Windows_操作系统安全配置.pptVIP

 Windows 操作系统的安全配置 ;;物理安全;账号、密码安全;限制不必要的用户数量 　　去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。 使用安全密码 　　一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常???改密码。 ;把系统administrator帐号改名　　大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。 创建一个陷阱帐号　　什么是陷阱帐号? 创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts 忙上一段时间了，并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。;不让系统显示上次登陆的用户名 　　默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName把 REG_SZ 的键值改成 1 . ;开启密码密码策略策略　　　　　 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 开启帐户策略 策略　　　　　　　 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 ;本地安全策略 打开管理工具找到本地安全设置.本地策略.安全选项　　 网络访问.不允许SAM帐户的匿名枚举 启用 网络访问.可匿名的共享 将后面的值删除 网络访问.可匿名的命名管道 将后面的值删除 网络访问.可远程访问的注册表路径 将后面的值删除 网络访问.可远程访问的注册表的子路径 将后面的值删除 网络访问.限制匿名访问命名管道和共享 ;打开审核策略 　　开启安全审核是win2000/XP最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：策略　　　　　　　设置审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败 ;关闭不必要的服务 　　windows 2000 的 终端、远程注册表等服务，都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别不安全服务：; 1.Alerter[通知选定的用户和计算机管理警报] 　　2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享] 　　3.Distributed [将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享 　　4.Distributed Link Tracking Server[适用局域网分布式链接? 倏突Ф朔馷 　　5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问] 　　6.IMAPI CD-Burning COM S