㈠ windows操作系統存在的最大安全問題是什麼
隨著計算機及網路技術與應用的不斷發展,伴隨而來的計算機系統安全問題越來越引起人們的關注。計算機系統一旦遭受破壞,將給使用單位造成重大經濟損失,並嚴重影響正常工作的順利開展。加強計算機系統安全工作,是信息化建設工作的重要工作內容之一。
一、計算機系統面臨的安全問題
目前,廣域網應用已遍全省各級地稅系統。廣域網覆蓋地域廣、用戶多、資源共享程度高,所面臨的威脅和攻擊是錯綜復雜的,歸結起來主要有物理安全問題、操作系統的安全問題、應用程序安全問題、網路協議的安全問題。
(一)物理安全問題網路安全首先要保障網路上信息的物理安全。物理安全是指在物理介質層次上對存貯和傳輸的信息安全保護。目前常見的不安全因素(安全威脅或安全風險)包括三大類:
1.自然災害(如雷電、地震、火災、水災等),物理損壞(如硬碟損壞、設備使用壽命到期、外力破損等),設備故障(如停電斷電、電磁干擾等),意外事故。
2.電磁泄漏(如偵聽微機操作過程)。
3.操作失誤(如刪除文件,格式化硬碟,線路拆除等),意外疏漏(如系統掉電、死機等系統崩潰)
4.計算機系統機房環境的安全。
(二)操作系統及應用服務的安全問題現在地稅系統主流的操作系統為Windows操作系統,該系統存在很多安全隱患。操作系統不安全,也是計算機不安全的重要原因。
(三)黑客的攻擊人們幾乎每天都可能聽到眾多的黑客事件:一位年僅15歲的黑客通過計算機網路闖入美國五角大樓;黑客將美國司法部主頁上的美國司法部的字樣改成了美國不公正部;黑客們聯手襲擊世界上最大的幾個熱門網站如yahoo、amazon、美國在線,使得他們的伺服器不能提供正常的服務;黑客襲擊中國的人權網站,將人權網站的主頁改成反政府的言論;貴州多媒體通信網169網遭到黑客入侵;黑客攻擊上海信息港的伺服器,竊取數百個用戶的賬號。這些黑客事件一再提醒人們,必須高度重視計算機網路安全問題。黑客攻擊的主要方法有:口令攻擊、網路監聽、緩沖區溢出、電子郵件攻擊和其它攻擊方法。
(四)面臨名目繁多的計算機病毒威脅計算機病毒將導致計算機系統癱瘓,程序和數據嚴重破壞,使網路的效率和作用大大降低,使許多功能無法使用或不敢使用。雖然,至今尚未出現災難性的後果,但層出不窮的各種各樣的計算機病毒活躍在各個角落,令人堪憂。去年的「沖擊波」病毒、今年的「震盪波」病毒,給我們的正常工作已經造成過嚴重威脅。
二、計算機系統的安全防範工作
計算機系統的安全防範工作是一個極為復雜的系統工程,是人防和技防相結合的綜合性工程。首先是各級領導的重視,加強工作責任心和防範意識,自覺執行各項安全制度。在此基礎上,再採用一些先進的技術和產品,構造全方位的防禦機制,使系統在理想的狀態下運行。
(一)加強安全制度的建立和落實
制度建設是安全前提。通過推行標准化管理,克服傳統管理中憑借個人的主觀意志驅動管理模式。標准化管理最大的好處是它推行的法治而不是人治,不會因為人員的去留而改變,先進的管理方法和經驗可以得到很好的繼承。各單位要根據本單位的實際情況和所採用的技術條件,參照有關的法規、條例和其他單位的版本,制定出切實可行又比較全面的各類安全管理制度。主要有:操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和資料庫安全管理制度、計算機網路安全管理制度、軟體安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。並制定以下規范:
1.制定計算機系統硬體采購規范。系統使用的關鍵設備伺服器、路由器、交換機、防火牆、ups、關鍵工作站,都應統一選型和采購,對新產品、新型號必須經過嚴格測試才能上線,保證各項技術方案的有效貫徹。
2.制定操作系統安裝規范。包括硬碟分區、網段名,伺服器名命名規則、操作
㈡ 什麼是計算機的物理安全
計算機不被外界的物理接觸,如計算機被物體砸壞啊,等 kolin06
㈢ 九、Windows系統的安全性九、Windows系統的安全性 任何一個計算機安全產品都面臨著不斷變化的安全問題,所
計算機系統的安全性
隨著計算機及網路技術與應用的不斷發展,伴隨而來的計算機系統安全問題越來越引起人們的關注。計算機系統一旦遭受破壞,將給使用單位造成重大經濟損失,並嚴重影響正常工作的順利開展。加強和提高計算機系統安全工作,是信息化建設工作的重要工作內容之一。
一、計算機系統面臨的安全問題
目前,廣域網應用已遍全省各級地稅系統。廣域網覆蓋地域廣、用戶多、資源共享程度高,所面臨的威脅和攻擊是錯綜復雜的,歸結起來主要有物理安全問題、操作系統的安全問題、應用程序安全問題、網路協議的安全問題。
