4.2 实例——Windows系统安全配置
4.2 实例——Windows系统安全配置
Windows操作系统安全配置包括:账号安全管理、网络安全管理、IE浏览器安全配置、注册表安全、Windows组策略、Windows权限管理和Windows安全审计等方面。
4.2.1 账号安全管理
1.重命名和禁用默认的账户
安装好Windows XP Professional后,系统会自动建立两个账户:Administrator和Guest。
在Windows XP Professional中,右键单击桌面上“我的电脑”图标,选择“管理”菜单项,打开“计算机管理”窗口,如图4.1所示。在左边列表中找到并展开“本地用户和组”,单击“用户”,可以看到系统中的账户。
1.图4.1 “计算机管理”窗口
(1)Administrator账户。
Administrator(管理员)账户拥有计算机的最高管理权限,每一台计算机至少需要一个拥有管理员权限账户,但不一定必须使用Administrator这个名称。黑客入侵计算机系统的常用手段之一就是试图获得管理员账户的密码。如果系统的管理员账户的名称没有修改,那么黑客将轻易得知管理员账户的名称,接下来就是寻找密码了。比较安全的做法是对系统的管理员账户的名称进行修改,这样,如果黑客要得到计算机系统的管理员权限,需要同时猜测账户的名称和密码,增加了黑客入侵的难度。
(2)Guest账户。
在Windows XP Professional中,Guest账户即所谓的来宾账户,只有基本的权限并且默认是禁用的。如果不需要Guest账户,一定禁用它,因为Guest也为黑客入侵提供了方便。
禁用Guest账户的方法是,在图4.1右边窗口中,双击Guest账户,在弹出的“Guest 属性”对话框中选中“账户已停用”。
注意:在Windows XP Home中,不允许停用Guest账户,那么一定要为Guest账户设置复杂的密码。不要忘记为所有账户设置足够复杂的密码。
2.可靠的密码
(1)密码策略。
尽管绝对安全的密码是不存在的,但是相对安全的密码还是可以实现的。在开始菜单中打开“运行”对话框,输入“secpol.msc”打开“本地安全设置”窗口,如图4.2所
示,展开“账户策略”,单击“密码策略”,右侧有6项关于密码的设置策略,通过这些策略的配置,就可以建立完备密码策略,这样密码就可以得到最大限度的保护。关于这6个策略的说明见表4.2。
2.图4.2 “本地安全设置”窗口
(2)操作系统的登录密码。
Windows XP的登录密码存放在系统的C:\WINDOWS\system32\config下的sam文件中,sam文件就是存放账号和密码的数据库文件。当登录系统时,系统会自动和sam进行比较,如果发现此账号和密码与sam文件中的加密数据符合,用户就会顺利登录,如果错误则无法登录。
注意:为了保障密码安全性,用户应该过一段时间就要更改自己的密码。
(3)给账户双重加密。
虽然为账户设置了复杂的密码,但密码总有被破解的可能。此时可以为账户设置双重加密。
在开始菜单中打开“运行”对话框,输入“syskey”打开“保证Windows XP账户数据库的安全”对话框,如图4.3所示,选中“启用加密”,单击“确定”按钮,这样程序就对账户完成了双重加密,不过这个加密过程对用户来说是透明的。
注意:该项操作是不可逆,一旦启用加密则不可以禁用。
如果想更进一步体验这种双重加密功能,那么可以在图4.3中单击“更新”按钮,打开“启动密码”对话框,如图4.4所示,这里有“密码启动”和“系统产生的密码”两个选项。
3.图
4.3 保证Windows XP账户数据库的安全图4.4 启动密码
如果选择“密码启动”,那么需要自己设置一个密码,这样在登录Windows XP之前需
要先输入这个密码,然后才能选择登录的账户。
如果选择“系统产生的密码”,那么又有两个选项,系统的默认选项是“在本机上保存启动密码”,如果选择该选项,那么程序仅在后台完成加密过程,在用户登录时不要求输入任何密码,因为密码就保存在计算机的内部。如果对安全要求很高,那么可以选择“在软盘上保存启动密码”,单击“确定”按钮之后会提示在软驱里放入一张软盘,创建完毕后会在软盘上生成一个StartKey.Key文件,以后每次启动系统时必须放入该软盘才能登录,此时相当于系统有了一张可以随身携带的钥匙盘。
注意:如果选择“在软盘上保存启动密码”,则建议创建一张备用盘。
3.最小特权原则
最小特权原则是系统安全中最基本的原则之一。
最小特权:指的是在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权。
最小特权原则:是指应限定网络中每个主体所必需的最小特权,确保可能的事故、错误、网络部件的篡改等原因造成的损失最小。
最小特权原则一方面给予主体“必不可少”的特权,这就保证了所有的主体都能在所赋予的特权之下完成所需要完成的任务或操作;另一方面,它只给予主体“必不可少”的特权,这就限制了每个主体所能进行的操作。
