操作系統(tǒng)的安全策略基本配置原則

1、操作系統(tǒng)的安全策略基本配置原則(LL3698-KKI1269-TM2483-LUI12689-ITT289-操作 系統(tǒng)的 安全策略基本配置原 則安全配置方案中級篇主要介紹操作系統(tǒng)的安全策略配置,包括十條基 本配置原則：（1）操作系統(tǒng)安全策略，（2）關(guān)閉不必要的服務(wù)關(guān)閉不必要的端 口，（4）開啟審核策略開啟密碼策略，（6）開啟帳戶策略，（7）備份敏感文 件，（8）不顯示上次登陸名，（9）禁止建立空連接（10）下載最新的補(bǔ)丁1操作系統(tǒng)安全策略利用Windows2000的安全配置工具來配置安全策略,微軟提供了一套 的基于管理控制臺的安全配置和分析工具，可以配置服務(wù)器的安全策略. 在管理工具中可以找到

2、本地安全策略.可以配置四類安全策略:帳戶策 略,本地策略，公鑰策略和IP安全策略.在默認(rèn)的情況下,這些策略都是沒 有開啟的.2關(guān)閉不必要的服務(wù)Windows2000 的 TerminalServices （終端服務(wù)）和 IIS （Internet 信息 服務(wù)）等都可能給系統(tǒng)帶來安全漏洞.為了能夠在遠(yuǎn)程方便的管理服務(wù)潛,很多機(jī)器的終端服務(wù)都是開著的，如果開了，要確認(rèn)已經(jīng)正確的配置了終 端服務(wù).有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù).要 留意服務(wù)器上開啟的所有服務(wù)并每天檢查.Windows2000可禁用的服務(wù)服 務(wù)名說明ComputerBrowser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及

3、提供這個列表 Taskscheduler允許程序在指定時間運(yùn)行RoutingandRemoteAccess在局 域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removablestorage管理可移 動媒體,驅(qū)動程序和庫RemoteRegistryService允許遠(yuǎn)程注冊表操作 PrintSpooler將文件加載到內(nèi)存中以便以后打印.要用打印機(jī)的用戶不能 禁用這項(xiàng)服務(wù)IPSECPolicyAgent管理IP安全策略以及啟動 ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序 DistributedLinkTrackingClient當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā) 送通知Com+EventS

4、ystem提供事件的自動發(fā)布到訂閱COM組件。3關(guān)閉不必要的端口關(guān)閉端口意味著減少功能,如果服務(wù)器安裝在防火墻的后面,被入侵 的機(jī)會就會少一些,但是不可以認(rèn)為高枕無憂了.用端口掃描器掃描系統(tǒng) 所開放的端口，在 Winntsystem32driversetcservices 文件中有知名 端口和服務(wù)的對照表可供參考.該文件用記事本打開.設(shè)置本機(jī)開放的端口設(shè)置本機(jī)開放的端口和服務(wù),在IP地址設(shè)置窗口中點(diǎn)擊按鈕高級 O在出現(xiàn)的對話框中選擇選項(xiàng)卡選項(xiàng),選中TCP/IP篩選，點(diǎn)擊按鈕 屬性.設(shè)置端口界面.一臺Web服務(wù)器只允許TCP的80端口通過就可以了. TCP/IP篩選器 是Windows自帶的防火

5、墻,功能比較強(qiáng)大,可以替代防火墻的部分功能.4開啟審核策略安全審核是Windows2000最基本的入侵檢測方法.當(dāng)有人嘗試對系統(tǒng) 進(jìn)行某種方式（如嘗試用戶密碼，改變帳戶策略和未經(jīng)許可的文件訪問等 等）入侵的時候,都會被安全審核記錄下來.必須開啟的審核如下表:策略設(shè)置審核系統(tǒng)登陸事件成功,失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對象訪問成功審核策略更改成功,失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗審核策略默認(rèn)設(shè)置審核策略在默認(rèn)的情況下都是沒有開啟的.設(shè)置審核策略雙擊審核列表的某一項(xiàng)，出現(xiàn)設(shè)置對話框,將復(fù)選框成功和失敗 都選中.5開啟密碼策略密碼對系統(tǒng)安全非常重要.本地安全設(shè)置

6、中的密碼策略在默認(rèn)的情況 下都沒有開啟.需要開啟的密碼策略如表所示策略設(shè)置密碼復(fù)雜性要求啟用密碼長度最小值6位密碼最長存留期15天強(qiáng)制密碼歷史5個設(shè)置密碼策略設(shè)置選項(xiàng).6開啟帳戶策略開啟帳戶策略可以有效的防止字典式攻擊.策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器30分鐘帳戶鎖定時間30分鐘帳戶鎖定閾值5次設(shè)置帳戶策略7備份敏感文件把敏感文件存放在另外的文件服務(wù)器中；把一些重要的用戶數(shù)據(jù)（文 件,數(shù)據(jù)表和項(xiàng)目文件等）存放在另外一個安全的服務(wù)器中，并且經(jīng)常備份 它們.8不顯示上次登錄名默認(rèn)情況下,終端服務(wù)接入服務(wù)器時，登陸對話框中會顯示上次登陸 的帳戶名，本地的登陸對話框也是一樣.黑客們可以得到系統(tǒng)的一些用戶 名，進(jìn)而做密碼猜測.修改注冊表禁止顯示上次登錄.名，在 HKEY_LOCAL_MACHINE 主鍵下修改子鍵SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastL'serName,將鍵值改成 1.9禁止建立空連接默認(rèn)情況下,任何用戶通過空連接連上服務(wù)器,進(jìn)而可以枚舉出帳號, 猜測密碼.可以通過修改注冊表來禁止建立空連接.在 HKEY_LOCALJfACHINE主鍵下修改子鍵：SystemCurrentControlSetControlLSARestrictAnonymous,將鍵 值改成1即