系统安全方案(1).doc

系统安全方案 06教育技术 陶民200610400031对于各类服务器的操作系统要有严格的操作管理流程，对服务器的操作严格按照操作流程来做，这是最基本的要求，另外还要按照以下流程对操作系统进行安全设置：系统备份:安装好系统之后为了安全起见应及时安装系统备份软件目前有3种软件被大家广泛采用：一键GHOST、雨过天晴、还原精灵。当然了也可以用doc来进行备份，操作基本上可以选择自动就行了。1 安装防火墙、病毒软件并及时更新病毒库计算机病毒的危害日益加重，我们必须在服务器上安装防病毒软件，并做到及时更新。（1）安装杀毒软件如:卡巴斯基曾几何时，大家都在为卡巴斯基的杀毒能力叫好，每次听见卡巴的“杀猪声”让人格外兴奋，卡巴斯基就是有着这样的鲜明特点。早在卡巴斯基6、7 KIS开始，网页防护功能、与游戏平台的兼容、与部分软件、网络游戏的兼容存在问题。卡巴斯基用它的非常“暴力”特点，征服了用户未来将会继续走红。（2）安装系统防火墙如:瑞星个人防火墙 2008瑞星个人防火墙是瑞星公司较早出品的安全软件之一。瑞星个人防火墙的特点是资源占用不大，对于中文软件的识别率高，且不依赖于防火墙规则设定与用户自主操作，防护能力尚可。经历了数年的沧桑磨练，是一款比较成熟的防火墙软件。（3）关闭系统自动播放自动播放类病毒防不胜防，为了安全起见最好禁止自动播放功能,可用多种软件进行设置,如360安全卫士、超级兔子和优化大师的系统防护设置，当然也可以用XP下从开始菜单运行命令“gpedit.msc”，通过左侧菜单栏“计算机配置-管理模板-系统”内，找到“自动播放”项，进行关闭操作2 及时安装最新版本的SP和Hotfixes补丁程序要及时跟踪Microsoft公司发布SP以及hotfixes的消息，从而根据具体环境，在机器中安装最新的SP及hotfixes补丁程序。微软公司的产品补丁分为2类：SP（Service Pack）和HotFixes。SP是集合一段时间发布的HotFixes的大补丁，一般命名为SP1、SP2，一段时间才发布一次。HotFixes是小补丁，它位于当前SP和下一个SP之间，是为解决微软网站上最新安全告示（Security bulletin）中的系统漏洞而发布的，一般命名为“MS年份-序号”，比如MS01-044表示2001第44个HotFixes。可以设置系统为自动下载更新系统补丁。3 关掉不需要的服务安装完Windows 2000 Server后，我们就应该禁止掉该服务器不承担的任何网络服务程序。特别要考虑的是，是否需要运行文件和打印机共享服务。另外，除非特别需要，我们也不要在服务器上安装其他应用程序。比如说，不要安装电子邮件客户端程序、office产品等等。总之，不是必须运行的程序，不安装！ 4 对系统帐户进行安全设置 (1)禁用Guest账号 在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。 (2)限制不必要的用户去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 (3)创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。 (4)把系统Administrator账号改名大家都知道，Windows 2000 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。 (5)创建一个陷阱用户什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。 (6)把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。 (7)开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 (8)不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。 (9)密码安全设置 使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。 开启密码策略注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。 考虑使用智能卡来代替密码对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。 5 开启审核策略开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：策略设置：审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败6 限制LAS信息不被匿名访问LSA 是Local Security Authority的缩写，即本地安全颁发机构，它的功能是负责在本地计算机上处理用户登录与身份验证。LSA的信息非常重要，我们应该限制匿名用户对LSA的访问。要实现这个目的，需要修改注册表，步骤如下： 创建键值HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSARestrictAnonymous赋值为1，类型为REG_DWORD7 禁止对注册表的远程访问对注册表的远程访问会造成安全上的问题，我们的注册表中保留了机器的配置和安全信息，让别人知道总不是件好事。可以通过下面的方法禁止对注册表的远程访问：打开注册表编辑器，找到HKEY_LOCAL_MACHINESystemCurrentControlSetControlSecurePipeServersWinReg，设置其值为1即可8 关闭不需要的端口用端口扫描器扫描系统所开放的端口，确定开放了哪些端口，关闭不必要的端口，在system32driversetcservices文件中有知名端口和服务的对照表可供参考。具体方法为： 网上邻居属性本地连接属性internet 协议(tcp/ip)属性高级选项tcp/ip筛选属性打开tcp/ip筛选，添加需要的tcp,udp,协议即可。9 IIS的安全设置（1）避免把IIS安装在主系统分区上：把IIS安放在系统分区上，会使系统文件与IIS同样面临非法访问，容易使非法用户侵入系统分区。（2）修改IIS安装的默认目录（3）删除不必要的虚拟目录IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。（4）删除不必要的应用程序映射ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击配置按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击编辑按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。（5）保护日志安全日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。 修改IIS日志的存放路径默认情况下，IIS的日志存放在%WinDir%System32LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的属性按钮，在“常规属性”页面，点击浏览按钮或者直接在输入框中输入日志存放路径即可。 修改日志访问权限，设置只有管理员才能访问。（6）使用SSL安全机制IIS的身份认证除了匿名访问、基本验证和Windows NT请求/响应方式外，还有一种安全性更高的认证：通过SSL（Security Socket Layer）安全机制使用数字证书。 SSL（加密套接字协议层）位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性。SSL是工作在公共密钥和私人密钥基础上的，任何用户都可以获得公共密钥来加密数据，但解密数据必须要通过相应的私人密钥。使用SSL安全机制时，首先客户端与服务器建立连接，服务器把它的数字证书与公共密钥一并发送给客户端，客户端随机生成会话密钥，用从服务器得到的公共密钥对会话密钥进行加密，并把会话密钥在网络上传递给服务器，而会话密钥只有在服务器端用私人密钥才能解