(一)物理安全問題網路安全首先要保障網路上信息的物理安全。物理安全是指在物理介質層次上對存貯和傳輸的信息安全保護。目前常見的不安全因素(安全威脅或安全風險)包括三大類:
自然災害(如雷電、地震、火災、水災等),物理損壞(如硬碟損壞、設備使用壽命到期、外力破損等),設備故障(如停電斷電、電磁干擾等),意外事故。
電磁泄漏(如偵聽微機操作過程)。
操作失誤(如刪除文件,格式化硬碟,線路拆除等),意外疏漏(如系統掉電、"死機"等系統崩潰)
(二)操作系統及應用服務的安全問題
現在地稅系統主流的操作系統為Windows 操作系統,該系統存在很多安全隱患。操作系統不安全,也是計算機不安全的重要原因。
(三)黑客的攻擊
人們幾乎每天都可能聽到眾多的黑客事件:一位年僅15歲的黑客通過計算機網路闖入美國五角大樓;黑客將美國司法部主頁上的"美國司法部"的字樣改成了"美國不公正部";黑客們聯手襲擊世界上最大的幾個熱門網站如yahoo、amazon、美國在線,使得他們的伺服器不能提供正常的服務;黑客襲擊中國的人權網站,將人權網站的主頁改成*的言論;貴州多媒體通信網169網遭到"黑客"入侵;黑客攻擊上海信息港的伺服器,竊取數百個用戶的賬號。這些黑客事件一再提醒人們,必須高度重視計算機網路安全問題。黑客攻擊的主要方法有:口令攻擊、網路*、緩沖區溢出、電子郵件攻擊和其它攻擊方法。
(四)面臨名目繁多的計算機病毒威脅
計算機病毒將導致計算機系統癱瘓,程序和數據嚴重破壞,使網路的效率和作用大大降低,使許多功能無法使用或不敢使用。雖然,至今尚未出現災難性的後果,但層出不窮的各種各樣的計算機病毒活躍在各個角落,令人堪憂。去年的「沖擊波」病毒、今年的「震盪波」病毒,給我們的正常工作已經造成過嚴重威脅。
二、計算機系統的安全防範工作
計算機系統的安全防範工作是一個極為復雜的系統工程,是人防和技防相結合的綜合性工程。首先是各級領導的重視,加強工作責任心和防範意識,自覺執行各項安全制度。在此基礎上,再採用一些先進的技術和產品,構造全方位的防禦機制,使系統在理想的狀態下運行。
(一)加強安全制度的建立和落實
制度建設是安全前提。通過推行標准化管理,克服傳統管理中憑借個人的主觀意志驅動管理模式。標准化管理最大的好處是它推行的法治而不是人治,不會因為人員的去留而改變,先進的管理方法和經驗可以得到很好的繼承。各單位要根據本單位的實際情況和所採用的技術條件,參照有關的法規、條例和其他單位的版本,制定出切實可行又比較全面的各類安全管理制度。主要有:操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和資料庫安全管理制度、計算機網路安全管理制度、軟體安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。並制定以下規范:
1.制定計算機系統硬體采購規范。系統使用的關鍵設備伺服器、路由器、交換機、防火牆、ups、關鍵工作站,都應統一選型和采購,對新產品、新型號必須經過嚴格測試才能上線,保證各項技術方案的有效貫徹。
2.制定操作系統安裝規范。包括硬碟分區、網段名,伺服器名命名規則、操作系統用戶的命名和許可權、系統參數配置,力求杜絕安全參數配置不合理而引發的技術風險。
3.制定路由器訪問控制列表參數配置規范;規范組網方式,定期對關鍵埠進行漏洞掃描,對重要埠進行實時入侵檢測。
4.制定應用系統安裝、用戶命名、業務許可權設置規范。有效防止因業務操作許可權授權沒有實現崗位間的相互制約、相互監督所造成的風險。
5.制訂數據備份管理規范,包括備份類型、備份策略、備份保管、備份檢查,保證了數據備份工作真正落到實處。
制度落實是安全保證。制度建設重要的是落實和監督。尤其是在一些細小的環節上更要注意,如系統管理員應定期及時審查系統日誌和記錄。重要崗位人員調離時,應及時注銷用戶,並更換業務系統的口令和密鑰,移交全部技術資料。應成立由主管領導為組長的計算機安全運行領導小組,凡是涉及到安全問題,大事小事有人抓、有人管、有專人落實。使問題得到及時發現、及時處理、及時上報,隱患能及時預防和消除,有效保證系統的安全穩定運行。
(二)對信息化建設進行綜合性的長遠規劃
計算機發展到今天,已經是一個門類繁多復雜的電子系統,各部分設備能否正常運行直接關繫到計算機系統的安全。從設備的選型開始就應考慮到它們的高可靠性、容錯性、備份轉換的即時性和故障後的恢復功能。同時,針對計算機系統網路化、復雜化,計算機系統故障的影響范圍大的現實,對主機、磁碟機、通信控制、磁帶機、磁帶庫、不間斷電源、機房空調、機房消防滅火系統等重要設備採取雙備份制或其他容錯技術措施,以降低故障影響,迅速恢復生產系統的正常運行。
(三)強化全體稅務幹部計算機系統安全意識
