当前位置:文档之家› 各种操作系统安全配置方案

各种操作系统安全配置方案

操作系统安全配置方案内容提要Windows 的安全配置。

操作系统的安全将决定网络的安全,从保护级别上分成安全初级篇、中级篇和高级篇,共36 条基本配置原则。

安全配置初级篇讲述常规的操作系统安全配置,中级篇介绍操作系统的安全策略配置,高级篇介绍操作系统安全信息通信配置。

操作系统概述目前服务器常用的操作系统有三类:UnixLinuxWindows NT/2000/2003 Server 。

这些操作系统都是符合C2 级安全级别的操作系统。

但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。

UNIX 系统UNIX 操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。

它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。

UNIX 诞生于20 世纪60 年代末期,贝尔实验室的研究人员于1969 年开始在GE645 计算机上实现一种分时操作系统的雏形,后来该系统被移植到了DEC 的PDP-7 小型机上。

1970 年给系统正式取名为Unix 操作系统。

到1973 年,Unix 系统的绝大部分源代码都用C 语言重新编写过,大大提高了Unix 系统的可移植性,也为提高系统软件的开发效率创造了条件。

主要特色UNIX 操作系统经过20 多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5 个方面。

(1 )可靠性高(2 )极强的伸缩性(3 )网络功能强(4 )强大的数据库支持功能(5 )开放性好Linux 系统Linux 是一套可以免费使用和自由传播的类Unix 操作系统,主要用于基于Intel x86 系列CPU 的计算机上。

这个系统是由全世界各地的成千上万的程序员设计和实现的。

其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix 兼容产品。

Linux 最早开始于一位名叫Linus Torvalds 的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。

目的是想设计一个代替Minix (是由一位名叫Andrew Tannebaum 的计算机教授编写的一个操作系统示教程序)的操作系统。

这个操作系统可用于386 、486 或奔腾处理器的个人计算机上,并且具有Unix 操作系统的全部功能。

Linux 是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。

它是在共用许可证GPL(General Public License) 保护下的自由软件,也有好几种版本,如Red Hat Linux 、Slackware ,以及国内的Xteam Linux 、红旗Linux 等等。

Linux 的流行是因为它具有许多优点,典型的优点有7 个。

Linux 典型的优点有7 个。

(1 )完全免费(2 )完全兼容POSIX 1.0 标准(3 )多用户、多任务(4 )良好的界面(5 )丰富的网络功能(6 )可靠的安全、稳定性能(7 )支持多种平台Windows系统Windows系统是当今最流行的操作系统,发展经过WIN9X、WINME、WINXP、NT3.0、NT40、NT5.0(Windows 2000)和NT6.0(Windows 2003)等众多版本,并逐步占据了广大的中小网络操作系统的市场。

Windows NT以后的版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。

与Windows 9X相比,Windows NT及后续版本的网络功能更加强大并且安全。

Windows NT以后的操作系统具有以下三方面的优点。

(1)支持多种网络协议由于在网络中可能存在多种客户机,如Windows 95/98、Apple Macintosh、Unix、OS/2等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协议、IPX/SPX等。

Windows NT以后的操作系统操作支持几乎所有常见的网络协议。

(2)内置Internet功能随着Internet的流行和TCP/IP协议组的标准化,Windows NT以后的操作系统内置了IIS (Internet Information Server),可以使网络管理员轻松的配置WWW和FTP等服务。

(3)支持NTFS文件系统Windows 9X所使用的文件系统是FAT,在NT中内置同时支持FAT和NTFS的磁盘分区格式。

使用NTFS的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性。

安全配置方案初级篇安全配置方案初级篇主要介绍常规的操作系统安全配置,包括十二条基本配置原则:物理安全、停止Guest 帐号、限制用户数量创建多个管理员帐号、管理员帐号改名陷阱帐号、更改默认权限、设置安全密码屏幕保护密码、使用NTFS 分区运行防毒软件和确保备份盘安全。

