文档介绍:第10章安全管理
安全性设计
设置账户策略
设置本地策略
审核资源的使用
要求
1、掌握
(1)Win2000Server系统的安全设计
(2)设置密码策略
(3)设置帐户锁定策略
(4)设置安全选项策略
2、理解
(1)设置用户权利指派策略
(2)设置审核策略
(3)审核文件(夹)的访问
3、了解
(1)组策略对象的创建和编辑
(2)各种组策略的适用范围和应用顺序
(3)查看系统日志
安全性设计
Windows 2000允许我们设置口令的长度可达127位。通常情况下长口令要比短口令强健;包含多种字符类型(如:字母、数字或其它符号)的口令要比单一字符类型(如:全数字或全字母)的口令强健。所以要实现最大的保护工作,就要为Administrator帐号创建至少9个字符长度的口令,并且保证口令的前7个字符中至少包含一个特殊字符。而且如果一个系统管理员管理着多个服务器,各服务器的Administrator帐号的口令不应该相同。
安全性设计
Administrator即超级用户,它的权限至高无上,同时也是被攻击最多的对象。我们要对安装后默认的Administrator帐号重新配置,从而达到最大的安全性。建议采取如下措施:
(1)重命名Administrator,最好取不起眼的名字;
(2)再次创建一个名为Administrator的帐号,但不分配任何权限,以达到到诱骗的目的。同时经常查看事件日志文件,检查是否有使用这个帐号的企图,从而及早发现攻击隐患。
安全性设计
我们应该经常查看用户帐号列表,将不怎么使用的帐号坚决禁止,或干脆删除掉。比如禁止Guest帐号。
安全性设计
对于口令的设置管理,应该具有一定的强制性,即用策略来强制用户做到:
(1)最小口令长度至少为8;
(2)最小口令使用期限:1~7天;
(3)最大口令使用期限:不超过42天;
(4)口令的历史保持次数至少为6,即当前设置的口令不能与最近6次中的任何一次相同。
安全性设计
用户帐号锁定就是指当一个帐号登录失败的次数超过设定的次数,该用户帐号即被自动禁止使用,直到管理员再次将它启用或在指定时间后自动解锁。建议将登录失败次数设置为3~5次之间。
安全性设计
NTFS格式具备高度的访问控制机制,它能够有效地保护数据不被泄漏与篡改,这是其它操作系统所不具备的。我们可以利用convert命令将FAT/FAT32格式转换成NTFS格式。但要真正实现NTFS文件系统的安全性,还需要管理员对驱动器或文件(夹)设置合适的访问控制或利用EFS加密文件系统。
安全性设计
新创建的文件共享对Everyone都是完全控制许可,对于那些有必须存在的文件共享,应该设置合适的共享级访问控制。
安全性设计
建议删除系统中所有不必要的文件共享服务,降低信息暴露的风险。
计算机病毒的危害日益加重,我们必须在服务器上安装防病毒软件,并做到及时更新。