荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: fast (平淡), 信区: Security
标 题: NT的安全管理
发信站: 荔园晨风BBS站 (Tue Sep 11 13:12:21 2001), 转信
NT的安全管理
为了加强Windows NT Server 的安全管理,要从物理安全、登录安全、用户安全、文件
系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化
安全的措施。
1.加强物理安全管理。
1)去掉或锁死软盘驱动器,禁止DOS或其他操作系统访问NTFS分区;2在服务器上设
置系统启动口令,设置BIOS禁用软盘引导系统;3)不创建任何DOS分区;4)保证机房的物
理安全。
2.用最新的Service Pack (SP4或SP5)升级Windows NT Server 4.0,因为服务包包
括所有补丁程序和后来发表的很多安全补丁程序。
3.掌握并使用微软提供但未设置的安全功能。
例如:缺省安装未禁用Guest账号,并且给Everyone(每个人)工作组授予“完全控
制”权限,没有实施口令策略等,都给网络的安全留下了漏洞。要加强服务器的安全,
必须根据需要设置这些功能。
4.控制授权用户的访问。
在域里配置适当的NTFS访问控制可以增强网络的安全。取消或更改缺省情况下的Ev
eryone组的“完全控制”权限,要始终设置用户所能允许的最小的文件夹和文件的访问
权限。另外,不要共享任何一个FAT卷。
5.避免给用户定义特定的访问控制。
将用户以“组”的方式进行管理是一个用户管理的有效方法。如果一个用户在公司
里的角色变了,很难跟踪并更改他的访问权。最明智的作法就是为每个用户指定一个工
作组,为工作组指定文件、文件夹访问权。如果要收回或更改某个用户的访问权,只要
把该用户从工作组中删除或指定另一个工作组。
6.实施账号及口令策略。
你可以用域用户管理器配置口令策略,选择好口令的原则主要有:(1)登录名称中字
符不要重复或循环;(2)至少包含两个字母字符和一个非字母字符;(3)至少有6个字符长
度;(4)不是用户的姓名 ,不是相关人物、著名人物的姓名,不是用户的生日和电话号
码及其他容易猜测的字符组合等;(5)要求用户定期更改口令;(6)给系统的默认用户特
别是Administrator改名;(7)不要使用无口令的账号,否则会给安全留下隐患;(8)禁用
Guest账号。
7.设置账号锁定。
这是阻止黑客入侵的有效方法,建议设置尝试注册三次后锁定账号,在合适的锁定
时间后被锁定的账号自动打开,或者只有管理员才能打开,用户恢复正常。
8.控制远程访问服务。
远程访问是黑客攻击NT系统的常用手段,Windows NT 集成的防止外来入侵最好的功
能是认证系统。Windows 95 、 Windows 98和Windows NT Workstation客户机不仅可以
交换加密用户ID和口令数据,而且还使用Windows专用的挑战响应协议(challenge / re
sponse protocol),这可以确保决不会多次出现相同的认证数据,它还可以有效阻止内
部黑客捕捉网络信息包。同时,如条件允许,应该使用回叫安全机制,并尽量采用数据
加密技术,保证数据安全。
9.启用登录工作站和登录时间限制。
如果每个用户只有一个PC,并且只允许工作时间登录,可以把每个用户的账号限制
在自己的PC上,且在工作时间内使用,从而保护网络数据的安全。
10.启动审查功能。
为防止未经授权的访问,可以利用域用户管理器启用安全审查功能,以便在事件查
看器安全日志中记录未经授权的访问企图,以便尽早发现安全漏洞,但要结合工作实际
,设置合理的审计规则,切忌审查事件太多,以免无时间全部审查安全问题。
11.确保注册表安全。
首先,取消或限制对regedit.exe、regedit32.exe的访问;其次,利用regedit.ex
e或文件管理器设置只允许管理员访问注册表,其他任何用户不得访问注册表。
12.应用系统的安全。
在Windows NT上运行的应用系统如:Web服务器、FTP服务器、E-mail服务器,Int
ernet Explorer等,应及时通过各种途径(如:Web站点)获得其补丁程序包,以解决其
安全问题。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.127]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店