收藏
下载资源

第4章_操作系统安全策略

上传人:工**** 文档编号:586638543 上传时间:2024-09-05 格式:PPT 页数:40 大小:201.50KB
返回 下载 相关 举报
第4章_操作系统安全策略_第1页
第1页 / 共40页
第4章_操作系统安全策略_第2页
第2页 / 共40页
第4章_操作系统安全策略_第3页
第3页 / 共40页
第4章_操作系统安全策略_第4页
第4页 / 共40页
第4章_操作系统安全策略_第5页
第5页 / 共40页
点击查看更多>>
资源描述

《第4章_操作系统安全策略》由会员分享,可在线阅读,更多相关《第4章_操作系统安全策略(40页珍藏版)》请在金锄头文库上搜索。

1、第第 4章:操作系统安全与策略章:操作系统安全与策略第第4章章 操作系统安全与策略操作系统安全与策略4.1 4.1 操作系统安全概述操作系统安全概述4.2 Windows20004.2 Windows2000安全概述安全概述4.3 Windows20004.3 Windows2000的用户安全和管理策略的用户安全和管理策略4.4 NTFS4.4 NTFS文件和文件夹的存取控制文件和文件夹的存取控制4.5 4.5 使用审核资源使用审核资源4.6 Windows20004.6 Windows2000的安全应用的安全应用第第 4章:操作系统安全与策略章:操作系统安全与策略4.1 操作系操作系统安全概

2、述安全概述返回本章首页返回本章首页4.1.1 操作系统安全操作系统安全4.1.2 操作系统的操作系统的2000安全机制安全机制4.1.3 操作系统的安全策略操作系统的安全策略4.1.4 操作系统的漏洞和威胁操作系统的漏洞和威胁第第 4章:操作系统安全与策略章:操作系统安全与策略1系统安全系统安全不允许未经核准的用户进入系统,从而可以防止他不允许未经核准的用户进入系统,从而可以防止他人非法使用系统的资源是系统安全管理的任务。人非法使用系统的资源是系统安全管理的任务。 2用户安全用户安全操作系统中,用户对文件访问权限的大小,是根据操作系统中,用户对文件访问权限的大小,是根据用户分类、需求和文件属性

3、来分配的。用户分类、需求和文件属性来分配的。 3资源安全资源安全资源安全是通过系统管理员或授权的资源用户对资资源安全是通过系统管理员或授权的资源用户对资源属性的设置,来控制用户对文件、打印机等的访源属性的设置,来控制用户对文件、打印机等的访问。问。 4通信网络安全通信网络安全4.1.1 操作系统安全操作系统安全第第 4章:操作系统安全与策略章:操作系统安全与策略操作系统的安全机制主要有身份鉴别机制、访问操作系统的安全机制主要有身份鉴别机制、访问控制和授权机制和加密机制。控制和授权机制和加密机制。1身份鉴别机制身份鉴别机制身份鉴别机制是大多数保护机制的基础。分为内身份鉴别机制是大多数保护机制的基

4、础。分为内部和外部身份鉴别两种。部和外部身份鉴别两种。 2访问控制和授权机制访问控制和授权机制访问控制是确定谁能访问系统,能访问系统何种资源以及访问控制是确定谁能访问系统,能访问系统何种资源以及在何种程度上使用这些资源。在何种程度上使用这些资源。 3加密机制加密机制加密是将信息编码成像密文一样难解形式的技术加密是将信息编码成像密文一样难解形式的技术. 4.1.2 操作系统的安全机制操作系统的安全机制第第 4章:操作系统安全与策略章:操作系统安全与策略安安全全策策略略是是根根据据组组织织现现实实要要求求所所制制定定的的一一组组经经授授权权使使用用计计算算机机及及信信息息资资源源的的规规则则,它它

5、的的目目标标是是防防止止信信息息安安全全事事故故的的影影响响降降为为最最小小,保保证证业业务务的的持持续性,保护组织的资源,防范所有的威胁。续性,保护组织的资源,防范所有的威胁。1口令策略口令策略2访问控制与授权策略访问控制与授权策略3系统监控和审计策略系统监控和审计策略(1)建立并保存事件记录)建立并保存事件记录(2)对系统使用情况进行监控)对系统使用情况进行监控4.1.3 操作系统的安全策略操作系统的安全策略第第 4章:操作系统安全与策略章:操作系统安全与策略1)以操作系统为手段,获得授权以外或未授权的信)以操作系统为手段,获得授权以外或未授权的信息。它危害计算机及其信息系统的保密性和完整

