07.网络安全高级工程师认证学习笔记3全解.doc

操作系统安全配置方案 操作系统安全策略 1.在管理工具中可以找到“本地安全策略”，主界面如图所示 可以配置四类安全策略：帐户策略、本地策略、公钥策略和IP安全策略。在默认的情况下，这些策略都是没有开启的。 2.关闭不必要的服务 Windows 2000的Terminal Services（终端服务）和IIS（Internet 信息服务）等都可能给系统带来安全漏洞。 为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。 Windows 2000作为服务器可禁用的服务及其相关说明如表所示。 Windows2000可禁用的服务 服务名 说明 Computer Browser 维护网络上计算机的必威体育精装版列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的用户不能禁用这项服务 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 3.关闭不必要的端口 关闭端口意味着减少功能，如果服务器安装在防火墙的后面，被入侵的机会就会少一些，但是不可以认为高枕无忧了。 用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。该文件用记事本打开如图所示。 设置本机开放的端口和服务，在IP地址设置窗口中点击按钮“高级”，如图所示。 在出现的对话框中选择选项卡“选项”，选中“TCP/IP筛选”，点击按钮“属性”，如图所示。 设置端口界面如图所示。 一台Web服务器只允许TCP的80端口通过就可以了。 TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。 4 开启审核策略 安全审核是Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。 很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。 下表的这些审核是必须开启的，其他的可以根据需要增加。 策略 设置 审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败 审核策略默认设置 审核策略在默认的情况下都是没有开启的，如图所示。 双击审核列表的某一项，出现设置对话框，将复选框“成功”和“失败”都选中，如图所示。 5.开启密码策略 密码对系统安全非常重要。本地安全设置中的密码策略在默认的情况下都没有开启。需要开启的密码策略如下表所示 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 密码最长存留期 15天 强制密码历史 5个 设置选项如图所示 6.开启帐户策略 开启帐户策略可以有效的防止字典式攻击，设置如表所示。 策略 设置 复位帐户锁定计数器 30分钟 帐户锁定时间 30分钟 帐户锁定阈值 5次 设置帐户策略 设置的结果如图所示 7.备份敏感文件 把敏感文件存放在另外的文件服务器中，虽然服务器的硬盘容量都很大，但是还是应该考虑把一些重要的用户数据（文件，数据表和项目文件等）存放在另外一个安全的服务器中，并且经常备份它们。 8.不显示上次登录名 默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户名，本地的登陆对话框也是一样。黑客们可以得到系统的一些用户名，进而做密码猜测。 Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，将键值改成1，如图所示。 9.禁止建立空连接 默认情况下，任何用户通过空连接连上服务器，进而可以枚举出帐号，猜测密码。