㈠ windows操作系统存在的最大安全问题是什么
随着计算机及网络技术与应用的不断发展,伴随而来的计算机系统安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强计算机系统安全工作,是信息化建设工作的重要工作内容之一。
一、计算机系统面临的安全问题
目前,广域网应用已遍全省各级地税系统。广域网覆盖地域广、用户多、资源共享程度高,所面临的威胁和攻击是错综复杂的,归结起来主要有物理安全问题、操作系统的安全问题、应用程序安全问题、网络协议的安全问题。
(一)物理安全问题网络安全首先要保障网络上信息的物理安全。物理安全是指在物理介质层次上对存贮和传输的信息安全保护。目前常见的不安全因素(安全威胁或安全风险)包括三大类:
1.自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电断电、电磁干扰等),意外事故。
2.电磁泄漏(如侦听微机操作过程)。
3.操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏(如系统掉电、死机等系统崩溃)
4.计算机系统机房环境的安全。
(二)操作系统及应用服务的安全问题现在地税系统主流的操作系统为Windows操作系统,该系统存在很多安全隐患。操作系统不安全,也是计算机不安全的重要原因。
(三)黑客的攻击人们几乎每天都可能听到众多的黑客事件:一位年仅15岁的黑客通过计算机网络闯入美国五角大楼;黑客将美国司法部主页上的美国司法部的字样改成了美国不公正部;黑客们联手袭击世界上最大的几个热门网站如yahoo、amazon、美国在线,使得他们的服务器不能提供正常的服务;黑客袭击中国的人权网站,将人权网站的主页改成反政府的言论;贵州多媒体通信网169网遭到黑客入侵;黑客攻击上海信息港的服务器,窃取数百个用户的账号。这些黑客事件一再提醒人们,必须高度重视计算机网络安全问题。黑客攻击的主要方法有:口令攻击、网络监听、缓冲区溢出、电子邮件攻击和其它攻击方法。
(四)面临名目繁多的计算机病毒威胁计算机病毒将导致计算机系统瘫痪,程序和数据严重破坏,使网络的效率和作用大大降低,使许多功能无法使用或不敢使用。虽然,至今尚未出现灾难性的后果,但层出不穷的各种各样的计算机病毒活跃在各个角落,令人堪忧。去年的“冲击波”病毒、今年的“震荡波”病毒,给我们的正常工作已经造成过严重威胁。
二、计算机系统的安全防范工作
计算机系统的安全防范工作是一个极为复杂的系统工程,是人防和技防相结合的综合性工程。首先是各级领导的重视,加强工作责任心和防范意识,自觉执行各项安全制度。在此基础上,再采用一些先进的技术和产品,构造全方位的防御机制,使系统在理想的状态下运行。
(一)加强安全制度的建立和落实
制度建设是安全前提。通过推行标准化管理,克服传统管理中凭借个人的主观意志驱动管理模式。标准化管理最大的好处是它推行的法治而不是人治,不会因为人员的去留而改变,先进的管理方法和经验可以得到很好的继承。各单位要根据本单位的实际情况和所采用的技术条件,参照有关的法规、条例和其他单位的版本,制定出切实可行又比较全面的各类安全管理制度。主要有:操作安全管理制度、场地与实施安全管理制度、设备安全管理制度、操作系统和数据库安全管理制度、计算机网络安全管理制度、软件安全管理制度、密钥安全管理制度、计算机病毒防治管理制度等。并制定以下规范:
1.制定计算机系统硬件采购规范。系统使用的关键设备服务器、路由器、交换机、防火墙、ups、关键工作站,都应统一选型和采购,对新产品、新型号必须经过严格测试才能上线,保证各项技术方案的有效贯彻。
2.制定操作系统安装规范。包括硬盘分区、网段名,服务器名命名规则、操作
㈡ 什么是计算机的物理安全
计算机不被外界的物理接触,如计算机被物体砸坏啊,等 kolin06
㈢ 九、Windows系统的安全性九、Windows系统的安全性 任何一个计算机安全产品都面临着不断变化的安全问题,所
计算机系统的安全性
随着计算机及网络技术与应用的不断发展,伴随而来的计算机系统安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强和提高计算机系统安全工作,是信息化建设工作的重要工作内容之一。
一、计算机系统面临的安全问题
目前,广域网应用已遍全省各级地税系统。广域网覆盖地域广、用户多、资源共享程度高,所面临的威胁和攻击是错综复杂的,归结起来主要有物理安全问题、操作系统的安全问题、应用程序安全问题、网络协议的安全问题。
(一)物理安全问题网络安全首先要保障网络上信息的物理安全。物理安全是指在物理介质层次上对存贮和传输的信息安全保护。目前常见的不安全因素(安全威胁或安全风险)包括三大类:
自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电断电、电磁干扰等),意外事故。
电磁泄漏(如侦听微机操作过程)。
操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏(如系统掉电、"死机"等系统崩溃)
(二)操作系统及应用服务的安全问题
