工作站安全部署配置.doc

1.1.1 修补程序部署配置目的序号严重级别安全问题风险解决方案15系统中没有安装SP2之后最新的修补程序系统存在严重的安全漏洞及时更新相关修补程序解决步骤用户手动或者自动连接到微软的Windows Update网站，获取最新的更新，但是需要本地管理员权限，对很多企业环境并不适用。1) 以管理员身份登录databaseserver，单击“开始”，选择Windows Update ,系统会自动打开IE，连接到微软的更新网站；2) 从打开的页面中，选择扫描更新，在弹出的窗口中选择接受；3) 经过一段时间搜索，选择重要更新，单击复查并更新；4) 选择复查并安装；5) 如果有多个修补程序没有安装，请再次从第一步运行，检查是否有关键更新没有安装；6) 可能需要重启计算机。1.1.2 企业安全策略采购考虑目的序号严重级别安全问题风险解决方案25企业邮件服务器没有安装邮件扫描插件病毒邮件的扩散，内部员工通过邮件向外发送企业机密数据安装和邮件系统集成的防病毒软件104没有系统容错机制系统容错能力脆弱综合考虑容错措施，及时保证公司信息数据的快速回复194存在网络病毒现象病毒扩散并难以清除实施服务器、客户端、网关立体防病毒解决方法l 购买相关网络安全病毒扫描插件和扫描软件，可以参考微软网站推荐的相关厂商，如symantec等公司产品，提醒学生需要及时更新病毒库和相关扫描插件库l 也需要加强公司网络安全的培训，告诉员工泄漏公司机密数据的后果以及相关的惩罚机制l 针对角色比较重要的服务器，如databaserver，相关数据库应该考虑硬件容错或软件容错，可以考虑预算用于磁盘柜的购买和磁盘冗余设备上l 考虑到微软的冲击波病毒，建议学生可以同修补程序部署一起联动考虑1.1.3 账号安全策略配置目的序号严重级别安全问题风险解决方案34没有制定密码策略弱口令制定相关口令策略44没有定义账号锁定策略字典或暴力攻击定义账户锁定策略53没有改变Administrator账号以及配置该账号口令猜测改变默认管理员账户名称并配置强口令解决方法l 为了实现集中的用户身份验证，用户权限管理，以及进行审计的要求，应该要求所有的计算机加入到活动目录的域内，其次要求所有用户必须使用域账户进行登录l 域用户账户的安全和用户口令紧密相关，我们必须通过账户策略来保证安全性l 本任务要求学生配置口令安全策略和账户锁定策略要求企业所有员工都必须强制使用复杂密码，密码有效期为30天，最近的5个密码不能重复。步骤编辑活动目录域组策略中的账户策略部分，实现密码策略：使用复杂密码，密码有效期为30天，连续5个密码不能重复，同时连续输入5次错误口令，锁定15分钟。操作如下：1) 以管理员身份登录shangahaidc1；2) 在“管理工具”菜单中，打开“Active Directory 用户和计算机”；3) 在控制台目录树中，展开域，右击域名，单击“属性”；4) 在“组策略”选项卡中， 选择Default Domain Policy，单击“编辑”；5) 在“计算机配置”目录下，展开“Windows 设置”，展开“安全设置”，再展开“账户策略”，然后单击“密码策略”；6) 在详细信息窗格内，双击“密码必须符合复杂性要求”；7) 在“安全策略设置”对话框中，选择“定义这个策略设置”复选框，单击“已启用”，然后单击“确定”；8) 在详细信息窗格内，双击“密码最长存留期”；9) 在“安全策略设置”对话框中，选择“定义这个策略设置”复选框，在“密码作废期”文本框中输入30，然后单击“确定”；10) 在详细信息窗格内，双击“强制密码历史”；11) 在“安全策略设置”对话框中，选择“定义这个策略设置”复选框，在“保留密码历史”文本框中输入5，然后单击“确定”；12) 在左侧窗格中，选定“账户锁定策略”；13) 在右侧详细信息窗格，双击“账户锁定阈值”；14) 在“账户锁定阈值”对话框，修改为“5次无效登录”，单击“确定”；15) 在详细信息窗格，双击“账户锁定时间”；16) 在“账户锁定时间”窗格，修改为15分钟，单击确定；17) 关闭组策略编辑器；18) 关闭所有属性窗口；19) 在打开的“Active Directory 用户和计算机”菜单中找到Administrator这个用户；20) 右键单击该用户，在弹出的菜单中选择重命名；21) 更名为anenshanghai；22) 关闭“Active Directory 用户和计算机”；23) 在客户端an-bjjohn-01登录看是否相关设置生效。