1 、物理安全服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15 天以上的摄像记录。

另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。

2 、停止Guest 帐号在计算机管理的用户里面把Guest 帐号停用,任何时候都不允许Guest 帐号登陆系统。

为了保险起见,最好给Guest 加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符, 数字,字母的长字符串。

用它作为Guest 帐号的密码。

并且修改Guest 帐号的属性,设置拒绝远程访问,如图1 所示。

3 限制用户数量去掉所有的测试帐户、共享帐号和普通部门帐号等等。

用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。

帐户很多是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。

对于Windows NT/2000/XP 主机,如果系统帐户超过10 个,一般能找出一两个弱口令帐户,所以帐户数量不要大于10 个。

4 多个管理员帐号虽然这点看上去和上面有些矛盾,但事实上是服从上面规则的。

创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator 权限的帐户只在需要的时候使用。

因为只要登录系统以后,密码就存储再WinLogon 进程中,当有其他用户入侵计算机的时候就可以得到登录用户的密码,尽量减少Administrator 登录的次数和时间。

5 管理员帐号改名Windows 2000和Windows Xp中的Administrator 帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。

把Administrator 帐户改名可以有效的防止这一点。

不要使用Admin 之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。

具体操作的时候只要选中帐户名改名就可以了。

6 陷阱帐号所谓的陷阱帐号是创建一个名为“Administrator” 的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10 位的超级复杂密码。

这样可以让那些企图入侵者忙上一段时间了,并且可以借此发现它们的入侵企图。

可以将该用户隶属的组修改成Guests 组。

根据HACKER提示。

把这个账户不加权限为最安全状态!谢谢7 更改默认权限共享文件的权限从“Everyone” 组改成“ 授权用户” 。

“Everyone” 在Windows 2000 中意味着任何有权进入你的网络的用户都能够获得这些共享资料。

任何时候不要把共享文件的用户设置成“Everyone” 组。

包括打印共享,默认的属性就是“Everyone” 组的,一定不要忘了改。

设置某文件夹共享默认设置如图所示。

8 安全密码好的密码对于一个网络是非常重要的,但是也是最容易被忽略的。

一些网络管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的字符做用户名,然后又把这些帐户的密码设置得比较简单,比如:“welcome” 、“iloveyou” 、“letmein” 或者和用户名相同的密码等。

这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。

这里给好密码下了个定义:安全期内无法破解出来的密码就是好密码,也就是说,如果得到了密码文档,必须花43 天或者更长的时间才能破解出来,密码策略是42 天必须改密码 .9 屏幕保护密码设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。

注意不要使用OpenGL 和一些复杂的屏幕保护程序,浪费系统资源,黑屏就可以了。

还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。

将屏幕保护的选项“ 密码保护” 选中就可以了,并将等待时间设置为最短时间“1 秒” 。

10 NTFS 分区把服务器的所有分区都改成NTFS 格式。

NTFS 文件系统要比FAT 、FAT32 的文件系统安全得多。

11 防毒软件Windows没有安装防毒软件的,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。

建议使用NOD32等杀毒软件,具体可以去安全区讨论.设置了防毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。

12 备份盘的安全一旦系统资料被黑客破坏,备份盘将是恢复资料的唯一途径。

备份完资料后,把备份盘防在安全的地方。

不能把资料备份在同一台服务器上,这样的话还不如不要备份。

安全配置方案中级篇安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则:操作系统安全策略、关闭不必要的服务关闭不必要的端口、开启审核策略开启密码策略、开启帐户策略、备份敏感文件不显示上次登陆名、禁止建立空连接和下载最新的补丁1 操作系统安全策略利用Windows 2000 的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略。

在管理工具中可以找到“ 本地安全策略” ,主界面如图所示。

可以配置四类安全策略:帐户策略、本地策略、公钥策略和IP 安全策略。

在默认的情况下,这些策略都是没有开启的。

2 关闭不必要的服务Windows 的Terminal Services (终端服务)和IIS (Internet 信息服务)等都可能给系统带来安全漏洞。

为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务。

有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务。

要留意服务器上开启的所有服务并每天检查。

Windows 及WINXP 作为可禁用的服务及其相关说明如下表所示。

服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。

相关主题