6、性。息。它危害计算机及其信息系统的保密性和完整性。例如,例如,“特洛伊木马特洛伊木马”、“逻辑炸弹逻辑炸弹”等都是如此。等都是如此。2)以操作系统为手段,阻碍计算机系统的正常运行)以操作系统为手段,阻碍计算机系统的正常运行或用户的正常使用。或用户的正常使用。3)以操作系统为对象,破坏系统完成指定的功能。)以操作系统为对象,破坏系统完成指定的功能。除了计算机病毒破坏系统运行和用户正常使用外,还除了计算机病毒破坏系统运行和用户正常使用外,还有一些人为因素,如干扰、设备故障和误操作也会影有一些人为因素,如干扰、设备故障和误操作也会影响软件的正常运行。响软件的正常运行。4)以软件为对象,非法复制和非法

7、使用。)以软件为对象,非法复制和非法使用。5)以操作系统为手段,破坏计算机及其信息系统的)以操作系统为手段,破坏计算机及其信息系统的安全,窃听或非法获取系统的信息。安全,窃听或非法获取系统的信息。4.1.4 操作系统的漏洞和威胁操作系统的漏洞和威胁第第 4章:操作系统安全与策略章:操作系统安全与策略4.2 Windows 2000安全概述安全概述4.2.1 4.2.1 安全登录安全登录4.2.2 4.2.2 访问控制访问控制4.2.3 4.2.3 安全审计安全审计4.2.4 4.2.4 WINDOWS2000的安全策略的安全策略返回本章首页返回本章首页第第 4章:操作系统安全与策略章:操作系统

8、安全与策略4.2.1 4.2.1 安全登陆安全登陆要求在允许用户访问系统之前,输入惟一的登要求在允许用户访问系统之前,输入惟一的登录标识符和密码来标识自己。安全特性有:录标识符和密码来标识自己。安全特性有:(1)用户帐号)用户帐号(2)组)组(3)Kerberos 身份验证协议身份验证协议第第 4章:操作系统安全与策略章:操作系统安全与策略4.2.2 4.2.2 访问控制访问控制允许资源的所有者决定哪些用户可以访问资源允许资源的所有者决定哪些用户可以访问资源和他们可以如何处理这些资源。所有者可以授和他们可以如何处理这些资源。所有者可以授权给某个用户或一组用户,允许他们进行各种权给某个用户或一组

9、用户,允许他们进行各种访问。安全特性有:访问。安全特性有:1)活动目录:)活动目录: 2)NTFS的权限。的权限。3)共享文件访问许可。)共享文件访问许可。4)分布式文件系统。)分布式文件系统。第第 4章:操作系统安全与策略章:操作系统安全与策略4.2.3 4.2.3 安全审计安全审计提供检测和记录与安全性有关的任何创建、访问提供检测和记录与安全性有关的任何创建、访问或删除系统资源的事件或尝试的能力。登录标识或删除系统资源的事件或尝试的能力。登录标识符记录所有用户的身份,这样便于跟踪任何执行符记录所有用户的身份,这样便于跟踪任何执行非法操作的用户。非法操作的用户。1)审计资源的使用。)审计资源

10、的使用。2)监控网络资源的访问行为。)监控网络资源的访问行为。第第 4章:操作系统安全与策略章:操作系统安全与策略4.2.4 4.2.4 WINDOWS2000的安全策略的安全策略 1Windows 2000安全策略的内容安全策略的内容安全策略主要包括如下安全策略主要包括如下3个方面:本地安全策略,域安全策略,个方面:本地安全策略,域安全策略,域控制器安全策略。域控制器安全策略。(1)本地组策略)本地组策略使用这些对象,组策略设置可以存储在个人计算机上,无论使用这些对象,组策略设置可以存储在个人计算机上,无论这些计算机是否为这些计算机是否为Active Directory环境或网络环境的一部环