1.1.4 网络访问安全配置目的序号严重级别安全问题风险解决方案64“允许从网络访问这台计算机”的权限中有Everyone组从网络发起入侵，获取原本不能获取的资源将Everyone组去掉，只添加需要对服务器进行访问的用户或用户组账户解决步骤l 删除Everyone组的访问权限1) 以管理员身份登录shangahaidc1；2) 在“管理工具”菜单中，打开“Active Directory 用户和计算机”；3) 在控制台目录树中，展开域，右击域名，单击“属性”；4) 在“组策略”选项卡中， 选择Default Domain Policy，单击“编辑”；5) 在“计算机配置”目录下，展开“安全设置”，展开“安全设置”，再展开“本地策略”，然后单击“用户权限分配”；6) 在详细信息窗格内，双击“从网络访问此计算机”；7) 在“从网络访问此计算机”对话框中，选择Everyone这个用户组，单击“删除”，然后单击“确定”；8) 关闭组策略编辑器；9) 关闭所有属性窗口；10) 关闭“Active Directory 用户和计算机”；11) 在客户端an-bjjohn-01登录看是否相关设置生效。l 对需要通过VPN访问的的用户赋予拨入权限1) 在“路由和远程访问”对话框中，右击“远程访问策略”，单击“新建远程访问策略”；2) 在“策略的好记的名称”文本框中输入Sales User；3) 在“添加远程访问策略中”，单击“添加”；4) 在所列的名称列表中选择Windows-Groups，单击“添加”；5) 在“组”对话框中，单击“添加”；6) 在列出的对象中，选择需要被授予VPN访问的权限的用户john；7) 单击“添加”；8) 单击“确定”两次；9) 单击“下一步”；10) 在“添加远程访问策略”对话框中，单击“授予远程访问策略”；11) 单击“下一步”；12) 单击“完成”。1.1.5 日志策略配置目的序号严重级别安全问题风险解决方案74没有将所有日志的保存方法设为“按需要改写日志”日志不完整或日志伪造修改日志设置82事件日志文件使用缺省大小不完整记录或者日志伪造修改日志设置解决方法Windows 2003默认的日志大小，每项只有512KB，如果超出，自动覆盖日期在7天以前的记录。出于安全考虑，日志，特别是安全日志，需要长期保留，因此需要修改日志设置。在该任务中，我们将修改日志的大小和覆盖设置。同时要求学生尝试进行日志转储，并将转储的日志文件与实验伙伴交换，尝试打开对方的日志文件。操作步骤1) 以管理员身份登录atatest；2) 在“管理工具” 菜单中，打开“事件查看器”；3) 右击“安全日志”，查看“属性”；4) 将“最大日志大小”设置为50MB；5) 将“达到日志最大尺寸时的动作”设置为“不改写事件（手动清除日志）”；6) 对“系统日志”等其它日志，设置最大大小和改写设置；7) 右击“系统日志”，选择“另存日志文件”；8) 指定存储位置和日志文件名称，选择“保存类型”为“事件日志（*.evt）”，单击“保存”；9) 重复步骤6和步骤7，但是把存储文件类型改为“文本（以制表符分隔）（*.txt）”；10) 与实验伙伴交换步骤7和步骤8生成的日志文件；11) 在“事件查看器（本地）”单击右键，选择“打开日志文件”，然后选择实验伙伴的*.evt格式的日志文件，日志类型选择“系统”，然后单击“打开”；12) 查看打开的日志文件，注意有很多项会显示“本地计算机可能没有必要的注册信息或消息 DLL 文件来从远端计算机显示消息”，无法提供足够的信息；13) 双击实验伙伴的*.txt格式的日志文件，用记事本查看内容，可以看到完整内容；14) 关闭记事本；15) 关闭“事件查看器”。