安全管理局域网-局域网组建与管理.ppt

第八单元 安全管理局域网 项目描述 某高校校园网不断发展，其开放性、共享性和 互联程度越来越高，网络应用已经遍布校园内每 一个角落，网络系统的安全与保密问题显得越来 越重要。目前由于信息系统的脆弱性而导致的系 统安全问题日益严重。网络管理员小刘该采取哪 些措施应对校园网建设过程中遇到的各种各样的 网络安全问题？ 项目分析 网络攻击事件频发，其根本原因在于操作系统、网络设备甚至网络协 议本身存在着严重的安全漏洞。网络管理员小刘只有配置安全的服务 器、安全的网络设备和安全的数据存储，同时借助于各种安全策略和手 段，拒绝存在的各种安全隐患的用户接入网络，督促普通用户采取安全 的措施，只有这样才能有效地防范网络攻击威胁。 经过与用户交流（可由教师扮演用户角色），安全措施具体要求如下 1、保证服务器用户账户的安全 2、保证服务器文件系统的安全 3、保证网络设备（交换机、路由器）的安全传输数据 4、ARP攻击的防范 5、设备要求 （1）Windows Server 2003系统的服务器若干台 （2）Cisco 2960交换机 （3）Cisco 3560三层交换机 其它设备综合考虑功能需求和经济性方面的要求。 项目实施过程 1、管理员账户的安全配置 2、用户账户的安全配置 3、组策略的安全配置 4、NTFS权限配置、NTFS压缩配置、NTFS加密配置 5、Cisco交换机基于端口的传输控制 6、ARP欺骗的防范 8.1 Windows Server 2003用户账户安全管理 通常情况下，非法获得系统账户是入侵网络系统的第一步，其目的是通过得到合法的系统账户从而获得更多未授权的网络资源；使用默认的管理员账号和采用安全性不高的密码，都会成为黑客破解工具的漏洞，从而进一步窃取管理员权限；超限或过大地授权也会使用户获得更多的网络资料访问的能力。所以针对用户账户的安全管理尤为重要。 局域网络中系统管理员账户拥有着系统中最高的权限，因此，管理员账户也成为了黑客的主要攻击目标。作为网络管理员，应该做好管理员账户的安全管理，避免账户及密码被破解或盗取。 8.1.1 更改Administrator账户名 1、更改独立计算机中Administrator账户名 2、更改Active Directory控制器中 Administrator账户名 3、通过组策略更改Administrator账户名 8.1.2 禁用Administrator账户 如果更改Administrator账户名仍然达不到系统安全 需求，可以将Administrator账户禁用。然后使用其 他管理员账户，执行计算机或网络的维护任务。 8.1.3 减少Administrators组成员数量 Administrators 组可以执行计算机的维护任务。分配给该 组的默认权限允许对整个系统进行完全控制。所以，只有 受信任的人员才可成为该组的成员。减少Administrators 组成员的数量可以有效的提高网络系统的安全。 1、减少独立计算机中Administrators组成员数目 2、减少域控制器中Administrators组成员数目 注意：其中“成员”选项中默认存在“Administrator”账户、 “Domain Admins”组（指定的域管理员）、“Enterprise Admins”组（企业的指定系统管理员）。因此还应该控制 “Domain Admins”组和“Enterprise Admins”组中成员的数 量。 8.1.4 Administrator账户口令设置 1、注意事项 （1）不能让账号名与密码相同 （2）不要使用用户自己的姓名 （3）不要使用英文词组 （4）不要使用特定意义地日期 （5）不要使用简单的密码 2、安全密码原则 （1）用户密码应包含英文字母的大小写、数字、可打印字符，甚至非打印 字符，将这些符号排列组合使用，以期达到最好的保密效果 （2）用户密码不要太规则，不要将用户姓名、生日和电话号码作为密码 （3）密码长度设置时遵循7位或14位的整数倍原则 （4）在通过网络验证密码过程中，不得以明文方式传输，以免被监听截取 （5）密码不得以明文方式存放在系统中，确保密码以加密的形式写在硬盘 上，且包含密码的文件是只读的 （6）密码应定期修改，以避免重复使用旧密码 （7）建立账号锁定机制。一旦同一账号密码校验错误若干次即断开连 接并锁定该账户，经过一段时间才能解锁 （8）由网络管理员设置一次性密码机制，用户在下次登录时必须更换 新的密码 3、强密码设置 （1）长度至少有7个字符 （2）不包含用户的生日、电话、用户名、真实姓名或公司名等 （3）不包含完整的字典词汇 （4）包含全部下列4组字符类型。大