某移动公司信息安全培训操作安全.pptx

操作平安操作平安1、操作系统平安(Windows/U NIX)2、控制措施:预防，检测和纠正3、管理手段:责任别离，工作轮换，最小特权等4、常见的IT任务:计算机操作，生产调度，磁带库，系统平安等5、日常审计和监督6、防病毒管理7、变更管理，8、各份和介质处理9、事件处理10、常见的攻击手段与防范操作系统平安- WinNT/2000/XP/20**系统版本的选择正确的安装系统修改默认的安装路径系统的配置版本的选择强烈建议选择使用英文版的操作系统中文版的bug肯定要多于英文版补丁是先发表英文版的正确的安装系统尽量不采用网络安装强烈建议不要采用升级安装，而是进行全新的安装硬盘的分区问题如：iis缓冲溢出会影响整个系统的平安，建议分3个以上分区。第一个来安装系统和日志，第二个放IIS；第三个放FTP,这样无论IIS或FTP出了平安问题都不会影响到这个系统。最好选择为NTFS格式可以启用EFS(Encrypt File System)对文件进行加密不要先格式化为fat32然后再转换到NTFS格式建议一定要在安装完毕，并且安装好各种补丁后在接入网络。修改默认的安装路径Win2000的默认路径为c:，存在平安的隐患，可以修改一下，比方d:!@#。这也能在一定的程度上保护系统。无论是那种操作系统安装系统后，一定注意要先装上补丁把系统给修补好补丁的安装一定要在所有需要安装的程序安装完毕后，才进行安装，否那么会导致某些不定不能正常的发挥作用。系统的配置1．端口，这可以说是计算机的第一道屏障，端口配置是否合理直接影响到计算机的平安，一般来说，翻开需要的端口就可以了，配置方法是在网卡的属性中--tcp/ip--高级--选项--tcp/ip 筛选。根据自己的需要配置。2．IIS配置，IIS是众多组件中公认的漏洞最多的一个，而微软的IIS默认安装实在不敢恭维，所以IIS配置是我们必须的一步。首先，删除系统盘符中的inetpub目录，然后再第二个盘中建一个Inetpub，或者干脆换个名字，然后在IIS管理器中将主目录指向新的文件地址。其次，删掉IIS默认安装时的scripts等目录。根据自己的需要建立，最后备份IIS。系统的配置23．彻底删掉缺省共享　在Win 2000中，默认有如下共享：c$,D$……，还有admin$,ipc$等，我们可以在“计算机管理〞--“共享〞中删除，但是这样做还不能从根本上解决问题，因为如果重新启动，你就发现这些共享就又都出现了。如何完全解决这个问题呢？可以采用以下方法：翻开记事本并输入：net share C$ /deletenet share D$ /delete(根据自己的盘符输入，如果只有c,d两个盘符上述就可以了，然后继续下面的输入)net share ipc$ /deletenet share admin$ /delete　然后保存为*.bat文件，可以随便命名，保证后缀为bat即可，然后把该文件添加到启动选项，至于如何添加方法比较多，最简单的就是拖入开始--启动文件夹里就行了系统的配置34．账号策略〔1〕 首先系统开的账号要尽可能的少，因为每多一个账号，就是增加了一分被暴力攻破的概率，严格控制账号的权限。〔2〕 重命名administrator，改为一个不容易猜到的用户名，防止暴力破解〔3〕 禁用guest 账号，并且重命名为一个复杂的名字，设置一个复杂的口令，并且从guest 组删除，防止黑客利用工具将guest提升到管理员组〔4〕 建立健壮的口令，不要使用假设口令如：zhangsan，iloveyou等等。〔5〕 经常改变口令，检查账号。系统的配置45．平安日志　可以在2000的本地平安策略--审核策略中翻开相应的审核，推荐如下：账户管理 成功 失败登陆事件 成功 失败对象访问 失败策略更改 成功 失败特权使用 成功 失败系统时间 成功 失败目录效劳访问 失败账户登陆事件 成功 失败系统的配置5在账户策略-密码策略中设定：密码复杂性要求 启用密码长度最小值 8位强制密码历史 3次最长存留期 30天在账户策略-账户锁定策略中设定：账户锁定 3次错误登录锁定时间 15分钟复位锁定计数 30分钟作为一个管理员，要学会定期的查看日志，并且善于发现入侵者的痕迹。系统的配置66．目录文件权限　为了控制好效劳器上用户的权限，同时也为了预防以后可能的入侵和溢出，我们必须设置目录和文件的访问权限。Windows NT的访问权限分为读取，写入，执行，修改列目录，完全控制。设置的时候注意以下原那么：　1权限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；　2拒绝的权限要比允许的权限高〔拒绝策略会先执行〕如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问