某世界强公司的服务器操作系统安全配置标准
网络安全管理员-中级工练习题(含答案)
网络安全管理员-中级工练习题(含答案)一、单选题(共49题,每题1分,共49分)1.为了防止第三方偷看或篡改用户与Web服务器交互的信息,可以采用()。
A、将服务器的IP地址放入可信任站点区B、在客户端加载数字证书C、将服务器的IP地址放入受限站点区D、SSL技术正确答案:D2.灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求是指()。
A、恢复时间目标(RTO)B、恢复点目标(RPO)C、平均无故障时间(MTBF)D、故障时间(BF)正确答案:A3.基于密码技术的()是防止数据传输泄密的主要防护手段。
A、保护控制B、传输控制C、访问控制D、连接控制正确答案:B4.下列不是操作系统安全配置的是()。
A、系统所有用户的密码都必须符合一定的复杂度B、当前在用的操作系统没有已知的安全漏洞C、为了方便用户使用,应启动FTP服务D、禁止启动不用的服务,例如Telnet、SMTP等正确答案:C5.目前市面上的网络管理软件众多,我们在衡量一个网管软件功能是否全面时,哪些是我们所必须关注的()。
A、配置管理、性能管理、故障管理、成本管理、日志管理B、配置管理、性能管理、故障管理、安全管理、计费管理C、配置管理、性能管理、故障管理、成本管理、计费管理D、配置管理、性能管理、故障管理、用户管理、流量管理正确答案:B6.向有限的空间输入超长的字符串的攻击手段是()。
A、拒绝服务B、IP欺骗C、缓冲区溢出D、网络监听正确答案:C7.下面属于上网行为部署方式的是()。
A、总线模式B、旁路模式C、环型模式D、星型模式正确答案:B8.AD域组策略下达最大单位是()。
A、OUB、DomainC、SiteD、User正确答案:B9.安全策略是有关管理,保护和发布()的法律,规定和实施细则。
A、安全信息B、关键信息C、敏感信息D、重要信息正确答案:C10.隔离装置独有的SQL防护规则库在默认配置情况下,可以阻断所有对数据库的管理操作,严格禁止在外网进行数据库的管理维护操作。
《Windows操作系统安全配置》课程标准
《Windows操作系统安全配置》课程标准一、课程定位本课程属于信息安全与管理专业核心能力学习领域课程,是专业核心课程。
主要目标是让学生掌握Windows操作系统的安装及安全配置的知识,包括了解Windows的发展历程及现状,安全策略的制定与实施方法,掌握Windows操作系统的安装及安全配置方法,掌握账户安全策略、数据安全策略、服务券策略等的设置。
本课程培养学生具有网络安全管理相关岗位或个人计算机实施安全配置管理的能力、提高计算机抵抗安全风险的能力等。
二、课程目标(一)素质目标(1)具有科学的世界观、人生观和价值观,践行社会主义荣辱观;具有爱国主义精神;具有责任心和社会责任感;具有法律意识。
(2)具有合理的知识结构和一定的知识储备;具有不断更新知识和自我完善的能力;具有持续学习和终身学习的能力;具有一定的创新意识、创新精神及创新能力;具有一定的人文和艺术修养;具有良好的人际沟通能力。
(3)掌握必需的信息安全与管理专业知识,能够从事企业信息安全工程设计与实施、具备各种常规安全设备的安装、管理、维护和使用的能力;能够协助管理层,完成企业常规信息安全管理工作;具有一定的数理与国际思维能力;具有一定的工程意识和效益意识。
(4)具有良好的职业道德和职业操守;具有较强的祖师观念和集体意识;具有较强的执行能力以及较高的工作效率和安全意识。
(5)具有健康的体魄和良好的身体素质;拥有积极的人生态度;具有良好的心理调试能力。
(二)能力目标(1)具备安全配置需求分析能力;(2)具备操作系统安装能力;(3)具备操作系统用户管理能力;(4)具备安全配置策略设计能力;(5)具备资源配置与管理能力;(6)具备各种服务的部署能力;(7)具备安全配置实施能力;(8)具备安全配置测试与运维能力。