11、境或网络环境的一部分。分。 (2)域安全策略和域控制器安全策略)域安全策略和域控制器安全策略域安全策略和域控制器安全策略应用于域内,针对站点、域域安全策略和域控制器安全策略应用于域内,针对站点、域或组织单位设置组策略或组织单位设置组策略. 域安全策略与域控制器安全策略的配置内容相似。域安全策略与域控制器安全策略的配置内容相似。 第第 4章:操作系统安全与策略章:操作系统安全与策略4.3 WINDOWS2000 的用户安全和管的用户安全和管理策略理策略 4.3.1 用户账户和组用户账户和组4.3.2 WINDOWS 2000系系统统的的用用户户账户的管理账户的管理4.3.3 Windows 20

12、00组管理与策略返回本章首页返回本章首页第第 4章:操作系统安全与策略章:操作系统安全与策略4.3.1 用户账户和组用户账户和组在网络环境中,用户帐户能用来保证系统安全,防止用户非在网络环境中,用户帐户能用来保证系统安全,防止用户非法使用计算机资源。法使用计算机资源。用户帐号最重要的组成部分是用户名和密码。用户帐号最重要的组成部分是用户名和密码。 1用户帐户用户帐户(1)用户帐号的类型)用户帐号的类型在在Windows 2000中有两种用户帐户:本地用户帐户和域用中有两种用户帐户:本地用户帐户和域用户帐户。户帐户。(2)内置用户帐户)内置用户帐户 1)Administrator帐户帐户 2)G

13、uest帐户帐户2组组组是用户帐户的集合。通过组能够极大地简化用户帐户的管组是用户帐户的集合。通过组能够极大地简化用户帐户的管理任务。理任务。 第第 4章:操作系统安全与策略章:操作系统安全与策略4.3.2 WINDOWS 2000系统的用户账户系统的用户账户 的管理的管理 1管理的基本内容管理的基本内容 为使管理过程合理化和实现适当的安全措施,在为使管理过程合理化和实现适当的安全措施,在管理用户账户时应考虑如管理用户账户时应考虑如下下5个问题:个问题: 1)命名约定;)命名约定; 2)密码要求;)密码要求; 3)登录时间与站点限制;)登录时间与站点限制; 4)主文件夹的位置;)主文件夹的位置

14、; 5)配置文件的设置。)配置文件的设置。第第 4章:操作系统安全与策略章:操作系统安全与策略2设置账户策略设置账户策略为了增强用户账户密码的安全性和有效性,为了增强用户账户密码的安全性和有效性,Windows2000将账户密码的设置作为安全策略之一将账户密码的设置作为安全策略之一提供给管理员。提供给管理员。设置的方法是使用组策略编辑器中的账户策略设置设置的方法是使用组策略编辑器中的账户策略设置功能,账户策略包括账户的密码策略、账户的锁定功能,账户策略包括账户的密码策略、账户的锁定策略和策略和Kerberos策略三个方面。策略三个方面。 第第 4章:操作系统安全与策略章:操作系统安全与策略第第

15、 4章:操作系统安全与策略章:操作系统安全与策略(1)密码策略)密码策略密码策略中的设置是有关密码的设置,如图所示,密码策略密码策略中的设置是有关密码的设置,如图所示,密码策略包括下列包括下列6项限制。项限制。1)密码最长存留期。)密码最长存留期。2)密码最短存留期:密码最短存留期限制不允许用户频繁更)密码最短存留期:密码最短存留期限制不允许用户频繁更换密码,默认设置换密码,默认设置0表示用户可以任何时候更换密码。表示用户可以任何时候更换密码。3)最小密码长度:这是设置用户所使用的密码的最小长度。)最小密码长度:这是设置用户所使用的密码的最小长度。4)强制密码历史:该项设置的目的是为了避免用户

16、在短时间)强制密码历史:该项设置的目的是为了避免用户在短时间内重复使用相同的密码,默认情况下系统不会记录密码历史,内重复使用相同的密码,默认情况下系统不会记录密码历史,允许用户不断使用相同的密码。允许用户不断使用相同的密码。5)密码必须符合安装的密码筛选器的复杂性要求。)密码必须符合安装的密码筛选器的复杂性要求。6)用户必须登录以更改密码。)用户必须登录以更改密码。第第 4章:操作系统安全与策略章:操作系统安全与策略(2)账户锁定策略)账户锁定策略账户锁定是用来设置用户注册失败时的处理动作。账户锁定是用来设置用户注册失败时的处理动作。在图在图4-3中的账户锁定区中,如果选择了账户不锁定中的账户

