首页 理论教育 网络安全系统集成与建设:操作系统安全加强

网络安全系统集成与建设:操作系统安全加强

时间:2023-11-07 理论教育 版权反馈
【摘要】:用户组策略设置相应权限,并且要经常检查系统的账号,删除已经不适用的账号。很多账号不利于管理员管理,同时容易受到攻击,所以要合理规划系统中的账号。同时,为了防止管理员账号被入侵者得到,管理员需拥有备份的管理员账号,这样还可以有机会得到系统管理员权限,不过因此也带来了多个账号的潜在安全问题。更改管理员账号在系统中管理员账号是不能被停用的,这意味着攻击者可以一再尝试猜测此账号的密码。

网络安全系统集成与建设:操作系统安全加强

(1)物理安全

服务器应当放置在安装了监视器的隔离房间内,并且应当保留一定天数的监视器录像记录。另外,机箱、键盘、抽屉等要上锁,以保证其他人即使在无人值守时也无法使用此计算机,同时钥匙要妥善保存。

(2)停止Guest账号

可以在“计算机管理”中将Guest账号停止掉,任何时候不允许Guest账号登录系统。为了保险起见,最好给Guest账号加上一个复杂的密码,并且修改Guest账号属性,设置成拒绝远程访问。

(3)限制用户数量

删除所有的测试账号、共享账号和普通部门账号等。用户组策略设置相应权限,并且要经常检查系统的账号,删除已经不适用的账号。很多账号不利于管理员管理,同时容易受到攻击,所以要合理规划系统中的账号。如果系统账号超过10个,一般能找出一两个弱密码账号,所以建议账户数量不要大于10个。

(4)多个管理员账号

管理员不应该经常使用一个管理者账号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,所以管理员应该为自己建立普通账号来进行日常工作。同时,为了防止管理员账号被入侵者得到,管理员需拥有备份的管理员账号,这样还可以有机会得到系统管理员权限,不过因此也带来了多个账号的潜在安全问题。

(5)更改管理员账号

在系统中管理员(Administrator)账号是不能被停用的,这意味着攻击者可以一再尝试猜测此账号的密码。更改管理员账号名可以有效地防止这一点。不要将名称改为类似于Ad⁃min那样,而是尽量将其伪装为普通用户,如图5-44所示。

978-7-111-31518-6-Chapter05-44.jpg

图5-44 更改管理员账号名

(6)陷阱账号

和(5)相对应,在更改了管理员的账号名后,可以建立一个名为”Administrator“的普通账号,将其权限设置为最低,并且加上一个10位以上的复杂密码,这样可以花费入侵者的大量时间,并且可以有机会发现其入侵企图。

(7)更改文件共享的默认权限

将共享文件的权限从“Everyone”更改为“授权用户”,“Everyone”意味着任何有权进入网络的用户都能够访问这些共享文件。

(8)安全密码

安全密码是指安全期内无法破解出来的密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码,如果设置了的话)。

(9)屏幕保护或屏幕锁定

这样可以防止内部人员破坏服务器。在管理员离开时,保护或锁定自动加载。(www.xing528.com)

(10)使用NTFS

与FAT文件系统相比,NTFS可以提供权限设置、加密等更多的安全功能。

(11)防病毒软件

Windows操作系统没有附带的杀毒软件。安装一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。同时一定要注意经常升级病毒库。

(12)备份盘的安全

一旦系统资料被攻击者破坏,备份盘可能是恢复资料的唯一途径。备份完资料后,应该把备份盘放在安全的地方。

(13)本地安全设置

利用系统的安全配置工具来配置安全策略,微软提供了一套基于管理控制台的安全配置和分析工具,可以用来配置服务器的安全策略。选择“控制面板”→“管理工具”→“本地安全策略”,出现如图5-45所示的“本地安全设置”窗口。可以配置4类安全策略:账户策略、本地策略、公钥策略和IP安全策略。在默认的情况下,这些策略都是没有开启的。

978-7-111-31518-6-Chapter05-45.jpg

图5-45 本地安全设置

(14)关闭不必要的服务和端口

Windows 2003 Server的Terminal Services(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞。为了能够远程管理服务器,很多计算机的终端服务始终是开启的,如果开启了,要确认已经正确配置了终端服务,因为有些恶意的程序能以服务方式悄悄地运行服务器上的终端服务。注意服务器上开启的所有服务并每天检查。

对于端口,可以用端口扫描器扫描系统所开放的端口,在WINDOWS\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考。

设置本机开放的端口和服务。用鼠标右键单击“本地连接”,在弹出的快捷菜单中选择“属性”,弹出“本地连接属性”对话框,双击“Internet协议(TCP/IP)”,弹出“Internet协议(TCP/IP)属性”对话框,单击“高级”按钮,出现如图5-46所示的“高级TCP/IP设置”对话框,单击“选项”选项卡,选中“TCP/IP筛选”,单击“属性”按钮,弹出如图5-47所示的“TCP/IP筛选”对话框,单击选中“启用TCP/IP”筛选(所有适配器)”,其他默认即可,单击“确定”按钮。

978-7-111-31518-6-Chapter05-46.jpg

图5-46 高级TCP/IP设置

978-7-111-31518-6-Chapter05-47.jpg

图5-47 TCP/IP筛选

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