Windows系统的安全策略.docx
- 文档编号:5304956
- 上传时间:2022-12-15
- 格式:DOCX
- 页数:6
- 大小:21.41KB
Windows系统的安全策略.docx
《Windows系统的安全策略.docx》由会员分享,可在线阅读,更多相关《Windows系统的安全策略.docx(6页珍藏版)》请在冰豆网上搜索。
Windows系统的安全策略
Windows系统的平安策略
为大家介绍一些常用的设置方法来为Windows2000系统进展平安策略的设置从而起到平安保障的作用。
Windows2000系统本身就有很多平安方面的漏洞,这是众所周知的。
通过打补丁的方法可以减少大部分的漏洞,但是并不能杜绝一些小漏洞,而往往这些小漏洞也是导致被攻击或入侵的重要途径。
Windows2000中自带的“本地平安策略”就是一个很不错的系统平安工具。
这个工具可以说是系统的防卫工具往往一些必要的设置就能起到防范的作用,可别小看这个工具。
下面就为大家介绍一些常用的设置方法来为系统进展平安策略的设置从而起到平安保障的作用。
图1
系统的“本地平安策略”这个工具是在,单击“开始→控制面板→管理工具→本地平安策略”后,会进入“本地平安策略”的主界面。
在此可通过菜单栏上的命令设置各种平安策略,并可选择查看方式,导出列表及导入策略等操作。
在密码策略中设置:
启用“密码必须符合复杂性要求”,“密码长度最小值”为6个字符,“强制密码历史”为5次,“密码最长存留期”为30天。
在账户锁定策略中设置:
“复位账户锁定计数器”为30分钟之后,“账户锁定时间”为30分钟,“账户锁定值”为30分钟。
图2
经过这样设置后,你的系统就平安很多了特别是账户的平安和密码的平安,有效防止一些非法的入侵。
不但可以通过查看日志来监控系统的一些运行方面的重要信息。
还对账户的有了清晰的掌握。
由于Win2000操作系统良好的网络功能,因此在因特网中有部分网站效劳器开始使用的Win2000作为主操作系统的。
但由于该操作系统是一个多用户操作系统,黑客们为了在攻击中隐藏自己,往往会选择Win2000作为首先攻击的对象。
那么,作为一名Win2000用户,我们该如何通过合理的方法来防范Win2000的平安呢?
下面和了一些防范Win2000平安的几那么措施。
为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Win2000完好的系统进展备份,最好是在一完成Win2000系统的安装任务后就对整个系统进展备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修改正。
如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。
备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后可以定期将系统与光盘内容进展比较以验证系统的完整性是否遭到破坏。
如果对平安级别的要求特别高,那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。
这样只要可以通过光盘启动,就说明系统尚未被破坏过。
安装Win2000时,应选择自定义安装,仅选择个人或单位必需的系统组件和效劳,取消不用的网络效劳和协议,因为协议和效劳安装越多,入侵者入侵的途径越多,潜在的系统平安隐患也越大。
选择Win2000文件系统时,应选择NTFS文件系统,充分利用NTFS文件系统的平安性。
NTFS文件系统可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内,而且Win2000新增的磁盘限额效劳还可以控制每个用户允许使用的磁盘空间大小。
为了防别人偷看系统中的文件,我们可以利用Win2000系统提供的加密工具,来保护文件和文件夹。
其详细操作步骤是,在“Win资源管理器”中,用鼠标右键单击想要加密的文件或文件夹,然后单击“属性”。
单击“常规”选项卡上的“高级”,然后选定“加密内容以保证数据平安”复选框。