最小特权原则有效地限制、分割了用户对数据资料进行访问时的权限,降低了非法用户或非法操作可能给系统及数据带来的损失,对于系统安全具有至关重要的作用。但目前大多数系统的管理员对于最小特权原则的认识还不够深入。尤其是对于Windows系列操作系统,因为系统所赋予用户的默认权限是最高的权限,例如Windows下的目录和文件的默认权限是Everyone均具有完全的权限,而Administrator则有对整个系统的完全控制。如果系统的管理员不对此进行修改,则系统的安全性将非常薄弱。当然,最小特权原则只是系统安全的原则之一,如纵深防御原则、特权分离原则、强制存取控制等。如果要使系统达到相当高的安全性,还需要其他原则的配合使用。
4.2.5 Windows组策略
组策略设置定义了系统管理员需要管理的用户桌面环境的多种组件,例如,用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。组策略包括影响用户的“用户配置”策略设置和影响计算机的“计算机配置”策略设置。如图4.47所示,“计算机配置”是对整个计算机中的系统配置进行设置的,是对计算机中所有用户的运行环境起作用;“用户配置”则是对当前用户的系统配置进行设置的,它仅对当前用户起作用。
下面介绍组策略与安全有关的一些设置。
第1步:打开“组策略”窗口。在开始菜单中打开“运行”对话框,输入“gpedit.msc”打开“组策略”窗口,如图4.47所示。
4.图4.47 “组策略”窗口
第2步:隐藏电脑的驱动器。在图4.47中,依次展开“用户配置”→“管理模板”→“Windows组件”,然后单击“Windows资源管理器”,双击右侧窗口中的“隐藏‘我的电脑’中这些指定的驱动器”,在弹出的对话框中选择“已启用”,请从下拉列表上选择一个驱动器或几个驱动器。
注意:这项策略删除驱动器图标。用户仍可通过使用其他方式继续访问驱动器的内容,如通过在映射网络驱动器对话框、运行对话框或命令窗口上输入一个驱动器的目录路径。同时,此策略不会防止用户使用程序访问这些驱动器或其内容,也不会防止用户使用“磁盘管理”管理单元查看并更改驱动器特性。
第3步:防止访问驱动器。在第2步隐藏电脑的驱动器后,发现我的电脑里指定的磁盘驱动器不见了,但在地址栏输入盘符后,仍然可以访问,为了解决该问题,在图4.47中,双击右侧窗口中的“防止从‘我的电脑’访问驱动器”,在弹出的对话框中选择“已启用”,从下拉列表中选择一个驱动器或几个驱动器。如果你启用了这项设置,用户可以浏览在“我的电脑”或Windows资源管理器中所选择的目录结构,但是不能打开文件夹或访问其中的内容。同时,他们也无法使用运行对话框或映射网络驱动器对话框来查看在这些驱动器上的目录。
注意:如果没有第2步,那么这些代表指定驱动器的图标仍旧会出现在“我的电脑”中,但是如果用户双击图标,会弹出“限制”对话框,提示本次操作受限。不过这一设置不会防止用户使用程序访问本地和网络驱动器。并且不防止他们使用磁盘管理单元查看和更改驱动器特性。
第4步:隐藏文件夹选项。
平时隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,从Windows 资源管理器菜单上删除文件选项项目并且从控制面板上删除文件夹选项项目。这样做用户就不能使用文件夹选项对话框。可以在组策略里删除这个选项。
在图4.47中,双击右侧窗口中的“从‘工具’菜单删除‘文件夹选项’菜单”,在弹出
的对话框中选择“已启用”。
第5步:关闭缩略图缓存。
有时候在文件夹中浏览过图片,以后虽然删除了,但是缩略图缓存可能会被其他人读取。如果启用该设置,缩略图视图将不被缓存。
在图4.47中,双击右侧窗口中的“关闭缩略图的缓存”,在弹出的对话框中选择“已启用”。
第6步:关闭自动播放。
一旦将媒体插入驱动器,自动运行就开始从驱动器中读取。这会造成程序的设置文件和在音频媒体上的音乐会立即开始。在默认的情况下,自动运行在软盘驱动器和网络驱动器上禁用(但不在CD-ROM驱动器上禁用)。如果启动这项设置,还可以在CD-ROM驱动器禁用自动运行或在所有驱动器上禁用自动运行。
在图4.48中,依次展开“用户配置”→“管理模板”,然后单击“系统”,双击右侧窗口中的“关闭自动播放”,在弹出的对话框中选择“已启用”,请从下拉列表上选择一个驱动器或几个驱动器。
5.图4.48 “组策略”窗口
注意:这个设置出现在“计算机配置”和“用户配置”两个文件夹中。如果两个设置都配置,“计算机配置”中的设置比“用户配置”中的设置优先。此设置不阻止自动播放音乐CD。
组策略的功能非常强大,本节仅介绍了其中很少的一部分功能,希望能够起到抛砖引玉的作用。
注意:为了防止其他用户通过组策略来更改自己的设置,可以在C:\WINDOWS\ System32下把gpedit.msc更名,比如改为groupedit.msc,以后在开始菜单中打开“运行”对话框,输入“groupedit.msc”即可,不影响正常使用。
4.2.6 Windows权限
Windows NT/2000/XP/2003/Vista/2008提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。
权限是针对资源而言的,设置权限只能以资源为对象,比如“设置某个文件夹有哪些用户可以拥有相应的权限”,而不能以用户为主,比如不能“设置某个用户可以对哪些资源拥
有权限”。这就意味着权限必须针对资源而言,脱离了资源去谈权限毫无意义。
利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有“读取”操作权限、Administrators组成员拥有“读取+写入+删除”操作权限等。