1.1.6 企业安全策略管理考虑目的序号严重级别安全问题风险解决方案94没有法律顾问触犯法律或者不能及时得到法律支持聘请专业法律顾问154没有安全管理的流程安全管理混乱，容易导致信息泄漏明确安全管理流程173没有设置专职的信息安全管理人员安全管理混乱组织安全管理小组183没有详细的安全管理文档安全管理混乱编写整理相近的安全管理方案解决方法l 聘请相关专业法律顾问l 明确公司安全管理流程，设定北京和上海安全信息管理员和安全管理督察职位和相关人员，明确日常关于安全的相关流程和问题解决方式l 把相关安全管理文档作为公司内部制度，明确到每一个员工，也可以参考附件internet访问安全策略1.1.7 审核策略配置目的序号严重级别安全问题风险解决方案114没有针对登录事件进行审核非法登录开启审核124没有策略更改的记录非法修改策略开启审核243没有针对重要文件进行审核非法访问和修改开启审核解决方法为了记录用户跟安全相关动作的发生和动作细节，我们需要开启审核策略，记录用户账户登录，对文件资源的访问，特权的使用等信息。Windows 2003默认情况下没有开启任何的审核策略，根据安全规划方案的要求，我们需要在该任务开启审核。操作步骤：1) 以管理员身份登录an-bjjohn-01；2) 从“管理工具”中选择“本地安全策略”；3) 在“本地策略”下选择“审核策略”；4) 在右侧的详细信息窗格，双击“审核对象访问”；5) 在“审核对象访问”窗口，选择“成功”和“失败”操作进行审计，该审核可以对文件，文件夹，注册表，打印机等对象的访问活动进行记录，开启该项审核后，还需要在的对象的SACL（系统访问控制列表）中进行设置。单击“确定”；6) 在右侧的详细窗格，双击“审核登录事件”；7) 在“审核登录事件”窗口，设置对“成功”操作进行审计。该项审核会记录在这台计算机上用户账户登录，注销，以及建立网络连接的事件。该审核信息有助于发现是否有用户非常访问服务器。单击“确定”；8) 在右侧的详细窗格，双击“审核账户登录事件”，设置对“失败”操作进行审核，单击“确定”。注意“账户登录事件”产生于该账户所在的位置，而“登录事件”产生于登录发生的地方。在企业环境下，在域控制器上开启“审核账户登录事件”，在敏感服务器上开启“登录事件”；9) 在右侧的详细窗格，双击“审核策略更改”，设置对“失败”和“成功”操作进行审核；10) 查看其它可用的审核策略，查看帮助，了解其作用，决定是否开启；11) 关闭“本地安全策略”；12) 对某个文件夹（如系统目录inetpub），右键查看“属性”，在“安全”页下，单击“高级”，在“审核”中，添加要审核的用户，用户组和动作；13) 重新启动计算机；14) 从“管理工具”打开“事件查看器”，在“安全”选项卡下，查看审核记录。1.1.8 安全模板配置策略目的序号严重级别安全问题风险解决方案134没有利用组策略的安全模板进行配置分散的安全管理使用安全模板进行集中安全管理解决步骤安能公司的安全策略需要定期审查员工计算机的安全设置，并启动公司安全策略包含的安全设置。公司制定的安全策略指定了一些安全限制，必须将其强制应用到网络中的服务器。需要对服务器使用的安全模板配置下面一些安全设置：l 只允许管理员关闭计算机l 任何用户试图登录时，应出现一个声明警告他们本计算机不允许非授权访问l 上次登录用户的用户名不出现在“登录到 Windows”对话框中，以防止非授权用户收集特权用户的登录名在以普通用户john登录到 的域中，然后在桌面上创建一个包含“安全配置和分析”和“安全模板”管理单元的MMC 控制台。将该控制台命名为 Security Tools 并保存在你的桌面上。1) 用以下信息登录：用户名：john密码：Password登录到：atatest2) 单击“开始”，然后单击“运行”；3) 在“打开”对话框中输入“mmc”，然后单击“确定”；4) 在“控制台1”窗口中，在“控制台”菜单上,单击“添加/删除管理单元”；5) 在“添加/删除管理单元”对话框中,单击“添加”；6) 在“添加独立管理单元”对话框中，在“可用的独立管理单元”下依次单击“安全配置和分析”、“添加”和“安全模板”，然后单击“添加”；7) 单击“关闭”来关闭“添加独立管理单元”对话框，然后单击“确定”来关闭“添加 / 删除管理单元”对话框；8) 在“控制台”菜单上，单击“另存为”；9) 在“另存为”框中浏览到桌面；10) 在“文件名”框中，输入“Security