默认情况下,在Win2000中新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进展读写。
因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。
如果系统一不小心被破坏而不能正常启动时,就需要专用的Win2000系统启动盘,,为此我们一定要记得在Win2000安装完好后创立一个紧急修复磁盘。
在创立该启动盘时,我们可以利用Win2000的一个名为NTBACKUP.EXE的工具来实现。
运行NTBACKUP.EXE,从工具栏中选择“创立紧急修复盘CreateanEmergencyRepairDisk”在A:
驱动器中插入一张空白格式化的软盘,并点击“确定”,点击“确定”到达完成信息,再点击“确定”。
修复盘不再可以用来恢复用户帐号信息等,而且您必须备份/恢复ActiveDirectory,在备份中将被覆盖。
将系统的效劳器移到一个单独的机器中会增加系统的平安级别,使用一个更平安的效劳器来取代Win2000自身的工具也可以进一步提高平安。
在大的Win2000网络中,最好使用一个单独的效劳器用于效劳。
它必须是一个能够满足所有系统需求并且拥有足够的磁盘空间的效劳器系统,在这个系统上应该没有其它的效劳运行。
更平安的效劳器会大大削弱入侵者透过系统窜改日志文件的能力。
严格设计管理好Win2000系统的平安规那么,其内容主要包括“密码规那么”、“账号锁定规那么”、“用户权限分配规那么”、“审核规那么”以及“IP平安规那么”。
对全部用户都应按工作需要进展分组,合理对用户分组是进展系统平安设计的最重要的根底。
利用平安规那么可以限定用户口令的有效期、口令长度。
设置多少次失败后锁定工作站,并对用户备份文件和目录、关机、网络访问等各项行为进展有效控制。
为了能密切地监视黑客的攻击活动,我们应该启动Win2000的日志文件,来记录系统的运行情况,当黑客在攻击系统时,它的蛛丝马迹都会被记录在日志文件中的,因此有许多黑客在开始攻击系统时,往往首先通过修改系统的日志文件,来隐藏自己的行踪,为此我们必须限制对日志文件的访问,制止一般权限的用户去查看日志文件。
当然,系统中内置的日志管理程序功能可能不是太强,我们应该采用专门的日志程序,来观察那些可疑的屡次连接尝试。
另外,我们还要小心保护好具有根权限的密码和用户,因为黑客一旦知道了这些具有根权限的帐号后,他们就可以修改日志文件来隐藏其踪迹了。
制定系统策略和用户脚本,对网络用户的行为进展适当的限制。
我们可以利用系统策略器和用户脚本为用户设定工作环境,控制用户在桌面上进展的操作,控制用户执行的程序,控制用户的时间和地点(如只允许用户在上班时间、在自己办公室的机器上,除此以外一律制止访问),采取以上措施可以进一步增强系统的平安性。
如果在工作的过程中突然觉得计算机工作不对劲时,仿佛感觉有人在遥远的地方遥控你。
这时,你必须及时停顿手中的工作,立即按Ctrl+Alt+Del复合键来查看一下系统是否运行了什么其他的程序,一旦发现有莫名其妙的程序在运行,你马上停顿它,以免对整个计算机系统有更大的威胁。
但是并不是所有的程序运行时出现在程序列表中,有些程序并不显示在Ctrl+Alt+Del复合键的进程列表中,最好运行“附件”/“系统工具”/“系统信息”,然后双击“软件环境”,选择“正在运行任务”,在任务列表中寻找自己不熟悉的或者自己并没有运行的程序,一旦找到程序后应立即终止它,以防后患。
如今病毒在因特网上传播的速度越来越快,为防止主动感染病毒,我们最好不要在Win2000中上网访问非法网站,不要贸然下载和运行不名真相的程序。
例如如果你收到一封带有附件的电子邮件,且附件是扩展名为EXE一类的文件,这时千万不能随意运行它,因为这个不明真相的程序,就有可能是一个系统破坏程序。
攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些:
“这个东西将给您带来惊喜”,“帮我测试一下程序”之类的话。
你一定要警觉了!
