第14章Windows 2003操作系统安全.pptVIP

Windows 2003操作系统安全 操作系统安全的基本设置 安全策略与安全模板的使用 解除NetBios与TCP/IP协议的绑定 IPC$，删除网络共享资源（包括隐藏共享） 操作系统安全的顶级设置 组策略 一、操作系统安全的基本设置 操作系统安全的基本设置：主要介绍常规的操作系统安全配置，包括十二条基本配置原则： 物理安全、保护Guest帐号、限制用户数量 创建多个管理员帐号、管理员帐号改名 陷阱帐号、更改默认权限、设置安全密码 屏幕保护密码、使用NTFS分区 运行防毒软件和确保备份盘安全。 1.物理安全 服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。 另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。 2.保护guest帐户 关闭、停用、改名 停止Guest帐号 在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。 为了保险起见，最好给Guest 加一个复杂的密码，密码是一串包含特殊字符,数字，字母的长字符串。 用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如右图所示。 在计算机管理的用户里面把Guest帐号停用。 3.限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。 帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。 对于Windows 2003主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。 去掉所有的不用帐号。 4.创建多个管理员帐号 虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。 因为只要登录系统以后，密码就存储在WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。 5.管理员帐号改名 Administrator帐户改名可以有效的防止别人对账号进行测试。 不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了，如右图所示。 保护administrator帐号 修改名字，不要使用它作为日常帐户; 使用后不要保持登录状态; 创建一个administrator帐户，将其放到guest组中,该帐户没有任何权限。 目的1：诱饵，吸引注意力，破解了也没有关系。 目的2: 可以帮助你判断谁在攻击你。 关闭此管理员帐户。 把Administrator帐户改名可以有效的防止这一点。 6. 陷阱帐号 所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。 这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组，如右图所示。 32位的数字＋字符＋符号密码；用户不能更改密码。 陷阱帐号 ** 每个帐户归属于适当的安全组 9类内置的安全组 Administrator Power users Users Guests Backup operators Replicator Network configuration operators Remote desktop users Helpservices group 7.更改默认权限 共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2003中意味着任何有权进入你的网络的用户都能够获得这些共享资料。 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置某文件夹共享默认设置如图所示。 8.设置安全密码 好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。 一些网络管理员创建帐号的时候往往用公司名、计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。 这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天