提高安全意識是安全關鍵。計算機系統的安全工作是一項經常性、長期性的工作,而事故和案件卻不是經常發生的,尤其是當處於一些業務緊張或遇到較難處理的大問題時,容易忽略或「破例」對待安全問題,給計算機系統帶來隱患。要強化工作人員的安全教育和法制教育,真正認識到計算機系統安全的重要性和解決這一問題的長期性、艱巨性及復雜性。決不能有依賴於先進技術和先進產品的思想。技術的先進永遠是相對的。俗話說:「道高一尺,魔高一丈」,今天有矛,明天就有盾。安全工作始終在此消彼長的動態過程中進行。只有依靠人的安全意識和主觀能動性,才能不斷地發現新的問題,不斷地找出解決問題的對策。要將計算機系統安全工作融入正常的信息化建設工作中去,在規劃、設計、開發、使用每一個過程中都能得到具體的體現和貫徹,以確保計算機系統的安全運行。
(四)構造全方位的防禦機制
全方位的防禦機制是安全的技術保障。網路安全是一項動態的、整體的系統工程,從技術上來說,網路安全由安全的操作系統、應用系統、防病毒、防火牆、入侵檢測、網路監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成,一個單獨的組件是無法確保您信息網路的安全性。
1.利用防病毒技術,阻止病毒的傳播與發作
2001年,紅色代碼病毒、尼姆達病毒、求職病毒觸動了信息網路脆弱的安全神經,更使部分信息網路用戶一度陷入通訊癱瘓的尷尬局面;2003年、51免費論文網歡迎你,「沖擊波」病毒、「震盪波」病毒更是給計算機用戶留下了深刻的印象。為了免受病毒所造成的損失,應採用多層的病毒防衛體系。所謂的多層病毒防衛體系,是指在每台PC機上安裝單機版反病毒軟體,在伺服器上安裝基於伺服器的反病毒軟體,在網關上安裝基於網關的反病毒軟體。因為防止病毒的攻擊是每個員工的責任,人人都要做到自己使用的台式機上不受病毒的感染,從而保證整個網路不受病毒的感染。
2.應用防火牆技術,控制訪問許可權
防火牆技術是近年發展起來的重要網路安全技術,其主要作用是在網路入口處檢查網路通訊,根據客戶設定的安全規則,在保護內部網路安全的前提下,保障內外網路通訊。在網路出口處安裝防火牆後,內部網路與外部網路進行了有效的隔離,所有來自外部網路的訪問請求都要通過防火牆的檢查,內部網路的安全有了很大的提高。防火牆可以完成以下具體任務:
-通過源地址過濾,拒絕外部非法IP地址,有效避免外部網路上與業務無關的主機的越權訪問;
-防火牆可以只保留有用的服務,將其他不需要的服務關閉,這樣做可以將系統受攻擊的可能性降低到最小限度,使黑客無機可乘;
-同樣,防火牆可以制定訪問策略,只有被授權的外部主機可以訪問內部網路的有限IP地址,保證外部網路只能訪問內部網路中的必要資源,與業務無關的操作將被拒絕;
-由於外部網路對內部網路的所有訪問都要經過防火牆,所以防火牆可以全面監視外部網路對內部網路的訪問活動,並進行詳細的記錄,通過分析可以得出可疑的攻擊行為;
-另外,由於安裝了防火牆後,網路的安全策略由防火牆集中管理,因此,黑客無法通過更改某一台主機的安全策略來達到控制其他資源訪問許可權的目的,而直接攻擊防火牆幾乎是不可能的。
-防火牆可以進行地址轉換工作,使外部網路用戶不能看到內部網路的結構,使黑客攻擊失去目標。
3.應用入侵檢測技術及時發現攻擊苗頭
應用防火牆技術,經過細致的系統配置,通常能夠在內外網之間提供安全的網路保護,降低網路的安全風險。但是,僅僅使用防火牆、網路安全還遠遠不夠。因為:
入侵者可能尋找到防火牆背後敞開的後門;
入侵者可能就在防火牆內;
由於性能的限制,防火牆通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網路安全技術,目的是提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網路連接等。實時入侵檢測能力之所以重要是因為它能夠對付來自內外網路的攻擊,其次是因為它能夠縮短發現黑客入侵的時間。
4.應用安全掃描技術主動探測網路安全漏洞,進行網路安全評估與安全加固
安全掃描技術是又一類重要的網路安全技術。安全掃描技術與防火牆、入侵檢測系統互相配合,能夠有效提高網路的安全性。通過對網路的掃描,網路管理員可以了解網路的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網路風險等級。網路管理員可以根據掃描的結果及時消除網路安全漏洞和更正系統中的錯誤配置,在黑客攻擊前進行防範。如果說防火牆和網路監控系統是被動的防禦手段,那麼安全掃描就是一種主動的防範措施,可以有效避免黑客攻擊行為,做到防患於未然。