现在地税系统主流的操作系统为Windows 操作系统,该系统存在很多安全隐患。操作系统不安全,也是计算机不安全的重要原因。
(三)黑客的攻击
人们几乎每天都可能听到众多的黑客事件:一位年仅15岁的黑客通过计算机网络闯入美国五角大楼;黑客将美国司法部主页上的"美国司法部"的字样改成了"美国不公正部";黑客们联手袭击世界上最大的几个热门网站如yahoo、amazon、美国在线,使得他们的服务器不能提供正常的服务;黑客袭击中国的人权网站,将人权网站的主页改成*的言论;贵州多媒体通信网169网遭到"黑客"入侵;黑客攻击上海信息港的服务器,窃取数百个用户的账号。这些黑客事件一再提醒人们,必须高度重视计算机网络安全问题。黑客攻击的主要方法有:口令攻击、网络*、缓冲区溢出、电子邮件攻击和其它攻击方法。
(四)面临名目繁多的计算机病毒威胁
计算机病毒将导致计算机系统瘫痪,程序和数据严重破坏,使网络的效率和作用大大降低,使许多功能无法使用或不敢使用。虽然,至今尚未出现灾难性的后果,但层出不穷的各种各样的计算机病毒活跃在各个角落,令人堪忧。去年的“冲击波”病毒、今年的“震荡波”病毒,给我们的正常工作已经造成过严重威胁。
二、计算机系统的安全防范工作
计算机系统的安全防范工作是一个极为复杂的系统工程,是人防和技防相结合的综合性工程。首先是各级领导的重视,加强工作责任心和防范意识,自觉执行各项安全制度。在此基础上,再采用一些先进的技术和产品,构造全方位的防御机制,使系统在理想的状态下运行。
(一)加强安全制度的建立和落实
制度建设是安全前提。通过推行标准化管理,克服传统管理中凭借个人的主观意志驱动管理模式。标准化管理最大的好处是它推行的法治而不是人治,不会因为人员的去留而改变,先进的管理方法和经验可以得到很好的继承。各单位要根据本单位的实际情况和所采用的技术条件,参照有关的法规、条例和其他单位的版本,制定出切实可行又比较全面的各类安全管理制度。主要有:操作安全管理制度、场地与实施安全管理制度、设备安全管理制度、操作系统和数据库安全管理制度、计算机网络安全管理制度、软件安全管理制度、密钥安全管理制度、计算机病毒防治管理制度等。并制定以下规范:
1.制定计算机系统硬件采购规范。系统使用的关键设备服务器、路由器、交换机、防火墙、ups、关键工作站,都应统一选型和采购,对新产品、新型号必须经过严格测试才能上线,保证各项技术方案的有效贯彻。
2.制定操作系统安装规范。包括硬盘分区、网段名,服务器名命名规则、操作系统用户的命名和权限、系统参数配置,力求杜绝安全参数配置不合理而引发的技术风险。
3.制定路由器访问控制列表参数配置规范;规范组网方式,定期对关键端口进行漏洞扫描,对重要端口进行实时入侵检测。
4.制定应用系统安装、用户命名、业务权限设置规范。有效防止因业务操作权限授权没有实现岗位间的相互制约、相互监督所造成的风险。
5.制订数据备份管理规范,包括备份类型、备份策略、备份保管、备份检查,保证了数据备份工作真正落到实处。
制度落实是安全保证。制度建设重要的是落实和监督。尤其是在一些细小的环节上更要注意,如系统管理员应定期及时审查系统日志和记录。重要岗位人员调离时,应及时注销用户,并更换业务系统的口令和密钥,移交全部技术资料。应成立由主管领导为组长的计算机安全运行领导小组,凡是涉及到安全问题,大事小事有人抓、有人管、有专人落实。使问题得到及时发现、及时处理、及时上报,隐患能及时预防和消除,有效保证系统的安全稳定运行。
(二)对信息化建设进行综合性的长远规划
计算机发展到今天,已经是一个门类繁多复杂的电子系统,各部分设备能否正常运行直接关系到计算机系统的安全。从设备的选型开始就应考虑到它们的高可靠性、容错性、备份转换的即时性和故障后的恢复功能。同时,针对计算机系统网络化、复杂化,计算机系统故障的影响范围大的现实,对主机、磁盘机、通信控制、磁带机、磁带库、不间断电源、机房空调、机房消防灭火系统等重要设备采取双备份制或其他容错技术措施,以降低故障影响,迅速恢复生产系统的正常运行。
(三)强化全体税务干部计算机系统安全意识
提高安全意识是安全关键。计算机系统的安全工作是一项经常性、长期性的工作,而事故和案件却不是经常发生的,尤其是当处于一些业务紧张或遇到较难处理的大问题时,容易忽略或“破例”对待安全问题,给计算机系统带来隐患。要强化工作人员的安全教育和法制教育,真正认识到计算机系统安全的重要性和解决这一问题的长期性、艰巨性及复杂性。决不能有依赖于先进技术和先进产品的思想。技术的先进永远是相对的。俗话说:“道高一尺,魔高一丈”,今天有矛,明天就有盾。安全工作始终在此消彼长的动态过程中进行。只有依靠人的安全意识和主观能动性,才能不断地发现新的问题,不断地找出解决问题的对策。要将计算机系统安全工作融入正常的信息化建设工作中去,在规划、设计、开发、使用每一个过程中都能得到具体的体现和贯彻,以确保计算机系统的安全运行。
(四)构造全方位的防御机制
全方位的防御机制是安全的技术保障。网络安全是一项动态的、整体的系统工程,从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。
1.利用防病毒技术,阻止病毒的传播与发作
