第二章 操作统安全配置.ppt

Windows的安全特性 数据安全性 用户登录时的安全性 网络数据的保护 在站点之间穿越的数据，可以采用相应的安全机制 企业间通信的安全性 企业和Internet网的单点安全登录 易用的管理型和高扩展性 2.2 Windows2003Server安全配置 1.基本安装配置事项 分区划分和选择：NTFS格式 安装目录选择 去除多余组件 停止多余的服务 安装系统补丁 1、将服务器接入网络内安装。Windows2000 Server操作系统在安装时存在一个安全漏洞，当输入Administrator密码后，系统就自动建立了ADMIN$的共享，但是并没有用刚刚输入的密码来保护它，这种情况一直持续到再次启动后，在此期间，任何人都可以通过ADMIN$进入这台机器；同时，只要安装一结束，各种服务就会自动运行，而这时的服务器是满身漏洞，计算机病毒非常容易侵入。因此，将服务器接入网络内安装是非常错误的。 2、操作系统与应用系统共用一个磁盘分区。在安装操作系统时，将操作系统与应用系统安装在同一个磁盘分区，会导致一旦操作系统文件泄露时，攻击者可以通过操作系统漏洞获取应用系统的访问权限，从而影响应用系统的安全运行。采用FAT32文件格式安装。FAT32文件格式不能限制用户对文件的访问，这样可以导致系统的不安全。 4、采用缺省安装。缺省安装操作系统时，会自动安装一些有安全隐患的组件，如：IIS、DHCP、DNS等，导致系统在安装后存在安全漏洞。5、系统补丁安装不及时不全面。在系统安装完成后，不及时安装系统补丁程序，导致病毒侵入。 运行中的安全问题 1、默认共享。系统在运行后，会自动创建一些隐藏的共享。一是C$ D$ E$ 每个分区的根共享目录。二是ADMIN$ 远程管理用的共享目录。三是IPC$ 空连接。四是NetLogon共享。五是其它系统默认共享，如：FAX$、PRINT$共享等。这些默认共享给系统的安全运行带来了很大的隐患。 2、默认服务。系统在运行后，自动启动了许多有安全隐患的服务，如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services（选程修改注册表服务）、SNMP Services 、Terminal Services 等。这些服务在实际工作中如不需要，可以禁用。 　　方法一：采用批处理文件在系统启动后自动删除共享。　首选在Cmd提示符下输入“Net Share”命令，查看系统自动运行的所有共享目录。然后建立一个批处理文件SHAREDEL.BAT，将该批处理文件放入计划任务中，设为每次开机时运行。文件内容如下：　　NET SHARE C$ /DELETE、 NET SHARE D$ /DELETE NET SHARE E$ /DELETE 　　……　　NET SHARE IPC$ /DELETE　　NET SHARE ADMIN$ /DELETE　　方法二：修改系统注册表，禁止默认共享功能。在Local_Machine\ System\ CurrentControlSet\Services\Lanmanserver\parameters下新建一个双字节项“auto shareserver”，其值为“0”。　　2、删除多余的不需要的网络协议　　删除网络协议中的NWLink NetBIOS协议，NWLink IPX/SPX/NetBIOS 协议，NeBEUI PROtocol协议和服务等，只保留TCP/IP网络通讯协议。　 用户账户的类型 用户账户有域用户帐户和本地用户账户两种类型。 建立在域控制器上的是“域用户账户”，这个账户的信息会存储在AD数据库中。“域用户账户”可用来登录域、访问域内的资源（包括域内任何计算机上的共享文件夹及共享打印机等）。 非域控制器的Windows Server 2003独立服务器、成员服务器以及Windows XP客户端，则会有另一组“本地用户帐户”。本地用户帐户的信息不会存储在AD数据库中，而是存在本机中。所以“本地用户帐户”只能够登录账户所在的计算机，访问该机资源，而无法登录域。 “本地用户帐户”适用于工作组（Workgroup）的网络环境，一般不会在加入域的计算机上建立本地用户账户，原因如下： 系统管理员无法在Active Directory 用户和计算机集中管理本地用户账户，而必须到各台计算机上，进行本地用户账户的权限设置，这样无疑增加了管理负担。 本地用户账户只能在本地计算机上使用，不能访问域中其他计算机的资源，实用性不高。 内置的用户账户 Windows Server 2003的域的内置账户有：Adminis