安全管理课件

安全管理

10.1安全性设计

1．确认Administrator帐号具有一个强壮的口令

Windows2000允许我们设置口令的长度可达127位。通常情况下长口令要比短口令强健；包含多种字符类型（如：字母、数字或其它符号）的口令要比单一字符类型（如：全数字或全字母）的口令强健。所以要实现最大的保护工作，就要为Administrator帐号创建至少9个字符长度的口令，并且保证口令的前7个字符中至少包含一个特殊字符。而且如果一个系统管理员管理着多个服务器，各服务器的Administrator帐号的口令不应该相同。10.1安全性设计2．重新配置Administrator帐号

Administrator即超级用户，它的权限至高无上，同时也是被攻击最多的对象。我们要对安装后默认的Administrator帐号重新配置，从而达到最大的安全性。建议采取如下措施：（1）重命名Administrator，最好取不起眼的名字；（2）再次创建一个名为Administrator的帐号，但不分配任何权限，以达到到诱骗的目的。同时经常查看事件日志文件，检查是否有使用这个帐号的企图，从而及早发现攻击隐患。10.1安全性设计3．禁止或删除不需要的用户帐号 我们应该经常查看用户帐号列表，将不怎么使用的帐号坚决禁止，或干脆删除掉。比如禁止Guest帐号。10.1安全性设计4．设置强健的口令策略 对于口令的设置管理，应该具有一定的强制性，即用策略来强制用户做到：（1）最小口令长度至少为8；（2）最小口令使用期限：1~7天；（3）最大口令使用期限：不超过42天；（4）口令的历史保持次数至少为6，即当前设置的口令不能与最近6次中的任何一次相同。10.1安全性设计5．设置帐号锁定策略 用户帐号锁定就是指当一个帐号登录失败的次数超过设定的次数，该用户帐号即被自动禁止使用，直到管理员再次将它启用或在指定时间后自动解锁。建议将登录失败次数设置为3~5次之间。10.1安全性设计6．确认所有的磁盘分区格式都为NTFS NTFS格式具备高度的访问控制机制，它能够有效地保护数据不被泄漏与篡改，这是其它操作系统所不具备的。我们可以利用convert命令将FAT/FAT32格式转换成NTFS格式。但要真正实现NTFS文件系统的安全性，还需要管理员对驱动器或文件（夹）设置合适的访问控制或利用EFS加密文件系统。

10.1安全性设计7．对所有必要的文件共享设置合适的访问控制 新创建的文件共享对Everyone都是完全控制许可，对于那些有必须存在的文件共享，应该设置合适的共享级访问控制。10.1安全性设计8．删除不需要的文件共享 建议删除系统中所有不必要的文件共享服务，降低信息暴露的风险。9．安装防病毒软件并及时更新 计算机病毒的危害日益加重，我们必须在服务器上安装防病毒软件，并做到及时更新。10.1安全性设计10．及时安装最新版本的ServicePack和Hotfixes补丁程序微软公司的产品的补丁分为2类：SP（ServicePack）和HotFixes。SP是将一段时间内发布的HotFixes集合起来的大补丁，一般命名为SP1、SP2、……，一段时间才发布一次。Hotfixes是小补丁，是为了解决最新的系统漏洞而发布的。强烈建议及时跟踪Microsoft公司发布的SP以及Hotfixes消息，从而根据具体环境，在机器中安装最新的SP及Hotfixes补丁程序。用户通过定期的在线升级可以自动地安装相应的SP和HotFixes。10.1安全性设计11．启动审计功能启动日志审计功能是非常必要的，它可以记录攻击者的入侵企图，便于管理员跟踪追查。12．经常备份重要的数据可以使用Windows自带的备份工具或第三方备份工具备份重要数据，包括系统配置或数据、服务器配置或数据、用户数据等。

10.2设置账户策略10.2.1打开组策略管理单元1.将账户策略应用于本地计算机若要针对本地计算机设置账户策略，请单击“开始”，指向“程序”，指向“管理工具”，然后单击“本地安全设置”，由此设置的账户策略仅用于本地计算机。10.2.1打开组策略管理单元2.将账户策略应用于域（1）在“ActiveDirectory用户和计算机”目录树中，用鼠标右键单击该域，然后在弹出菜单中单击“属性”。（2）在域属性对话框中，单击“组策略”选项卡。（3）若当前没有组策略对象，请单击“新建”按钮，以创建新的组策略对象。（4）单击要编辑的组策略对象，然后单击“编辑”按钮，以打开组策略管理单元。（5）在目录树中展开“计算机配置”，然后依次双击“Windows设置”和“安全设置”，然后单击“账户策略”。在这里设置的组策略会被应用于域内的所有计算机。10.2设置账户策略3.将账户策略应用于组织单元（1）在“ActiveDirectory用户和计算机”在目录树中用鼠标右键单击该组织单元，然后单击“属性”。（3）在组织单元属性对话框中，单击“组策略”选项卡。（4）若当前没有组策略对象，请单击“新建”按钮，以创建新的组策略对象。（5）单击要编辑的组策略对象，然后单击“编辑”按钮，以打开组策略管理单元。（6）在目录树中依次双击“Windows设置”和“安全设置”，然后双击“账户策略”。在这里设置的组策略会被应用于组织单位内的所有计算机。10.2.2设置密码策略

