計算機作業系統的系統安全策略

  計算機作業系統的安全基本配置原則有基本的十條,下面由小編為大家整理了計算機作業系統的安全策略的相關知識,希望對大家有幫助!

  一、簡介

  安全配置方案中級篇主要介紹作業系統的安全策略配置,包括十條基本配置原則:

  ***1***作業系統安全策略,

  ***2***關閉不必要的服務

  ***3***關閉不必要的埠,

  ***4***開啟稽核策略

  ***5***開啟密碼策略,

  ***6***開啟帳戶策略,

  ***7***備份敏感檔案,

  ***8***不顯示上次登陸名,

  ***9***禁止建立空連線

  ***10***下載最新的補丁

  二、詳解

  1 作業系統安全策略

  利用Windows 2000的安全配置工具來配置安全策略,微軟提供了一套的基於管理控制檯的安全配置和分析工具,可以配置伺服器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四類安全策略:帳戶策略,本地策略,公鑰策略和IP安全策略.在預設的情況下,這些策略都是沒有開啟的.

  2 關閉不必要的服務

  Windows 2000的Terminal Services***終端服務***和IIS***Internet 資訊服務***等都可能給系統帶來安全漏洞.為了能夠在遠端方便的管理伺服器,很多機器的終端服務都是開著的,如果開了,要確認已經正確的配置了終端服務.

  有些惡意的程式也能以服務方式悄悄的執行伺服器上的終端服務.要留意伺服器上開啟的所有服務並每天檢查.Windows2000可禁用的服務服務名說明

  Computer Browser維護網路上計算機的最新列表以及提供這個列表Task scheduler允許程式在指定時間執行Routing and Remote Access在區域網以及廣域網環境中為企業提供路由服務Removable storage管理可移動媒體,驅動程式和庫Remote Registry Service允許遠端登錄檔操作Print Spooler將檔案載入到記憶體中以便以後列印.要用印表機的使用者不能禁用這項服務IPSEC Policy Agent管理IP安全策略以及啟動ISAKMP/Oakley***IKE***和IP安全驅動程式Distributed Link Tracking Client當檔案在網路域的NTFS卷中移動時傳送通知Com+ Event System提供事件的自動釋出到訂閱COM元件。

  3 關閉不必要的埠

  關閉埠意味著減少功能,如果伺服器安裝在防火牆的後面,被入侵的機會就會少一些,但是不可以認為高枕無憂了.用埠掃描器掃描系統所開放的埠,在Winnt\system32\drivers\etc\services檔案中有知名埠和服務的對照表可供參考.該檔案用記事本開啟.

  設定本機開放的埠

  設定本機開放的埠和服務,在IP地址設定視窗中點選按鈕"高階"。

  在出現的對話方塊中選擇選項卡"選項",選中 "TCP/IP篩選",點選按鈕"屬性".

  設定埠介面.

  一臺Web伺服器只允許TCP的80埠通過就可以了.TCP/IP篩選器是Windows自帶的防火牆,功能比較強大,可以替代防火牆的部分功能.

  4 開啟稽核策略

  安全稽核是Windows 2000最基本的入侵檢測方法.當有人嘗試對系統進行某種方式***如嘗試使用者密碼,改變帳戶策略和未經許可的檔案訪問等等***入侵的時候,都會被安全稽核記錄下來.必須開啟的稽核如下表:

  策略設定

  稽核系統登陸事件成功,失敗

  稽核帳戶管理成功,失敗

  稽核登陸事件成功,失敗

  稽核物件訪問成功

  稽核策略更改成功,失敗

  稽核特權使用成功,失敗

  稽核系統事件成功,失敗

  稽核策略預設設定

  稽核策略在預設的情況下都是沒有開啟的.

  設定稽核策略

  雙擊稽核列表的某一項,出現設定對話方塊,將複選框"成功"和"失敗"都選中.

  5 開啟密碼策略

  密碼對系統安全非常重要.本地安全設定中的密碼策略在預設的情況下都沒有開啟.需要開啟的密碼策略如表所示

  策略設定

  密碼複雜性要求啟用

  密碼長度最小值6位

  密碼最長存留期15天

  強制密碼歷史5個

  設定密碼策略

  設定選項.

  6 開啟帳戶策略

  開啟帳戶策略可以有效的防止字典式攻擊.

  策略設定

  復位帳戶鎖定計數器30分鐘

  帳戶鎖定時間30分鐘

  帳戶鎖定閾值5次

  設定帳戶策略

  7 備份敏感檔案

  把敏感檔案存放在另外的檔案伺服器中;把一些重要的使用者資料***檔案,資料表和專案檔案等***存放在另外一個安全的伺服器中,並且經常備份它們.

  8 不顯示上次登入名

  預設情況下,終端服務接入伺服器時,登陸對話方塊中會顯示上次登陸的帳戶名,本地的登陸對話方塊也是一樣.黑客們可以得到系統的一些使用者名稱,進而做密碼猜測.修改登錄檔禁止顯示上次登入名,在HKEY_LOCAL_MACHINE主鍵

  下修改子鍵Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont

  DisplayLastUserName,將鍵值改成1.

  9 禁止建立空連線

  預設情況下,任何使用者通過空連線連上伺服器,進而可以枚舉出帳號,猜測密碼. 可以通過修改登錄檔來禁止建立空連線.在HKEY_LOCAL_MACHINE主鍵下修改子鍵:

  System\CurrentControlSet\Control\LSA\RestrictAnon ymous,將鍵值改成"1"即可.

  10 下載最新的補丁

  很多網路管理員沒有訪問安全站點的習慣,以至於一些漏洞都出了很久了,還放著伺服器的漏洞不補給人家當靶子用.經常訪問微軟和一些安全站點,下載最新的Service Pack和漏洞補丁,是保障伺服器長久安全的唯一方法.