安全策略资料

安全策略WindowsServer2003作为Microsoft最新推出的服务器操作系统，不仅继承了Windows2000/XP的易用性和稳定性，而且还提供了更高的硬件支持和更加强大的安全功能，无疑是中小型网络应用服务器的当然之选。本文就Windows2003在企业网络应用中企业帐户和系统监控方面的安全策略制定作出一些说明，希望能对大家起到抛砖引玉的效果，最终的目标是确保我们的网络服务器的正常运行。一、企业账户保护安全策略二、企业系统监控安全策略1、提高密码的破解难度1、启用系统审核机制2、启用账户锁定策略2、日志监视3、限制用户登录3、监视开放的端口和连接4、限制外部连接4、监视共享5、限制特权组成员5、监视进程和系统信息6、防范网络嗅探

一、企业账户保护安全策略用户账户的保护一般主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用，通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。1、提高密码的破解难度提高密码的破解难度主要是通过采用提高密码复杂性、增大密码长度、提高更换频率等措施来实现，但这常常是用户很难做到的，对于企业网络中的一些安全敏感用户就必须采取一些相关的措施，以强制改变不安全的密码使用习惯。在Windows系统中可以通过一系列的安全设置，并同时制定相应的安全策略来实现。在WindowsServer2003系统中，可以通过在安全策略中设定“密码策略”来进行。WindowServer2003系统的安全策略可以根据网络的情况，针对不同的场合和范围进行有针对性地设定。例如可以针对本地计算机、域及相应的组织单元来进行设定，这将取决于该策略要影响的范围。以域安全策略为例，其作用范围是企业网中所指定域的所有成员。在域管理工具中运行“域安全策略”工具，然后就可以针对密码策略进行相应的设定。密码策略也可以在指定的计算机上用“本地安全策略”来设定，同时也可在网络中特定的组织单元通过组策略进行设定。2、启用账户锁定策略账户锁定是指在某些情况下(例如账户受到采用密码词典或暴力猜解方式的在线自动登录攻击)，为保护该账户的安全而将此账户进行锁定。使其在一定的时间内不能再次使用，从而挫败连续的猜解尝试。Windows2003系统在默认情况下，为方便用户起见，这种锁定策略并没有进行设定，此时，对黑客的攻击没有任何限制。只要有耐心，通过自动登录工具和密码猜解字典进行攻击，甚至可以进行暴力模式的攻击，那么破解密码只是一个时间和运气上的问题。账户锁定策略设定的第一步就是指定账户锁定的阈值，即锁定前该账户无效登录的次数。一般来说，由于操作失误造成的登录失败的次数是有限的。在这里设置锁定阈值为3次，这样只允许3次登录尝试。如果3次登录全部失败，就会锁定该账户。但是，一旦该账户被锁定后，即使是合法用户也就无法使用了。只有管理员才可以重新启用该账户，这就造成了许多不便。为方便用户起见，可以同时设定锁定的时间和复位计数器的时间，这样以来在3次无效登最后就开始锁定账户，以及锁定时间为30分钟。以上的账户锁定设定，可以有效地避免自动猜解工具的攻击，同时对于手动尝试者的耐心和信心也可造成很大的打击。锁定用户账户常常会造成一些不便，但系统的安全有时更为重要。3、限制用户登录对于企业网的用户还可以通过对其登录行为进行限制，来保障其户户账户的安全。这样以来，即使是密码出现泄漏，系统也可以在一定程度上将黑客阻挡在外，对于WindowsServer2003网络来说，运行“ActiveDirectory用户和计算机”管理工具。然后选择相应的用户，并设置其账户属性。在账户属性对话框中，可以限制其登录的时间和地点。单击其中的“登录时间”按钮，在这里可以设置允许该用户登录的时间，这样就可防止非工作时间的登录行为。单击其中的“登录到”按钮，在这里可以设置允许该账户从哪些计算机乾地登录。另外，还可以通过“账户”选项来限制登录时的行为。例如使用“用户必须用智能卡登录”，就可避免直接使用密码验证。除此之外，还可以引入指纹验证等更为严格的手段。4、限制外部连接对于企业网络来说，通常需要为一些远程拨号的用户（业务人员或客户等)提供拨号接入服务。远程拨号访问技术实际上是通过低速的拨号连接来将远程计算机接入到企业内部的局域网中。由于这个连接无法隐藏，因此常常成为黑客入侵内部网络的最佳入口。但是，采取一定的措施可以有效地降低风险。对于基于WindowsServer2003的远程访问服务器来说，默认情况下将允许具有拨入权限的所有用户建立连接。因此，安全防范的第一步就是合理地、严格地设置用户账户的拨入权限，严格限制拨入权限的分配范围，只要不是必要的就不给予此权限。对于网络中的一些特殊用户和固定的分支机构的用户来说，可通过回拨技术来提高网络安全性。这里所谓的回拨，是指在主叫方通过验证后立即挂断线路，然后再回拨到主叫方的电话上。这样，即使帐户及其密码被破解，也不必有任何担心。需要注意的是，这里需要开通来电显示业务。在WindowsServer2003网络中，如果活动目录工作在Native-mode(本机模式)下，这时就可以通过存储在访问服务器上或Internet验证服务器上的远程访问策略来管理。针对各种应用场景的不同，可以设置多种不同的策略。具体的管理比较复杂，由于篇幅有限，大家可参考相关资料，这里就不再作详细介绍。5、限制特权组成员在WindowsServer2003网络中，还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段，这就是利用“受限制的组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制的组，在“组”对话框中键入或查找要添加的组。一般要对管理员组等特权组的成员加以限制。下一步就是要配置这个受限制的组的成员。在这里选择受限制的组的“安全性(S)”选项。然后，就可以管理这个组的成员组成，可以添加或删除