安全管理课件.pptVIP

安全管理10.1安全性設計1．確認Administrator帳號具有一個強壯的口令 Windows2000允許我們設置口令的長度可達127位。通常情況下長口令要比短口令強健；包含多種字元類型（如：字母、數字或其他符號）的口令要比單一字元類型（如：全數字或全字母）的口令強健。所以要實現最大的保護工作，就要為Administrator帳號創建至少9個字元長度的口令，並且保證口令的前7個字元中至少包含一個特殊字元。而且如果一個系統管理員管理著多個伺服器，各伺服器的Administrator帳號的口令不應該相同。10.1安全性設計2．重新配置Administrator帳號 Administrator即超級用戶，它的許可權至高無上，同時也是被攻擊最多的對象。我們要對安裝後默認的Administrator帳號重新配置，從而達到最大的安全性。建議採取如下措施：（1）重命名Administrator，最好取不起眼的名字；（2）再次創建一個名為Administrator的帳號，但不分配任何許可權，以達到到誘騙的目的。同時經常查看事件日誌檔，檢查是否有使用這個帳號的企圖，從而及早發現攻擊隱患。10.1安全性設計3．禁止或刪除不需要的用戶帳號 我們應該經常查看用戶帳號列表，將不怎麼使用的帳號堅決禁止，或乾脆刪除掉。比如禁止Guest帳號。10.1安全性設計4．設置強健的口令策略 對於口令的設置管理，應該具有一定的強制性，即用策略來強制用戶做到：（1）最小口令長度至少為8；（2）最小口令使用期限：1~7天；（3）最大口令使用期限：不超過42天；（4）口令的歷史保持次數至少為6，即當前設置的口令不能與最近6次中的任何一次相同。10.1安全性設計5．設置帳號鎖定策略 用戶帳號鎖定就是指當一個帳號登錄失敗的次數超過設定的次數，該用戶帳號即被自動禁止使用，直到管理員再次將它啟用或在指定時間後自動解鎖。建議將登錄失敗次數設置為3~5次之間。10.1安全性設計6．確認所有的磁片分區格式都為NTFS NTFS格式具備高度的訪問控制機制，它能夠有效地保護數據不被洩漏與篡改，這是其他操作系統所不具備的。我們可以利用convert命令將FAT/FAT32格式轉換成NTFS格式。但要真正實現NTFS檔系統的安全性，還需要管理員對驅動器或檔（夾）設置合適的訪問控制或利用EFS加密檔系統。10.1安全性設計7．對所有必要的檔共用設置合適的訪問控制 新創建的檔共用對Everyone都是完全控制許可，對於那些有必須存在的檔共用，應該設置合適的共用級訪問控制。10.1安全性設計8．刪除不需要的檔共用 建議刪除系統中所有不必要的檔共用服務，降低資訊暴露的風險。9．安裝防病毒軟體並及時更新 電腦病毒的危害日益加重，我們必須在伺服器上安裝防病毒軟體，並做到及時更新。10.1安全性設計10．及時安裝必威体育精装版版本的ServicePack和Hotfixes補丁程式微軟公司的產品的補丁分為2類：SP（ServicePack）和HotFixes。SP是將一段時間內發佈的HotFixes集合起來的大補丁，一般命名為SP1、SP2、……，一段時間才發佈一次。Hotfixes是小補丁，是為了解決必威体育精装版的系統漏洞而發佈的。強烈建議及時跟蹤Microsoft公司發佈的SP以及Hotfixes消息，從而根據具體環境，在機器中安裝必威体育精装版的SP及Hotfixes補丁程式。用戶通過定期的線上升級可以自動地安裝相應的SP和HotFixes。10.1安全性設計11．啟動審計功能啟動日誌審計功能是非常必要的，它可以記錄攻擊者的入侵企圖，便於管理員跟蹤追查。12．經常備份重要的數據可以使用Windows自帶的備份工具或第三方備份工具備份重要數據，包括系統配置或數據、伺服器配置或數據、用戶數據等。10.2設置帳戶策略10.2.1打開組策略管理單元1.將帳戶策略應用於本地電腦若要針對本地電腦設置帳戶策略，請單擊“開始”，指向“程式”，指向“管理工具”，然後單擊“本地安全設置”，由此設置的帳戶策略僅用於本地電腦。10.2.1打開組策略管理單元2.將帳戶策略應用於域（1）在“ActiveDirectory用戶和電腦”目錄樹中，用滑鼠右鍵單擊該域，然後在彈出菜單中單擊“屬性”。（2）在域屬性對話框中，單擊“組策略”選項卡。（3）若當前沒有組策略對象，請單擊“新建”按鈕，以創建新的組策略對象。（4）單擊要編輯的組策略對象，然後單擊“編輯”按鈕，以打開組策略管理單元。（5）在目錄樹中展開“電腦配置”，然後依次雙擊“Windows設置”和“安全設置”，然後單擊“帳戶策略”。在