第11章-利用Windows-2000-组建Intranet网络.pptVIP

第11章 利用Windows 2000组建Intranet网络 什么是Intranet Intranet的安全 ?????????几个案例 1999年3月:外电报道， 昆明两家商业银行，因内外勾结进行计算机犯罪，损失3.7亿； 1999年7月：几大部委联合发出紧急通知：重要网络必须从物理上与Internet断开； 2003年8月： “Sobig”冲击波蠕虫病毒的变种快速传播，8天内导致全球电脑用户损失高达20亿美元之多 。 用户方面： 旧的安全管理体制不能满足网络发展的需要； 网络安全技术远远落后于网络应用； 在网络建设的同时，往往忽视网络安全建设。 攻击者方面: 攻击者层次不断提高,黑客专业化，往往掌握了深层次网络技术和协议 攻击点越来越多,诸多网络、通信协议缺乏有效的安全机制 攻击代价越来越小,一人一机、安座家中便能发起攻击； 攻击手段越来越先进,计算机性能大幅提升，为破译密码、口令提供了先进手段 我国网络面临的安全威胁 多数信息系统被国外产品垄断 美国军方拒绝使用Cisco路由器 美国严禁出口56位密钥以上的DES（数据加密标准）加密技术和产品到中国 我国提出军队骨干交换机全部国产化 数据包过滤 状态检测 状态检测是对包过滤功能的扩展。 传统的包过滤在用动态端口的协议时，事先无法知道哪些端口需要打开，就会将所有可能用到的端口打开，而这会给安全带来不必要的隐患。 状态检测将通过检查应用程序信息来判断此端口是否需要临时打开，并当传输结束时，端口马上恢复为关闭状态。 3.保障系统安全的技巧 (1)使用NTFS格式格式化分区 NTFS比FAT、FAT32安全得多 所有分区都使用NTFS格式 在安装系统时格式化 将系统和全部应用程序安装在C盘上，自己的文档放到其他分区上 (2)安装Service Pack Service Pack Windows 2000 SP4 Windows XP SP2 /china/security/Bulletins/ (3)使用安全密码 口令应该不少于8个字符 不包含字典里的单词、不包括姓氏的汉语拼音 同时包含多种类型的字符 (4)帐户管理 停用Guest帐户 禁用其他帐户 将Administrator改名 设置陷阱帐户 设一个本地帐户，名为Administrator，密码复杂 (5)共享管理 磁盘共享管理 net share (DOS下操作） 建立一个*.bat 文件，放入开始-启动 net share C$ /delete net share D$ /delete net share ipc$ /delete net share admin$ /delete 文件共享管理 把共享文件的权限从”everyone”组改成“授权用户” ( 操作：共享文件夹----权限---添加用户---删除everyone—查看 ） 都不要把共享文件的用户设置成 ”everyone” 组。 (6)关闭不必要的端口和服务 控制面板-管理工具-服务 Terminal Services（终端服务）、IIS和RAS都可能给系统带来安全漏洞。 Netstat -a 查看本机的活动端口 端口与服务相关 管理端口可借助防火墙 (7)安全策略 打开审核策略 控制面板-管理工具-本地安全策略-本地策略 打开密码策略和帐户锁定策略 控制面板-管理工具-本地安全策略-帐户策略 打开密码策略 (8)正确使用cookie cookie是由 Internet 站点创建的、将信息存储在计算机上的文件。 存储个人可识别信息。例如姓名、电子邮件地址。 删除不必要的cookie 在 Internet Explorer 的“工具”菜单上，单击“Internet 选项”。 在“常规”选项卡上，单击“设置”，然后单击“查看文件”。 选择要删除的 Cookie，然后在“文件”菜单上单击“删除”。 (9)安装工具软件（安全软件） 安装杀毒软件，及时更新病毒库 可查杀病毒 可查杀流行的木马 安装个人防火墙 可对端口的通信进行监控 (10)、漏洞扫描功能 扫描目标主机识别其工作状态（开/关机） 识别目标主机端口的状态（监听/关闭） 识别目标主机系统及服务程序的类型和版本 根据已知漏洞信息，分析系统脆弱点 生成扫描结果报告 (11)其他 不到不受信任的网站上下载软件运行 不随便点击来历不明邮件所带的附件 定期备份自己的文件 注意关机和锁定 计算机病毒是一种极其普遍的破坏系统服