5.應用網路安全緊急響應體系,防範安全突發事件,網路安全作為一項動態工程,意味著它的安全程度會隨著時間的變化而發生改變。在信息技術日新月異的今天,昔日固若金湯的網路安全策略,總難免會隨著時間的推進和環境的變化,而變得不堪一擊。因此,我們需要隨著時間和網路環境的變化或技術的發展而不斷調整自身的安全策略,並及時組建網路安全緊急響應體系,專人負責,防範安全突發事件。
總之,計算機網路系統的安全工作不是一朝一夕的工作,而是一項長期的任務,需要全體稅務幹部的參與和努力,同時要加大投入引進先進技術,建立嚴密的安全防範體系,並制度上確保該體系功能的實現。
㈣ windows系統安全配置的基本原則都有哪些
一、物理安全。伺服器應當放置在安裝了監視器的隔離房間內,並且監視器應當保留15天以內的錄像記錄。
二、停止Guest帳號。在[計算機管理]中將Guest帳號停止掉,任何時候不允許Guest帳號登錄系統。
三、限制用戶數量。去掉所有的測試帳戶、共享帳號和普通部門帳號,等等。用戶組策略設置相應許可權、並且經常檢查系統的帳號,刪除已經不適用的帳號。
四、不用管理員帳號。管理員不應該經常使用管理者帳號登錄系統,這樣有可能被一些能夠察看Winlogon進程中密碼的軟體所窺探到,應該為自己建立普通帳號來進行日常工作。
五、管理員帳號改名。攻擊者可以一再嘗試猜測默認管理員帳戶的密碼。把管理員帳戶改名可以有效防止這一點。
六、陷阱帳號。在更改了管理員的名稱後,可以建立一個Administrator的普通用戶,將其許可權設置為最低,並且加上一個10位以上的復雜密碼,藉此花費入侵者的大量時間,並且發現其入侵企圖。
七、更改文件共享的默認許可權。將共享文件的許可權從「Everyon"更改為"授權用戶」,」Everyone"意味著任何有權進入網路的用戶都能夠訪問這些共享文件。
八、安全密碼。定義是:安全期內無法破解出來的密碼就是安全密碼。
九、屏幕保護 / 屏幕鎖定 密碼。在管理員離開時,自動載入。
十、使用NTFS分區。比起FAT文件系統,NTFS文件系統可以提供許可權設置、加密等更多的安全功能。
十一、防病毒軟體。一定要注意經常升級病毒庫 !
十二、備份盤的安全。一旦系統資料被黑客破壞,備份盤將是恢復資料的唯一途徑。備份完資料後,把備份盤放在安全的地方。不能把備份放置在當前伺服器上。
㈤ windows 2000操作系統的安全機制有哪些
安全描述符、訪問控制列表、訪問令牌、訪問掩碼等
初級安全篇
1.物理安全
伺服器應該安放在安裝了監視器的隔離房間內,並且監視器要保留15天以上的攝像記錄。另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全的地方。
2.停掉Guest 帳號
在計算機管理的用戶裡面把guest帳號停用掉,任何時候都不允許guest帳號登陸系統。為了保險起見,最好給guest 加一個復雜的密碼,你可以打開記事本,在裡面輸入一串包含特殊字元,數字,字母的長字元串,然後把它作為guest帳號的密碼拷進去。
3.限制不必要的用戶數量
去掉所有的plicate user 帳戶, 測試用帳戶, 共享帳號,普通部門帳號等等。用戶組策略設置相應許可權,並且經常檢查系統的帳戶,刪除已經不在使用的帳戶。這些帳戶很多時候都是嘿客們入侵系統的突破口,系統的帳戶越多,嘿客們得到合法用戶的許可權可能性一般也就越大。國內的nt/2000主機,如果系統帳戶超過10個,一般都能找出一兩個弱口令帳戶。我曾經發現一台主機197個帳戶中竟然有180個帳號都是弱口令帳戶。
4.創建2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的。 創建一個一般許可權帳號用來收信以及處理一些*常事物,另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 命令來執行一些需要特權才能作的一些工作,以方便管理。
5.把系統administrator帳號改名
大家都知道,windows 2000 的administrator帳號是不能被停用的,這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然,請不要使用Admin之類的名字,改了等於沒改,盡量把它偽裝成普通用戶,比如改成:guestone 。
6.創建一個陷阱帳號
什麼是陷阱帳號? Look!>創建一個名為」 Administrator」的本地帳戶,把它的許可權設置成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Scripts s忙上一段時間了,並且可以藉此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿,夠損!