(三)知识目标(1)理解Windows系统安全要素;(2)掌握Windows操作系统的安装与配置(3)掌握Windows操作系统的管理能力;(4)掌握Windows系统账户安全设置;(5)掌握Windows系统资源的安全防护方法;(6)熟知安全配置的意义和特征;(7)熟知安全配置的主要技术;(8)掌握windows系统受到的威胁和解决策略;(9)熟悉操作系统安全加固知识;三、课程内容组织表1 课程内容组织表四、教学实施建议教学实施建议采用线上线下混合式教学模式。
服务器基本安全配置
服务器基本安全配置服务器基本安全配置一、服务器硬件安全⑴安装服务器在物理安全可控的机房内⑵检查服务器外壳是否完好,无损坏或被篡改的痕迹⑶设置服务器所在机房的合理门禁控制措施,如磁卡、指纹等⑷监控服务器机房出入口,并保证仅授权人员可以进入⑸安装UPS(不间断电源)以防止突发停电导致服务器数据丢失⑹安装温度和湿度监视器,保证服务器在正常的工作环境下运行二、操作系统安全配置⑴及时安装操作系统的安全补丁程序⑵禁用不必要的服务和端口⑶配置防火墙,限制对服务器的访问⑷设置强密码策略,包括密码长度和复杂性要求⑸定期更新密码并禁止将默认密码用于服务器⑹限制服务器上的用户权限,仅赋予必需的权限⑺禁止远程登录root账户⑻启用安全日志记录,并定期审查日志内容⑼安装杀毒软件,并及时更新库⑴0 定期备份服务器数据,并存储在安全的位置三、网络安全配置⑴配置安全的网络拓扑结构,使用防火墙和路由器进行划分⑵网络规划时,将服务器与公共网络隔离⑶禁用所有不必要的网络服务和协议⑷对外网访问服务器的服务进行限制,只开放必需的端口⑸使用VPN(虚拟专用网络)提供远程访问,确保传输的安全性⑹定期监测网络流量和连接状态,检测潜在的入侵行为四、应用安全配置⑴安装最新的应用程序补丁和更新⑵禁用或删除不必要的默认应用⑶配置应用程序的安全设置,包括访问控制和认证方式⑷定期审查应用程序日志,发现异常行为并及时处理⑸对用户的文件进行安全扫描⑹强制用户使用强密码,并定期更换密码⑺定期备份应用程序数据,并存储在安全的位置五、监控和响应⑴安装入侵检测系统(IDS)和入侵防御系统(IPS)⑵设置警报机制,并配置自动化响应系统⑶建立事件响应计划,包括处理各类安全事件的流程和责任人⑷对安全事件进行记录和归档,作为后续调查和分析的依据⑸定期进行安全演练与渗透测试,发现潜在的漏洞和问题本文档涉及附件:无本文所涉及的法律名词及注释:⒈物理安全:指对服务器硬件设备的保护,防止非法入侵和破坏。
信息系统管理工程师招聘笔试题及解答(某世界500强集团)2024年
2024年招聘信息系统管理工程师笔试题及解答(某世界500强集团)(答案在后面)一、单项选择题(本大题有10小题,每小题2分,共20分)1、信息系统管理工程师在进行网络设备配置时,以下哪个命令用于查看设备上所有接口的状态信息?A. show ip interface briefB. show ip routeC. show cdp neighborD. show mac address-table2、在信息系统设计中,以下哪个概念描述了数据在系统中流动和处理的过程?A. 数据库设计B. 数据流图(DFD)C. 系统架构D. 用户界面设计3、信息系统管理工程师在处理数据备份与恢复策略时,以下哪种备份方式被认为是最安全、最可靠的方法?A. 全备份B. 增量备份C. 差分备份D. 混合备份4、在信息系统设计中,以下哪个术语用于描述系统在运行过程中对外部事件或请求作出响应的能力?A. 可靠性B. 响应时间C. 灵活性D. 可扩展性5、信息系统管理工程师在进行系统安全评估时,以下哪项不是安全威胁的常见类型?A、病毒B、网络攻击C、物理安全D、软件缺陷6、在信息系统管理中,以下哪项措施不是用于保障数据完整性的?A、数据加密B、数据备份C、权限控制D、数据验证7、在数据库设计中,为了提高数据的访问效率,通常会采用哪种技术?A. 