第四章 操作系统安全配置方案

第七章 操作系统安全配置方案

内容提要

本章介绍Windows 2000服务器的安全配置。 操作系统的安全将决定网络的安全，从保护级 别上分成安全初级篇、中级篇和高级篇，共36 条基本配置原则。 安全配置初级篇讲述常规的操作系统安全配置， 中级篇介绍操作系统的安全策略配置，高级篇 介绍操作系统安全信息通信配置。

操作系统概述

目前服务器常用的操作系统有三类：

Unix Linux Windows NT/2000/2003 Server。

这些操作系统都是符合C2级安全级别的操作系 统。但是都存在不少漏洞，如果对这些漏洞不 了解，不采取相应的措施，就会使操作系统完 全暴露给入侵者。

Windows系统

Windows NT(New Technology)是微软公司 第一个真正意义上的网络操作系统，发展经过 NT3.0、NT40、NT5.0和NT6.0等众多版本，并 逐步占据了广大的中小网络操作系统的市场。Windows NT众多版本的操作系统使用了与 Windows 9X完全一致的用户界面和完全相同 的操作方法，使用户使用起来比较方便。与 Windows 9X相比，Windows NT的网络功能更 加强大并且安全。

Windows NT系列操作系统

Windows NT系列操作系统具有以下三方面的优点。 (1)支持多种网络协议

由于在网络中可能存在多种客户机，如Windows 95/98、Apple Macintosh、 Unix、OS/2等等，而这些客户机可能使用了不同的网络协议，如TCP/IP协 议、IPX/SPX等。Windows NT系列操作支持几乎所有常见的网络协议。

(2)内置Internet功能

随着Internet的流行和TCP/IP协议组的标准化，Windows NT内置了IIS (Internet Information Server),可以使网络管理员轻松的配置WWW和 FTP等服务。

(3)支持NTFS文件系统

Windows 9X所使用的文件系统是FAT,在NT中内置同时支持FAT和NTFS的 磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户 可以对NTFS系统中的任何文件、目录设置权限，这样当多用户同时访问系 统的时候，可以增加文件的安全性。

安全配置方案初级篇

安全配置方案初级篇主要介绍常规的操 作系统安全配置，包括十二条基本配置 原则：

物理安全、停止Guest帐号、限制用户数量 创建多个管理员帐号、管理员帐号改名 陷阱帐号、更改默认权限、设置安全密码 屏幕保护密码、使用NTFS分区 运行防毒软件和确保备份盘安全。

1、物理安全

服务器应该安放在安装了监视器的隔离 房间内，并且监视器要保留15天以上的 摄像记录。 另外，机箱，键盘，电脑桌抽屉要上锁， 以确保旁人即使进入房间也无法使用电 脑，钥匙要放在安全的地方。

2、停止Guest帐号

在计算机

管理的用户里面把Guest帐号停用，任何时候都不允许 Guest帐号登陆系统。 为了保险起见，最好给Guest 加一个复杂的密码，可以打开记事 本，在里面输入一串包含特殊字符,数字，字母的长字符串。 用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒 绝远程访问，如图7-1所示。

3 限制用户数量

去掉所有的测试帐户、共享帐号和普通部门帐号等等。 用户组策略设置相应权限，并且经常检查系统的帐户， 删除已经不使用的帐户。 帐户很多是黑客们入侵系统的突破口，系统的帐户越 多，黑客们得到合法用户的权限可能性一般也就越大。对于Windows NT/2000主机，如果系统帐户超过10个， 一般能找出一两个弱口令帐户，所以帐户数量不要大 于10个。

4 多个管理员帐号

虽然这点看上去和上面有些矛盾，但事实上是服从上面规 则的。创建一个一般用户权限帐号用来处理电子邮件以及 处理一些日常事物，另一个拥有Administrator权限的帐户 只在需要的时候使用。因为只要登录系统以后，密码就存储再WinLogon进程中， 当有其他用户入侵计算机的时候就可以得到登录用户的密 码，尽量减少Administrator登录的次数和时间。

5 管理员帐号改名

Windows 2000中的Administrator帐号是不能被停用的，这意味着 别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐 户改名可以有效的防止这一点。不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普 通用户，比如改成：guestone。具体操作的时候只要选中帐户名 改名就可以了，如图7-2所示。

6 陷阱帐号

所谓的陷阱帐号是创建一个名为“Administrator”的本地帐 户，把它的权限设置成最低，什么事也干不了的那种，并 且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了，并且可以借 此发现它们的入侵企图。可以将该用户隶属的组修改成 Guests组，如图7-3所示。

7 更改默认权限

共享文件的权限从“Everyone”组改成“授权用户”。 “Everyone”在Windows 2000中意味着任何有权进入你的网络的 用户都能够获得这些共享资料。 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印 共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置 某文件夹共享默认设置如图7-4所示。

8安全密码

好的密码对于一个网络是非常重要的，但是也是最容易 被忽略的。一些网络管理员创建帐号的时候往往用公司名，计算机 名，或者一些别的一猜就到的字符做用户名，然 …… 此处隐藏：1477字，全部文档内容请下载后查看。喜欢就下载吧 ……