第八章 操作系统安全基础.ppt

6 陷阱帐号 所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。 这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组，如图所示。 7 更改默认权限 共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置某文件夹共享默认设置如图所示。 8安全密码 好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。 一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。 这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。 9屏幕保护密码 设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。 还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。 将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1秒”，如图所示。 10 NTFS分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。 11防毒软件 Windows 2000/NT服务器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。 设置了放毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。 12备份盘的安全 一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。 不能把资料备份在同一台服务器上，这样的话还不如不要备份。 安全配置方案中级篇 安全配置方案中级篇主要介绍操作系统的安全策略配置，包括十条基本配置原则： 操作系统安全策略、关闭不必要的服务 关闭不必要的端口、开启审核策略 开启密码策略、开启帐户策略、备份敏感文件 不显示上次登陆名、禁止建立空连接和下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略，微软提供了一套的基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略。 在管理工具中可以找到“本地安全策略”，主界面如图所示。 可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。 2 关闭不必要的服务 Windows 2000的Terminal Services（终端服务）和IIS（Internet 信息服务）等都可能给系统带来安全漏洞。 为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。 Windows 2000作为服务器可禁用的服务及其相关说明下表所示。 Windows2000可禁用的服务 服务名 说明 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 3 关闭不必要的端口 关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。 用端口扫描器扫描系统