数据加密B. 触发器C. 索引D. 存储过程8、下列哪个协议不是用来保证互联网上信息传输的安全性的?A. SSL (Secure Sockets Layer)B. TLS (Transport Layer Security)C. SSH (Secure Shell)D. HTTP (Hypertext Transfer Protocol)9、题干:以下关于信息系统管理工程师职责的描述,哪项是不正确的?A、负责信息系统架构的设计与优化B、负责信息系统安全的风险评估与管理C、负责日常信息系统运维及故障处理D、负责市场调研,分析行业发展趋势 10、题干:在信息系统管理中,以下哪项措施不属于信息安全管理的范畴?A、数据加密B、访问控制C、系统备份D、员工培训二、多项选择题(本大题有10小题,每小题4分,共40分)1、关于数据库索引,下列哪些说法是正确的?(多选)A. 索引可以加快数据检索的速度。
服务器基本安全配置
服务器基本安全配置1.介绍本文档旨在提供服务器基本安全配置的详细说明,以确保服务器系统的安全性和防护措施的合规性。
以下是一系列有效的安全设置,以供参考。
请按照本指南中的步骤逐一进行配置,并根据实际情况进行修改。
2.基本系统安全配置2.1 硬件安全●确保服务器放置在安全的物理的位置,远离潜在的物理危险。
●使用最新的硬件设备,如防火墙、入侵检测系统以及物理访问控制设备。
●设置物理访问权限和安全层级。
2.2 操作系统安全●安装最新的操作系统补丁和更新,并定期更新。
●禁用不必要的服务和服务端口。
●配置操作系统访问控制,限制对关键系统文件和目录的访问权限。
●配置强密码策略,包括复杂度和定期更改密码等。
2.3 登录安全●禁止使用默认的管理员账号和密码。
●根据需要创建安全的用户账号,并配置合适的访问权限。
●启用登录尝试失败锁定以防止暴力。
●配置远程访问安全,如通过SSH使用密钥认证。
2.4 日志和监控●启用系统日志记录,并将其定期备份。
●设置合适的日志记录级别以及日志的存储位置。
●设置入侵检测系统和入侵防御系统,实时监控服务器活动。
●配置警报和通知机制,以便及时发现并响应安全事件。
3.网络安全配置3.1 防火墙配置●使用防火墙软件,限制对服务器的网络访问。
●配置过滤规则,只允许安全的网络通信。
●定期审查和更新防火墙规则,以适应不断变化的威胁。
3.2 网络服务安全●关闭不必要的网络服务和端口。
●启用网络服务的安全选项,如SSL或TLS加密。
●配置访问控制列表(ACL),限制对网络服务的访问。
3.3 网络通信安全●使用加密协议,如HTTPS或SFTP,保护敏感数据的传输。
●配置网络通信的身份验证和授权机制,限制非授权访问。
●定期检查网络通信安全性,确保安全协议的有效性。
4.附件本文档附带以下文件:●服务器基本安全配置表格:包含各项配置的详细指导和记录。
5.法律名词及注释以下是在本文档中涉及的法律名词及其注释:●GDPR:《通用数据保护条例》,是欧盟为增强个人数据保护而制定的一项法规。
windows操作系统的安全配置方案
Windows操作系统的安全配置方案1. 强化用户账户安全为了提高Windows操作系统的安全性,我们可以从以下几个方面强化用户账户的安全配置:1.1 使用强密码和定期更改密码为所有用户设置强密码策略,要求密码长度至少为8个字符,并包含字母、数字和特殊字符。
此外,建议定期要求用户更改密码,以防止密码泄漏。
1.2 限制用户权限按照用户的实际需求,设置最低权限原则。
避免给予用户过高的权限,以防止恶意软件或攻击者利用高权限账户进行系统入侵或文件损坏。
1.3 启用多因素认证在重要的系统和应用程序中启用多因素认证,这样即使密码被盗也难以越过多重认证的保护。
多因素认证可以使用硬件令牌、短信验证码、指纹等多种方式。
2. 安全更新和补丁管理应及时更新最新的Windows安全更新和补丁,以修复已知的漏洞和弥补系统中的安全缺陷。