2001年,红色代码病毒、尼姆达病毒、求职病毒触动了信息网络脆弱的安全神经,更使部分信息网络用户一度陷入通讯瘫痪的尴尬局面;2003年、51免费论文网欢迎你,“冲击波”病毒、“震荡波”病毒更是给计算机用户留下了深刻的印象。为了免受病毒所造成的损失,应采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台PC机上安装单机版反病毒软件,在服务器上安装基于服务器的反病毒软件,在网关上安装基于网关的反病毒软件。因为防止病毒的攻击是每个员工的责任,人人都要做到自己使用的台式机上不受病毒的感染,从而保证整个网络不受病毒的感染。
2.应用防火墙技术,控制访问权限
防火墙技术是近年发展起来的重要网络安全技术,其主要作用是在网络入口处检查网络通讯,根据客户设定的安全规则,在保护内部网络安全的前提下,保障内外网络通讯。在网络出口处安装防火墙后,内部网络与外部网络进行了有效的隔离,所有来自外部网络的访问请求都要通过防火墙的检查,内部网络的安全有了很大的提高。防火墙可以完成以下具体任务:
-通过源地址过滤,拒绝外部非法IP地址,有效避免外部网络上与业务无关的主机的越权访问;
-防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降低到最小限度,使黑客无机可乘;
-同样,防火墙可以制定访问策略,只有被授权的外部主机可以访问内部网络的有限IP地址,保证外部网络只能访问内部网络中的必要资源,与业务无关的操作将被拒绝;
-由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为;
-另外,由于安装了防火墙后,网络的安全策略由防火墙集中管理,因此,黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的,而直接攻击防火墙几乎是不可能的。
-防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客攻击失去目标。
3.应用入侵检测技术及时发现攻击苗头
应用防火墙技术,经过细致的系统配置,通常能够在内外网之间提供安全的网络保护,降低网络的安全风险。但是,仅仅使用防火墙、网络安全还远远不够。因为:
入侵者可能寻找到防火墙背后敞开的后门;
入侵者可能就在防火墙内;
由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要是因为它能够对付来自内外网络的攻击,其次是因为它能够缩短发现黑客入侵的时间。
4.应用安全扫描技术主动探测网络安全漏洞,进行网络安全评估与安全加固
安全扫描技术是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果及时消除网络安全漏洞和更正系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。
5.应用网络安全紧急响应体系,防范安全突发事件,网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生改变。在信息技术日新月异的今天,昔日固若金汤的网络安全策略,总难免会随着时间的推进和环境的变化,而变得不堪一击。因此,我们需要随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。
总之,计算机网络系统的安全工作不是一朝一夕的工作,而是一项长期的任务,需要全体税务干部的参与和努力,同时要加大投入引进先进技术,建立严密的安全防范体系,并制度上确保该体系功能的实现。
㈣ windows系统安全配置的基本原则都有哪些
一、物理安全。服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。
二、停止Guest帐号。在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。
三、限制用户数量。去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。
四、不用管理员帐号。管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。
五、管理员帐号改名。攻击者可以一再尝试猜测默认管理员帐户的密码。把管理员帐户改名可以有效防止这一点。
六、陷阱帐号。在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
七、更改文件共享的默认权限。将共享文件的权限从“Everyon"更改为"授权用户”,”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。
八、安全密码。定义是:安全期内无法破解出来的密码就是安全密码。
九、屏幕保护 / 屏幕锁定 密码。在管理员离开时,自动加载。
十、使用NTFS分区。比起FAT文件系统,NTFS文件系统可以提供权限设置、加密等更多的安全功能。
十一、防病毒软件。一定要注意经常升级病毒库 !