1.与Windows权限密切相关的3个概念是:安全标识符、访问控制列表和安全主体
(1)安全标识符(Security Identifier,SID)。
在Windows中,系统是通过SID对用户进行识别的,而不是用户名。SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有唯一性、绝对不会重复产生的数值,所以,在删除了一个账户ZTG后,再次创建这个ZTG账户时,前一个ZTG与后一个ZTG账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护,杜绝盗用权限的情况。
(2)访问控制列表(Access Control List,ACL)。
访问控制列表是权限的核心技术。这是一个权限列表,用于定义特定用户对某个资源的访问权限,实际上这就是Windows对资源进行保护时所使用的一个标准。
在访问控制列表中,每一个用户或用户组都对应一组访问控制项(Access Control Entry,ACE),在“组或用户名称”列表中选择不同的用户或组时,通过下方的权限列表设置项是不同的这一点就可以看出来。显然,所有用户或用户组的权限访问设置都将会在这里被存储下来,并允许随时被有权限进行修改的用户进行调整。
(3)安全主体(Security Principal)。
在Windows中,可以将用户、用户组、计算机或服务都看成是一个安全主体,每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同,账户的管理方式也有所不同:本地账户被本地的SAM管理,域的账户则会被活动目录进行管理等。
一般来说,权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等),使其可以拥有指定操作的过程。因为用户组包括多个用户,所以多数情况下,建议为资源指派权限时使用用户组来完成,这样可以统一管理。
2.权限管理的4项基本原则
在Windows中,针对权限的管理有4项基本原则,即拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这4项基本原则对于权限的设置来说,将会起到非常重要的作用,下面介绍权限管理的4项基本原则。
(1)拒绝优于允许原则。该原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限冲突。
例如:用户ztg既属于ztgs用户组,也属于guangs用户组,当对guangs组中某个资源进行“写入”权限的集中分配时,该组中ztg用户将自动拥有“写入”权限。
但是ztg用户在实际操作中却无法执行写入操作。原来,在ztgs组中同样也对ztg用户进行了针对这个资源的权限设置,设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,ztg在ztgs组中被“拒绝写入”的权限将优先guangs组中被赋予的允许“写入”权限。因此,在实际操作中,ztg用户无法对这个资源进行写入操作。
(2)权限最小化原则。保持用户最小的权限是非常有必要的。这条原则可以确保资源得到最大的安全保障。
例如:系统中新建的受限用户ztg在默认状态下对DIRECT目录没有任何权限的,现在需要为ztg用户赋予对DIRECT目录有读取的权限,那么就必须在DIRECT目录的权限列表中为ztg用户添加读取权限。
(3)权限继承性原则。权限继承性原则可以让资源的权限设置变得更加简单。假设现在
有个DIRECT目录,在这个目录中有DIRECT1、DIRECT2、DIRECT3等子目录,现在需要对DIRECT目录及其下的子目录均设置ztg用户有写入权限。因为有继承性原则,所以只需对DIRECT目录设置ztg用户有写入权限,其下的所有子目录将自动继承这个权限的设置。
(4)累加原则。这个原则比较好理解,假设现在ztg用户既属于ztgs用户组,也属于guangs用户组,它在ztgs用户组对DIRECT目录的权限是读取,在guangs用户组中对DIRECT 目录的权限是写入,那么根据累加原则,ztg用户对DIRECT目录的实际权限将会是读取+写入。
总之,拒绝优于允许原则是用于解决权限设置上冲突问题的;权限最小化原则是用于保障资源安全的;权限继承性原则是用于权限设置的自动化的;累加原则是让权限的设置更加灵活多变。
注意:Administrators组的全部成员都可以从其他用户手中夺取其身份的权力。
3.文件与文件夹权限
文件与文件夹依据是否被共享到网络上,其权限可以分为NTFS权限与共享权限两种,这两种权限既可以单独使用,也可以相辅使用。两者之间既能够相互制约,也可以相互补充。
(1)NTFS权限。
只要是在NTFS分区上的文件夹或文件,无论是否被共享,都具有此权限。此权限对于使用FAT16/FAT32分区上的文件与文件夹无效。
NTFS权限有两大要素:一是标准访问权限;二是特别访问权限。
标准访问权限将一些常用的系统权限选项比较笼统地组成7组权限,分别是:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、特别的权限。
