还剩4页未读,继续阅读
文本内容:
操作系统安全策略基本配置原则安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条根本配置原则()操作系统安全策略,()关闭不必要的服务()关闭不必123要的端口,()开启审核策略()开启密码策略,()开启帐户策456略,()备份敏感文件,()不显示上次登陆名,()禁止建立空联789结()下载最新的补丁10操作系统安全策略1利用的安全配置工具来配置安全策略,微软提供了一Windows20XX套的基于管理掌握台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到本地安全策略.可以配置四类安全策略:帐户策略,本地策略,公钥策略和安全策略.在默认的情况下,这些策略IP都是没有开启的.关闭不必要的服务2的(终端服务)和(信Windows20XX TerminalservicesIIS Internet息服务)等都可能给系统带来安全漏洞.为了能够在远程便利的管理服务器,许多机器的终端服务都是开着的,假如开了,要确认已经正确的配置了终端服务.有些恶意的程序也能以服务方式静静的运行服务器上的终端服务.要留意服务器上开启的全部服务并每天检查可禁用的服.Windows20XX务服务名说明维护网络上计算机的最新列表以及提供这个列表ComputerBrowser答应程序在指定时间运行在局域Taskscheduler RoutingandRemoteAccess网以及广域网环境中为企业提供路由服务管理可移动Removablestorage媒体,驱动程序和库答应远程注册表操作RemoteRegistryService将文件加载到内存中以便以后打印.要用打印机的用户不能PrintSpooler禁用这项服务管理安全策略以及启动IPSECPolicyAgent IP和安全驱动程序ISAKMP/OakleyIKE IPDistributedLinkTrackingClient当文件在网络域的卷中移动时发送通知提供大NTFS Com+EventSystem事的自动发布到订阅组件COM关闭不必要的端口3关闭端口意味着削减功能,假如服务器安装在防火墙的后面,被入侵的时机就会少一些,但是不行以认为高枕无忧了.用端口扫描器扫描系统所开放的端口,在文件中有知名端Winnt\system32\drivers\etc\services口和服务的对比表可供参考.该文件用记事本打开.设置本机开放的端口设置本机开放的端口和服务,在地址设置窗口中点击按钮高级IP在显现的对话框中选择选项卡选项,选中筛选,点击按钮TCP/IP属性.设置端口界面.一台服务器只答应的端口通过就可以了筛选器Web TCP
80.TCP/IP是自带的防火墙,功能比拟强盛,可以替代防火墙的部分功能.Windows开启审核策略4安全审核是最根本的入侵检测方法.当有人尝试对系Windows20XX统进行某种方式(如尝试用户密码,转变帐户策略和未经答应的文件访问等等)入侵的时分,都会被安全审核记录下来.必需开启的审核如下表策略设置审核系统登陆大事胜利,失利审核帐户管理胜利,失利审核登陆大事胜利,失利审核对象访问胜利审核策略更改胜利,失利审核特权运用胜利,失利审核系统大事胜利,失利审核策略默认设置审核策略在默认的情况下都是没有开启的.设置审核策略双击审核列表的某一项,显现设置对话框,将复选框胜利和失利都选中.开启密码策略5密码对系统安全非常重要.本地安全设置中的密码策略在默认的情况下都没有开启.需要开启的密码策略如表所示策略设置密码冗杂性要求启用密码长度最小值位6密码最长存留期天15强制密码历史个5设置密码策略设置选项.开启帐户策略6开启帐户策略可以有效的防止字典式攻击.策略设置复位帐户锁定计数器分钟30帐户锁定时间分钟30帐户锁定阈值次5设置帐户策略备份敏感文件7把敏感文件存放在另外的文件服务器中;把一些重要的用户数据(文件,数据表和工程文件等)存放在另外一个安全的服务器中,并且常常备份它们.不显示上次登录名8默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样.黑客们可以得到系统的一些用户名,进而做密码推测.修改注册表禁止显示上次登录名,在主键HKEYXLOCALXMACHINE下修改子键Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont将键值改成DisplayLastUserName,
1.禁止建立空联结9默认情况下,任何用户通过空联结连上服务器,进而可以枚举出帐号,推测密码.可以通过修改注册表来禁止建立空联结.在主键下修改子键HKEYXLOCALXMACHINE,将键值改System\CurrentControlSet\Control\LSA\RestrictAnonymous成即可.1下载最新的补丁10许多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家产靶子用.常常访问微软和一些安全站点,下载最新的和漏洞补丁,是保障服务器长期ServicePack安全的唯一方法.。