十二、备份盘的安全。一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘放在安全的地方。不能把备份放置在当前服务器上。
㈤ windows 2000操作系统的安全机制有哪些
安全描述符、访问控制列表、访问令牌、访问掩码等
初级安全篇
1.物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的plicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是嘿客们入侵系统的突破口,系统的帐户越多,嘿客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
8.使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。一些公司的管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。前些天在IRC和人讨论这一问题的时候,我们给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果人家得到了你的密码文档,必须花43天或者更长的时间才能破解出来,而你的密码策略是42天必须改密码。
9.设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10. 使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
11.运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些着名的病毒,还能查杀大量木马和后门程序。这样的话,“嘿客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库
12.保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。
中级安全篇:
1.利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
http://www.microsoft.com/windows2000/techi...y/sctoolset.asp
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是嘿客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
10.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
高级篇:
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator
和Backup Operators组成员才可连接,Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径,比如 c:\winnt
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机
解决办法:
打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右边建立一个名为AutoShareServer的DWORD键。值为0
3.禁止mp file的产生
mp文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给嘿客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
http://www.microsoft.com/windows2000/techi...ity/encrypt.asp
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
http://support.microsoft.com/support/kb/ar...s/Q153/1/83.asp
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
㈥ 作为windows操作平台的安全管理员,要怎么配置
一、物理安全
服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。
二、停止Guest帐号
在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。
三、限制用户数量
去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。
很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。
四、多个管理员帐号
管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。
同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。
五、管理员帐号改名
在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。
不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。
六、陷阱帐号
和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
七、更改文件共享的默认权限
将共享文件的权限从“Everyon"更改为"授权用户”,”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。
八、安全密码
安全密码的定义是:安全期内无法破解出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码,如果设置了的话)。
九、屏幕保护 / 屏幕锁定 密码
防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。
十、使用NTFS分区
比起FAT文件系统,NTFS文件系统可以提供权限设置、加密等更多的安全功能。
十一、防病毒软件
Windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些着名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !
十二、备份盘的安全
一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。备份完资料后,把备份盘放在安全的地方。不能把备份放置在当前服务器上,那样的话还不如不做备份。
㈦ 什么是计算机的物理安全
物理安全主要是指通过物理隔离实现网络安全