17、锁定区中,如果选择了账户不锁定策略的话,系统将对用户的失败注册不做任何处理。策略的话,系统将对用户的失败注册不做任何处理。为了防止他人猜中用户的密码,建议使用账户锁定为了防止他人猜中用户的密码,建议使用账户锁定功能。功能。第第 4章:操作系统安全与策略章:操作系统安全与策略4.3.3 4.3.3 Windows 2000组管理与策略组管理与策略 1 Windows 2000组的形式组的形式从组的使用领域分为本地组、全局组和通用组三种从组的使用领域分为本地组、全局组和通用组三种形式。形式。(1)本地组)本地组在在Professional和成员服务器中使用本地组,本地和成员服务器中使用本地组,本地

18、组给用户访问本地计算机上的资源提供权限。组给用户访问本地计算机上的资源提供权限。(2)全局组)全局组全局组主要是用来组织用户,也就是将多个网络访全局组主要是用来组织用户,也就是将多个网络访问权类似的用户账户加人到同一个全局组内。问权类似的用户账户加人到同一个全局组内。 第第 4章:操作系统安全与策略章:操作系统安全与策略2Windows 2000组的规划组的规划建立组应按照下面准则进行:建立组应按照下面准则进行:1)根据用户的公共需求,逻辑上将用户组织起来;)根据用户的公共需求,逻辑上将用户组织起来;2)在用户账户驻留的每个域中,为每个用户的逻辑组)在用户账户驻留的每个域中,为每个用户的逻辑组

19、建立一个全局组,然后将适当的用户账户添加到适当建立一个全局组,然后将适当的用户账户添加到适当的全局组中;的全局组中;3)资源访问需求为依据建立本地组;)资源访问需求为依据建立本地组;4)为本地组分配适当的权限;)为本地组分配适当的权限;5) 将全局组添加到本地组中。将全局组添加到本地组中。6)作出组账户的规划表。)作出组账户的规划表。 将组的信息列表,建立组将组的信息列表,建立组账户规划表,既便于清楚组及其关系,又有利于检查账户规划表,既便于清楚组及其关系,又有利于检查和审计组账户的内容。和审计组账户的内容。第第 4章:操作系统安全与策略章:操作系统安全与策略4.4 NTFSNTFS文件和文件

20、夹的存取控制文件和文件夹的存取控制4.4.1 Windows 2000中的中的NTFS权限权限4.4.2 在NTFS下用户的有效权限4.4.3 NTFS权限的规划权限的规划4.4.4 共享文件和文件夹的存取控制共享文件和文件夹的存取控制 返回本章首页返回本章首页第第 4章:操作系统安全与策略章:操作系统安全与策略4.4.1 4.4.1 Windows 2000中的中的NTFS权限权限 NTFS(New Technology File Systetm 新技术文件系统)新技术文件系统)是微软专为是微软专为Windows NT操作环境所设计的文件系统,并操作环境所设计的文件系统,并且广泛应用在且广泛

21、应用在Windows NT操作环境环境所设计的文件系操作环境环境所设计的文件系统,并且广泛应用在统,并且广泛应用在Windows NT的后续版本的后续版本Windows 2000与与Windows XP中。与中。与Windows系统过去使用的系统过去使用的FAT/FAT32格式的文件系统相比,格式的文件系统相比,NTFS具有如下优势。具有如下优势。1)长文件名支持)长文件名支持2)对文件目录的安全控制。)对文件目录的安全控制。3)先进的容错能力。)先进的容错能力。4)不易受到病毒和系统崩溃的侵袭。)不易受到病毒和系统崩溃的侵袭。.返回本节目录返回本节目录第第 4章:操作系统安全与策略章:操作系

22、统安全与策略(1)NTFS文件权限的类型文件权限的类型NTFS文件权限共有文件权限共有5种类型种类型 :读取、写入、读取、写入、读取及运行、修改、完全控制读取及运行、修改、完全控制(2)NTFS文件夹权限的类型文件夹权限的类型Windows 2000中中,NTFS文文件件夹夹的的权权限限的的类类型型有有6种:种:读读取取、写写入入、列列出出文文件件、夹夹 目目 录录 、读读取取及及运运行行 、修、修 改改 、完全控制、完全控制 第第 4章:操作系统安全与策略章:操作系统安全与策略4.4.2 在在NTFS下用下用户的有效的有效权限限 以下是用户有效权限的使用规则:以下是用户有效权限的使用规则:

23、(1) 权限是可以累加的权限是可以累加的 (2) “拒绝拒绝”权限优先于所有其他权限权限优先于所有其他权限 (3) 文件权限优先于文件夹的权限文件权限优先于文件夹的权限第第 4章:操作系统安全与策略章:操作系统安全与策略4.4.3 NTFS权限的限的规划划规划规划NTFS权限要考虑以下问题:权限要考虑以下问题:(1)对资源是建立本地组,还是使用内置本地组)对资源是建立本地组,还是使用内置本地组?(2)确定文件或文件夹需要什么权限,以及将它们分配给谁。)确定文件或文件夹需要什么权限,以及将它们分配给谁。1)对于程序文件夹,将)对于程序文件夹,将“完全控制完全控制”权限分配给权限分配给Admini

24、strators组和升级或调试软件的组。将组和升级或调试软件的组。将“读取读取”权限分权限分配给配给Users组。组。2)对于数据文件夹,只将)对于数据文件夹,只将“完全控制完全控制”权限分配给权限分配给Administrators组和所属权组和所属权(Owner)组,为组,为Users组分配组分配“写写入和读取入和读取”权限。权限。3)应用)应用% username % 自动将用户账户名分配给主文件夹,自动将用户账户名分配给主文件夹,并自动将并自动将NTFS权限权限“完全控制完全控制”分配给各用户。分配给各用户。第第 4章:操作系统安全与策略章:操作系统安全与策略4.4.4 共享文件和文件共

25、享文件和文件夹的存取控制的存取控制1 共享文件夹的概念共享文件夹的概念所谓共享文件夹,就是给定适当权限后,用户可以所谓共享文件夹,就是给定适当权限后,用户可以通过网络来访问的文件和文件夹。通过网络来访问的文件和文件夹。 2 共享文件夹的权限共享文件夹的权限为了控制用户对共享文件夹的访问,可以利用共享为了控制用户对共享文件夹的访问,可以利用共享文件夹的权限进行。共享文件夹的权限规定了用户文件夹的权限进行。共享文件夹的权限规定了用户可以对共享文件夹进行的操作。可以对共享文件夹进行的操作。3 共享文件夹的规划共享文件夹的规划在开始设置共享文件夹之前,需要对共享文件夹进在开始设置共享文件夹之前,需要对

26、共享文件夹进行规划,以保证共享文件夹的安全与有效。行规划,以保证共享文件夹的安全与有效。 第第 4章:操作系统安全与策略章:操作系统安全与策略4.5 使用使用资源源审核核4.5.1 4.5.1 审核事件审核事件4.5.2 4.5.2 事件查看器事件查看器5.5.3 5.5.3 使用审核资源使用审核资源返回本章首页返回本章首页第第 4章:操作系统安全与策略章:操作系统安全与策略4.5.1 4.5.1 审核事件审核事件审审核核功功能能用用于于跟跟踪踪用用户户访访问问资资源源的的行行为为与与Windows 2000的的活活动动情情况况,这这些些行行为为或或活活动动,称称为为事事件件,会会被被记记录录

27、到到日日志志文文件件内内,利利用用“事事件查看器件查看器”可以查看这些被记录的审核数据。可以查看这些被记录的审核数据。 第第 4章:操作系统安全与策略章:操作系统安全与策略在在Windows 2000中,可以被审核并记录在安全日中,可以被审核并记录在安全日志中的事件类型有:志中的事件类型有:1)审核策略更改;)审核策略更改;2)审核登录事件;)审核登录事件;3)审核对象访问;)审核对象访问;4)审核过程追踪;)审核过程追踪;5)审核目录服务访问;)审核目录服务访问;6)审核特权使用;)审核特权使用;7)审核系统事件;)审核系统事件;8)审核账户登录事件;)审核账户登录事件;9)审核账户管理;)