2.1 自动更新为了不错过任何重要的安全更新,应设置自动更新功能,确保系统自动下载并安装最新的安全更新。
2.2 定期手动更新除了自动更新外,还应定期进行手动更新,特别是在关键系统或网络环境中,定期检查并更新Windows操作系统的安全补丁。
3. 防火墙和网络安全策略使用Windows系统自带的防火墙或第三方防火墙软件,配置适当的网络安全策略。
3.1 启用Windows防火墙Windows操作系统自带防火墙,可以通过控制面板或组策略进行配置。
启用防火墙可以限制外部访问和入侵。
3.2 过滤不必要的端口和服务配置防火墙策略,过滤掉不必要的端口和服务,只开放必要的端口和服务,以减少攻击者的攻击面。
3.3 使用虚拟专用网络(VPN)对于需要远程访问公司网络的用户,要贯彻远程工作安全准则,并使用VPN加密隧道来确保数据传输的安全性。
4. 安全策略和日志管理配置合适的安全策略和日志管理,以便及时发现和解决潜在的安全问题。
4.1 安全策略配置通过使用组策略编辑器或其他相关工具,配置合适的安全策略,包括账户策略、密码策略、访问控制策略等。
操作系统的安全配置
操作系统的安全配置在当今数字化的时代,操作系统是计算机系统的核心,其安全性至关重要。
操作系统的安全配置是保护系统免受各种威胁的关键措施。
无论是个人电脑还是企业服务器,正确的安全配置都能有效降低风险,保障数据的保密性、完整性和可用性。
首先,我们来谈谈用户账户和密码管理。
这是操作系统安全的第一道防线。
为每个用户创建独立的账户,并根据其职责和权限分配适当的权限级别。
避免使用默认的管理员账户进行日常操作,而是创建一个具有普通用户权限的账户用于日常工作。
同时,设置强密码是必不可少的。
强密码应包含字母、数字、符号的组合,并且长度足够长。
定期更改密码也是一个好习惯,比如每三个月更换一次。
操作系统的更新和补丁管理也不能忽视。
厂商会不断发现并修复操作系统中的漏洞,通过发布更新和补丁来提高系统的安全性。
因此,我们要确保操作系统处于最新状态,及时安装这些更新和补丁。
可以设置自动更新,以确保不会错过重要的安全修复。
防火墙的配置对于操作系统的安全同样重要。
防火墙可以阻止未经授权的网络访问,保护系统免受外部攻击。
我们需要根据实际需求配置防火墙规则,允许必要的服务和端口通过,同时阻止可疑的网络流量。
例如,如果您的计算机不需要远程桌面访问,那么就应该关闭相应的端口。
接下来是防病毒和恶意软件的防护。
安装可靠的防病毒软件,并保持其病毒库的更新。
定期进行全盘扫描,及时发现和清除潜在的威胁。
此外,还要警惕来路不明的软件和文件,避免随意下载和安装,以免引入恶意软件。
对于敏感数据的保护,我们可以使用加密技术。
无论是存储在硬盘上的数据还是在网络中传输的数据,加密都能增加一层额外的安全保障。
例如,对重要的文件和文件夹进行加密,只有拥有正确的密钥才能访问和解密。
在服务和端口管理方面,要了解操作系统中运行的服务和开放的端口。
关闭不必要的服务和端口,减少潜在的攻击面。
只保留那些确实需要的服务和端口,降低被攻击的风险。
另外,日志审计也是操作系统安全配置的重要组成部分。
服务器基本安全配置
服务器基本安全配置1.介绍在互联网时代,服务器的安全性至关重要。
恶意攻击者可能会利用漏洞入侵您的服务器,并窃取敏感信息或者破坏系统稳定性。
为了保护您的数据和服务,进行适当的基本安全配置是必不可少的。
2.硬件与网络设置2.1使用防火墙:确保在服务器上启用并正确配置防火墙以过滤非法访问。
2.2更新硬件设备固件:及时更新路由器、交换机等硬件设备固件来修复已知漏洞。
2.3安装最新补丁程序:应该时常检查操作系统供应商发布是否有任何新版本或者补丁程序,并立即将其部署到服务器上。