Tools”，然后单击“保存”；11) 关闭“Security Tools”；12) 用刚创建的控制台来创建一个名为 Server Security Template 的安全模板（其中 Server 是计算机名）在桌面上，右击“Security Tools”，然后单击“运行为”；13) 在“以其它用户身份运行”对话框中，填入管理员的用户名和密码，分别为“Administrator”和“Password”；14) 在“域”框中，输入“”，然后单击“确定”；15) 在控制台目录树中，展开“安全模板”，右击 “C:WINNTSecurityTemplates”，然后单击“新加模板”；16) 在 C:WINNTSecurityTemplates 对话框中，在“模板名”框中输入“Server Security Template”（其中 Server 是你的计算机名）；17) 在“描述”框中，输入“Corporate Standard Server Settings”，然后单击“确定”；18) 配置安全模板以只允许管理员关闭系统在控制台目录树中，依次展开 C:WINNTSecurityTemplates、Server Security Template（其中 Server 是计算机名）和“本地策略”；19) 在“本地策略”下，单击“用户权利指派”，然后在详细信息窗格中双击“关闭系统”；20) 在“模板安全策略设置”对话框中，选择“在模板中定义这个策略设置”复选框，然后单击“添加”；21) 在“添加用户或组”对话框中，单击“浏览”；22) 在“选择用户或组”对话框中，在“查找范围”框中，确认计算机已被选中；23) 在“名称”下，单击“Administrators”，再单击“添加”，然后单击“确定”；24) 单击“确定”关闭“添加用户或组”对话框，然后单击“确定” 关闭“模板安全策略设置”对话框；25) 在详细信息窗格中，注意 Administrators会 出现在“关闭系统”的右边；26) 配置安全模板来防止上次的用户名出现在“登录到 Windows”对话框中在控制台目录树中，单击“安全选项”，然后在详细信息窗格中，双击“登录屏幕上不要显示上次登录的用户名”；27) 在“模板安全策略设置”对话框中，选择“在模板中定义这个策略设置” 复选框，单击“已启用”，然后单击“确定”；28) 在详细信息窗格中，注意“已启用”会出现在“登录屏幕上不要显示上次登录的用户名”的右边；29) 配置安全模板使对正在登录的用户显示下面的消息：LEGAL NOTICE：Authorized Users Only 在详细信息窗格中，双击“用户试图登录时消息文字”；30) 在“模板安全策略设置”对话框中，选择“在模板中定义这个策略设置” 复选框；31) 输入“Unauthorized access is prohibited. If you are not an authorized user, do not attempt to log on”，然后单击“确定”；32) 在详细信息窗格中双击“用户试图登录时消息标题”；33) 在“模板安全策略设置”对话框中，选择“在模板中定义这个策略设置”复选框；34) 输入“LEGAL NOTICE: Authorized Users Only”，然后单击“确定”；35) 在详细信息窗格中，注意已出现所定义的消息设置；36) 在控制台目录树中右击“Server Security Template”（其中 Server 是计算机名），然后单击“保存”。1.1.9 物理安全策略目的序号严重级别安全问题风险解决方案144任何人能够进入电脑机房物理安全威胁从管理上进行控制解决步骤在机房处安装门卡锁，同时设定只有特定人员才能进入机房，并对进入的相关人员给予记录，在公司明确机房管理制度，明确私自进入机房的人员给予惩罚。1.1.10 应急机制安全策略目的序号严重级别安全问题风险解决方案164没有应对紧急事件的机制延误时机，使安全破坏更为严重成立安全紧急响应小组解决步骤：安全事件响应流程l 初步评估，发现安全事件的人员进行初步评估，排除误报可能性l 内部通报，向整个事件响应小组进行通报，启动处理机制l 控制损失，采取紧急措施，避免进一步恶化l 确定攻击类型，以及风险等级l 确定损失，确定此次安全事件影响范围，评估对企业造成的损失l 消除风险，防止该安全事件出现在其他系统或者部门l 保存证据，对受到破坏的主机进行符合法律要求证据保存l 通知外部机构，如商业伙伴，政府机关l 恢复受攻击影响系统l 事件相关资料整理和总结下面是安能公司虚拟的安全事件，按照一般的事件响应机制和流程。