实验二操系统安全配置.doc

实验二操作系统安全配置 【】【】【】Windows 2000最基本的入侵检测方法。当有人尝试对系统进行某种方式（如尝试用户密码，改变帐户策略和未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。 网络服务和端口管理 Windows中有许多用不着的服务自动处于激活状态，Terminal Services（终端服务）和IIS（Internet 信息服务）等都可能给系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果开了，要确认已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。要留意服务器上开启的所有服务并每天检查。 另外，需要把系统用不着的网络端口也关闭，防止黑客的攻击。用端口扫描器扫描系统所开放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。如果配置一台Web服务器，只允许TCP的80端口通过就可以了。TCP/IP筛选器是Windows自带的防火墙，功能比较强大，可以替代防火墙的部分功能。 IPSec策略 IPsec在网络层提供安全服务，它能使系统按需选择安全协议，决定服务所使用的算法及放置密钥到相应位置。在Windows操作系统中内嵌了对IPsec的支持，可以方便的建立主机到主机，网络到网络的安全通信。IPsec适用于基于IPsec策略的通信，可以使用IPsec策略来决定何时使用IPsec保护计算机之间的通信。 创建 IPsec 策略时，需配置 IPsec 规则（这些规则确定 IPsec 的行为）以及设置（设置的应用与配置的规则无关）。 配置 IPsec 策略后，必须将该策略指派给一台计算机才能实施该策略。 虽然在一台计算机上可以存在多个 IPsec 策略，但每次只能将一个 IPsec 策略指派给一台计算机。IPsec 规则确定 IPsec 必须对哪些类型的通信流进行检查；是允许通信流、阻止通信流还是协商安全性；如何对 IPSec 对等方进行身份验证；以及其他设置。配置 IPsec 规则时，可以配置筛选器列表，该列表包含一个或多个筛选器、筛选器操作、身份验证方法、连接类型和 IPsec 封装模式（传输模式或隧道模式）。 IPsec 规则通常是针对特定用途（例如，“阻止所有从 Internet 到 TCP 端口 135 的入站通信流”）配置的。筛选器定义了要检查的通信流（这与防火墙规则类似）以及源和目标 IP 地址、协议和端口号（如果适用）。 筛选器操作定义了网络通信流的安全性要求。 【】必须包含以下四类字符中的三类字符英文大写字母( A – Z )英文大写字母( a – z )10个基本数字( 0 – 9 )?非字母字符 ( 例如 !、$、#、% )此策略为某些应用程序提供支持，这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此，除非应用程序需求比保护密码信息更重要，否则绝不要启用此策略。 从上面这些设置项中我们不难得到一个最简单有效的密码安全方案，即首先启用“密码必须符合复杂性要求”策略，然后设置“密码最短存留期”，最后开启“强制密码历史”。设置好后，在“控制面板”中重新设置管理员的密码，这时的密码不仅本身是安全的（不低于6位且包含不同类别的字符），而且以后修改密码时也不易出现与以前重复的情况了，这样的系统密码安全性非常高13 输入新用户密码 ⑸在右栏中找到刚加入的用户myuser,双击出现该用户的属性信息，单击【成员属于】选项卡，可以修改用户所属的组，修改用户的权限，如图2-14所示。 图2-14 新用户的属性 3．系统审核 设置审核策略的步骤如下： ⑴以系统管理员的身份登录到Windows XP操作系统，对审核策略进行修改，选择【控制面板】|【管理工具】|【本地安全策略】|【审核策略】，出现如图2-15所示的管理界面。 图 2-15 审核策略管理界面 ⑵双击右侧栏目的【审核对象访问】，出现如图2-16所示的管理界面，对对象访问的审核策略进行修改。修改完成后单击【确定】即可。  图2-16 审核对象访问策略管理界面 ⑶右键单击想要审核的文件或文件夹，选择弹出菜单的命令，接着在弹出的窗口中选择安全标签。单击高级按钮，然后选择审核标签图2-17 Windows文件夹的审核项目 4. 网络服务和端口管理 以Domain Admins组成员的身份登录Windows Server 2003操作系统 （虚拟机）。 ⑴服务管理： ①选择【控制面板】|【管理工具】|【服务】，如图2-18所示。 图2-18 服务管理界面 ②在右侧窗体中单击某一服务，在【操作】菜单