3.操作系统级别设置3.1创建强密码策略:设置一个包含大小写字母、数字和特殊字符组合长度大于8位数以上作为用户登录密码规则;3.1.12关闭不需要使用端口:根据实际需求关闭未被使用到但开放状态下监听外界请求连接(如FTP,Telnet);4.软体层面加密传输通道:4.1配置SSL证书:对所有通过HTTP升级HTTPS方式访间的网站启用SSL证书;5.2禁止不安全协议:例如SSLV2、SSLv3和TLSLO等已知存在漏洞或者被攻破过的加密传输通道,应该禁用掉。
5.数据库设置5.1定期备份数据库:定期将服务器上重要数据进行备份,并存储在另一个位置以防灾难发生。
5.1.12使用强密码保护数据库:设置复杂且长于8位数以上作为用户登录密码规则;6.日志和监测配置6.1启动日志记录功能:确保所有关键事件都有相应的日志记录。
这些包括成功/失败的登录尝试、文件系统更改等。
6.2实时监测工具:使用实时监视工具来检查潜在入侵行为并即将采取适当措施。
7.附件:-防火墙配置示例文档(见附件A)-操作系统补丁程序更新指南(见附件B)法律名词及注释:-防火墙(Firewall):一种网络安全设备,可根据预先定义好策略对进出网络流量进行管理与审计。
-补丁程序(Patch):软件供货商发布修正错误或者增强性能的更新版本。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
某世界强公司的服务器操作系统安全配置标准————————————————————————————————作者:————————————————————————————————日期:某世界500强公司的服务器操作系统安全配置标准-Windows 中国××公司服务器操作系统安全配置标准-WindowsV 1.12006年03 月30 日文档控制拟制:审核:标准化:读者:版本控制版本提交日期相关组织和人员版本描述V1.0 2005-12-08V1.1 2006-03-301 概述 11.1 适用范围 11.2 实施 11.3 例外条款 11.4 检查和维护 12 适用版本 23 用户账号控制 23.1 密码策略 23.2 复杂性要求 23.3 账户锁定策略 33.4 内置默认账户安全 33.5 安全选项策略 44 注册表安全配置 64.1 注册表访问授权 64.2 禁止匿名访问注册表74.3 针对网络攻击的安全考虑事项74.4 禁用8.3 格式文件名的自动生成84.5 禁用LMHASH 创建84.6 配置NTLMSSP 安全84.7 禁用自动运行功能84.8 附加的注册表安全配置95 服务管理95.1 成员服务器95.2 域控制器106 文件/目录控制116.1 目录保护116.2 文件保护127 服务器操作系统补丁管理167.1 确定修补程序当前版本状态167.2 部署修补程序168 系统审计日志169 其它配置安全179.1 确保所有的磁盘卷使用NTFS文件系统179.2 系统启动设置179.3 屏幕保护设置179.4 远程管理访问要求1810 防病毒管理1811 附则1811.1 文档信息1811.2 其他信息181 概述本文档规定了中国××公司企业范围内安装有Windows操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行Windows操作系统的安全配置。
1.1 适用范围本规范的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。
本规范适用的范围包括:支持中国××公司运行的Windows 2000 Server, Windows 2003服务器系统。
1.2 实施本规范的解释权和修改权属于中国××公司,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准一经颁布,即为生效。
1.3 例外条款欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国××公司信息系统管理部门进行审批备案。