学生可能会有不同的答案，基本的流程正确即可。 事件响应步骤采取的行动初步评估星期一早上十点钟，安能公司的系统管理员李勇接到公司销售部门的员工张娟的电话，说在访问公司对外Web网站时，发现主页被篡改。李勇是安能公司的安全安全事件响应小组的成员，公司员工已经经过培训，被要求一旦怀疑发现安全事件，立刻向IT部门报告。李勇接到电话后，立刻访问公司主页，发现确实被人篡改，入侵者留下了恶作剧般的声明，但并没有表明身份和目的。这不是误报通报事件李勇立刻通过电子邮件通报了他发现的问题，并电话通知了所有可以联系到的安全小组成员控制损失安能公司的安全事件响应策略规定，在确定暴露在Internet上的某台服务器被入侵后，要求立即断开该系统与网络的连接。李勇按照此策略拔掉了网线。但是没有考虑到对企业业务的影响，暂时没有断开整个企业到Internet的连接确定破坏程度李勇检查了防火墙日志，检查了邮件服务器和数据库服务器，暂时没有发现有入侵痕迹。由于该Web服务器属于独立的工作组，其上存在的用户账户也没有被用在其他的系统上，基本可以断定该次安全事件只影响到了Web服务器通报事件李勇将其后续操作及检查结果用电子邮件通知了安全事件响应小组的其他成员，并直接联系了安全事件响应小组领导人公司副总经理张杰。张杰指派CIO余明作为事件负责人。余明将协调安全事件响应小组的所有活动及其与外部的信息沟通。余明通知IT 支持小组，告诉他们该 Web 服务器已断开与网络的连接，待问题解决后才能重新连接到网络上。余明还通知了行政管理层和法律顾问。法律顾问建议按既定步骤收集证据保存证据余明决定根据法律顾问的建议，在对受到入侵的Web服务器进行进一步入侵分析之前进行证据收集，以避免分析活动破坏证据。李勇和王勇则继续监视其他 Web 服务器并记录可疑活动。安全事件响应小组中经过培训负责收集法律证据的一名成员创建了该Web服务器的完全备份。一个备份被保存起来作为以后的法律证据使用。另一个备份被保存起来作为接下来数据恢复中可能用到数据保存。按照安全策略规定，作为法律证据的备份保存在只可写入一次的刻录光盘上，在密封以后与服务器上的硬盘一起放在一个安全的位置确定攻击的类型合严重程度另一名安全事件响应小组成员王勇， 对该Web服务器运行了MBSA，发现针对IIS多个有重要的漏洞修补程序没有打，入侵者可能通过Unicode解码漏洞或者索引服务漏洞成功入侵。对Web服务器的进行HTTP日志分析发现，入侵者使用Unicode漏洞入侵，并记录了入侵者的IP地址。同时使用其他安全检查工具，对账户，注册表，安全策略进行检查，以确定入侵者是否还进行了其他破坏。王勇也对其他的服务器进行了MBSA的扫描，没有发现其他问题通知外部机构信息沟通官人员将此事件相关信息报告给了公安部门。同时，考虑到某些客户可能通过企业Web站点进行合同信息的修改，立刻通知了可能受到影响的客户，建议他们暂时使用传真和电子邮件进行交流恢复系统但出于安全考虑，安全事件响应小组和 WEB服务器支持小组决定在新硬盘上重新安装操作系统，重新配置Web站点，以确保没有留下可被黑客利用的后门。重新安装了操作系统，配置了IIS后，立刻安装了最新的服务包，安全修补程序，配置了安全选项，运行了IIS Lockdown，安装了防病毒软件并升级到最新的病毒特征库。王勇找到了最近的Web站点数据文件，并检查不存在病毒，然后还原了数据。安全事件响应小组执行了一次完整的系统漏洞评估，Web服务器被重新连接到网络上，并受到密切监控整理和回顾余明和安全事件响应小组召开了会议，研究了出现漏洞的原因，最后确定Web服务器在最近被重新安装过，但没有安装修补程序。这与明确定义的安全策略是相违背的。安全事件响应小组安全事件响应小组的认为，此次事件表明，企业安全策略没有被完全遵守，表现在：1、 操作系统重新安装后，系统管理员没有应用修补程序；2、 未经过信息安全部门的批准，使该服务器上线运行。