网络操作系统安全概述(PPT 119页).pptVIP

各项账户锁定策略配置成功后，其配置效果如图2.20所示。 图2.20 账户锁定策略配置 * （3）配置审核策略 审核策略是对系统发生的事件或进程进行记录的过程，网络管理员可以根据对事件的记录检查系统发生故障的原因等，这可对维护系统起到参考作用。 在“组策略”编辑器中依次展开“计算机配置”→ “Windows设置”→安全设置” →本地策略” →“审核策略”，在右侧窗口中显示可进行配置的审核策略。 * 右击某项策略，如“审核登录事件”，选择“属性”，出现如图2.21所示属性窗口。勾选所选项，单击“确定”按钮。出现如图2.22所示窗口，系统对登录成功和失败的事件都会进行记录。 图2.21配置审核登录事件属性 图2.22 配置审核事件成功 * （4）用户权限分配 “用户权限分配”是对系统中用户或用户组的权限进行分配的策略项。一般情况下可采用默认设置，网络管理员也可根据系统的实际情况进行修改。 配置方法：在“组策略”编辑器中依次展开“计算机配置”→ “Windows设置”→“安全设置”→“本地策略”→“用户权限分配”项，在右侧窗口中显示出系统默认用户(组)所具有的权限，如图2.23所示。 * 图2.23 配置用户权限 * （5）配置“安全选项” 配置方法：在“组策略”编辑器中依次展开“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“安全选项”。 ① 不显示系统最后登录的用户账户 默认情况下，系统保留最后一个登录用户的账户。但这样会使非法用户在尝试登录系统时，利用已知用户账户，只需尝试用户的密码即可，使系统减少了一层安全屏障。可以采用配置安全策略方法使系统不显示最后一个登录系统的用户账户。 * 右击策略里的“交互式登录：不显示上次的用户名”，选择“属性”。在出现的窗口中点选“已启用”，再点击“应用”→“确定”按钮，该项策略已启用，如图2.24所示。 图2.24配置不显示上次用户名属性 * ② 配置安全选项，使光驱不能被远程使用 在“安全选项”里右击“设备：只有本地登录的用户才能访问CD-ROM”项，选择“属性”，如图2.25所示；点选“已启用”，再点击“应用”→“确定”按钮，该项策略“已启用”。 图2.25只有本地登录的用户才能访问CD-ROM配置 * （6）配置只允许用户执行的程序 在Windows 2003系统中，可对用户设置可以执行的程序，这样用户就只能执行配置中所规定的程序，从而增强系统的安全性。该类的配置操作如下： 第1步：在“组策略”编辑器中依次展开“用户配置”→ “管理模板”→“系统”，在右侧窗口中列出众多“设置”项及其“状态”。 第2步：右击“设置”项中的“只运行许可的Windows应用程序”，选择属性。在出现的如图2.26所示的“属性”窗口里点选“已启用”，再点击“显示”按钮，出现“显示内容”窗口。 * 第3步：在“显示内容”窗口中点击“添加”按钮，在“添加项目”对话框中输入允许用户执行的程序，点击“确定”按钮即可。 图2.26 添加只允许运行的特定程序 * （7）隐藏驱动器 在工作中有时因特殊用途，会对用户隐藏一些驱动器，在组策略中可以实现这一目的。其配置操作如下： 第1步：在”组策略”编辑器中依次展开“用户配置”→ “管理模板”→ “Windows组件”→ “Windows 资源管理器”，在右侧窗口列出很多“设置”项及其“状态”。 第2步：右击“设置”项中的“隐藏“我的电脑”中的这些指定的驱动器”，选择“属性”。 第3步：在出现的如图2.27所示属性窗口中打开“设置”选项卡，点选“已启用”，并在“选择下列组合中的一个”下拉菜单中选择设置限制项，最后点击“确定”按钮即可。 * 图2.27 限制驱动器 * （8）配置开始菜单和任务栏 在某些特殊场所应用中，需要对“开始菜单”和“任务栏”做特殊的管理。如在网吧，一般不允许用户使用“运行”命令，不允许注销用户等，这些要求都可以通过配置组策略来实现。 第1步：在“组策略”编辑器中依次展开“用户配置”→ “管理模板”→“任务栏和『开始』菜单”，在右侧窗口中显示出很多“设置”项及其“状态”。 * 第2步：如果需要在开始菜单中取消“搜索”命令，则配置“从『开始』菜单中删除“搜索”菜单”为“已启用”即可，如图2.28所示。 第3步：如果需要在开始菜单中取消“注销”命令，则配置“删除『开始』菜单上的“注销”为“已启用”即可。 图2.28在开始菜单中取消“注销”命令 * （5）Windows Media Player漏洞 Windows Media Player是Windows中的媒体播放软件。在Windows XP系统中，Windows Media Player漏洞主要产生两个问题：一是信息泄漏，它给攻击者提供一种可在用户系统上运行代码的方法；二是脚本执行，当用户