操作系统的安全策略基本配置原则简易版.docx
《操作系统的安全策略基本配置原则简易版.docx》由会员分享,可在线阅读,更多相关《操作系统的安全策略基本配置原则简易版.docx(4页珍藏版)》请在冰豆网上搜索。
操作系统的安全策略基本配置原则简易版
操作系统的安全策略基本配置原则简易版
TheDailyOperationMode,ItIncludesAllImplementationItems,AndActsToRegulateIndividualActions,RegulateOrLimitAllTheirBehaviors,AndFinallySimplifyTheManagementProcess.
编订:
XXXXXXXX
20XX年XX月XX日
操作系统的安全策略基本配置原则简易版
温馨提示:
本管理制度文件应用在日常的规则或运作模式中,包含所有的执行事项,并作用于规范个体行动,规范或限制其所有行为,最终实现简化管理过程,提高管理效率。
文档下载完成后可以直接编辑,请根据自己的需求进行套用。
安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:
(1)操作系统安全策略,
(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁
1操作系统安全策略
利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:
帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的.
2关闭不必要的服务
Windows2000的TerminalServices(终端服务)和IIS(Internet信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务.
有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明
ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体,驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件。
3关闭不必要的端口
关闭端口意味着减少功能,如果服务器安装在防火墙的后面,被入侵的机会就会少一些,但是不可以认为高枕无忧了.用端口扫描器扫描系统所开放的端口,在Winnt\system32\drivers\etc\services文件中有知名端口和服务的对照表可供参考.该文件用记事本打开.
设置本机开放的端口
设置本机开放的端口和服务,在IP地址设置窗口中点击按钮"高级"。
在出现的对话框中选择选项卡"选项",选中"TCP/IP筛选",点击按钮"属性".
设置端口界面.
一台Web服务器只允许TCP的80端口通过就可以了.TCP/IP筛选器是Windows自带的防火墙,功能比较强大,可以替代防火墙的部分功能.
4开启审核策略
安全审核是Windows2000最基本的入侵检测方法.当有人尝试对系统进行某种方式(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来.必须开启的审核如下表:
策略设置
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
审核策略默认设置
审核策略在默认的情况下都是没有开启的.
设置审核策略
双击审核列表的某一项,出现设置对话框,将复选框"成功"和"失败"都选中.
5开启密码策略
密码对系统安全非常重要.本地安全设置中的密码策略在默认的情况下都没有开启.需要开启的密码策略如表所示
策略设置
密码复杂性要求启用
密码长度最小值6位
密码最长存留期15天
强制密码历史5个
设置密码策略
设置选项.
6开启帐户策略
开启帐户策略可以有效的防止字典式攻击.
策略设置
复位帐户锁定计数器30分钟
帐户锁定时间30分钟
帐户锁定阈值5次
设置帐户策略
7备份敏感文件
把敏感文件存放在另外的文件服务器中;把一些重要的用户数据(文件,数据表和项目文件等)存放在另外一个安全的服务器中,并且经常备份它们.
8不显示上次登录名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户名,本地的登陆对话框也是一样.黑客们可以得到系统的一些用户名,进而做密码猜测.修改注册表禁止显示上次登录名,在HKEY_LOCAL_MACHINE主键
下修改子键Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Dont
DisplayLastUserName,将键值改成1.
9禁止建立空连接
默认情况下,任何用户通过空连接连上服务器,进而可以枚举出帐号,猜测密码.可以通过修改注册表来禁止建立空连接.在HKEY_LOCAL_MACHINE主键下修改子键:
System\CurrentControlSet\Control\LSA\RestrictAnonymous,将键值改成"1"即可.
10下载最新的补丁
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用.经常访问微软和一些安全站点,下载最新的ServicePack和漏洞补丁,是保障服务器长久安全的唯一方法.
该位置可填写公司名或者个人品牌名
Companynameorpersonalbrandnamecanbefilledinthisposition
升级会员 