安全事件响应小组建议对相关当事人进行处罚，并在企业内进行安全策略的相关培训。余明和安全事件响应小组整理了所有的记录资料，以确定针对此事件完成了哪些任务、每项任务所用的时间，以及是谁执行的任务。此信息发送给财务部门，用以根据“公认会计原则”来计算计算机损失的代价。紧急响应小组负责人张杰将确保让公司管理层了解到了该事件的损失，事件发生的原因，以及防止此类事件再次发生的计划。这也是让管理层认识到企业安全策略，以及类似于紧急安全响应小组存在得价值。小组中适当的成员检查总结了全部的记录资料、得到的经验教训，以及遵守和未遵守的策略，作为档案保存。采取的相关法律行动的记录资料和步骤通过了公司法律顾问、安全事件响应小组负责人和公司管理层的审查1.1.11 数据库服务器安全配置目的序号严重级别安全问题风险解决方案204数据库权限没有严格限定条件非法防问严格权限管理323Sql 安全配置不足存在可以被入侵者利用的漏洞进行SQL安全配置解决步骤1) 以管理员身份登录databaseserver；2) 启动 SQL Server 企业管理器；3) 在控制台树中，依次展开Microsoft SQL Server 和 SQL Server 组；4) 右击你的服务器databaserver，再单击“属性”；5) 单击“安全性”选项卡；6) 确认选中 “仅 Windows”，再单击“确定”；7) 在 SQL Server 企业管理器中，依次展开服务器和“安全性”容器；8) 右击“登录”，再单击“新建登录”；9) 单击john域账号，并允许这些 Windows 2003 账户访问你的 SQL Server；10) 打开 SQL 查询分析器，如有要求登录, 则使用 Windows 身份验证登录到（local）服务器；11) 从 Windows 2003 注销；12) 以john用户登录，查看是否能够登录sql数据库；13) 从windows 2003注销；14) 以cy用户登录，查看是否登录sql数据库。l 拒绝 Windows 2003 组或用户的访问在这个过程中，你将拒绝 annenjohn账户的访问。1) 启动 SQL Server 企业管理器；2) 依次展开 Microsoft SQL Server 、SQL Server 组和你的服务器；3) 展开“安全性”，再单击“登录”；4) 在详细信息窗格中，右击 “annenjohn”，再单击“属性”；5) 在“安全性访问”中，选择“拒绝访问”，再单击“确定”；6) 从 Windows 2003 注销；7) 以john用户登录，查看是否能够访问sql 数据库。l 查看相关服务器修补程序版本，防止blaster病毒1) 以管理员用户登录；2) 打开 SQL 查询分析器，如有要求登录, 就使用 Windows 身份验证登录到（local）服务器；3) 输入exec sp_version；4) 单击执行；5) 查看是否安装了sql server sp3,如果没有安装查看修补程序部署一节；6) 关闭相关窗口。1.1.12 系统分区配置策略目的序号严重级别安全问题风险解决方案214文件服务器的分区格式采用FAT分区格式没有本地安全性转换为NTFS文件系统解决步骤1) 以管理员身份登录Atatest；2) 从“管理工具”中选择“本地安全策略”；3) 单击“磁盘管理”；4) 查看右边的详细信息窗格，看是否存在非NTFS分区，（这里假设E分区不是NTFS）；5) 关闭刚才打开的窗口；6) 单击“开始”，在运行对话框中；7) 输入cmd后单击“回车”；8) 输入convert e:/fs ntfs 后单击“回车”；9) 根据提示重启计算机；10) 重复步骤1到5，查看是否转换成功。1.1.13 匿名安全访问策略配置目的序号严重级别安全问题风险解决方案223没有限制匿名用户访问空会话威胁在安全选项汇总进行修改解决方法在安全选项中，通过对匿名访问的限制，避免“空会话”带来的信息泄露风险。其次，在用户权利指派中，把“从网络访问这台计算机”的权限不授予Everyone组，或者只授予需要访问的用户或组，以减少入侵的风险。