系统安全配置技术规范-Windows
实验一-Windows操作系统进行安全配置
实验一-Windows操作系统进行安全配置
实验一
Windows操作系统进行安全配置
一,实验目的
理解操作系统安全对电子商务系统安全的重要性
熟悉操作系统的安全机制,以及Windows的安全策略
掌握对Windows操作系统进行安全配置的基本方法和步骤
二,实验环境
实验设备:PC机及其局域网,具备Internet连接
软件环境:Windows XP
三,实验内容
内容1:账户和密码的安全设置
1.删除不再使用的账户
(1)检查和删除不再使用的账户
“开始” →“控制面板"→“管理工具” →“计算机管理” →“本地用户和组” →“用户” →“删除其中不再使用的账户”
(2)禁用Guest账户
在1.基础上→选“Guest 账户” →“属性” →“Guest属性” →“账户已停用”
2.启用账户策略
(1)密码策略
“控制面板” →“管理工具” →“本地安全策略” →“本地安全设置” →“账户策略” →“密码策略”→设置如下:
设:“密码必须符合复杂性要示”启用
设:“密码长度最小值” 8位
设:“密码最长存留期” 30天
设:“密码最短存留期” 5天
设:“强制密码历史” 3个记住的密码
(2)账户锁定策略
“控制面板” →“管理工具” →“本地安全策略” →“本地安全设置” →“账户策略” →“账户锁定策略”→设置如下:“账记锁定阈值”可抵御“对用户密码的暴力猜测”:设为“3”
“复位账户锁定计数器”被锁定的账户多长时间可被复位“0”:“3分”
“账户锁定时间” 被锁定后的账户,多长时间才能重新使用:“10分”。
Windows操作系统的安全配置
1
物理安全
账号、密码安全
本地安全策略
查看键盘、主机、显示器、计算机桌等与计算机环境相关的设备 是否有多余的东西
信息安全
3
账号、密码安全
停掉Guest 帐号 在计算机管理的用户里面把guest帐号停用掉, 任何时候都不允许guest帐号登陆系统。为了保险 起见,最好给guest 加一个复杂的密码。 如果要启动Guest 帐号,一定要查看该账号的 权限,只能以受限权限运行。
信息安全
6
账号、密码安全
不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话 框中会显示上次登陆的帐户,本地的登陆对话框也 是一样。这使得别人可以很容易的得到系统的一些 用户名,进而作密码猜测。修改注册表可以不让对 话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUser Name把 REG_SZ 的键值改成 1 .
创建一个陷阱帐号 什么是陷阱帐号? 创建一个名为” Administrator”的本地 帐户,把它的权限设置成最低,什么事也干不了的那种,并且 加上一个超过10位的超级复杂密码。这样可以让那些 Scripts 忙上一段时间了,并且可以借此发现它们的入侵企图。或者在 它的login scripts上面做点手脚。
Windows系统中的系统安全设置指南
Windows系统中的系统安全设置指南在今天的数字时代,计算机的安全性变得越来越重要。
对于使用Windows操作系统的用户来说,掌握Windows系统中的系统安全设置是至关重要的。
本文将为大家提供一份系统安全设置指南,帮助用户提高Windows系统的安全性。
一、更新操作系统保持Windows操作系统的最新版本非常重要,因为每个操作系统版本的发布都会修复已知的漏洞和安全缺陷。
要确保自己的系统是最新的,请执行以下步骤:1. 打开Windows设置。
可以在开始菜单中找到“设置”图标,点击打开。
2. 在“设置”窗口中,选择“更新和安全”选项。
3. 在“更新和安全”窗口中,点击“检查更新”按钮。
4. Windows系统会自动检查是否有可用的更新。
如果有,点击“安装”以安装更新。
二、使用强密码使用强密码是防止他人未经授权访问您的计算机的重要步骤。
强密码应采用以下要求:1. 包含至少8个字符。
2. 结合大写字母、小写字母、数字和特殊字符。
3. 避免使用常见的密码(如“123456”或“admin”)。
4. 定期更改密码。
为了设置强密码,请按照以下步骤操作:1. 打开Windows设置,选择“账户”选项。
2. 在“账户”窗口中,点击“登录选项”。
3. 在“登录选项”中,点击“密码”旁边的“更改”按钮。
4. 输入当前密码,并按照要求输入并确认新密码。
三、启用防火墙防火墙是Windows系统的重要安全特性,可以帮助阻止未经授权的访问和恶意软件。
确保您的防火墙是启用状态,请按照以下步骤操作:1. 打开Windows设置,选择“更新和安全”选项。
2. 在“更新和安全”窗口中,选择“Windows安全”。
3. 在“Windows安全”窗口中,点击“防火墙和网络保护”。
4. 确保防火墙选项是开启状态。
四、安装可靠的防病毒软件安装可靠的防病毒软件可以帮助您检测和清除计算机中的病毒和恶意软件。
以下是选择和安装防病毒软件的步骤:1. 在互联网上搜索可靠的防病毒软件,并选择一个您信任的软件。
29.操作系统安全技术规范
