安全管理課件

安全管理

10.1安全性設(shè)計(jì)

1．確認(rèn)Administrator帳號(hào)具有一個(gè)強(qiáng)壯的口令

Windows2000允許我們?cè)O(shè)置口令的長(zhǎng)度可達(dá)127位。通常情況下長(zhǎng)口令要比短口令強(qiáng)??；包含多種字符類(lèi)型（如：字母、數(shù)字或其它符號(hào)）的口令要比單一字符類(lèi)型（如：全數(shù)字或全字母）的口令強(qiáng)健。所以要實(shí)現(xiàn)最大的保護(hù)工作，就要為Administrator帳號(hào)創(chuàng)建至少9個(gè)字符長(zhǎng)度的口令，并且保證口令的前7個(gè)字符中至少包含一個(gè)特殊字符。而且如果一個(gè)系統(tǒng)管理員管理著多個(gè)服務(wù)器，各服務(wù)器的Administrator帳號(hào)的口令不應(yīng)該相同。10.1安全性設(shè)計(jì)2．重新配置Administrator帳號(hào)

Administrator即超級(jí)用戶(hù)，它的權(quán)限至高無(wú)上，同時(shí)也是被攻擊最多的對(duì)象。我們要對(duì)安裝后默認(rèn)的Administrator帳號(hào)重新配置，從而達(dá)到最大的安全性。建議采取如下措施：（1）重命名Administrator，最好取不起眼的名字；（2）再次創(chuàng)建一個(gè)名為Administrator的帳號(hào)，但不分配任何權(quán)限，以達(dá)到到誘騙的目的。同時(shí)經(jīng)常查看事件日志文件，檢查是否有使用這個(gè)帳號(hào)的企圖，從而及早發(fā)現(xiàn)攻擊隱患。10.1安全性設(shè)計(jì)3．禁止或刪除不需要的用戶(hù)帳號(hào) 我們應(yīng)該經(jīng)常查看用戶(hù)帳號(hào)列表，將不怎么使用的帳號(hào)堅(jiān)決禁止，或干脆刪除掉。比如禁止Guest帳號(hào)。10.1安全性設(shè)計(jì)4．設(shè)置強(qiáng)健的口令策略 對(duì)于口令的設(shè)置管理，應(yīng)該具有一定的強(qiáng)制性，即用策略來(lái)強(qiáng)制用戶(hù)做到：（1）最小口令長(zhǎng)度至少為8；（2）最小口令使用期限：1~7天；（3）最大口令使用期限：不超過(guò)42天；（4）口令的歷史保持次數(shù)至少為6，即當(dāng)前設(shè)置的口令不能與最近6次中的任何一次相同。10.1安全性設(shè)計(jì)5．設(shè)置帳號(hào)鎖定策略 用戶(hù)帳號(hào)鎖定就是指當(dāng)一個(gè)帳號(hào)登錄失敗的次數(shù)超過(guò)設(shè)定的次數(shù)，該用戶(hù)帳號(hào)即被自動(dòng)禁止使用，直到管理員再次將它啟用或在指定時(shí)間后自動(dòng)解鎖。建議將登錄失敗次數(shù)設(shè)置為3~5次之間。10.1安全性設(shè)計(jì)6．確認(rèn)所有的磁盤(pán)分區(qū)格式都為NTFS NTFS格式具備高度的訪問(wèn)控制機(jī)制，它能夠有效地保護(hù)數(shù)據(jù)不被泄漏與篡改，這是其它操作系統(tǒng)所不具備的。我們可以利用convert命令將FAT/FAT32格式轉(zhuǎn)換成NTFS格式。但要真正實(shí)現(xiàn)NTFS文件系統(tǒng)的安全性，還需要管理員對(duì)驅(qū)動(dòng)器或文件（夾）設(shè)置合適的訪問(wèn)控制或利用EFS加密文件系統(tǒng)。