7.把共享文件的許可權從」everyone」組改成「授權用戶」
「everyone」 在win2000中意味著任何有權進入你的網路的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成」everyone」組。包括列印共享,默認的屬性就是」everyone」組的,一定不要忘了改。
8.使用安全密碼
一個好的密碼對於一個網路是非常重要的,但是它是最容易被忽略的。前面的所說的也許已經可以說明這一點了。一些公司的管理員創建帳號的時候往往用公司名,計算機名,或者一些別的一猜就到的東西做用戶名,然後又把這些帳戶的密碼設置得N簡單,比如 「welcome」 「iloveyou」 「letmein」或者和用戶名相同等等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼,還要注意經常更改密碼。前些天在IRC和人討論這一問題的時候,我們給好密碼下了個定義:安全期內無法破解出來的密碼就是好密碼,也就是說,如果人家得到了你的密碼文檔,必須花43天或者更長的時間才能破解出來,而你的密碼策略是42天必須改密碼。
9.設置屏幕保護密碼
很簡單也很有必要,設置屏幕保護密碼也是防止內部人員破壞伺服器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序,浪費系統資源,讓他黑屏就可以了。還有一點,所有系統用戶所使用的機器也最好加上屏幕保護密碼。
10. 使用NTFS格式分區
把伺服器的所有分區都改成NTFS格式。NTFS文件系統要比FAT,FAT32的文件系統安全得多。這點不必多說,想必大家得伺服器都已經是NTFS的了。
11.運行防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的,其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序。這樣的話,「嘿客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫
12.保障備份盤的安全
一旦系統資料被破壞,備份盤將是你恢復資料的唯一途徑。備份完資料後,把備份盤防在安全的地方。千萬別把資料備份在同一台伺服器上,那樣的話,還不如不要備份。
中級安全篇:
1.利用win2000的安全配置工具來配置策略
微軟提供了一套的基於MMC(管理控制台)安全配置和分析工具,利用他們你可以很方便的配置你的伺服器以滿足你的要求。具體內容請參考微軟主頁:
http://www.microsoft.com/windows2000/techi...y/sctoolset.asp
2.關閉不必要的服務
windows 2000 的 Terminal Services(終端服務),IIS ,和RAS都可能給你的系統帶來安全漏洞。為了能夠在遠程方便的管理伺服器,很多機器的終端服務都是開著的,如果你的也開了,要確認你已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的運行。要留意伺服器上面開啟的所有服務,中期性(每天)的檢查他們。下面是C2級別安裝的默認服務:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.關閉不必要的埠
關閉埠意味著減少功能,在安全和功能上面需要你作一點決策。如果伺服器安裝在防火牆的後面,冒的險就會少些,但是,永遠不要認為你可以高枕無憂了。用埠掃描器掃描系統所開放的埠,確定開放了哪些服務是嘿客入侵你的系統的第一步。\system32\drivers\etc\services 文件中有知名埠和服務的對照表可供參考。具體方法為:
網上鄰居>屬性>本地連接>屬性>internet 協議(tcp/ip)>屬性>高級>選項>tcp/ip篩選>屬性 打開tcp/ip篩選,添加需要的tcp,udp,協議即可。
4.打開審核策略
開啟安全審核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式(如嘗試用戶密碼,改變帳戶策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。很多的管理員在系統被入侵了幾個月都不知道,直到系統遭到破壞。下面的這些審核是必須開啟的,其他的可以根據需要增加:
策略 設置
審核系統登陸事件 成功,失敗
審核帳戶管理 成功,失敗
審核登陸事件 成功,失敗
審核對象訪問 成功
審核策略更改 成功,失敗
審核特權使用 成功,失敗
審核系統事件 成功,失敗
5.開啟密碼密碼策略
策略 設置
密碼復雜性要求 啟用
密碼長度最小值 6位
強制密碼歷史 5 次
強制密碼歷史 42 天
6.開啟帳戶策略
策略 設置
復位帳戶鎖定計數器 20分鍾
帳戶鎖定時間 20分鍾
帳戶鎖定閾值 3次
7.設定安全記錄的訪問許可權
安全記錄在默認情況下是沒有保護的,把他設置成只有Administrator和系統帳戶才有權訪問。
8.把敏感文件存放在另外的文件伺服器中
雖然現在伺服器的硬碟容量都很大,但是你還是應該考慮是否有必要把一些重要的用戶數據(文件,數據表,項目文件等)存放在另外一個安全的伺服器中,並且經常備份它們。
9.不讓系統顯示上次登陸的用戶名
默認情況下,終端服務接入伺服器時,登陸對話框中會顯示上次登陸的帳戶明,本地的登陸對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名,進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登陸的用戶名,具體是:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的鍵值改成 1 .