在大多数情况下,标准访问权限是可以满足管理需要的,但对于权限管理要求严格的环境,往往就不能满足要求了,比如只想赋予某用户有建立文件夹的权限,而不赋予该用户建立文件的权限;又比如只想赋予某用户只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等,此时,就可以使用特别访问权限了,特别访问权限不再使用简单的权限分组,可以实现更具体、全面、精确的权限设置。
①设置标准访问权限。以Windows 2003系统的NTFS分区中名为Inetpub的文件夹为例,可以按照如下方法进行操作。
第1步:右键单击Inetpub文件夹,在右键菜单中选择“共享与安全”,显示“Inetpub 属性”对话框,如图4.49所示。
第2步:在图4.49中,选择“安全”选项卡,针对资源进行的NTFS权限设置就是通过这个选项卡来实现的,此时应首先在“组或用户名称”列表中选择需要赋予权限的用户名或组,然后在下方的“权限”列表中设置该用户可以拥有的权限。
注意:Windows XP在安装后默认状态下是没有激活安全选项卡设置功能的,所以需要首先启用系统中的安全选项卡设置功能。方法是:单击资源管理器的“工具”菜单中的“文件夹选项”,弹出“文件夹选项”对话框,如图4.50所示,打开“查看”选项卡页,在“高级设置”选项列表中清除“使用简单文件共享(推荐)”选项前的复选框,然后单击“确定”按钮即可。
6.图4.49 “Inetpub属性”对话框图4.50 “文件夹选项”对话框
表4.7简单介绍了图4.49中7个权限选项的含义。
②设置特别访问权限。
第1步:在图4.49中,单击“添加”按钮,弹出“选择用户或组”对话框,如图4.51所示,选择ztg用户,单击“确定”按钮后再单击“确定”按钮,返回“Inetpub属性”对话框,如图4.52所示。
7.图4.51 “选择用户或组”对话框图4.52 “Inetpub属性”对话框
第2步:在图4.52中,单击“高级”按钮,弹出“Inetpub的高级安全设置”对话框,如图4.53所示,去掉“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”前面的对钩,这样可以断开当前权限设置与父级权限设置之间的继承关系。在随即弹出的“安全”对话框(图4.54)中单击“复制”或“删除”按钮(单击“复制”按钮可以首先复制继承的父级权限设置,然后再断开继承关系),返回“Inetpub的高级安全设置”对话框,如图4.55所示,然后单击“应用”按钮。
第3步:在图4.55中,选中ztg用户(读者要根据具体情况选择用户)并单击“编辑”按钮,弹出“Inetpub的权限项目”对话框,如图4.56所示,首先单击“全部清除”按钮,
然后在“权限”列表中选择“遍历文件夹/运行文件”、“列出文件夹/读取数据”、“读取属性”、“创建文件/写入数据”、“创建文件夹/附加数据”和“读取权限”,然后单击“确定”按钮完成设置。
8.图4.53 “Inetpub的高级安全设置”对话框图4.54 “安全”对话框
9.图4.55 “Inetpub的高级安全设置”对话框图4.56 “Inetpub的权限项目”对话框
在经过上述设置后,ztg用户在对Inetpub文件夹进行删除操作时,就会弹出提示框警告操作不能成功。显然,相对于标准访问权限设置上的笼统,特别访问权限则可以实现更具体、全面、精确的权限设置。
表4.8对图4.56中的特别权限列表中的权限含义做了说明。
(2)共享权限。
只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中,那么它将同时具有NTFS权限与共享权限,如果这个资源同时拥有NTFS和共享两种权限,那么系统中对权限的具体实施将以两种权限中“较严格的权限”为准(拒绝优于允许原则)。
比如某个共享资源的NTFS权限设置为完全控制,而共享权限设置为读取,那么远程用户对共享资源只具有读取权限了。
设置共享权限的方法是右键单击Inetpub文件夹,在右键菜单中选择“共享与安全”,在弹出的“Inetpub属性”对话框(图4.57)中选择“共享”选项卡,选中“共享此文件夹”,此时将使用默认的权限设置(即Everyone用户拥有读取权限)。如果想对共享权限进行具体
设置,那么单击“权限”按钮,弹出的“Inetpub的权限”对话框,如图4.58所示,可以看到权限列表中有完全控制、更改和读取,这3个权限的含义见表4.9。
10.图4.57 “Inetpub属性”对话框图4.58 “Inetpub的权限”对话框
在图4.58中,可以单击“添加”按钮将需要设置权限的用户或用户组添加进来。在默认情况下,当添加新的组或用户时,该组或用户将具备读取权限,可以根据实际情况在下方的权限列表中进行复选框的选择与清空。
注意:如果是FA T16/FA T32文件系统中的共享文件夹,那么将只能受到共享权限的保护,这样一来就容易产生安全性漏洞。这是因为共享权限只能够限制从网络上访问资源的用户,并无法限制直接登录本机的人,即用户只要能够登录本机,就可以任意修改、删除FA T16/FA T32分区中的数据了。因此,从安全角度来看,不推荐使用FA T16/FA T32文件系统。
4.复制或移动资源时权限的变化
设置权限的资源需要复制或移动时,资源的权限会如何变化呢?