10.1安全性設(shè)計(jì)7．對(duì)所有必要的文件共享設(shè)置合適的訪問(wèn)控制 新創(chuàng)建的文件共享對(duì)Everyone都是完全控制許可，對(duì)于那些有必須存在的文件共享，應(yīng)該設(shè)置合適的共享級(jí)訪問(wèn)控制。10.1安全性設(shè)計(jì)8．刪除不需要的文件共享 建議刪除系統(tǒng)中所有不必要的文件共享服務(wù)，降低信息暴露的風(fēng)險(xiǎn)。9．安裝防病毒軟件并及時(shí)更新 計(jì)算機(jī)病毒的危害日益加重，我們必須在服務(wù)器上安裝防病毒軟件，并做到及時(shí)更新。10.1安全性設(shè)計(jì)10．及時(shí)安裝最新版本的ServicePack和Hotfixes補(bǔ)丁程序微軟公司的產(chǎn)品的補(bǔ)丁分為2類(lèi)：SP（ServicePack）和HotFixes。SP是將一段時(shí)間內(nèi)發(fā)布的HotFixes集合起來(lái)的大補(bǔ)丁，一般命名為SP1、SP2、……，一段時(shí)間才發(fā)布一次。Hotfixes是小補(bǔ)丁，是為了解決最新的系統(tǒng)漏洞而發(fā)布的。強(qiáng)烈建議及時(shí)跟蹤Microsoft公司發(fā)布的SP以及Hotfixes消息，從而根據(jù)具體環(huán)境，在機(jī)器中安裝最新的SP及Hotfixes補(bǔ)丁程序。用戶(hù)通過(guò)定期的在線升級(jí)可以自動(dòng)地安裝相應(yīng)的SP和HotFixes。10.1安全性設(shè)計(jì)11．啟動(dòng)審計(jì)功能啟動(dòng)日志審計(jì)功能是非常必要的，它可以記錄攻擊者的入侵企圖，便于管理員跟蹤追查。12．經(jīng)常備份重要的數(shù)據(jù)可以使用Windows自帶的備份工具或第三方備份工具備份重要數(shù)據(jù)，包括系統(tǒng)配置或數(shù)據(jù)、服務(wù)器配置或數(shù)據(jù)、用戶(hù)數(shù)據(jù)等。

10.2設(shè)置賬戶(hù)策略10.2.1打開(kāi)組策略管理單元1.將賬戶(hù)策略應(yīng)用于本地計(jì)算機(jī)若要針對(duì)本地計(jì)算機(jī)設(shè)置賬戶(hù)策略，請(qǐng)單擊“開(kāi)始”，指向“程序”，指向“管理工具”，然后單擊“本地安全設(shè)置”，由此設(shè)置的賬戶(hù)策略?xún)H用于本地計(jì)算機(jī)。10.2.1打開(kāi)組策略管理單元2.將賬戶(hù)策略應(yīng)用于域（1）在“ActiveDirectory用戶(hù)和計(jì)算機(jī)”目錄樹(shù)中，用鼠標(biāo)右鍵單擊該域，然后在彈出菜單中單擊“屬性”。（2）在域?qū)傩詫?duì)話框中，單擊“組策略”選項(xiàng)卡。（3）若當(dāng)前沒(méi)有組策略對(duì)象，請(qǐng)單擊“新建”按鈕，以創(chuàng)建新的組策略對(duì)象。（4）單擊要編輯的組策略對(duì)象，然后單擊“編輯”按鈕，以打開(kāi)組策略管理單元。（5）在目錄樹(shù)中展開(kāi)“計(jì)算機(jī)配置”，然后依次雙擊“Windows設(shè)置”和“安全設(shè)置”，然后單擊“賬戶(hù)策略”。在這里設(shè)置的組策略會(huì)被應(yīng)用于域內(nèi)的所有計(jì)算機(jī)。10.2設(shè)置賬戶(hù)策略3.將賬戶(hù)策略應(yīng)用于組織單元（1）在“ActiveDirectory用戶(hù)和計(jì)算機(jī)”在目錄樹(shù)中用鼠標(biāo)右鍵單擊該組織單元，然后單擊“屬性”。（3）在組織單元屬性對(duì)話框中，單擊“組策略”選項(xiàng)卡。（4）若當(dāng)前沒(méi)有組策略對(duì)象，請(qǐng)單擊“新建”按鈕，以創(chuàng)建新的組策略對(duì)象。（5）單擊要編輯的組策略對(duì)象，然后單擊“編輯”按鈕，以打開(kāi)組策略管理單元。（6）在目錄樹(shù)中依次雙擊“Windows設(shè)置”和“安全設(shè)置”，然后雙擊“賬戶(hù)策略”。在這里設(shè)置的組策略會(huì)被應(yīng)用于組織單位內(nèi)的所有計(jì)算機(jī)。10.2.2設(shè)置密碼策略