10.禁止建立空連接
默認情況下,任何用戶通過通過空連接連上伺服器,進而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。
10.到微軟網站下載最新的補丁程序
很多網路管理員沒有訪問安全站點的習慣,以至於一些漏洞都出了很久了,還放著伺服器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的2000不出一點安全漏洞,經常訪問微軟和一些安全站點,下載最新的service pack和漏洞補丁,是保障伺服器長久安全的唯一方法。
高級篇:
1. 關閉 DirectDraw
這是C2級安全標准對視頻卡和內存的要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響(比如游戲,在伺服器上玩星際爭霸?我暈..$%$^%^&??),但是對於絕大多數的商業站點都應該是沒有影響的。 修改注冊表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)為 0 即可。
2.關閉默認共享
win2000安裝好以後,系統會創建一些隱藏的共享,你可以在cmd下打 net share 查看他們。網上有很多關於IPC入侵的文章,相信大家一定對它不陌生。要禁止這些共享 ,打開 管理工具>計算機管理>共享文件夾>共享 在相應的共享文件夾上按右鍵,點停止共享即可,不過機器重新啟動後,這些共享又會重新開啟的。
默認共享目錄 路徑和功能
C$ D$ E$ 每個分區的根目錄。Win2000 Pro版中,只有Administrator
和Backup Operators組成員才可連接,Win2000 Server版本
Server Operatros組也可以連接到這些共享目錄
ADMIN$ %SYSTEMROOT% 遠程管理用的共享目錄。它的路徑永遠都
指向Win2000的安裝路徑,比如 c:\winnt
FAX$ 在Win2000 Server中,FAX$在fax客戶端發傳真的時候會到。
IPC$ 空連接。IPC$共享提供了登錄到系統的能力。
NetLogon 這個共享在Windows 2000 伺服器的Net Login 服務在處
理登陸域請求時用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用戶遠程管理列印機
解決辦法:
打開注冊表編輯器。REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右邊建立一個名為AutoShareServer的DWORD鍵。值為0
3.禁止mp file的產生
mp文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而,它也能夠給嘿客提供一些敏感信息比如一些應用程序的密碼等。要禁止它,打開 控制面板>系統屬性>高級>啟動和故障恢復 把 寫入調試信息 改成無。要用的時候,可以再重新打開它。
4.使用文件加密系統EFS
Windows2000 強大的加密系統能夠給磁碟,文件夾,文件加上一層安全保護。這樣可以防止別人把你的硬碟掛到別的機器上以讀出裡面的數據。記住要給文件夾也使用EFS,而不僅僅是單個的文件。 有關EFS的具體信息可以查看
http://www.microsoft.com/windows2000/techi...ity/encrypt.asp
5.加密temp文件夾
一些應用程序在安裝和升級的時候,會把一些東西拷貝到temp文件夾,但是當程序升級完畢或關閉的時候,它們並不會自己清除temp文件夾的內容。所以,給temp文件夾加密可以給你的文件多一層保護。
6.鎖住注冊表
在windows2000中,只有administrators和Backup Operators才有從網路上訪問注冊表的許可權。如果你覺得還不夠的話,可以進一步設定注冊表訪問許可權,詳細信息請參考:
http://support.microsoft.com/support/kb/ar...s/Q153/1/83.asp
7.關機時清除掉頁面文件
頁面文件也就是調度文件,是win2000用來存儲沒有裝入內存的程序和數據文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在內存中,頁面文件中也可能含有另外一些敏感的資料。 要在關機的時候清楚頁面文件,可以編輯注冊表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值設置成1。
8.禁止從軟盤和CD Rom啟動系統
一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的伺服器對安全要求非常高,可以考慮使用可移動軟盤和光碟機。把機箱鎖起來扔不失為一個好方法。
9.考慮使用智能卡來代替密碼
對於密碼,總是使安全管理員進退兩難,容易受到 10phtcrack 等工具的攻擊,如果密碼太復雜,用戶把為了記住密碼,會把密碼到處亂寫。如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。
10.考慮使用IPSec