1.4 检查和维护根据中国××公司经营活动的需要,每年检查和评估本标准,并做出适当更新。
如果在突发事件处理过程中,发现需对本标准进行变更,也需要进行本标准的维护。
任何变更草案将由中国××公司信息系统管理部门进行审核批准。
各相关部门经理有责任与其下属的组织和员工沟通变更的内容。
2 适用版本Windows 2000 Server;Windows 2003.3 用户账号控制基本策略:用户被赋予唯一的用户名、用户ID(UID)。
3.1 密码策略默认情况下,将对域中的所有服务器强制执行一个标准密码策略。
下表列出了一个标准密码策略的设置以及针对您的环境建议的最低设置。
策略默认设置推荐最低设置强制执行密码历史记录记住 1 个密码记住 4 个密码密码最长期限42 天42 天密码最短期限0 天0 天最短密码长度0 个字符8 个字符密码必须符合复杂性要求禁用启用为域中所有用户使用可还原的加密来储存密码禁用禁用3.2 复杂性要求当组策略的“密码必须符合复杂性要求”设置启用后,它要求密码必须为 6 个字符长(但我们建议您将此值设置为8 个字符)。
它还要求密码中必须包含下面类别中至少三个类别的字符:英语大写字母A, B, C, … Zν英语小写字母a,νb, c, … z西方阿拉伯数字0, 1, 2, … 9ν非字母数字字符,如标点符号ν3.3 账户锁定策略有效的账户锁定策略有助于防止攻击者猜出您账户的密码。
下表列出了一个默认账户锁定策略的设置以及针对您的环境推荐的最低设置。
策略默认设置推荐最低设置账户锁定时间未定义30 分钟账户锁定阈值0 5 次无效登录复位账户锁定计数器未定义30 分钟3.4 内置默认账户安全Windows有几个内置的用户账户,它们不可删除,但可以通过禁用,重命名或设置相关的权限的方式来保证一定的系统安全性。
帐户名建议安全配置策略适用系统Administrator 1. 此帐户必须在安装后立即重命名并修改相关密码;2. 对于系统管理员建议建立一个相关拥有Administrator组权限的新用户,平时使用此帐户登陆,只有在有特殊需要时才使用重命名后的Administrator进行系统登陆。
Windows 2000 ServerWindows Server 2003Guest 帐户必须禁用;如有特殊需要保留也一定要重命名。
Windows 2000 Server Windows Server 2003TSInternetUser 此帐户是为了“Terminal Services’ Internet Connector License”使用而存在的,故帐户必须禁用,不会对于正常的Terminal Services的功能有影响。
Windows 2000 ServerWindows Server 2003SUPPORT_388945a0 此帐户是为了IT帮助和支持服务,此帐户必须禁用。
Windows Server 2003IUSR_{system} 必须只能是Guest组的成员。
此帐户为IIS(Internet Information Server)服务建立的。
IWAM_{system} 必须只能是Guest组的成员。
此帐户为IIS(Internet Information Server)服务建立的。
3.5 安全选项策略域策略中的安全选项应根据以下设置按照具体需要修改:选项设置对匿名连接的附加限制没有显式匿名权限就无法访问允许服务器操作员计划任务(仅用于域控制器) 禁用允许在未登录前系统关机禁用允许弹出可移动NTFS 媒体管理员在断开会话之前所需的空闲时间15 分钟对全局系统对象的访问进行审计禁用对备份和还原权限的使用进行审计禁用登录时间过期就自动注销用户未定义(见附注)当登录时间过期就自动注销用户(本地)启用在系统关机时清除虚拟内存页面交换文件启用对客户端通讯使用数字签名(始终)启用对客户端通讯使用数字签名(如果可能) 