下面以域用戶(hù)賬戶(hù)為例來(lái)說(shuō)明如何設(shè)置密碼策略。（1）在“ActiveDirectory用戶(hù)和計(jì)算機(jī)”目錄樹(shù)中，用鼠標(biāo)右鍵單擊該域，然后在彈出菜單中單擊“屬性”。（2）在域?qū)傩詫?duì)話框中單擊“組策略”選項(xiàng)卡，然后選定組策略對(duì)象DefaultDomainPolicy，再單擊“編輯”按鈕。（3）在組策略管理單元的目錄樹(shù)中，依次雙擊“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“賬戶(hù)策略”，然后單擊“密碼策略”。（4）在詳細(xì)內(nèi)容窗格中，設(shè)置下列密碼策略選項(xiàng)。密碼必須符合復(fù)雜性要求。密碼長(zhǎng)度最小值。密碼最長(zhǎng)存留期。密碼最短存留期。強(qiáng)制密碼歷史。10.2.3設(shè)置賬戶(hù)鎖定策略

下面以域用戶(hù)賬戶(hù)為例說(shuō)明如何設(shè)置賬戶(hù)鎖定策略。（1）在“ActiveDirectory用戶(hù)和計(jì)算機(jī)”目錄樹(shù)中，用鼠標(biāo)右鍵單擊該域（如），然后在彈出菜單中單擊“屬性”。（2）在域?qū)傩詫?duì)話框中單擊“組策略”選項(xiàng)卡，然后選定組策略對(duì)象DefaultDomainPolicy，再單擊“編輯”按鈕。（3）在組策略管理單元的目錄樹(shù)中，依次雙擊“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“賬戶(hù)策略”，然后單擊“賬戶(hù)鎖定策略”。（4）在詳細(xì)內(nèi)容窗格中，設(shè)置下列賬戶(hù)鎖定策略選項(xiàng)。賬戶(hù)鎖定閾值。賬戶(hù)鎖定時(shí)間。復(fù)位賬戶(hù)鎖定計(jì)數(shù)器。10.3設(shè)置本地策略10.3.1設(shè)置用戶(hù)權(quán)利指派策略（1）在“ActiveDirectory用戶(hù)和計(jì)算機(jī)”目錄樹(shù)中，用鼠標(biāo)右鍵單擊該域（如），然后在彈出菜單中單擊“屬性”。（2）在域?qū)傩詫?duì)話框中單擊“組策略”選項(xiàng)卡，然后選定組策略對(duì)象DefaultDomainPolicy，再單擊“編輯”按鈕。（3）在組策略管理單元的目錄樹(shù)中，依次雙擊“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”，然后單擊“用戶(hù)權(quán)利指派”。10.3.1設(shè)置用戶(hù)權(quán)利指派策略（4）通過(guò)以下操作來(lái)設(shè)置某項(xiàng)用戶(hù)權(quán)利。在詳細(xì)信息窗格中雙擊相應(yīng)的選項(xiàng)，例如雙擊“關(guān)閉系統(tǒng)”。在“安全策略設(shè)置”對(duì)話框中，選定“定義這些組策略選項(xiàng)”復(fù)選框，然后單擊“添加”按鈕。在彈出的“添加用戶(hù)或組”對(duì)話框中，單擊“瀏覽”按鈕。在“添加用戶(hù)或組”對(duì)話框中，選擇為其賦予權(quán)利的用戶(hù)或組，然后單擊“確定”按鈕。10.3.2設(shè)置安全選項(xiàng)策略（1）在“ActiveDirectory用戶(hù)和計(jì)算機(jī)”目錄樹(shù)中，用鼠標(biāo)右鍵單擊該域（如），然后在彈出菜單中單擊“屬性”。（2）在域?qū)傩詫?duì)話框中單擊“組策略”選項(xiàng)卡，然后選定組策略對(duì)象DefaultDomainPolicy，再單擊“編輯”按鈕。