操作步骤1) 以管理员身份登录an-bjjohn-01；2) 从“管理工具”中打开“本地安全策略”；3) 在“本地策略”下选择“安全选项”；4) 在右侧的详细窗格，双击“对匿名用户的附加限制”，选择“不允许SAM账户和共享枚举”，单击确认；5) 在左侧窗格中，选择“用户权利指派”；6) 在右侧详细窗格中，双击“从网络访问此计算机”，把其中Everyone组去掉。单击“确认”；7) 关闭 “本地安全策略”。也可以考虑使用ipsec加密服务器之间的通信1.1.14 协议安全配置目的序号严重级别安全问题风险解决方案233没有删除不需要的协议，并且禁用NetBIOS over TCP/IP存在潜在的协议漏洞只安装必要的协议，并禁止NBT解决方法为计算机安装非必要的组件和协议，除了浪费系统资源以外，可能因为某些组件和协议的缺陷导致计算机面临安全威胁。因此需要进行整理，把非必需的的协议和组件去掉。“文件和打印共享服务”只对文件和打印服务器有用，对于非文件和打印服务器来说，需要禁用。1) 从“开始”菜单指向“设置”，单击“控制面板”，打开“网络和拨号连接”，右击“我的连接”，单击“属性”；2) 只保留“Internet协议（TCP/IP）”，清楚其它的协议和组件前的复选框；3) 特别留意“Microsoft网络客户端”和“Microsoft网络的文件和打印共享服务”；4) 为避免影响后续的实验，不要保存设定。l 禁用“NetBIOS over TCP/IP”“NetBIOS over TCP/IP”为Windows网络的计算机之间提供互联服务，如计算机浏览，共享文件夹和打印机，但是存在通过网络泄露信息的可能性。对于非文件和打印服务器来说，需要禁用。1) 从“开始”菜单指向“设置”，单击“控制面板”，打开“网络和拨号连接”，右击“我的连接”，单击“属性”；2) 选定“Internet协议（TCP/IP）”，单击“属性”，然后单击“高级”；3) 单击“WINS”选项卡，在“NetBIOS设置”中，选择“禁用TCP/IP上的NetBIOS”；4) 为避免影响后续的实验，不要保存设定。1.1.15 安全备份策略目的序号严重级别安全问题风险解决方案253缺少有效的备份计划和定期检查策略灾难发生时无法从备份中恢复数据制定备份计划并进行定期检查解决步骤安能公司财务部门很关心注册表数据丢失的问题。他们已安装好一台成员服务器并设置了用户和组。他们希望知道“备份”如何用来保护服务器避免管理失误（比如错误删除用户或组）。你将在财务部门使用 Windows2003 Advanced Server演示“备份”以检测备份系统状态数据的能力。1) 以 Administrator用户账户登录an-bjjohn-01。使用“备份”将系统状态数据备份到 C:Backup.bkf；2) 以管理员身份登录an-bjjohn-01；3) 单击“开始”，指向“程序”，指向“附件”，指向“系统工具”，然后单击“备份”；4) 在“欢迎”选项卡上，单击“备份向导”左边的按钮；5) 在“欢迎使用 Windows 2003 备份及故障恢复工具”页上，单击“下一步”；6) 在“要备份的内容”页上，单击“只备份系统状态数据”，然后单击“下一步”；7) 在“备份保存的位置”页上，输入“C:Backup.bkf”，并单击“下一步”；8) 在“完成备份向导”页上，单击“高级”；9) 在“备份类型”页上，确认选择了“普通”，然后单击“下一步；10) 在“如何备份”页上，选定“备份后验证数据”复选框，然后单击“下一步”；11) 在“媒体选项”页上，单击“下一步”，接受默认设置；12) 在“备份标签”页上，单击“下一步”，接受默认设置；13) 在“备份时间”页上，单击“下一步”，接受默认设置；14) 在“完成备份向导”页上，单击“完成”；15) 备份完成后，单击“关闭”，关闭“备份进度”对话框，然后关闭“备份”。l 测试备份工作正常1) 以 Administrator用户账户登录an-bjjohn-01；2) 从“管理工具”菜单打开“计算机管理”；3) 在控制台目录树的“系统工具”下，展开“本地用户和组”，单击“用户”，然后验证john用户账户出现在详细信息窗格内；4) 关闭“计算机管理”，然后注销。