xxxx网络与信息安全操作系统安全规范保密申明本文档版权由中国人民大学所有。
未经中国人民大学书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播目录1目的 (3)2范围 (3)3原则 (3)4主要内容 (4)5参考文档........................................ 错误!未定义书签。
6UNIX系统安全规范 (4)6.1用户账号控制 (5)6.2特殊用户 (5)6.2.1root账户 (5)6.2.2系统账户 (6)6.3资源控制 (7)6.3.1基线控制 (7)6.3.2补丁管理 (7)6.3.3文件/目录控制 (7)6.4系统记账和日志 (8)6.5网络服务 (8)6.5.1inetd启动的服务 (8)6.5.2网络服务的访问控制 (9)6.5.3其它服务 (9)6.5.4替代不安全的服务 (9)6.6A T/CRON的安全 (9)7WINDOWS系统安全规范 (10)7.1W INDOWS系统安全基本原则 (10)7.2W INDOWS安全流程 (10)7.3系统修补 (12)7.3.1Windows系统修补流程 (12)7.4基于的角色保护 (13)7.4.1密码规范 (13)7.4.2密码复杂性要求 (13)7.5服务器基准规范 (14)7.5.1审计规范 (14)7.5.2账户锁定规范 (14)7.5.3安全选项规范 (14)7.6针对网络攻击的安全事项 (15)8附则 (16)8.1文档信息 (16)8.2版本控制 (16)8.3其他信息 (16)1目的各类主机操作系统由于设计缺陷,不可避免地存在着各种安全漏洞,给移动各系统带来安全隐患。
如果没有对操作系统进行安全配置,操作系统的安全性远远不能达到它的安全设计级别。
绝大部分的入侵事件都是利用操作系统的安全漏洞和不安全配置的隐患得手的。
为提高操作系统的安全性,确保系统安全高效运行,必须对操作系统进行安全配置。
WINDOWS操作系统安全规范手册
1、参考配置操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,设置为成功和失败都审核。
检测方法
1、判定条件
审核登录事件,设置为成功和失败都审核。
2、检测操作
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件,双击,查看是否设置为成功和失败都审核。
3.修改脚本错误出现的错误信息。
4.多站点设置最低权限独立IIS用户运行。
5.取消网站目录不必要写入权限目录。
6.禁止不需要运行脚本权限目录。
应用软件配置
1.禁止安装Radmin,任何用户均可获得HASH直接登陆系统。
2.禁止安装Serv-U,任何版本均存在本地提权安全漏洞,必要时修改Serv-U运行权限,修改Serv-U默认密码
检测方法
1、判定条件
“密码必须符合复杂性要求”选择“已启动”
2、检测操作
进入“控制面板->管理工具->本地安全策略”,在“帐户策略->密码策略”:
查看是否“密码必须符合复杂性要求”选择“已启动”
要求内容
在下一次更改密码时不存储LAN管理器哈希值
操作指南
1、参考配置操作
进入“控制面板->管理工具->本地安全策略”,在“本地策略->安全选项”:
11.在本地安全设置中关闭系统仅指派给Administrators组。
12.在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators。
13.在本地安全设置中配置指定授权用户允许本地登陆此计算机。
操作系统安全设置与更新规范
操作系统安全设置与更新规范在现代数字化时代,操作系统安全设置与更新成为了保护计算机和网络安全的重要手段。
本文将详细介绍操作系统安全设置与更新规范,帮助用户保障计算机和网络的安全。
一、操作系统安全设置规范良好的操作系统安全设置可以最大程度地减少潜在的安全风险,保护系统免受恶意攻击和未经授权的访问。
以下是一些操作系统安全设置规范的建议:1. 使用强密码:选择一个包含字母、数字和特殊字符的复杂密码,并定期更改密码,避免使用易被猜测或泄露的密码。
2. 开启防火墙:操作系统自带的防火墙可以过滤和监控网络流量,防止未经授权的访问。
确保防火墙开启并正确配置。
3. 定期更新操作系统:及时应用操作系统提供的安全更新和补丁,修复已知的漏洞,以保持操作系统的安全性。
4. 限制权限和访问:设置用户账户的权限,仅为必要的用户提供合适的权限,并限制访问敏感文件和系统功能。
5. 禁用不必要的服务和功能:关闭不需要的网络服务和功能,减少攻击者利用的漏洞机会。
6. 安装可信的杀毒软件:选择可信的杀毒软件进行安装,并保持其及时更新,以检测和清除潜在的恶意软件。
二、操作系统更新规范操作系统的持续更新是保持系统安全的关键步骤之一,及时安装最新的操作系统更新和补丁可以修复已知的漏洞和弥补系统的安全缺陷。
以下是一些操作系统更新规范的建议:1. 开启自动更新:确保操作系统的自动更新功能处于打开状态,以便及时获取并安装最新的安全更新和补丁。
2. 定期检查更新:即使开启了自动更新,也应定期检查系统是否已安装最新的更新。