对待这些外表上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。
充分利用NTFS文件系统的本地平安性能,设计好NTFS文件系统中文件和目录的读写、访问权限,对用户进展分组。
对不同组的用户分别授予回绝访问、读取和更改权限,一般只赋予所需要的最小的目录和文件的权限。
值得注意的是对完全控制权限的授予应特别小心。
对于网络资源共享,更要设计好文件系统的网络共享权限,对不应共享的文件和目录决不能授予共享权限。
对能够共享的文件和目录,应对不同的组和用户分别授予回绝访问、读、更改和完全控制等权限。
让我们从Windows2000磁盘限额分配方法谈起。
安装设置完成Windows2000Server以后,作为文件效劳器管理员的你就得考虑划分一个专用于存放共享文件的分区,如果你的系统分区是C,那么建议共享文件的分区分配在D或者E等分区,做好这一步之后继续。
采用NTFS格式的分区是实现磁盘限额的根本条件。
众所周知,如果共享目录所在的分区采用FAT32格式,而你又分配给同事写入数据的权限,那这个分区的可用空间就开始处在不确定状态中,而且你很难掌控空间的使用情况。
如果磁盘分区采用NTFS这种更加高效平安的分区格式,那么你就能决定同事最多能占用多大的空间,就能顺理成章地把握整个分区乃至磁盘空间的使用状态。
现在的分区仍然是FAT32吗?
赶快转换成NTFS吧!
小知识如何将FAT32转换成NTFS分区格式?
用鼠标右击D分区,在弹出的快捷菜单中选中“属性”,在D分区属性窗口中切换到“配额”选项卡——这就是磁盘限额功能所在的地方啦。
然后,依次点击选中“启用配额管理”和“回绝将磁盘空间给超过配额限制的用户”两个选项,接下来就根据办公室和效劳器的情况来决定磁盘空间限制为多少,本例中的限制为100MB。
小提示这是对新用户默认的限制大小,如果没有单独指定,每个新用户的可使用空间都只能有100MB。
如果要让某一个用户使用更多的空间,就必须要单独指定了。
操作步骤是:
点击此窗口下方的“配额项”按钮,在弹出的窗口中点击“新建配额项”按钮,然后在新窗口中的“查找范围”一栏中选择这台文件效劳器(本例中的效劳器名称为SRV),然后在接着显示出的用户列表中选择一位同事的名,双击后添加。
其他用户的添加方法也是一样,最后点击“确定”按钮完成;最后为这次添加的同事指定空间,例如:
1GB。
至此磁盘配额设置工作完成。
有趣的是,磁盘配额功能在共享及上传文件时都有效,即你的同事不管是在效劳器上的共享文件夹中存放文件还是通过FTP来上传文件,所有的文件总尺寸都不能超过磁盘限额所规定的空间大小。
图1使用Convert.exe命令将Fat32转换为NTFS分区格式
图2为新用户指定默认的限额大小
图3添加需要单独指定限额空间的同事
图4由于添加多个用户,所以这里的用户名就是很“奇怪”的“<Multiple>”
图5看看吧,一个普通用户能使用的空间是多少?
初级篇我们介绍了如何简单的搭建一个文件效劳器,这里,我们需要提供一个更加完美的空间管理方案。
如果你看到上面所讲的就马上去动手做,肯定能行!
不过久而久之,你会为管理这些文件而头痛不已:
所有的用户都把文件存放在一个地方,终究这些文件是谁存放的?
