【计算机】第10章 安全管理.pptVIP

第10章 安全管理 10.1 安全性设计 10.2 设置账户策略 10.3 设置本地策略 10.4 审核资源的使用 要 求 1、掌握 （1）Win2000Server系统的安全设计 （2）设置密码策略 （3）设置帐户锁定策略 （4）设置安全选项策略 2、理解 （1）设置用户权利指派策略 （2）设置审核策略 （3）审核文件（夹）的访问 3、了解 （1）组策略对象的创建和编辑 （2）各种组策略的适用范围和应用顺序 （3）查看系统日志 10.1 安全性设计 1．确认Administrator帐号具有一个强壮的口令 Windows 2000允许我们设置口令的长度可达127位。通常情况下长口令要比短口令强健；包含多种字符类型（如：字母、数字或其它符号）的口令要比单一字符类型（如：全数字或全字母）的口令强健。所以要实现最大的保护工作，就要为Administrator帐号创建至少9个字符长度的口令，并且保证口令的前7个字符中至少包含一个特殊字符。而且如果一个系统管理员管理着多个服务器，各服务器的Administrator帐号的口令不应该相同。 10.1 安全性设计 2．重新配置Administrator帐号 Administrator即超级用户，它的权限至高无上，同时也是被攻击最多的对象。我们要对安装后默认的Administrator帐号重新配置，从而达到最大的安全性。建议采取如下措施： （1）重命名Administrator，最好取不起眼的名字； （2）再次创建一个名为Administrator的帐号，但不分配任何权限，以达到到诱骗的目的。同时经常查看事件日志文件，检查是否有使用这个帐号的企图，从而及早发现攻击隐患。 10.1 安全性设计 3．禁止或删除不需要的用户帐号 我们应该经常查看用户帐号列表，将不怎么使用的帐号坚决禁止，或干脆删除掉。比如禁止Guest帐号。 10.1 安全性设计 4．设置强健的口令策略 对于口令的设置管理，应该具有一定的强制性，即用策略来强制用户做到： （1）最小口令长度至少为8； （2）最小口令使用期限：1~7天； （3）最大口令使用期限：不超过42天； （4）口令的历史保持次数至少为6，即当前设置的口令不能与最近6次中的任何一次相同。 10.1 安全性设计 5．设置帐号锁定策略 用户帐号锁定就是指当一个帐号登录失败的次数超过设定的次数，该用户帐号即被自动禁止使用，直到管理员再次将它启用或在指定时间后自动解锁。建议将登录失败次数设置为3~5次之间。 10.1 安全性设计 6．确认所有的磁盘分区格式都为NTFS NTFS格式具备高度的访问控制机制，它能够有效地保护数据不被泄漏与篡改，这是其它操作系统所不具备的。我们可以利用convert命令将FAT/FAT32格式转换成NTFS格式。但要真正实现NTFS文件系统的安全性，还需要管理员对驱动器或文件（夹）设置合适的访问控制或利用EFS加密文件系统。 10.1 安全性设计 7．对所有必要的文件共享设置合适的访问控制 新创建的文件共享对Everyone都是完全控制许可，对于那些有必须存在的文件共享，应该设置合适的共享级访问控制。 10.1 安全性设计 8．删除不需要的文件共享 建议删除系统中所有不必要的文件共享服务，降低信息暴露的风险。 9．安装防病毒软件并及时更新 计算机病毒的危害日益加重，我们必须在服务器上安装防病毒软件，并做到及时更新。 10.1 安全性设计 10．及时安装最新版本的Service Pack和Hotfixes补丁程序 微软公司的产品的补丁分为2类：SP（Service Pack）和HotFixes。SP是将一段时间内发布的HotFixes集合起来的大补丁，一般命名为SP1、SP2、……，一段时间才发布一次。Hotfixes是小补丁，是为了解决最新的系统漏洞而发布的。 强烈建议及时跟踪Microsoft公司发布的SP以及Hotfixes消息，从而根据具体环境，在机器中安装最新的SP及Hotfixes补丁程序。用户通过定期的在线升级可以自动地安装相应的SP和HotFixes。 10.1 安全性设计 11．启动审计功能 启动日志审计功能是非常必要的，它可以记录攻击者的入侵企图，便于管理员跟踪追查。 12．经常备份重要的数据 可以使用Windows自带的备份工具或第三方备份工具备份重要数据，包括系统配置或数据、服务器配置或数据、用户数据等。 10.2 设置账户策略 10.2.1 打开组策略管理单元 1. 将账户策略应用于本地计算机 若要针对本地计算机设置账户策略，请单击“开始”，指向“程序”，指向“管理工具”，然后单击“本地安全设置”，由此设置的账户策略仅用于本地计算机。 10.2.1 打开组策略