(1)复制资源。复制资源时,原资源的权限不会发生变化,新生成的资源,将继承其目标位置父级资源的权限。
(2)移动资源。在移动资源时,一般会遇到两种情况:
一是如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限)。
二是如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动操作就是首先进行资源的复制,然后从原有位置删除资源的操作。
(3)非NTFS分区。上述复制或移动资源时产生的权限变化只是针对NTFS分区而言的,如果将资源复制或移动到FAT16/FAT32分区,那么所有的权限均会自动全部丢失。
5.内置安全主体与权限
在Windows XP中,有一群不为人知的用户,他们的作用是可以让我们指派权限到某种“状态”的用户,如匿名用户、网络用户等,而不是某个特定的用户或组(如ztg这类用户)。这样一来,对用户权限的管理就更加容易精确控制了。这群用户在Windows XP中,统一称为内置安全主体。
下面介绍为Inetpub文件夹设置内置安全主体中的“Network”类用户权限的方法。
第1步:右键单击Inetpub文件夹,在右键菜单中选择“共享与安全”,显示“Inetpub 属性”对话框,如图4.59所示,单击“添加”按钮,在弹出的“选择用户或组”对话框(图4.60)中单击“对象类型”按钮。弹出“对象类型”对话框,如图4.61所示。
第2步:在图4.61中,只保留列表中的“内置安全主体”,然后单击“确定”按钮。返回“选择用户或组”对话框(图4.60),单击“高级”按钮后接着单击“立即查找”按钮,如图4.62所示,图中列出了系统中的所有内置安全主体。
11.图4.59 “Inetpub属性”对话框图4.60 “选择用户或组”对话框
12.图4.61 “对象类型”对话框图4.62 内置安全主体
第3步:在图4.62中,选择“NETWORK”类用户,然后单击“确定”按钮。返回“Inetpub 属性”对话框(图4.59),可以按照前面讲述的内容为“NETWORK”类用户指派对于Inetpub 文件夹的NTFS权限或者共享权限。
图4.62中主要的安全主体的作用说明见表4.10。
Windows操作系统安全配置方案
Windows操作系统安全配置方案 一、物理安全 服务器应当放置在安装了监视器的隔离房间内,并且监视器应当保留15天以内的录像记录。另外,机箱、键盘、抽屉等要上锁,以保证旁人即使在无人值守时也无法使用此计算机,钥匙要放在安全的地方。 二、停止Guest帐号 在[计算机管理]中将Guest帐号停止掉,任何时候不允许Guest帐号登录系统。为了保险起见,最好给Guest帐号加上一个复杂的密码,并且修改Guest帐号属性,设置拒绝远程访问。 三、限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号,等等。用户组策略设置相应权限、并且经常检查系统的帐号,删除已经不适用的帐号。 很多帐号不利于管理员管理,而黑客在帐号多的系统中可利用的帐号也就更多,所以合理规划系统中的帐号分配。 四、多个管理员帐号 管理员不应该经常使用管理者帐号登录系统,这样有可能被一些能够察看Winlogon进程中密码的软件所窥探到,应该为自己建立普通帐号来进行日常工作。 同时,为了防止管理员帐号一旦被入侵者得到,管理员拥有备份的管理员帐号还可以有机会得到系统管理员权限,不过因此也带来了多个帐号的潜在安全问题。 五、管理员帐号改名 在Windows 2000系统中管理员Administrator帐号是不能被停用的,这意味着攻击者可以一再尝试猜测此帐户的密码。把管理员帐户改名可以有效防止这一点。 不要将名称改为类似Admin之类,而是尽量将其伪装为普通用户。 六、陷阱帐号 和第五点类似、在更改了管理员的名称后,可以建立一个Administrator的普通用户,将其权限设置为最低,并且加上一个10位以上的复杂密码,借此花费入侵者的大量时间,并且发现其入侵企图。
深入了解Windows安全状况
深入了解Windows安全状况 Windows不像类UNIX系统一样开源,而且Microsoft也不可能公布基于Windows的源代码.所以,对于早期的Windows版本来讲,企业很难满足。 作者简介:涂俊雄Microsoft MVP 熟悉微软产品,现为"技术中国"编辑,也是"https://www.360docs.net/doc/3814435714.html,"的论坛版主。有部署大型网络和处理突发事件的经验,曾担任过多家网站的管理员与安全顾问,有丰富的管理站点的经验,熟悉多种站点系统,并能很好的应用,现在在对无线网络进行研究,并且熟悉黑客技术,能很好的处理攻击事件,写过一些基于WINDOWS 下的配置和安全管理的文章,翻译过一些优秀的技术文章。 概述 Windows不像类UNIX系统一样开源,而且Microsoft也不可能公布基于Windows的源代码。所以,对于早期的Windows版本来讲,企业很难满足。Windows的安全现状,因为他们不能根据自己的企业来制定满主自己的解决方案。但是,不断完善的Windows给我们带来的越来越好的安全性,以及Windows的高部署性给越来越多的企业带来的惊喜,越来越多的企业选择了Windows,也越来越多的人开始研究Windows。包括Windows 在企业的部署以及Windows的安全性和可扩展性。从Widows NT以来,Microsoft在Windows的安全方面做了很多,最典型的就包括NTFS文件系统。而且结合Microsoft ISA Server可以让企业的安全性大大提升。本文就Windows现有的安全状况加以分析,让更多的从事Windows管理的专业人员提供更深入的对Windows 的安全了解。 操作系统安全定义 无论任何操作系统(OS),都有一套规范的、可扩展的安全定义。从计算机的访问到用户策略等。操作系统的安全定义包括5大类,分别为:身份认证、访问控制、数据保密性、数据完整性以及不可否认性。 身份认证 最基本的安全机制。当用户登陆到计算机操作系统时,要求身份认证,最常见的就是使用帐号以及密钥确认身份。但由于该方法的局限性,所以当计算机出现漏洞或密钥泄漏时,可能会出现安全问题。其他的身份认证还有:生物测定(compaq的鼠标认证)指纹、视网模等。这几种方式提供高机密性,保护用户的身份验证。采用唯一的方式,例如指纹,那么,恶意的人就很难获得除自己之外在有获得访问权限。 访问控制 在WINDOWS NT之后的WINDOWS版本,访问控制带来的更加安全的访问方法。该机制包括很多内容,包括磁盘的使用权限,文件夹的权限以及文件权限继承等。最常见的访问控制可以属WINDOWS的NTFS文件系统了。
Windows XP系统的安全配置方案
Windows XP系统的安全配置方案 1.关闭常见危险端口 (1)135端口 主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。 关闭135端口: 1. 单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。 2. 在弹出的“组件服务”对话框中,选择“计算机”选项。 3. 在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。 4. 在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。 5. 选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。 6. 单击“确定”按钮,设置完成,重新启动后即可关闭135端口。 (2) 139端口 IPC$漏洞使用的是139,445端口。IPC$漏洞其实就是指微软为了方便管理员而安置的后门-空会话。 关闭139端口: 本地连接—>Internet协议(TCP/IP)—>右击—>属性—>选择“TCP/IP”,单击“高级”—>在“WINS”选项卡中选择禁用“TCP/IP的NetBLOS”。 (3) 445端口 和139端口一起是IPC$入侵的主要通道。有了它就可以在局域网中轻松访问各种共享文件夹或共享打印机。黑客们能通过该端口共享硬盘,甚至硬盘格式化。 关闭445端口: 运行-> regedit -> HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\NetBT\Parameters 建一个名为SMBDeviceEnabled 的REG-DWORD类型的子键,键值为0。 (4) 3389端口 远程桌面的服务端口,可以通过这个端口,用“远程桌面”等连接工具来连接到远程的服务器。 关闭445端口: 我的电脑—>右击—>属性—>去掉“远程协助”和“远程桌面”前的勾。 2. 删除IPC$空连接 运行—>regedit—>HKEY-LOCAL_MACHINE\ SYSTEM\CurrentControSet\Control\LSA 将数值名称RestrictAnonymous的数值数据由0改为1。 3. 账号密码的安全原则 禁用guest账号,将系统内置的Administrator账号改名(越复杂越好,最好是中文的),设置密码最好为8位以上的字母+数字+符号的组合。 4. 删除共享