如发现遗漏的更新,及时手动进行安装。
3. 关注官方公告和漏洞通告:关注操作系统厂商发布的官方公告和漏洞通告,及时了解已知漏洞和提供的修复方案,进行相应的更新。
4. 检查第三方软件更新:不仅操作系统需要更新,还应关注已安装的第三方软件的更新,及时安装最新版本,以避免因软件漏洞而导致的安全风险。
5. 谨慎下载和安装更新:只从官方和可信的来源下载和安装更新,避免使用非官方渠道或未经验证的更新文件,以防陷入恶意软件的陷阱。
Windows主机安全配置手册
Windows主机安全配置1用户、用户组及其权限管理描述:创建用户组和用户,并对其分配合适的权限是WINDOWS安全机制的核心内容之一。
1.1对系统管理员账号进行限制编号:3001 名称:对系统管理员账号进行限制重要等级:高基本信息:系统管理员对系统具有最高的权限,Windows系统管理员的默认账号名为Administrator,很容易成为攻击者猜测和攻击的重要目标,因此需要对系统管理员账号作出必要的设置。
检测内容:✓查看是否有名为administrator的用户帐号;✓查看administrator用户是否属于administrators组建议操作:✓将系统管理员账号重命名为一个普通的、不易引起注意的账号名⏹打开控制面板→管理工具→本地安全策略;⏹选择本地策略→安全选项;⏹改写:重命名管理员帐户;✓建立一个以administrator命名的账号,将所属用户组清除,即所属组为空,不赋予该帐号权限;✓管理员账号的口令应该遵循比“密码策略”更严格的策略操作结果:✓对系统管理员账号进行限制,一般不会对系统造成任何不良的影响。
✓有少数应用软件需要administrator名的系统用户,请视应用情况对该项进行修改。
1.2 密码策略编号:3002 名称:密码策略重要等级:高基本信息:通过启用“密码必须符合复杂性要求”,设置“密码长度最小值”、“密码最长存留期”、“密码最短存留期”、“密码强制历史”,停用“为域中用户使用可还原的加密来存储”可以明显的提高用户账户的安全性。
检测内容:✓查看本地安全策略|账户策略|密码策略来核实是否设置了合适的密码策略⏹打开控制面板→管理工具→本地安全策略;⏹选择帐户策略→密码策略;⏹检查各项设置;建议操作:✓启用“密码必须必须符合复杂性要求”;⏹“密码最小长度”大于7;⏹“密码最长存留期”小于90天;⏹“密码最短存留期”大于5天;⏹“密码强制历史”不小于5;⏹停用“为域中用户使用可还原的加密来存储”;操作结果:✓密码策略对已经存在的密码无效,需要对已存在的密码进行检查✓进行密码策略设置,不会对系统造成任何不良的影响。
安全配置windows服务器
一、实验目的了解Windows服务器的安全配置内容二、实验环境Windows Server 2003三、实验内容与要求安全配置Windows服务器实验的实验内容主要包括:账号管理:这包括用户分配帐户,设定不同的账户和账户组,如管理员用户、数据库用户、审计用户和来宾用户等。
密码设置:要求密码符合复杂性策略要求,例如最短密码长度为6个字符,启用本机组策略中密码必须符合复杂性要求的策略。
账户锁定策略:设置账户锁定的时间和锁定的阈值等。
本地策略:这包括对登录事件、对象访问、账户登录和驱动程序等进行管控。
审计策略:获取并存储系统和应用程序生成的错误警告和其他信息,这些信息被存储为一条条记录,每条记录包括事件发生时间、事件源、事件号和所属类别、机器名、用户名和事件本身的详细描述。
在配置过程中,需要注意的实验环境包括服务器系统管理员、应用管理员和网络安全管理员。
本配置实验适用的范围包括各省公司各部门维护管理的WINDOWS主机。
1.端口配置1.1 :依次点击“开始”->“设置”->“网络连接”,打开“网络连接”窗口。
如图1所示图11.2:选择“本地连接”,右键单击,在快捷菜单中选择“属性”打开其属性窗口。
如图2所示图21.3:选中“Internet协议(TCP/IP)”,点击“属性”按钮,打开其属性对话框。
如图3所示图31.4:点击“高级”按钮,打开“高级TCP/IP 设置”对话框并切换到“选项”便签下。
如图4所示图41.5:点击“属性”按钮,打开“TCP/IP筛选”对话框,勾选“启用TCP/IP筛选(所有适配器)”,“T CP端口”框中选择“只允许”单选按钮(假设该服务器为IIS服务器,仅允许80端口开放),点击“添加”按钮添加端口“80”。
如图5所示图51.6:在此“TCP/IP筛选”对话框中,也可对UDP端口及IP协议进行过滤设置,一般情况下,负载量不大的服务器仅允许对外提供服务的IP协议生效。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统安全配置技术规范-W i n d o w s-标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII系统安全配置技术规范—Windows212211文档说明(一)变更信息(二)文档审核人目录1. 适用范围 ..................................................................................................... 错误!未定义书签。
