课件：《计算机网络与信息安全技术》电子CH系统访问控制与审计技术.ppt

11.2 Windows 2000的访问控制 11.2.3 Windows 2000 Server系统安全设置(续) 4．禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。通过修改“管理工具”中的“本地安全策略”的相应选项或修改系统注册表来实现。 5．打开安全审核 Windows 2000的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。 设置“本地安全策略”中“本地策略”的“审核策略”，建议设置如下： 审核策略 设置 账户登录事件 成功，失败 账户管理 成功，失败 登录事件 成功，失败 对象访问 失败 策略更改 成功，失败 特权使用 成功，失败 系统事件 失败 11.2 Windows 2000的访问控制 11.2.3 Windows 2000 Server系统安全设置(续) 6．关闭不必要和危险的系统服务 安装好Windows 2000后，一般开放了数十项系统或应用服务，做为一个管理员，应该知道各种服务都是做什么用的，例如有人入侵后须及时发现是否运行了一些入侵者留下的服务。管理方法是打开“管理工具”“服务”，根据要求启动/停止相应的服务。可参照附录1。 7．修改终端服务的默认端口 如有必要才需要此操作，默认为3389，可随意修改为1～65535的端口。键值：“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 。 8．网卡的端口筛选 具体情况配置。通过网卡“属性”-“TCP/IP协议属性”-“高级”-“选项”-“TCP/IP筛选属性”来设置。 根据服务器开启的应用服务，添加相应的TCP、UDP端口或IP协议。如一台服务器只作Web和Email服务器，则可只允许80、110和25端口。 11.2 Windows 2000的访问控制 11.2.3 Windows 2000 Server系统安全设置(续) 9．IIS安全配置 IIS安全操作步骤：配置“开始”—“程序”-“管理工具”-“Internet 服务管理器”。删除“默认站点”的站点。默认的IIS发布目录为C:\Inetpub，请将这个目录删除。在d盘或e盘新建一个目录(目录名随意)，然后新建一个站点，将主目录指向你新建的目录。 10．禁用不必要的网络协议与网络共享 建议在网络属性中关闭“Microsoft网络客户端”和“Microsoft网络文件与打印机共享”的选项。 建议去掉系统的默认共享。可通过Net命令、“计算机管理”或修改注册表实现。 11．其它 建议仔细查看“本地安全策略”、“计算机管理”及“组策略”等相关组件的功能，了解这些组件对系统安全的影响。 11.3 安全审计技术 11.3.1 安全审计概述 审计是对访问控制的必要补充，是访问控制的一个重要内容。审计会对用户使用何种信息资源、使用的时间，以及如何使用（执行何种操作）进行记录与监控。审计和监控是实现系统安全的最后一道防线，处于系统的最高层。审计与监控能够再现原有的进程和问题，这对于责任追查和数据恢复非常有必要。 审计跟踪是系统活动的流水记录。该记录按事件从始至终的途径，顺序检查、审查和检验每个事件的环境及活动。审计跟踪记录系统活动和用户活动。审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。审计跟踪不但有助于帮助系统管理员确保系统及其资源免遭非法授权用户的侵害，同时还能帮助恢复数据。 11.3 安全审计技术 11.3.2 审计内容 审计跟踪可以实现多种安全相关目标，包括个人职能、事件重建、入侵检测和故障分析。 1）个人职能（individual accountability） 审计跟踪是管理人员用来维护个人职能的技术手段。如果用户被知道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。 2）事件重建（reconstruction of events） 在发生故障后，审计跟踪可以用于重建事件和数据恢复。 3）入侵检测（intrusion detection） 审计跟踪记录可以用来协助入侵检测工作。如果将审计的每一笔记录都进行上下文分析，就可以实时发现或是过后预防入侵检测活动。 4）故障分析（problem analysis） 审计跟踪可以用于实