Windows操作系统安全
Windows操作系统安全
实验报告全框架。 使用仪器实验环境使用仪器及实验环境:一台装有Windows2000或者XP操作系统的计算机、磁盘格式配置为NTFS。 实验内容在Windows2000或者XP操作系统中,相关安全设置会稍有不同,但大同小异,所有的设置均以管理员(Administrator)身份登录系统。 任务一:账户和口令的安全设置 任务二:文件系统安全设置 任务三:用加密软件EPS加密硬盘数据 任务四:启用审核与日志查看 任务五:启用安全策略与安全模块 实验步骤: 任务一账户和口令的安全设置 、删除不再使用的账户,禁用guest账户 (1)检查和删除不必要的账户。 右击“开始”按钮,打开“资源管理器”,选择“控制面板”中的“用户和密码”项; 在弹出的对话框中选择从列出的用户里删除不需要的账户。 (2)guest账户的禁用。 右键单击guest用户,选择“属性”,在弹出的对话框中“账户已停用”一栏前打勾; 确定后,guest前的图标上会出现一个红色的叉,此时账户被禁用。
其中,符合复杂性要求的密码是具有相当长度、同时含有数字、大小写字母和特殊字符的序列。双击其中每一项,可按照需要改变密码特殊的设置。 (1)双击“密码密码必须符合复杂性要求”,选择“启用”。 打开“控制面板”中“用户和密码”项,在弹出的对话框中选择一个用户后,单击“设置密码”按钮。 在出现的设置密码窗口中输入密码。此时密码符合设置的密码要求。 (2)双击上图中的“密码长度最小值”;在弹出的对话框中可设置可被系统接纳的账户
、禁止枚举帐户名 为了便于远程用户共享本地文件,Windows默认设置远程用户可以通过空连接枚举出所有本地帐户名,这给了攻击者可乘之机。 要禁用枚举账户名,执行下列操作: 打开“本地安全策略”项,选择“本地策略”中的“安全选项”,选择“对匿名连接的额
Windows安全配置规范
Windows 安全配置规范 2010年11月
第1章概述 1.1适用范围 本规范明确了Windows操作系统在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 适用于中国电信所有运行的Windows操作系统,包括Windows 2000、Windows XP、Windows2003, Windows7 , Windows 2008以及各版本中的Sever、Professional版本。 第2章安全配置要求 2.1账号 编号:1 要求内容应按照不同的用户分配不同的账号,避免不同用户间共享账号,避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 根据系统的要求,设定不同的账户和账户组。 检测方法1、判定条件 结合要求和实际业务情况判断符合要求,根据系统的要求,设定不 同的账户和账户组 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”:
查看根据系统的要求,设定不同的账户和账户组编号:2 要求内容应删除与运行、维护等工作无关的账号。 操作指南1.参考配置操作 A)可使用用户管理工具: 开始-运行-compmgmt.msc-本地用户和组-用户B)也可以通过net命令: 删除账号:net user account/de1 停用账号:net user account/active:no 检测方法1.判定条件 结合要求和实际业务情况判断符合要求,删除或锁定与设备运行、维护等与工作无关的账号。 注:主要指测试帐户、共享帐号、已经不用账号等 2.检测操作 开始-运行-compmgmt.msc-本地用户和组-用户 编号:3 要求内容重命名Administrator;禁用guest(来宾)帐号。 操作指南1、参考配置操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: Administrator->属性-> 更改名称 Guest帐号->属性-> 已停用 检测方法1、判定条件 缺省账户Administrator名称已更改。 Guest帐号已停用。 2、检测操作 进入“控制面板->管理工具->计算机管理”,在“系统工具->本地用 户和组”: 缺省帐户->属性-> 更改名称
Windows系统安全加固技术指导书
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版 本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息................................................................. 错误!未定义书签。前言.................................................................... 错误!未定义书签。 一、编制说明............................................................ 错误!未定义书签。 二、参照标准文件........................................................ 错误!未定义书签。 三、加固原则............................................................ 错误!未定义书签。 1.业务主导原则..................................................... 错误!未定义书签。 2.业务影响最小化原则............................................... 错误!未定义书签。 3.实施风险控制..................................................... 错误!未定义书签。 (一)主机系统............................................................. 错误!未定义书签。 (二)数据库或其他应用 ..................................................... 错误!未定义书签。 4.保护重点......................................................... 错误!未定义书签。 5.灵活实施......................................................... 错误!未定义书签。 6.周期性的安全评估................................................. 错误!未定义书签。 四、安全加固流程........................................................ 错误!未定义书签。 1.主机分析安全加固................................................. 错误!未定义书签。 2.业务系统安全加固................................................. 错误!未定义书签。 五、W INDOWS 2003操作系统加固指南......................................... 错误!未定义书签。 1.系统信息......................................................... 错误!未定义书签。 2.补丁管理......................................................... 错误!未定义书签。 (一)补丁安装............................................................. 错误!未定义书签。 3.账号口令......................................................... 错误!未定义书签。 (一)优化账号............................................................. 错误!未定义书签。 (二)口令策略............................................................. 错误!未定义书签。 4.网络服务......................................................... 错误!未定义书签。 (三)优化服务............................................................. 错误!未定义书签。 (四)关闭共享............................................................. 错误!未定义书签。 (五)网络限制............................................................. 错误!未定义书签。