正如其名字的含義,IPSec 提供 IP 數據包的安全性。IPSec 提供身份驗證、完整性和可選擇的機密性。發送方計算機在傳輸之前加密數據,而接收方計算機在收到數據之後解密數據。利用IPSec可以使得系統的安全性能大大增強。
㈥ 作為windows操作平台的安全管理員,要怎麼配置
一、物理安全
伺服器應當放置在安裝了監視器的隔離房間內,並且監視器應當保留15天以內的錄像記錄。另外,機箱、鍵盤、抽屜等要上鎖,以保證旁人即使在無人值守時也無法使用此計算機,鑰匙要放在安全的地方。
二、停止Guest帳號
在[計算機管理]中將Guest帳號停止掉,任何時候不允許Guest帳號登錄系統。為了保險起見,最好給Guest帳號加上一個復雜的密碼,並且修改Guest帳號屬性,設置拒絕遠程訪問。
三、限制用戶數量
去掉所有的測試帳戶、共享帳號和普通部門帳號,等等。用戶組策略設置相應許可權、並且經常檢查系統的帳號,刪除已經不適用的帳號。
很多帳號不利於管理員管理,而黑客在帳號多的系統中可利用的帳號也就更多,所以合理規劃系統中的帳號分配。
四、多個管理員帳號
管理員不應該經常使用管理者帳號登錄系統,這樣有可能被一些能夠察看Winlogon進程中密碼的軟體所窺探到,應該為自己建立普通帳號來進行日常工作。
同時,為了防止管理員帳號一旦被入侵者得到,管理員擁有備份的管理員帳號還可以有機會得到系統管理員許可權,不過因此也帶來了多個帳號的潛在安全問題。
五、管理員帳號改名
在Windows 2000系統中管理員Administrator帳號是不能被停用的,這意味著攻擊者可以一再嘗試猜測此帳戶的密碼。把管理員帳戶改名可以有效防止這一點。
不要將名稱改為類似Admin之類,而是盡量將其偽裝為普通用戶。
六、陷阱帳號
和第五點類似、在更改了管理員的名稱後,可以建立一個Administrator的普通用戶,將其許可權設置為最低,並且加上一個10位以上的復雜密碼,藉此花費入侵者的大量時間,並且發現其入侵企圖。
七、更改文件共享的默認許可權
將共享文件的許可權從「Everyon"更改為"授權用戶」,」Everyone"意味著任何有權進入網路的用戶都能夠訪問這些共享文件。
八、安全密碼
安全密碼的定義是:安全期內無法破解出來的密碼就是安全密碼,也就是說,就算獲取到了密碼文檔,必須花費42天或者更長的時間才能破解出來(Windows安全策略默認42天更改一次密碼,如果設置了的話)。
九、屏幕保護 / 屏幕鎖定 密碼
防止內部人員破壞伺服器的一道屏障。在管理員離開時,自動載入。
十、使用NTFS分區
比起FAT文件系統,NTFS文件系統可以提供許可權設置、加密等更多的安全功能。
十一、防病毒軟體
Windows操作系統沒有附帶殺毒軟體,一個好的殺毒軟體不僅能夠殺除一些病毒程序,還可以查殺大量的木馬和黑客工具。設置了殺毒軟體,黑客使用那些著名的木馬程序就毫無用武之地了。同時一定要注意經常升級病毒庫 !
十二、備份盤的安全
一旦系統資料被黑客破壞,備份盤將是恢復資料的唯一途徑。備份完資料後,把備份盤放在安全的地方。不能把備份放置在當前伺服器上,那樣的話還不如不做備份。
㈦ 什麼是計算機的物理安全
物理安全主要是指通過物理隔離實現網路安全
新世紀的第一縷曙光,開啟了信息化時代人類文明的新紀元。Internet正在越來越多地融入到社會的各個方面。一方面,網路應用越來越深地滲透到政府、金融、國防等關鍵領域;另一方面,網路用戶成分越來越多樣化,出於各種目的的網路入侵和攻擊越來越頻繁。安全保障能力是新世紀一個國家的綜合國力、經濟競爭實力和生存能力的重要組成部分。不誇張地說,它在下個世紀里完全可以與核武器對一個國家的重要性相提並論。這個問題解決不好將全方位地危及我國的政治、軍事、經濟和社會生活的各個方面,使國家處於信息戰和高度經濟風險的威脅之中。
㈧ 什麼是物理安全
物理安全主要是指通過物理隔離實現網路安全
㈨ windows操作系統的安全主要體現在哪些方面
一、 安全環境
1、身份驗證:通過互動式登錄和網路身份驗證等方式驗證用戶的身份。
2、訪問控制:通過給用戶和組指定許可權來允許或拒絕用戶對相應資源的訪問。
3、授權管理器:授權管理器提供了基於角色的訪問控制。管理員可以基於角色進行授權,來確定某角色所能執行的操作。
4、安全配置管理器:安全配置管理器允許管理員創建、應用和編輯本地計算機、組織單位或域的安全性。
5、軟體限制策略:使用軟體限制策略,可以標識軟體並控制它在本地計算機、組織單位、域或站點中的運行能務。
6、審核安全事件:設置審核策略,以便記錄用戶和系統的活動。 7、加密文件系統:使用「加密文件系統(EFS)」可以加密保存在磁碟上的文件和目錄。 8、公鑰基礎結構:「公鑰基礎結構「(通常簡寫成PKI)是數字證書、證書頒發機構(OA)的系統,用於驗證使用公鑰加密進行電子交易時所涉及的每一方的有效性。 9、IPSEC:「INTERNET協議安全性(IPSEC)」是一種開放標準的框架結構,通過使用加密安全服務以確保在INTERNET協議(IP)網路上進行保密而安全的通信。
二、注冊表安全
1、Windows Server 2003注冊表的結構
2、Windows Server 2003注冊表的主要組成
3、修改注冊表、備份注冊表、恢復注冊表
三、安全設置