2. 帐号管理与授权 ......................................................................................... 错误!未定义书签。
【基本】删除或锁定可能无用的帐户 ................................................. 错误!未定义书签。
【基本】按照用户角色分配不同权限的帐号 ..................................... 错误!未定义书签。
【基本】口令策略设置不符合复杂度要求 ......................................... 错误!未定义书签。
【基本】设定不能重复使用口令......................................................... 错误!未定义书签。
不使用系统默认用户名 .................................................................... 错误!未定义书签。
口令生存期不得长于90天 .............................................................. 错误!未定义书签。
设定连续认证失败次数 .................................................................... 错误!未定义书签。
远端系统强制关机的权限设置 ........................................................ 错误!未定义书签。
关闭系统的权限设置 ........................................................................ 错误!未定义书签。
取得文件或其它对象的所有权设置 ................................................ 错误!未定义书签。
将从本地登录设置为指定授权用户 ................................................ 错误!未定义书签。
将从网络访问设置为指定授权用户 ................................................ 错误!未定义书签。
3. 日志配置要求 ............................................................................................. 错误!未定义书签。
【基本】审核策略设置中成功失败都要审核 ..................................... 错误!未定义书签。
【基本】设置日志查看器大小............................................................. 错误!未定义书签。
4. IP协议安全要求 ......................................................................................... 错误!未定义书签。
开启TCP/IP筛选................................................................................ 错误!未定义书签。
启用防火墙 ........................................................................................ 错误!未定义书签。
启用SYN攻击保护............................................................................ 错误!未定义书签。
5. 服务配置要求 ............................................................................................. 错误!未定义书签。
【基本】启用NTP服务 ........................................................................ 错误!未定义书签。
【基本】关闭不必要的服务................................................................. 错误!未定义书签。
【基本】关闭不必要的启动项............................................................. 错误!未定义书签。
【基本】关闭自动播放功能................................................................. 错误!未定义书签。