Windows2008安装完系统后安全设置
Windows2008系统安全设置 编写:技术支持李岩伟 1、密码设置复杂一些,例如:******** 2、更改administrator账户名称,例如:南关区社管服务器administrator更改为 *******,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名系统管理员---右键---属性---更改名称;
3、更改guest账户名称,例如更改为********,更改方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户:重命名来宾帐户---右键---属性---更改名称; 4、新建一无任何权限的假Administrator账户 管理工具→计算机管理→系统工具→本地用户和组→用户 新建一个Administrator帐户作为陷阱帐户,设置超长密码(例如:*********),并去掉所有用户组 更改描述:管理计算机(域)的内置帐户 5、更改远程桌面端口: 开始—运行:regedit,单击“确定”按钮后,打开注册表编辑窗口; 找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 然后找到: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为:XXX(例如22)——点确定。 6、设置不显示最后的用户名,设置方法: 开始—运行:gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录:不显示最后的用户名---右键---属性---已启用---应用
Microsoft Windows安全配置基线
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
Windows 操作系统安全防护强制性要求
Windows 操作系统安全防护 强制性要求 二〇一四年五月
目录 1.系统用户口令及策略加固1 1.1.系统用户口令策略加固 1 1.2.用户权限设置 1 1.3.禁用Guest(来宾)帐户 2 1.4.禁止使用超级管理员帐号 3 1.5.删除多余的账号 4 2.日志审核策略配置4 2.1.设置主机审核策略 4 2.2.调整事件日志的大小及覆盖策略 5 2.3.启用系统失败日志记录功能 5 3.安全选项策略配置6 3.1.设置挂起会话的空闲时间 6 3.2.禁止发送未加密的密码到第三方SMB 服务器
6 3.3.禁用对所有驱动器和文件夹进行软盘复制和访问 7 3.4.禁止故障恢复控制台自动登录 7 3.5.关机时清除虚拟内存页面文件 7 3.6.禁止系统在未登录前关机 8 3.7.不显示上次登录的用户名 8 3.8.登录时需要按CTRL+ALT+DEL 8 3.9.可被缓存的前次登录个数 9 3.10. 不允许SAM 帐户和共享的匿名枚举 (9) 3.11.不允许为网络身份验证储存凭证或.NET Passports 9 3.12. 如果无法记录安全审核则立即关闭系统 (10) 3.13. 禁止从本机发送远程协助邀请 (10) 3.14. 关闭故障恢复自动重新启动 (11) 4.用户权限策略配置11 4.1.禁止用户组通过终端服务登录 11 4.2.只允许管理组通过终端服务登录 11
4.3.限制从网络访问此计算机 12 5.用户权限策略配置12 5.1.禁止自动登录 12 5.2.禁止光驱自动运行 12 5.3.启用源路由欺骗保护 13 5.4.删除IPC 共享 13 6.网络与服务加固14 6.1.卸载、禁用、停止不需要的服务 14 6.2.禁用不必要进程,防止病毒程序运行 15 6.3.关闭不必要启动项,防止病毒程序开机启动 24 6.4.检查是否开启不必要的端口 34 6.5.修改默认的远程桌面端口 34 6.6.启用客户端自带防火墙 35 6.7.检测DDOS 攻击保护设置
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享:应关闭 Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
TongWeb服务器安全配置基线
TongWeb服务器安全配置基线 TongWeb服务器 安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1帐号 (2) 2.1.1应用帐号分配 (2) 2.1.2用户口令设置 (3) 2.1.3用户帐号删除 (3) 2.2认证授权 (4) 2.2.1控制台安全 (4) 第3章日志配置操作 (7) 3.1日志配置 (7) 3.1.1日志与记录 (7) 第4章备份容错 (9) 4.1备份容错 (9) 第5章IP协议安全配置 (10) 5.1IP通信安全协议 (10) 第6章设备其他配置操作 (12) 6.1安全管理 (12) 6.1.1禁止应用程序可显 (12) 6.1.2端口设置* (13) 6.1.3错误页面处理 (14) 第7章评审与修订 (16)
第1章概述 1.1 目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的TongWeb服务器应当遵循的安全性设置标准,本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的TongWeb 服务器系统。 1.3 适用版本 5.x版本的TongWeb服务器。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
Windows_Server_2008安全配置需要注意的几点
Windows Server 2008安全配置基础 一、及时打补丁 二、阻止恶意Ping攻击 我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击: 首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口; 其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目; 接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;
协议类型列表中选中“ICMPv4”, 之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。 小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作: 首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallR ules注册表子项,该子项下面保存有很多安全规则;
各类操作系统安全基线配置
各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上
Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)
交换机设备安全基线
H3C设备安全配置基线 目录 第1章概述 ................................................................................................................................ 1.1目的.................................................................................................................................... 1.2适用范围............................................................................................................................ 1.3适用版本............................................................................................................................ 第2章帐号管理、认证授权安全要求 .................................................................................... 