下面以域用户账户为例来说明如何设置密码策略。（1）在“ActiveDirectory用户和计算机”目录树中，用鼠标右键单击该域，然后在弹出菜单中单击“属性”。（2）在域属性对话框中单击“组策略”选项卡，然后选定组策略对象DefaultDomainPolicy，再单击“编辑”按钮。（3）在组策略管理单元的目录树中，依次双击“计算机配置”、“Windows设置”、“安全设置”、“账户策略”，然后单击“密码策略”。（4）在详细内容窗格中，设置下列密码策略选项。密码必须符合复杂性要求。密码长度最小值。密码最长存留期。密码最短存留期。强制密码历史。10.2.3设置账户锁定策略

下面以域用户账户为例说明如何设置账户锁定策略。（1）在“ActiveDirectory用户和计算机”目录树中，用鼠标右键单击该域（如），然后在弹出菜单中单击“属性”。（2）在域属性对话框中单击“组策略”选项卡，然后选定组策略对象DefaultDomainPolicy，再单击“编辑”按钮。（3）在组策略管理单元的目录树中，依次双击“计算机配置”、“Windows设置”、“安全设置”、“账户策略”，然后单击“账户锁定策略”。（4）在详细内容窗格中，设置下列账户锁定策略选项。账户锁定阈值。账户锁定时间。复位账户锁定计数器。10.3设置本地策略10.3.1设置用户权利指派策略（1）在“ActiveDirectory用户和计算机”目录树中，用鼠标右键单击该域（如），然后在弹出菜单中单击“属性”。（2）在域属性对话框中单击“组策略”选项卡，然后选定组策略对象DefaultDomainPolicy，再单击“编辑”按钮。（3）在组策略管理单元的目录树中，依次双击“计算机配置”、“Windows设置”、“安全设置”、“本地策略”，然后单击“用户权利指派”。10.3.1设置用户权利指派策略（4）通过以下操作来设置某项用户权利。在详细信息窗格中双击相应的选项，例如双击“关闭系统”。在“安全策略设置”对话框中，选定“定义这些组策略选项”复选框，然后单击“添加”按钮。在弹出的“添加用户或组”对话框中，单击“浏览”按钮。在“添加用户或组”对话框中，选择为其赋予权利的用户或组，然后单击“确定”按钮。10.3.2设置安全选项策略（1）在“ActiveDirectory用户和计算机”目录树中，用鼠标右键单击该域（如），然后在弹出菜单中单击“属性”。（2）在域属性对话框中单击“组策略”选项卡，然后选定组策略对象DefaultDomainPolicy，再单击“编辑”按钮。（3）在组策略管理单元的目录树中，依次双击“计算机配置”、“Windows设置”、“安全设置”、“本地策略”，然后单击“安全选项”。（4）若要设置某个安全选项，请在详细信息窗格中双击此选项（例如“登录屏幕上不要显示上次登录的用户名”），然后在弹出的“安全策略设置”对话框中选中“定义这个策略设置”复选框，然后单击“已启用”，再单击“确定”按钮。10.4审核资源的使用10.4.1设置审核策略审核策略决定记录在计算机的安全日志上的安全事件，可以是成功的尝试、失败的尝试或两者。安全日志是事件查看器的一部分。根据当前正在使用的计算机和所设置的对象，可以通过组策略或本地策略来设置审核策略。如果在本地计算机、站点、域和组织单位上分别设置了审核策略，则这些策略的应用顺序为：本地审核策略→站点审核策略→域审核策略→组织单位审核策略。10.4.1设置审核策略设置审核策略并将其应用于域内的计算机：（1）单击“开始”，依次指向“程序”和“管理工具”，然后单击“ActiveDirectory用户和计算机”。（2）在目录树中用鼠标右键单击域，然后在弹出菜单中选择“属性”。（3）在域属性对话框中单击“组策略”选项卡，然后选定组策略对象DefaultDomainPolicy，再单击“编辑”按钮。（4）在组策略管理单元的目录树中，依次双击“计算机配置”、“Windows设置”、“安全设置”、“本地策略”，然后单击“审核策略”。（5）若要设置某项审核策略，请在详细信息窗格中双击此项，然后在“安全策略设置”对话框中选定“定义这些策略设置”，然后在“审核这些操作”下选择“成功”、“失败”或同时选择两者，然后单击“确定”按钮。10.4.2审核文件和文件夹的访问（1）打开Windows资源管理器，然后定位到想要审核的文件或文件夹。（2）用鼠标右键单击该文件或文件夹，然后在弹出菜单中单击“属性”。（3）在文件或文件夹属性对话框中，单击“安全”选项卡，然后单击“高级”按钮。（4）在访问控制设置对话框中，单击“审核”选项卡。（5）若要设置新组或用户的审核，请单击“添加”按钮，然后在“选择用户、计算机或组”对话框中选择组或用户，再单击“确定”按钮。10.4.2审核文件和文件夹的访问（6）若要查看或更改现有组或用户的审核，请单击相应的名称，然后单击“查看/编辑”按钮。（7）若要删除现有组或用户的审核，请单击相应的名称，然后单击“删除”按钮。（8）如果要阻止目录树中的文件和子文件夹继承这些审核项，请选中“仅对此容器内的对象和/或容器应用这些审核项”复选框。（9）单击“确定”按钮。作业（1）你认为什么样的口令才是安全的？（2）本地计算机、站点、域和组织单位都有组策略，这此策略的应用顺序是