28、审核账户管理;第第 4章:操作系统安全与策略章:操作系统安全与策略4.5.2 事件事件查看器看器 1 查看事件记录查看事件记录可以通过以下两种方法来启动可以通过以下两种方法来启动“事件查看器事件查看器”:(1)用鼠标右键单击桌面上的)用鼠标右键单击桌面上的“我的电脑我的电脑” “管理管理”“系统工具系统工具” “事件查看器事件查看器”;(2)“开始开始” “程序程序” “管理工具管理工具” “事件查看事件查看器器”。第第 4章:操作系统安全与策略章:操作系统安全与策略2 设置日志文件的大小设置日志文件的大小可以针对每个日志文件(系统、安全、应用程序等)可以针对每个日志文件(系统、安全、应用程序

29、等)来更改其设置,例如,日志文件容量的大小等。来更改其设置,例如,日志文件容量的大小等。 9)审核账户管理;)审核账户管理;3筛选事件日志中的事件筛选事件日志中的事件如果日志文件内的事件太多,造成不易查找事件时,如果日志文件内的事件太多,造成不易查找事件时,可以利用筛选事件的方式,让它只显示特定的事件可以利用筛选事件的方式,让它只显示特定的事件.4 存储日志文件的格式存储日志文件的格式存储日志文件的格式可以是以下存储日志文件的格式可以是以下3种形式:种形式:1)事件日志,其扩展名为)事件日志,其扩展名为.evt 。2)文本(以制表符分隔)文本(以制表符分隔) ,其扩展名为,其扩展名为txt。3

30、)CSV(逗号分隔)(逗号分隔) ,其扩展名为,其扩展名为csv。 第第 4章:操作系统安全与策略章:操作系统安全与策略4.5.3 使用审核资源使用审核资源1 制定审核策略制定审核策略制定审核策略时主要考虑以下问题;制定审核策略时主要考虑以下问题;(1)确定要审核的事件类型,如:)确定要审核的事件类型,如:1)访问网络资源,如文件、文件夹或打印机等。)访问网络资源,如文件、文件夹或打印机等。2)用户登录和注销。)用户登录和注销。3)关闭和重新启动运行)关闭和重新启动运行Windows 2000 Server的计算机。的计算机。4)修改用户账户和组。)修改用户账户和组。第第 4章:操作系统安全与

31、策略章:操作系统安全与策略(2)确定审核成功的事件还是审核失败的事件,)确定审核成功的事件还是审核失败的事件,或者两者都审核。推荐的审核是:或者两者都审核。推荐的审核是:1)账户管理:成功、失败;)账户管理:成功、失败;2)登录事件:成功、失败;)登录事件:成功、失败;3)对象访问:失败;)对象访问:失败;4)策略更改:成功、失败;)策略更改:成功、失败;5)特权使用:失败;)特权使用:失败;6)系统事件:成功、失败;)系统事件:成功、失败;7)目录服务访问:失败;)目录服务访问:失败;8)账户登录事件:成功、失败。)账户登录事件:成功、失败。第第 4章:操作系统安全与策略章:操作系统安全与策

32、略4.6 WINDOWS2000的安全的安全应用用在应用在应用Windows 2000 Server操作系统的过程中,操作系统的过程中,应对应对Windows 2000 Server操作系统进行安全地配操作系统进行安全地配置与应用,主要从下面几点出发。置与应用,主要从下面几点出发。1服务器的安全服务器的安全服务器应该安放在安装有监视器的隔离房间内,并服务器应该安放在安装有监视器的隔离房间内,并且监视器要保留且监视器要保留15天以上的摄像记录。另外,机箱、天以上的摄像记录。另外,机箱、键盘、电脑桌抽屉要上锁,以确保即使旁人进入房键盘、电脑桌抽屉要上锁,以确保即使旁人进入房间也无法使用计算机,钥匙

33、要放在安全的地方。间也无法使用计算机,钥匙要放在安全的地方。2用户安全设置用户安全设置(1)禁用)禁用Guest账号账号在计算机管理的用户里面将在计算机管理的用户里面将Guest账号禁用。账号禁用。 第第 4章:操作系统安全与策略章:操作系统安全与策略(2)限制不必要的用户)限制不必要的用户去掉所有的去掉所有的Duplicate User用户、测试用户、共享用户、测试用户、共享用户等等。用户等等。 (3)创建两个或多个管理员账号)创建两个或多个管理员账号创建一个一般权限用户,用来收信并处理一些日常创建一个一般权限用户,用来收信并处理一些日常事务,另一个拥有事务,另一个拥有Administrat