2.1帐号管理............................................................................................................................ 2.1.1用户帐号分配* .......................................................................................................... 2.1.2删除无关的帐号* ...................................................................................................... 2.2口令.................................................................................................................................... 2.2.1静态口令以密文形式存放 ........................................................................................ 2.2.2帐号、口令和授权 .................................................................................................... 2.2.3密码复杂度 ................................................................................................................ 2.3授权.................................................................................................................................... 2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ........................................... 第3章日志安全要求 ................................................................................................................ 3.1日志安全............................................................................................................................ 3.1.1启用信息中心 ............................................................................................................ 3.1.2开启NTP服务保证记录的时间的准确性................................................................ 3.1.3远程日志功能* .......................................................................................................... 第4章IP协议安全要求 ............................................................................................................ 4.1IP协议 ............................................................................................................................... 4.1.1VRRP认证................................................................................................................... 4.1.2系统远程服务只允许特定地址访问 ........................................................................
Windows系统安全配置基线
Windows系统安全配置基线
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)
Windows Server 2008 R2常规安全设置及基本安全策略
Windows Server 2008 R2常规安全设置及基本安全策略 比较重要的几部 1.更改默认administrator用户名,复杂密码 2.开启防火墙 3.安装杀毒软件 1)新做系统一定要先打上补丁 2)安装必要的杀毒软件 3)删除系统默认共享 4)修改本地策略——>安全选项 交互式登陆:不显示最后的用户名启用 网络访问:不允许SAM 帐户和共享的匿名枚举启用 网络访问: 不允许存储网络身份验证的凭据或.NET Passports 启用 网络访问:可远程访问的注册表路径和子路径全部删除 5)禁用不必要的服务 TCP/IP NetBIOS Helper、Server、Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation 6)禁用IPV6 server 2008 r2交互式登录: 不显示最后的用户名 一、系统及程序 1、屏幕保护与电源 桌面右键--〉个性化--〉屏幕保护程序,屏幕保护程序选择无,更改电源设置选择高性能,选择关闭显示器的时间关闭显示器选从不保存修改 2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite 环境。在这里我给大家可以推荐下阿里云的服务器一键环境配置,全自动安装设置很不错的。点击查看地址 二、系统安全配置 1、目录权限 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限 2、远程连接 我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机
提升Windows系统安全性的组策略设置
升Win d o w s 系统安全性的组策略设置 有人将组策略比作深藏在系统中的“大内高手”,笔者觉得这个比喻的非常恰当的。组策略确实有其他第三方安全软件所无法比拟的优势,这不仅是其与Win dows系统的密切 “关系”,更在于它强大的安全功能。除了可通过其进行系统配置,而且可对系统中几乎所有的软硬件实施管理,全方位地提升系统安全。到目前为止,似乎没有任何一款第三方软件可提供如果多的配置项。何况随着Win dows系统的更新换代,组策略也是越来越强大了,比如在Windows 7中就增加了许多Vista没有的安全项。本文就以当前主流的Vista系统为例,就Windows组策略的安全特性进行一番比较深入的解析。 为了便于说明,笔者依据组策略的安全配置功能将其划分为三部分:系统核心安全配置、应用程序和设备限制、In ternet Explorer(IE)安全。下面就以此为线索,分别谈谈组策略的安全特性。 1、系统核心安全配置 与系统核心安全相关的组策略设置项主要在“计算机配置f Win dows配置—安全配置”节点下。 (1) .账户策略 对于组策略的这一部分大家应该非常熟悉,因为在这里可以设置密码和账户的锁定策略。例如,在这部分组策略中,我们可以设置密码最小长度或者密码需要包含复杂字符。如果在链接到域(如默认域策略)的组策略对象(GPO冲定义这些策略,域中的所有域控制器(DC)都会处理密码策略,并且组策略对象会控制域用户账户的密码策略。当在链接到域的组策略对象中定义密码策略时,域中的所有工作站和成员服务器也会进行处理, 并为这些系统中定义的本地账户设置账户策略。(图1) 图1安全设置账户策略 大家知道,通过组策略只能定义一个域密码策略,不过,WindowsServer 2008支持一套新的密码策略对象,这些在活动目录(AD)中定义的密码策略对象为单一域提供了更加细化的密码策略控制。 (2) .本地策略 “本地策略”下有三个安全策略项,通过配置可以实现Windows系统的各种安全需求。例如,其中的“审计策略”用于配置服务器的Windows安全事件日志收集哪些事件;“用户权限分配”用于配置哪些用户能通过“远程桌面”访问指定的服务器或工作站;使用“安全选项”配置以确定是否激活指定系统上的“管理员”账户以及重命名“管理员”账户。