第四章 操作系统安全配置方案

发布时间:2021-06-08

第七章 操作系统安全配置方案

内容提要

本章介绍Windows 2000服务器的安全配置。 操作系统的安全将决定网络的安全,从保护级 别上分成安全初级篇、中级篇和高级篇,共36 条基本配置原则。 安全配置初级篇讲述常规的操作系统安全配置, 中级篇介绍操作系统的安全策略配置,高级篇 介绍操作系统安全信息通信配置。

操作系统概述

目前服务器常用的操作系统有三类:

Unix Linux Windows NT/2000/2003 Server。

这些操作系统都是符合C2级安全级别的操作系 统。但是都存在不少漏洞,如果对这些漏洞不 了解,不采取相应的措施,就会使操作系统完 全暴露给入侵者。

Windows系统

Windows NT(New Technology)是微软公司 第一个真正意义上的网络操作系统,发展经过 NT3.0、NT40、NT5.0和NT6.0等众多版本,并 逐步占据了广大的中小网络操作系统的市场。Windows NT众多版本的操作系统使用了与 Windows 9X完全一致的用户界面和完全相同 的操作方法,使用户使用起来比较方便。与 Windows 9X相比,Windows NT的网络功能更 加强大并且安全。

Windows NT系列操作系统

Windows NT系列操作系统具有以下三方面的优点。 (1)支持多种网络协议

由于在网络中可能存在多种客户机,如Windows 95/98、Apple Macintosh、 Unix、OS/2等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协 议、IPX/SPX等。Windows NT系列操作支持几乎所有常见的网络协议。

(2)内置Internet功能

随着Internet的流行和TCP/IP协议组的标准化,Windows NT内置了IIS (Internet Information Server),可以使网络管理员轻松的配置WWW和 FTP等服务。

(3)支持NTFS文件系统

Windows 9X所使用的文件系统是FAT,在NT中内置同时支持FAT和NTFS的 磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性,用户 可以对NTFS系统中的任何文件、目录设置权限,这样当多用户同时访问系 统的时候,可以增加文件的安全性。

安全配置方案初级篇

安全配置方案初级篇主要介绍常规的操 作系统安全配置,包括十二条基本配置 原则:

物理安全、停止Guest帐号、限制用户数量 创建多个管理员帐号、管理员帐号改名 陷阱帐号、更改默认权限、设置安全密码 屏幕保护密码、使用NTFS分区 运行防毒软件和确保备份盘安全。

1、物理安全

服务器应该安放在安装了监视器的隔离 房间内,并且监视器要保留15天以上的 摄像记录。 另外,机箱,键盘,电脑桌抽屉要上锁, 以确保旁人即使进入房间也无法使用电 脑,钥匙要放在安全的地方。

2、停止Guest帐号

在计算机

管理的用户里面把Guest帐号停用,任何时候都不允许 Guest帐号登陆系统。 为了保险起见,最好给Guest 加一个复杂的密码,可以打开记事 本,在里面输入一串包含特殊字符,数字,字母的长字符串。 用它作为Guest帐号的密码。并且修改Guest帐号的属性,设置拒 绝远程访问,如图7-1所示。

3 限制用户数量

去掉所有的测试帐户、共享帐号和普通部门帐号等等。 用户组策略设置相应权限,并且经常检查系统的帐户, 删除已经不使用的帐户。 帐户很多是黑客们入侵系统的突破口,系统的帐户越 多,黑客们得到合法用户的权限可能性一般也就越大。对于Windows NT/2000主机,如果系统帐户超过10个, 一般能找出一两个弱口令帐户,所以帐户数量不要大 于10个。

4 多个管理员帐号

虽然这点看上去和上面有些矛盾,但事实上是服从上面规 则的。创建一个一般用户权限帐号用来处理电子邮件以及 处理一些日常事物,另一个拥有Administrator权限的帐户 只在需要的时候使用。因为只要登录系统以后,密码就存储再WinLogon进程中, 当有其他用户入侵计算机的时候就可以得到登录用户的密 码,尽量减少Administrator登录的次数和时间。

