域网系统安全防范.ppt

　 提升网络技术　打造网络技能人才 　　 　　　　　　　　系统安全设置 (1) 使用NTFS格式分区：　最好把服务器的所有分区都改成NTFS格式，NTFS文件系统要比FAT、FAT32的文件系统安全得多。 (2) 运行防毒软件：　杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，因此要注意经常运行程序并升级病毒库。 (3) 到微软网站下载最新的补丁程序：　很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出现很久了，还放着服务器的漏洞不补给人家当靶子用。经常访问微软和一些安全站点，下载最新的Service Pack和漏洞补丁，是保障服务器长久安全的惟一方法。 第7章　局域网系统安全防范 局域网组建与维护 　 提升网络技术　打造网络技能人才 (4) 关闭默认共享：　Windows 2003安装好以后，系统会创建一些隐藏的共享，你可以在Cmd下打“ Net Share” 查看他们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享 ，打开“管理工具\计算机管理\共享文件夹\共享”在相应的共享文件夹上按右键，点[停止共享]即可。　　 (5) 锁住注册表：　在Windows 2003中，只有Administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限。 第7章　局域网系统安全防范 局域网组建与维护 　 提升网络技术　打造网络技能人才 (6) 禁止用户从软盘和光驱启动系统：　一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。当然，把机箱锁起来仍不失为一个好方法。 (7) 利用Windows 2003的安全配置工具来配置安全策略：　微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们你可以很方便地配置你的服务器以满足你的要求。 第7章　局域网系统安全防范 局域网组建与维护 　 提升网络技术　打造网络技能人才 　　　　　　　服务安全设置 (1) 关闭不必要的端口：　关闭端口意味着减少功能，在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面，冒险就会少些。但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客入侵。在系统目录中的\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：打开“ 网上邻居/属性/本地连接/属性/internet 协议(TCP/IP)/属性/高级/选项/TCP/IP筛选/属性” 打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可。 第7章　局域网系统安全防范 局域网组建与维护 　 提升网络技术　打造网络技能人才 (2) 设置好安全记录的访问权限：　安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统账户才有权访问。 (3) 把敏感文件存放在另外的文件服务器中：　虽然现在服务器的硬盘容量都很大，但是你还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。 (4) 禁止建立空连接：　默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。我们可以通过修改注册表来禁止建立空连接：即把“ Local_Machine\System\CurrentControlSet\Control\LSA\RestrictAnonymous” 的值改成“1”即可。 第7章　局域网系统安全防范 局域网组建与维护 　 提升网络技术　打造网络技能人才 7.2.2. 客户端安全策略实施 　　启动“本地安全策略”：单击“控制面板→管理工具→本地安全策略”后， 会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略，并可选择查看方式，导出列表及导入策略等操作。 第7章　局域网系统安全防范 局域网组建与维护 　 提升网络技术　打造网络技能人才 　　　　　　１、加固系统账户 (1)　禁止枚举账号： 在“本地安全策略”左侧列表的“安全设置”目录树中，逐层展开“本地策略→安全选项”。查看右侧的相关策略列表，在此找到“网络访问:不允许SAM账户和共享的匿名枚举”， 用鼠标右键单击，在弹出菜单中选择“属性”，而后会弹出一个对话框，在此激活“已启用”选项，最后点击“应用”按钮使设置生效。 (2)　账户管理：在“本地策略→安全选项”分支中，找到“账户:来宾账户状态”策略，点右键弹出菜单中选择“属性”，而后在弹出的属性对话框中设置其状态为“已停用”，最后“确定”退出。 第7章　局域网系统安全防范 局域网组建与