1.1.16 特定网络服务安全策略配置（DNS）目的序号严重级别安全问题风险解决方案263没有针对DNS服务器的传输进行安全有效验证非法的区域传输限制DNS区域传输解决方法默认情况下，Windows 2003 Server的DNS服务器开启区域传输，并允许所有的DNS服务器进行区域传输。为了避免被入侵者获取DNS数据，从而了解企业内部网络结构，需要对DNS区域传输进行修改，关闭或者限定能够进行区域传输的服务器。同时，为了避免遭受DNS毒化攻击，开启DNS 缓存防中毒保护，为了避免外部用户访问仅供内部使用的DNS服务器上的记录，在仅供内部使用的DNS服务器上，设置为仅供内部访问。操作步骤1) 以管理员身份登录计算机shanghaidc；2) 从“开始”菜单指向“程序”，指向“管理工具”，单击DNS；3) 右击Server Name，单击“属性”；4) 在“接口”选项卡下，把“所有IP地址”改为“仅在以下IP地址”； 5) 单击“高级”选项卡，确保“保护缓存防止污染”被选中；6) 单击“确定”，关闭“属性”页；7) 展开需要配置的正向或者反向查找区域，在对应名称上右击，单击“属性”；8) 单击“区域复制”标签，清除“允许区域复制”复选框，或者将“到所有服务器”改为“只允许到下列服务器”，并指定允许区域复制的DNS服务器的IP地址；9) 单击“确定”，关闭“属性”页；10) 关闭DNS。1.1.17 用户验证配置策略目的序号严重级别安全问题风险解决方案273用户登录验证是明文传输网络窃听修改安全选项解决步骤1) 以管理员身份登录shangahaidc1；2) 在“管理工具”菜单中，打开“Active Directory 用户和计算机”；3) 在控制台目录树中，展开域，右击域名，单击“属性”；4) 在“组策略”选项卡中， 选择“Default Domain Policy”，单击“编辑”；5) 在“计算机配置”目录下，展开“Windows 设置”，展开“安全设置”，再展开“本地策略”，然后单击“安全选项”；6) 双击“Lan manager 身份验证级别”；7) 选中“定义这个策略设置”复选框；8) 选择“仅发送 NTLMv2 响应拒绝 LM & NTLM”；9) 单击“确定”；10) 关闭相关窗口；11) 关闭“Active Directory 用户和计算机”。注意：请向学生说明， windows 98的客户端将不能登录。1.1.18 IIS服务器的安全配置目的序号严重级别安全问题风险解决方案283IIS服务器安装了太多的不需要组件，也没有安装相关修补程序存在严重漏洞，容易被黑客攻击及时安装安全修补程序，并运行IISLockDown(2003不用)1.1.19 防火墙安全策略配置序号严重级别安全问题风险解决方案303防火墙没有开启入侵检测漏洞扫描与入侵检测系统联动1.1.20 SSL安全策略配置目的序号严重级别安全问题风险解决方案313网站安全验证的功能太弱网络窃听或者绕过登录验证使用SSL，检查验证模块强壮性解决步骤l 安装Windows 2003证书服务器1) 以管理员身份登录计算机；2) 从“开始”菜单指向“设置”，单击“控制面板”，单击“添加/删除程序”；3) 单击“添加/删除Windows 组件”，在可选项中选择“证书服务”，单击“详细信息”，确保“证书服务Web注册支持”和“证书服务颁发机构（CA）”2个选项都被选中，此时系统会提示“安装证书服务后，不能重命名计算机，并且计算机不能加入域或从域中删除，要继续吗？”，单击“是”继续；4) 单击“下一步”，选择“企业根CA”或者“独立根CA”，单击“下一步”继续；5) 填写CA的相关信息。单击“下一步”继续；6) 确认证书数据库及日志的位置，单击“下一步”开始安装；7) 安装完成后单击“完成”。l 配置IIS站点使用SSL1) 从“开始”菜单指向“程序”，指向“管理工具”，单击“Internet信息服务”；2) 右击“默认Web站点”，单击“属性”，选择“目录安全性”选项卡；3) 在“安全通信”框里单击“服务器证书”；4) 在证书申请向导中，选择“创建一个新证书”，单击“下一步”；5) 选择“现在准备请求，但稍候发送”，单击“下一步”；6) 输入证书的相关信息，单击“下一步”，注意名称应该和网站的名