*
网络安全技术
21
2.2.4 服务安全配置
➢ 主要有5类，分别描述如下： 1. 关闭不必要的端口 减少被入侵的算
途径，系统目录中的system32\drivers\etc\services 文件中有知名端口和服务的对照表可供 参考。 如何设置本机开放的端口和服务？
*
网络安全技术
22
*
网络安全技术
NT\CurrentVersion\Winlogon\Dont-
DisplayLastUserName”，把REG_SZ的键值改 成1。
*
网络安全技术
7
8．限制用户数量 减少入侵突破口，账 户数不大于10 。
9．多个管理员账号 减少管理员账号使用 时间，避免被破解 。 创建一个一般用户权限账号用来处理电 子邮件及处理一些日常事务，创建另一 个有Administrator权限的账户在需要的 时候使用。
/windows20 00/techinfo/howitworks/security/sc toolset.asp
*
网络安全技术
19
8．开启审核策略 用安全审核来记录入 侵日志。
策略 审核系统登录事件
审核账户管理 审核登录事件 审核对象访问 审核策略更改 审核特权使用 审核系统事件
操作系统安全配置
2．账户授权 对不同的账户进行授权， 使其拥有和身份相应的权限。
*
网络安全技术
2
3．停用Guest用户 把Guest账号禁用，并 且修改Guest账号的属性,设置拒绝远程访
问。
*
网络安全技术
3
4．系统Administrator账号改名 防止 管理员账号密码被穷举，伪装成普通用 户。
设置 成功、失败 成功、失败 成功、失败
成功 成功、失败 成功、失败 成功、失败
*
网络安全技术
20
9．加密Temp 文件夹 给Temp文件夹加 密可以给文件多一层保护。
10．使用智能卡 的密码。
用智能卡来代替复杂
11．使用IPSec
提供IP数据包的安全
性。它提供身份验证、完整性和可选择
的机密性。
利用IPSec可以使得系统的安全性能大大 增强。
23
2．设置好安全记录的访问权限 安全 记录在默认情况下是没有保护的，把它 设置成只有Administrators和系统账户 才有权访问。
*
网络安全技术
24
3．备份敏感文件 有必要把一些重要的 用户数据（存放在另外一个安全的服务 器中，并且经常备份它们。
4．禁止建立空连接 默认情况下，任何用 户都可通过空连接连上服务器，进而枚 举出账号，猜测密码。我们可以通过修 改注册表来禁止建立空连接：即把
*
网络安全技术
8
10．开启用户策略 击。
可以有效的防止字典式攻
当某一用户连续5次录都失败后将自动锁定该 账户，30分钟后自动复位被锁定的账户。
*
网络安全技术
9
2.2.2 密码安全配置
➢ 主要有4类，分别描述如下： 1. 安全密码 创建账号时不用公司名、
计算机名、或者一些别的容易猜到的字 符做用户名，密码设置要复杂。
*
网络安全技术
4
5．创建一个陷阱用户 将管理员账号权 限设置最低，延缓攻击企图。
*
网络安全技术
5
6．更改默认权限 将共享文件的权限从 “Everyone”改成“授权用户 。
*
网络安全技术
6
7．不显示上次登录用户名 防止密码猜 测，打开注册表编辑器并找到注册表项
“HKEY_CURRENT\Software\Microsoft\Windows
*
网络安全技术
11
3．设置屏幕保护密码 防止内部人员破 坏服务器的一个屏障。注意不要使用 OpenGL和一些复杂的屏幕保护程序浪 费系统资源，黑屏就可以了 。
*
网络安全技术
12
4．加密文件或文件夹 用加密工具来保 护文件和文件夹，以防别人偷看 。
*
网络安全技术
13
2.2.3 系统安全配置
➢ 主要有11类，分别描述如下： 1. 使用NTFS格式分区 所有分区都改成
安全期内无法破解出来的密码就是安全 密码（密码策略是42天必须改密码） 。
*
网络安全技术
10
2．开启密码策略 对不同的账户进行授 权，使其拥有和身份相应的权限。
策略
设置
要求
密码复杂性要求 启用 数字和字母组合
密码最小值
6位
长度至少为6
密码最长存留期 15天 超期要求改密码
强制密码历史
5次 不能设置相同密码
NTFS格式，NTFS文件系统要比FAT、 FAT32的文件系统安全得多。
*
网络安全技术
14
2．运行防毒软件 不仅可杀掉一些著名 的病毒，还能查杀大量木马和后门程序 。要注意经常运行程序并升级病毒库。
*
网络安全技术
15
3．下载最新的补丁 经常访问微软和一些 安全站点，下载最新的Service Pack和漏 洞补丁。
*
网络安全技术
16
4．关闭默认共享 防止利用默认共享入 侵。
默认共享目录 C$ D$ E$
ADMIN$ IPC$
路径 分区的根目录 %SYSTEMTOOT%
说明
Win2003 Advanced Server版中，只 有Administrator 和Backup
Operators级成员才可连接，Win2000 Server版本Server Operators组也可
：
Software\Microsoft\windows\currentversion\policies\system
，把DisableRegistryTools值改为0，类型
为DWORD。
*
网络安全技术
18
6．禁止从软盘和光驱启动系统 一些 第三方的工具能通过引导系统来绕过原 有的安全机制 。
7. 利用安全配置工具来配置安全策略 利用基于MMC（管理控制台）安全配置 和分析工具配置服务器。
以连接到这些共享目录
远程管理用的共享目录。它的路径永 远都指向WIN2003的安装路径，比如C
：\\winnt
IPC$共享提供了登的能力
PRIN$
SYSTEM32\SPOOL\DRIVER S
用户远程管理打印机
*
网络安全技术
17
5．锁定注册表
防止黑客从远程访问注
册表。修改Hkey_current_user下的子键
Local_Machine\System\CurrentControlSet\Control\LSA-
RestrictAnonymous的值改成“1”即可。5．关闭不必要的服务 防止恶意程序以 服务方式悄悄地运行服务器上的终端服 务，要确认已经正确配置了终端服务。