34、ors权限的用户只权限的用户只在需要的时候使用。在需要的时候使用。(4)将系统)将系统Administrator账号改名账号改名(5)创建一个陷阱用户)创建一个陷阱用户陷阱用户就是创建一个名为陷阱用户就是创建一个名为“Administrator”的本的本地用户,把它的权限设置成最低,并且加上一个超地用户,把它的权限设置成最低,并且加上一个超过过10位的超级复杂密码。这样可以让那些位的超级复杂密码。这样可以让那些H acker们们忙上一段时间,借此发现他们的人侵企图。忙上一段时间,借此发现他们的人侵企图。第第 4章:操作系统安全与策略章:操作系统安全与策略(6)将共享文件的权限从)将共享文件的权

35、限从Everyone组改成授权用户组改成授权用户任何时候都不要把共享文件的用户设置成任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印机,默认的属性就是组,包括打印机,默认的属性就是“Everyone”组的,一定不要忘了改。组的,一定不要忘了改。(7)开启用户策略)开启用户策略使用用户策略,分别设置复位用户锁定计数器时间为使用用户策略,分别设置复位用户锁定计数器时间为20 min,用户锁定时间为,用户锁定时间为20 min,户锁定阈值为,户锁定阈值为3次。次。(8)不让系统显示上次登录的用户名)不让系统显示上次登录的用户名(9) 密码安全设置密码安全设置 第第 4章:操作系统

36、安全与策略章:操作系统安全与策略3应用程序安全策略应用程序安全策略创建一个只有系统管理员才有访问及运行权限的目创建一个只有系统管理员才有访问及运行权限的目录,将录,将%system%system32目录下的网络应用程序及目录下的网络应用程序及对文件、目录、注册表操作的文件移到新建的目录对文件、目录、注册表操作的文件移到新建的目录中。中。4使用使用syskey.exe对系统口令数据库存进行加密对系统口令数据库存进行加密SAM加密算法强度不够,使得密码很容易就被入侵加密算法强度不够,使得密码很容易就被入侵者猜出来。者猜出来。syskey.exe是是WindowsNT4.0从从sp3开开始提供的小工

37、具,它对账号数据库提供附加保护,始提供的小工具,它对账号数据库提供附加保护,防止防止Crack 工具直接提取用户信息。工具直接提取用户信息。 5删除删除%system%repair目录目录第第 4章:操作系统安全与策略章:操作系统安全与策略6审计日志审计日志7扫描程序扫描程序评估一个系统的安全与否最基本的方法就是使用扫评估一个系统的安全与否最基本的方法就是使用扫描程序。描程序。 8口令攻击程序口令攻击程序 口令攻击程序并不完全只是一种安全威胁,也可以口令攻击程序并不完全只是一种安全威胁,也可以是一个有用的工具。是一个有用的工具。 9防火墙防火墙10日志及审计工具日志及审计工具12安全恢复安全恢

38、复11建立好的安全恢复机制建立好的安全恢复机制(1)创建系统紧急修复盘)创建系统紧急修复盘(2)定期将系统中的重要数据进行备份)定期将系统中的重要数据进行备份第第 4章:操作系统安全与策略章:操作系统安全与策略本章小本章小结操作系统是信息系统最基本、最关键的系统软件,它操作系统是信息系统最基本、最关键的系统软件,它为用户及其应用程序和硬件之间提供了一个接口,对为用户及其应用程序和硬件之间提供了一个接口,对计算机的有效、合理使用,对资源的管理和保护是十计算机的有效、合理使用,对资源的管理和保护是十分重要的。分重要的。操作系统的安全表现在系统安全、用户安全、资源安操作系统的安全表现在系统安全、用户安全、资源安全和通信安全等方面,其保证机制就是用户身份验证、全和通信安全等方面,其保证机制就是用户身份验证、授权访问和审计。授权访问和审计。本章主要讲述了操作系统的安全性及安全配置,本章主要讲述了操作系统的安全性及安全配置,Windows 2000 server中的用户管理及其策略,中的用户管理及其策略,Windows 2000 server中的文件访问权限及其策略,中的文件访问权限及其策略,Windows 2000 server中的资源审计。中的资源审计。第第 4章:操作系统安全与策略章:操作系统安全与策略Thank you very much!返回本章首页返回本章首页退退 出出

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号