows server 2003网络来说，运行“active directory用户和计算机”管理工具。 然后选择相应的用户，并设置其账户属性。 　　 　　在账户属性对话框中，可以限制其登录的时间和地点。单击其中的“登录时间”按钮，在这里可以设置允许该用户登录的时间，这样就可防止非工作时间的登录行为。单击其中的“登录到”按钮，在这里可以设置允许该账户从哪些计算机乾地登录。另外，还可以通过“账户