4.8.1 初级安全
1.物理安全
重要的服务器应该安放在安装监视器的隔离房间内,有15天以上的摄像记录。机箱、键盘、机柜要上锁,钥匙要安全。
2.停用Guest帐号
在计算机管理中停用Guest帐号,任何时候都不允许guest帐号登录系统,并且给guest帐号设置一个复杂的密码。
3.限制不必要的用户数量
去掉所有的duplicate user帐户,测试帐户,共享帐号,普通部门帐号登。用户组策略设置相应全县,并且经常检查系统的帐户,删除不使用的帐户。
4.创建2个管理员帐号
创建一个一般权限帐号用于处理日常工作,另一个具有administrators权限的帐户只在需要的时候才用。
5.把系统的administrator帐号改名
Windows 2k的administrator帐号是不能被停用的,这意味着别人可以一便又一遍第尝试这个账户的密码。改称一个普通的名字。
6.创建一个陷阱帐号
创建一个名为“administrator”的本地帐户,把它的权限设为最低,并且加上一个超长的密码,这样可以更好地发现黑客的入侵。
7.把共享文件的权限从“everyone”组改为“授权用户”
everyone在Windows 2k中意味着任何有权进入网络的用户都能够获得这些共享资料。
8.使用安全密码
设置一个复杂的密码,跟用户名及所有容易被猜测到的信息无关,并且经常更换。
9.设置屏幕保护密码
可以防止内部人员破坏
10.使用NTFS格式分区
11.运行防病毒软件
需要经常升级
12.保障备份磁盘的安全
一旦系统被破坏,备份盘将是恢复资料的唯一途径。不要把资料和备份放在同一服务器上。
4.8.2 中级安全
1.利用Windows 2k的安全配置工具来配置策略
2.关闭不必要的服务
Windows 2k的Terminal Services、IIS和RAS都可能给系统带来安全漏洞。C2级别安装默认服务:
Computer Browser Service, TCP/IP NetBIOS, Helper
Microsoft DNS Server, Spoller
NTLM, SSP Server
PRC, Locator, WINS
RPC Service, Workstation
Netlogong, Event log
3.关闭不必要的端口
使用TCP/IP筛选,关闭不必要的端口。
4.打开深刻策略
开启审核策略是Windows 2k的基本入侵检测方法。
Windows 2k中3种类型的日志记录事件。
·应用程序日志
应用程序日志包含由应用程序或一般程序记录的事件。开发人员决定要记录的事件。
·系统日志
系统日志包含由Windows 2k系统组件记录的事件。系统组件记录的事件类型是预先确定的。
·安全日志
安全日志可以记录诸如有效和无效的登录尝试等安全事件,以及与资源使用有关的安全事件,例如,创建、打开或删除文件。管理员可以指定在安全日志中记录的事件。
5.开启密码策略
密码复杂性要求:启用;
密码长度最小值:6位;
强制密码历史:5次;
强制密码最长存留期:42天
6.开启帐户策略
复位账户锁定计数器:20分钟;
账户锁定时间:20分钟;
账户锁定阈值:3次
7.设定安全记录的访问权限
安全记录默认情况下是没有保护的,把它设置成只有administrator和系统账户才有权访问。
8.把敏感文件存放在另外的文件服务器中
9.不让系统显示上次登录的用户名
HKLM/Software/Micriosfot/WindowsNT/CurrentVersion/Winlogon/DontDisplay Last UserName
REG_SZ的键值改成1。
10.禁止建立空连接
默认情况下,任何用户通过空连接连接上服务器,进而枚举帐号,猜测密码。可以通过修改注册表来禁止。
HKLM/Ssytem/CurrentControl/LSA-RestrictAnonymous的值改成“1”,即可。
11.到微软网站下载最新的补丁程序
经常下载最新的Service Pack和漏洞补丁,是保障服务器长久安全的惟一方法。
4.8.3 Windows xp的安全特性
Internet连接防火墙
Windows xp新增了Internet连接防火墙(ICF)来保障Internet安全。ICF使用激活的包过滤计数,防火墙端口仅为那些必须的访问动态地打开。ICF支持本地局域网、以太网的点对点协议(PPPo)。默认情况下,ICF不允许没有被确认的通信进入。如果需要其他人在Internet上访问计算机,ICF允许开放一个端口,这被称为“端口映射”。
软件限制策略
软件限制策略是提供给管理员的策略驱动机制。通过它,可以识别域中运行的软件,并对软件的执行有控制能能力。管理员可以限制一些程序的运行。软件限制策略可以防御基于脚本的病毒和特洛伊木马程序。通过配置能够实现仅允许IT组织的成员签名的脚本执行,这样可以禁止所有基于脚本的病毒。
软件限制策略可以单独应用于计算机,也可以用于组策略,它可以实现为不同的用户和计算机制定不同的软件限制策略。
智能卡的支持
使用智能卡在以下方面提高了安全性:
1)它可以有能力防止秘钥和其他个人信息被篡改;
2)它把涉及鉴定、数字签名和密钥交换等鉴定安全的计算和系统中不需要这些的部分分离开;
3)它使信任和其他私人信息容易被从一台计算机转移到另一台计算机。