这位同事存放了哪些文件……请不要奢望Windows2000Server自动为你提供了直接解决这些问题的方法。
现在我们就综合“网上邻居法”和“FTP法”为你解决这个难题。
其实文件效劳器与在普通电脑上共享文件夹的方法类似。
不同的是,既然是作为一台文件效劳器,就允许用户将私人文件存放在效劳器上,同时通过一个公共目录与大家一起共享文件。
操作步骤:
首先,在D分区上建立假设干个以你的同事电脑名称为名的目录,分别为这些目录分配各自的权限——也就是私有目录的权限。
然后,再建立一个公共目录,并设置权限为所有用户均可访问。
小提示原那么上,一个目录只能让名称与之对应的电脑来访问,而其他的用户来访那么一律回绝,这样就可以保证每个目录下的文件被固定用户所有及管理,而公共目录下的文件大家互相共享,这样,大家的共享操作都在文件效劳器上进展,也就杜绝XX病毒通过网上邻居直接进入用户的电脑中。
Windows2000ServerIIS5.0的FTP功能在《办公室文件高速互传FTP篇》有讲解,不过由于其功能显得太过于简单、弱小,以至于我们无法方便地通过它来到达控制用户上传目录、FTP权限设置等目的,有兴趣的朋友可以使用Serv-U等专业的FTP效劳器软件来实现强大的功能:
单独的用户FTP目录控制、不依赖于Windows用户信息的FTP账户……
如果你想在办公室实现高速而且平安无毒的网络共享环境,组建这样的文件效劳器无疑是你的最正确选择。
编后:
“实践是检验真理的惟一标准。
”搭建一台中小型企业局域网的文件效劳器,确实能够有效地提高我们的文件交换效率。
只要注意文件效劳器的病毒防治,也能有效地控制病毒在局域网中的传播,当然前提是给文件效劳器安装强大的杀毒软件和防火墙。
很多木马病毒,执行前一般都会在系统的temp(临时文件夹)目录生成并试图启动,再做其他动作。
在Windows7中,无件是否有数字签名,假设发现在Temp文件夹中试图运行,那么就会被windows7拦截警报。
拦截界面可以说是相当的土,但是也相当简明易懂。
例如经常有一些WinRAR自解压程序,试图在临时文件夹下释放一些文件并运行,这个时候,windows7就会弹出如下提示:
如果该文件有数字签名,还会显示该文件的签名信息,并可点击文字查看其证书信息。
以后在Temp文件夹下运行的木马,可就不是那么容易“无声无息”了。
平安模式是windows系统的一个特殊模式,说它特殊是因为在平安模式中,系统将尽可能地在最小模式运行,因此很多第三方设备驱动和程序都不会在系统启动时加载。
也正是因为这些原因,在平安模式中才可以更好地维护和修复系统故障。
要进入到vista的平安模式有两个方法,一是当系统完成bios自检后迅速按下F8键,这样就进入到了系统启动模式选择菜单,选择”平安模式”就可以了。
此外也可以在正常模式启动系统后,点击开始按钮并输入msconfig,接下回来后翻开系统配置,进入到系统配置/启动,勾选平安启动后按下确定即可。
这时会提示重新启动,点击”确定”后重新启动系统即可自动进入到平安模式。
PS:
开机后按下键盘的ctrl键也可以进入到启动模式选择界面,msconfig的方法同样适用于Windowsxp系统,另外如果系统每次开机都自动进入平安模式,去掉平安启动的勾选就可以解决了。
发全模式并不只有一种,它包含了以下几种常见模式,当系统出现问题时就可以根据需要选择适宜的平安模式了。
Vista系统如果无法正常启动,可以进入到平安模式复原备份系统。
依次进入到到”开始/所有程序/附件/系统工具/系统复原”,选择适宜的复原点后点吉下一步,根据提示即可恢复系统到创立复原点时的状态了。
此外也可以在”命令提示符”内输入”%systemroot%/system32/restore/rstrui.exe,按下回车后根据提示完成系统的恢复。
在vista系统中,经常会遇到某些文件或文件夹无法删除的情况,会出现当前文件正在使用中的提示。
其实无需借助”冰刃”等第三方软件,在”平安模式”中就可以轻松删除这些文件。
进入到平安模式后由于众多程序都不会随着系统加载,因此文件的控制权自然得以释放,因此文件就可以正常删除了。
在平安模式中还可以更完全地卸载某些软件,或是彻底查杀病毒。
驱动安装不正确不仅硬件无法正常使用,还可能导致系统崩溃,尤其是硬盘或显卡等驱动。
遇到这样的问题就可以进入到平安模式中卸载已安装的驱动,这样再次以正常模式启动系统后安装正确的驱动就可以了。
”平安模式”还可以让很多工作更高效,比方磁盘清理,碎片或是重新分区等,当系统出现问题时不要惊慌,通过平安模式也许就能让问题得以解决呢。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 系统 安全策略