【基本】审核HOST文件的可疑条目 .................................................. 错误!未定义书签。
【基本】存在未知或无用的应用程序 ................................................. 错误!未定义书签。
【基本】关闭默认共享......................................................................... 错误!未定义书签。
【基本】非EVERYONE的授权共享 ......................................................... 错误!未定义书签。
【基本】SNMP C OMMUNITY S TRING设置................................................. 错误!未定义书签。
【基本】删除可匿名访问共享 ........................................................ 错误!未定义书签。
关闭远程注册表 ................................................................................ 错误!未定义书签。
对于远程登陆的帐号,设置不活动断开时间为1小时................. 错误!未定义书签。
IIS服务补丁更新 ............................................................................... 错误!未定义书签。
6. 其它配置要求 ............................................................................................. 错误!未定义书签。
【基本】安装防病毒软件..................................................................... 错误!未定义书签。
【基本】配置WSUS补丁更新服务器 ................................................. 错误!未定义书签。
【基本】S ERVICE P ACK补丁更新 ............................................................. 错误!未定义书签。
【基本】H OTFIX补丁更新...................................................................... 错误!未定义书签。
设置带密码的屏幕保护 .................................................................... 错误!未定义书签。
交互式登录不显示上次登录用户名 ................................................ 错误!未定义书签。
1.适用范围如无特殊说明,本规范所有配置项适用于Windows操作系统 2003、2008系列版本。
其中标示为“基本”字样的配置项,均为本公司对此类系统的基本安全配置要求;未标示“基本”字样的配置项,请各系统管理员视实际需求酌情遵从。
2.帐号管理与授权2.1【基本】删除或锁定可能无用的帐户2.2【基本】按照用户角色分配不同权限的帐号2.3【基本】口令策略设置不符合复杂度要求2.4【基本】设定不能重复使用口令2.5不使用系统默认用户名2.6口令生存期不得长于90天2.7设定连续认证失败次数2.8远端系统强制关机的权限设置2.9关闭系统的权限设置2.10取得文件或其它对象的所有权设置2.11将从本地登录设置为指定授权用户2.12将从网络访问设置为指定授权用户3.日志配置要求3.1【基本】审核策略设置中成功失败都要审核3.2【基本】设置日志查看器大小4.IP协议安全要求4.1开启TCP/IP筛选4.2启用防火墙4.3启用SYN攻击保护5.服务配置要求5.1【基本】启用NTP服务5.2【基本】关闭不必要的服务5.3【基本】关闭不必要的启动项5.4【基本】关闭自动播放功能5.5【基本】审核HOST文件的可疑条目5.6【基本】存在未知或无用的应用程序5.7【基本】关闭默认共享5.8【基本】非everyone的授权共享5.9【基本】SNMP Community String设置5.10【基本】删除可匿名访问共享5.11关闭远程注册表5.12对于远程登陆的帐号,设置不活动断开时间为1小时5.13I IS服务补丁更新6.其它配置要求6.1【基本】安装防病毒软件6.2【基本】配置WSUS补丁更新服务器6.3【基本】Service Pack补丁更新6.4【基本】Hotfix补丁更新6.5设置带密码的屏幕保护6.6交互式登录不显示上次登录用户名。