1、Windows Server 2003 安全配置和管理
1)定製自己的Windows Server 2003(選擇合適的版本。只安裝必要的組件、合理選擇應用程序,暫不接入網路、安裝補丁、安裝防病毒軟體,最少組件+最小限權=最大安全) 2)進行必要的安全配置。
除了通過防火牆來加強網路安全之外,我們也可以使用一些其它誶來強化系統安全,簡介如下。
(1)物理安全
物理安全是指伺服器應該安放在安裝了監視器的隔離房間內,並且監視器要保留15天以上的攝像記錄。另外,機箱、鍵盤、電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全地方。
(2)禁用guest賬號
在「計算機管理」的「用戶」里停用guest帳號,任何時候都不允許guest帳號登錄系統。同時,還要給guest加一個復雜的密碼。
(3)限制不必要的用戶數量
去掉所有的無用賬號,如測試用賬號、共享賬號、普通部門賬號等。這些賬號往往是黑客們入侵系統的突破口,系統的賬號,黑客們得到合法許可權的可能性也就越大。
(4)把系統Administrator賬號改名
Windows Server 2003 的Administrator賬號是不能被停用的,這意味著別人可以一遍又一遍的嘗試這個賬號的密碼,把Administrator賬號改名可以有效地防止這一點。當然,請不要使用Amin之類的名字,這樣改了等於沒改,晝把它偽裝成變通用戶。
(5)創建一個陷阱賬號
所謂陷阱賬號,是指創建一個名為「Aministrator」的本地賬戶,把它的許可權設置成最,並且加上一個超過10位的很復雜的密碼。這樣可以讓那些非法用戶秀難獲得管理員許可權,並且可以藉此發現它們的入侵企圖。
(6)把共享文件的許可權從「Everyone」組改成「授權用戶」
「Everyone」在Windws Server 2003中意味著任何有權進入你的網路的用戶都能夠獲得這些共享。任何時候都不要把共享文件的用戶設置成「everyone」組。
(7)使用安全密碼
一個好的密碼對於一個網路是非常重要的,便這也是最容易被忽略的。一些公司的管理員在創建賬號時,往言行一致用公司名、計算機名,或者一些很容易被別人猜到的用戶名,然後又把這些賬戶的密碼設置得很簡單。這樣的賬房應該要求用戶首次登錄時改成復雜的密碼,還要注意經常更改密碼。
(8)設置屏幕保護密碼 這一點雖然很簡單,但卻是很有必要的。設置屏幕保護密碼也是防止內部人員破壞報務器的一個屏障。注意不要使用OpenGBL和一些復雜的屏幕保護程序,這樣浪費系統資源,讓它黑屏就可以了。還有一點,所有系統用戶所使用的機器也是最好加上屏幕保護密碼。
(9)使用NTFS格式分區
把伺服器的所有分區都改成NTFS格式,NTFS文件系統要比FAT、FAT32的文件系統安全得多。
(10)運行防毒軟體 這一點非常重要,一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序,使「黑客」們使用的那些有名的木馬毫無用武之地。同時不要忘了經常升級病毒庫。
(11)保障備份盤的安全
一旦系統資料被破壞,備份盤將是你恢復資料的惟一途徑,備件完資料後,把備份盤放在安全的地方,千萬不要把資料備份在同一台伺服器上,那樣的話,還不如不備份。
(12)關閉不必要的服務
Windows Server 2003的Termtel Server(終端服務),Js和RAS都可能給你的系統帶來安全漏洞。為了能夠遠程管理伺服器,很多機器的終端服務都是打開的,如果你的也開了,要確認你已經正確地配置了終端服務。有些惡意的程序也能以服務的方式悄悄運行。要留意伺服器上開啟的所有服務,每天檢查它們。
(13)關閉不必要的埠 關閉埠意味著減少功能,在安全和功能上應該有所選擇。用埠掃描器掃描系統所開放的埠,確定開放的哪些服務是黑客入侵系統的第一步。\System32\Drivers\Etc\Servces文件中有知名埠和服務的對照表可供參考。關閉埠的具體方法為:依次打開「網上鄰居」/「屬性」/「本地連接」/「屬性」/「Internet協議(TCP/IP)」/「屬性」/「高級」/「選項」/「TCP/IP篩選」/「屬性」,打開TCP/IP篩選,添加需要的TCP,UDP協議的埠即可。
(14)打開審核策略
開啟安全審核是Windows Server 2003最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式(如嘗試用戶密碼、改變賬戶策略、未經許可的文件訪問等)入侵的時候,都會被安全審核記錄下來。很多管理員在系統被入侵了幾個月還不知道,直到系統遭到破壞。下面的這些審核是必須開啟的,其他的可以根據需要增加。 策略設置
審核系統登錄事件 成功,失敗 審校賬戶管理 成功,失敗 審核登錄事件 成功,失敗 審核對象訪問 成功
審核策略更改 成功,失敗 審核特權使用 成功,失敗 審核系統事件 成功,失敗
(15)設定安全記錄的訪問許可權
安全記錄在默認情況下是沒有保護的,把它設置成只有Adminitrator和系統賬戶才有權訪問。
(16)把敏感文件存放在另外的文件伺服器中
雖然現在伺服器的硬碟容量都很大,但是我們還是應該把一些重要的用戶數據(文件、數據表、項目文件等)存放在另外一個安全的伺服器中,並且經常備份它們。