启用对服务器通讯使用数字签名(始终)启用对服务器通讯进行数字签名(如果可能) 启用禁用按CTRL+ALT+DEL 进行登录的设置禁用登录屏幕上不要显示上次登录的用户名启用LAN Manager 身份验证级别仅发送NTLMv2 响应,拒绝LM & NTLM用户尝试登录时消息文字用户尝试登录时消息标题缓冲保存的以前登录次数(在域控制器不可用的情况下)0 次登录防止计算机账户密码的系统维护禁用防止用户安装打印机驱动程序启用在密码到期前提示用户更改密码14 天故障恢复控制台:允许自动管理登录禁用故障恢复控制台:允许对驱动器和文件夹进行软盘复制和访问禁用重命名系统管理员账户未定义重命名来宾账户未定义只有本地登录的用户才能访问CD-ROM 启用只有本地登录的用户才能访问软盘启用安全通道:对安全通道数据进行数字加密或签名(始终)启用安全通道:对安全通道数据进行数字加密(如果可能)启用安全通道:对安全通道数据进行数字签名(如果可能)启用安全通道: 需要强(Windows 2000 Server 或以上版本) 会话密钥启用安全系统磁盘分区(只适于RISC 操作平台)未定义发送未加密的密码以连接到第三方SMB 服务器。
禁用如果无法记录安全审计则立即关闭系统启用(见第二条附注)智能卡移除操作锁定工作站增强全局系统对象的默认权限(例如Symbolic Links)启用未签名驱动程序的安装操作禁止安装未签名非驱动程序的安装操作允许安装但发出警告在上面的推荐配置中,下面几项由于直接影响了域中各服务器间通讯的方式,可能会对服务器性能有影响。
对匿名连接的附加限制默认情况下,Windows 2000 Server 允许匿名用户执行某些活动,如枚举域账户和网络共享区的名称。
这使得攻击者无需用一个用户账户进行身份验证就可以查看远程服务器上的这些账户和共享名。
为更好地保护匿名访问,可以配置“没有显式匿名权限就无法访问”。
这样做的效果是将Everyone(所有人)组从匿名用户令牌中删除。
对服务器的任何匿名访问都将被禁止,而且对任何资源都将要求显式访问。
LAN Managerν身份验证级别Microsoft Windows 9x 和Windows NT® 操作系统不能使用Kerberos 进行身份验证,所以,在默认情况下,在Windows 2000 域中它们使用NTLM 协议进行网络身份验证。
您可以通过使用NTLMv2 对Windows 9x 和Windows NT 强制执行一个更安全的身份验证协议。
对于登录过程,NTLMv2 引入了一个安全的通道来保护身份验证过程。
ν在关机时清理虚拟内存页面交换文件实际内存中保存的重要信息可以周期性地转储到页面交换文件中。
这有助于Windows 2000 Server 处理多任务功能。
如果启用此选项,Windows 2000 Server 将在关机时清理页面交换文件,将存储在那里的所有信息清除掉。
根据页面交换文件的大小不同,系统可能需要几分钟的时间才能完全关闭。
ν对客户端/服务器通讯使用数字签名在高度安全的网络中实现数字签名有助于防止客户机和服务器被模仿(即所谓“会话劫持”或“中间人”攻击)。
服务器消息块(SMB) 签名既可验证用户身份,又可验证托管数据的服务器的身份。
如有任何一方不能通过身份验证,数据传输就不能进行。
在实现了SMB 后,为对服务器间的每一个数据包进行签名和验证,性能最多会降低15%。
针对Server 2003的设置:通过运行Secpol.msc > Security Settings > Local Policies进行设置安全选项设置在用户密码过期前通知用户7 天4 注册表安全配置4.1 注册表访问授权对于Windows注册表的访问授权必须按下列的表格进行设置,“访问授权”栏里规定了对于普通用户(例如Everyone, Users, Authenticated Users或other groups containing general users)所赋予的最大权利。