（3）在組策略管理單元的目錄樹(shù)中，依次雙擊“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”，然后單擊“安全選項(xiàng)”。（4）若要設(shè)置某個(gè)安全選項(xiàng)，請(qǐng)?jiān)谠敿?xì)信息窗格中雙擊此選項(xiàng)（例如“登錄屏幕上不要顯示上次登錄的用戶(hù)名”），然后在彈出的“安全策略設(shè)置”對(duì)話框中選中“定義這個(gè)策略設(shè)置”復(fù)選框，然后單擊“已啟用”，再單擊“確定”按鈕。10.4審核資源的使用10.4.1設(shè)置審核策略審核策略決定記錄在計(jì)算機(jī)的安全日志上的安全事件，可以是成功的嘗試、失敗的嘗試或兩者。安全日志是事件查看器的一部分。根據(jù)當(dāng)前正在使用的計(jì)算機(jī)和所設(shè)置的對(duì)象，可以通過(guò)組策略或本地策略來(lái)設(shè)置審核策略。如果在本地計(jì)算機(jī)、站點(diǎn)、域和組織單位上分別設(shè)置了審核策略，則這些策略的應(yīng)用順序?yàn)椋罕镜貙徍瞬呗浴军c(diǎn)審核策略→域?qū)徍瞬呗浴M織單位審核策略。10.4.1設(shè)置審核策略設(shè)置審核策略并將其應(yīng)用于域內(nèi)的計(jì)算機(jī)：（1）單擊“開(kāi)始”，依次指向“程序”和“管理工具”，然后單擊“ActiveDirectory用戶(hù)和計(jì)算機(jī)”。（2）在目錄樹(shù)中用鼠標(biāo)右鍵單擊域，然后在彈出菜單中選擇“屬性”。（3）在域?qū)傩詫?duì)話框中單擊“組策略”選項(xiàng)卡，然后選定組策略對(duì)象DefaultDomainPolicy，再單擊“編輯”按鈕。（4）在組策略管理單元的目錄樹(shù)中，依次雙擊“計(jì)算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”，然后單擊“審核策略”。（5）若要設(shè)置某項(xiàng)審核策略，請(qǐng)?jiān)谠敿?xì)信息窗格中雙擊此項(xiàng)，然后在“安全策略設(shè)置”對(duì)話框中選定“定義這些策略設(shè)置”，然后在“審核這些操作”下選擇“成功”、“失敗”或同時(shí)選擇兩者，然后單擊“確定”按鈕。10.4.2審核文件和文件夾的訪問(wèn)（1）打開(kāi)Windows資源管理器，然后定位到想要審核的文件或文件夾。（2）用鼠標(biāo)右鍵單擊該文件或文件夾，然后在彈出菜單中單擊“屬性”。（3）在文件或文件夾屬性對(duì)話框中，單擊“安全”選項(xiàng)卡，然后單擊“高級(jí)”按鈕。（4）在訪問(wèn)控制設(shè)置對(duì)話框中，單擊“審核”選項(xiàng)卡。（5）若要設(shè)置新組或用戶(hù)的審核，請(qǐng)單擊“添加”按鈕，然后在“選擇用戶(hù)、計(jì)算機(jī)或組”對(duì)話框中選擇組或用戶(hù)，再單擊“確定”按鈕。10.4.2審核文件和文件夾的訪問(wèn)（6）若要查看或更改現(xiàn)有組或用戶(hù)的審核，請(qǐng)單擊相應(yīng)的名稱(chēng)，然后單擊“查看/編輯”按鈕。（7）若要?jiǎng)h除現(xiàn)有組或用戶(hù)的審核，請(qǐng)單擊相應(yīng)的名稱(chēng)，然后單擊“刪除”按鈕。（8）如果要阻止目錄樹(shù)中的文件和子文件夾繼承這些審核項(xiàng)，請(qǐng)選中“僅對(duì)此容器內(nèi)的對(duì)象和/或容器應(yīng)用這些審核項(xiàng)”復(fù)選框。（9）單擊“確定”按鈕。作業(yè)（1）你認(rèn)為什么樣的口令才是安全的？（2）本地計(jì)算機(jī)、站點(diǎn)、域和組織單位都有組策略，這此策略的應(yīng)用順序是