新世纪的第一缕曙光,开启了信息化时代人类文明的新纪元。Internet正在越来越多地融入到社会的各个方面。一方面,网络应用越来越深地渗透到政府、金融、国防等关键领域;另一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁。安全保障能力是新世纪一个国家的综合国力、经济竞争实力和生存能力的重要组成部分。不夸张地说,它在下个世纪里完全可以与核武器对一个国家的重要性相提并论。这个问题解决不好将全方位地危及我国的政治、军事、经济和社会生活的各个方面,使国家处于信息战和高度经济风险的威胁之中。
㈧ 什么是物理安全
物理安全主要是指通过物理隔离实现网络安全
㈨ windows操作系统的安全主要体现在哪些方面
一、 安全环境
1、身份验证:通过交互式登录和网络身份验证等方式验证用户的身份。
2、访问控制:通过给用户和组指定权限来允许或拒绝用户对相应资源的访问。
3、授权管理器:授权管理器提供了基于角色的访问控制。管理员可以基于角色进行授权,来确定某角色所能执行的操作。
4、安全配置管理器:安全配置管理器允许管理员创建、应用和编辑本地计算机、组织单位或域的安全性。
5、软件限制策略:使用软件限制策略,可以标识软件并控制它在本地计算机、组织单位、域或站点中的运行能务。
6、审核安全事件:设置审核策略,以便记录用户和系统的活动。 7、加密文件系统:使用“加密文件系统(EFS)”可以加密保存在磁盘上的文件和目录。 8、公钥基础结构:“公钥基础结构“(通常简写成PKI)是数字证书、证书颁发机构(OA)的系统,用于验证使用公钥加密进行电子交易时所涉及的每一方的有效性。 9、IPSEC:“INTERNET协议安全性(IPSEC)”是一种开放标准的框架结构,通过使用加密安全服务以确保在INTERNET协议(IP)网络上进行保密而安全的通信。
二、注册表安全
1、Windows Server 2003注册表的结构
2、Windows Server 2003注册表的主要组成
3、修改注册表、备份注册表、恢复注册表
三、安全设置
1、Windows Server 2003 安全配置和管理
1)定制自己的Windows Server 2003(选择合适的版本。只安装必要的组件、合理选择应用程序,暂不接入网络、安装补丁、安装防病毒软件,最少组件+最小限权=最大安全) 2)进行必要的安全配置。
除了通过防火墙来加强网络安全之外,我们也可以使用一些其它谇来强化系统安全,简介如下。
(1)物理安全
物理安全是指服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱、键盘、电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全地方。
(2)禁用guest账号
在“计算机管理”的“用户”里停用guest帐号,任何时候都不允许guest帐号登录系统。同时,还要给guest加一个复杂的密码。
(3)限制不必要的用户数量
去掉所有的无用账号,如测试用账号、共享账号、普通部门账号等。这些账号往往是黑客们入侵系统的突破口,系统的账号,黑客们得到合法权限的可能性也就越大。
(4)把系统Administrator账号改名
Windows Server 2003 的Administrator账号是不能被停用的,这意味着别人可以一遍又一遍的尝试这个账号的密码,把Administrator账号改名可以有效地防止这一点。当然,请不要使用Amin之类的名字,这样改了等于没改,昼把它伪装成变通用户。
(5)创建一个陷阱账号
所谓陷阱账号,是指创建一个名为“Aministrator”的本地账户,把它的权限设置成最,并且加上一个超过10位的很复杂的密码。这样可以让那些非法用户秀难获得管理员权限,并且可以借此发现它们的入侵企图。
(6)把共享文件的权限从“Everyone”组改成“授权用户”
“Everyone”在Windws Server 2003中意味着任何有权进入你的网络的用户都能够获得这些共享。任何时候都不要把共享文件的用户设置成“everyone”组。
(7)使用安全密码
一个好的密码对于一个网络是非常重要的,便这也是最容易被忽略的。一些公司的管理员在创建账号时,往言行一致用公司名、计算机名,或者一些很容易被别人猜到的用户名,然后又把这些账户的密码设置得很简单。这样的账房应该要求用户首次登录时改成复杂的密码,还要注意经常更改密码。
(8)设置屏幕保护密码 这一点虽然很简单,但却是很有必要的。设置屏幕保护密码也是防止内部人员破坏报务器的一个屏障。注意不要使用OpenGBL和一些复杂的屏幕保护程序,这样浪费系统资源,让它黑屏就可以了。还有一点,所有系统用户所使用的机器也是最好加上屏幕保护密码。
(9)使用NTFS格式分区
把服务器的所有分区都改成NTFS格式,NTFS文件系统要比FAT、FAT32的文件系统安全得多。
(10)运行防毒软件 这一点非常重要,一些好的杀毒软件不仅能杀掉一些着名的病毒,还能查杀大量木马和后门程序,使“黑客”们使用的那些有名的木马毫无用武之地。同时不要忘了经常升级病毒库。
(11)保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的惟一途径,备件完资料后,把备份盘放在安全的地方,千万不要把资料备份在同一台服务器上,那样的话,还不如不备份。
(12)关闭不必要的服务
Windows Server 2003的Termtel Server(终端服务),Js和RAS都可能给你的系统带来安全漏洞。为了能够远程管理服务器,很多机器的终端服务都是打开的,如果你的也开了,要确认你已经正确地配置了终端服务。有些恶意的程序也能以服务的方式悄悄运行。要留意服务器上开启的所有服务,每天检查它们。
(13)关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上应该有所选择。用端口扫描器扫描系统所开放的端口,确定开放的哪些服务是黑客入侵系统的第一步。\System32\Drivers\Etc\Servces文件中有知名端口和服务的对照表可供参考。关闭端口的具体方法为:依次打开“网上邻居”/“属性”/“本地连接”/“属性”/“Internet协议(TCP/IP)”/“属性”/“高级”/“选项”/“TCP/IP筛选”/“属性”,打开TCP/IP筛选,添加需要的TCP,UDP协议的端口即可。
(14)打开审核策略
开启安全审核是Windows Server 2003最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码、改变账户策略、未经许可的文件访问等)入侵的时候,都会被安全审核记录下来。很多管理员在系统被入侵了几个月还不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加。 策略设置
审核系统登录事件 成功,失败 审校账户管理 成功,失败 审核登录事件 成功,失败 审核对象访问 成功
审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败
(15)设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把它设置成只有Adminitrator和系统账户才有权访问。
(16)把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是我们还是应该把一些重要的用户数据(文件、数据表、项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。