5 管理员帐号改名

Windows 2000中的Administrator帐号是不能被停用的,这意味着 别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐 户改名可以有效的防止这一点。不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普 通用户,比如改成:guestone。具体操作的时候只要选中帐户名 改名就可以了,如图7-2所示。

6 陷阱帐号

所谓的陷阱帐号是创建一个名为“Administrator”的本地帐 户,把它的权限设置成最低,什么事也干不了的那种,并 且加上一个超过10位的超级复杂密码。这样可以让那些企图入侵者忙上一段时间了,并且可以借 此发现它们的入侵企图。可以将该用户隶属的组修改成 Guests组,如图7-3所示。

7 更改默认权限

共享文件的权限从“Everyone”组改成“授权用户”。 “Everyone”在Windows 2000中意味着任何有权进入你的网络的 用户都能够获得这些共享资料。 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印 共享,默认的属性就是“Everyone”组的,一定不要忘了改。设置 某文件夹共享默认设置如图7-4所示。

8安全密码

好的密码对于一个网络是非常重要的,但是也是最容易 被忽略的。一些网络管理员创建帐号的时候往往用公司名,计算机 名,或者一些别的一猜就到的字符做用户名,然后又把 这些帐户的密码设置得比较简单,比如:“welcome”、 “iloveyou”、

“letmein”或者和用户名相同的密码等。这 样的帐户应该要求用户首此登陆的时候更改成复杂的密 码,还要注意经常更改密码。 这里给好密码下了个定义:安全期内无法破解出来的密 码就是好密码,也就是说,如果得到了密码文档,必须 花43天或者更长的时间才能破解出来,密码策略是42天 必须改密码。

9屏幕保护密码

设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意 不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,黑 屏就可以了。 还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。 将屏幕保护的选项“密码保护”选中就可以了,并将等待时间设 置为最短时间“1秒”,如图7-5所示。

10 NTFS分区

把服务器的所有分区都改成NTFS格式。 NTFS文件系统要比FAT、FAT32的文件 系统安全得多。

11防毒软件

Windows 2000/NT服务器一般都没有安装防毒软件的, 一些好的杀毒软件不仅能杀掉一些著名的病毒,还能 查杀大量木马和后门程序。设置了放毒软件,“黑客”们使用的那些有名的木马 就毫无用武之地了,并且要经常升级病毒库。

12备份盘的安全

一旦系统资料被黑客破坏,备份盘将是 恢复资料的唯一途径。备份完资料后, 把备份盘防在安全的地方。 不能把资料备份在同一台服务器上,这 样的话还不如不要备份。

安全配置方案中级篇

安全配置方案中级篇主要介绍操作系统 的安全策略配置,包括十条基本配置原 则:

操作系统安全策略、关闭不必要的服务 关闭不必要的端口、开启审核策略 开启密码策略、开启帐户策略、备份敏感文件 不显示上次登陆名、禁止建立空连接和下载最新 的补丁

1 操作系统安全策略

利用Windows 2000的安全配置工具来配置安全策略, 微软提供了一套的基于管理控制台的安全配置和分析工 具,可以配置服务器的安全策略。 在管理工具中可以找到“本地安全策略”,主界面如图 7-6所示。

可以配置四类安全策略:帐户策略、本地策略、公钥策略和IP安 全策略。在默认的情况下,这些策略都是没有开启的。

2 关闭不必要的服务

Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息 服务)等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的, 如果开了,要确认已经正确的配置了终端服务。 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要 留意服务器上开启的所有服务并每天检查。 Windows 2000作为服务器可禁用的服务及其相关说明如表7-1所示。

第四章 操作系统安全配置方案.doc 将本文的Word文档下载到电脑

    精彩图片

    热门精选

    大家正在看

    × 游客快捷下载通道(下载后可以自由复制和排版)

    限时特价:7 元/份 原价:20元

    支付方式:

    开通VIP包月会员 特价:29元/月

    注:下载文档有可能“只有目录或者内容不全”等情况,请下载之前注意辨别,如果您已付费且无法下载或内容有问题,请联系我们协助你处理。
    微信:fanwen365 QQ:370150219