网络操作系统安全与管理实践教材

《网络操作系统安全与管理实践教材》由会员分享，可在线阅读，更多相关《网络操作系统安全与管理实践教材（126页珍藏版）》请在装配图网上搜索。

1、第三章第三章 网络操作系统安全与管理实践网络操作系统安全与管理实践3.1 常用网络操作系统简介常用网络操作系统简介网络操作系统是为使网络用户能方便而有效地共享网络资源而提供各种服务的软件及相关规程的集合，是网络软件系统的基础。它是整个网络的核心，通过对网络资源的管理，为用户方便而有效地使用网络资源提供网络接口和网络服务；常用的网络操作系统有Microsoft公司的Windows NT、Windows 2000 Server、Windows Server 2003和Windows XP，Novell公司的NetWare、SCO公司的UNIX和RedHat公司的Linux；3.1.1 Window

2、s NT Windows NT是Microsoft公司在LAN Manager网络操作系统基础上于1993年推出的具有更高性能的NOS；Windows NT是一种32位多用户、多任务的网络操作系统，也是一种面向分布式图形应用程序的完整的平台系统；Windows NT网络软件主要包括Windows NT Server（简称Windows NTS）和Windows NT Workstation（简称Windows NTWS）两种；Windows NT是功能强大的网络操作系统；Windows NT操作系统在其核心内置了容错技术；Windows NT系统的服务有目录服务、文件共享服务、共享打印服务、网

3、络互连服务、远程通信服务和Internet服务等；3.1.2 Windows 2000/2003Windows 2000系统系统Windows 2000系列操作系统有Windows 2000 Datacenter Server、Windows 2000 Advanced Server、Windows 2000 Server和Windows 2000 Professional版本。Windows 2000 Datacenter Server是一个新的品种，它支持32个以上的CPU和64GB的内存，以及4个节点的集群服务。Windows 2000 Server和Advanced Server分别是

4、Windows NT Server 4.0及其企业版的升级产品；Windows 2000系列操作平台，继承了Windows NT的高性能，融入了Windows 9x易操作的特点，又发展了一些新的特性。Windows 2000使用了活动目录、分布式文件系统、智能镜像、管理咨询等新技术，它具备了强大的网络功能，可作为各种网络的操作平台，尤其是Windows 2000强化的网络通信、提供了强大的Internet功能；Windows 2003系统系统Windows Server 2003是一款微软推出的全新操作系统。Windows Server 2003简体中文版分Web、Standard、Enter

5、prise和Datacenter四个版本。Enterprise版最大支持8个处理器和32GB内存，最小配置为CPU速度不低133MHz，内存不少于128MB。因此，Windows Server 2003具有硬件适应性面广和伸缩性强的特点；Windows 2003的安全中心是活动目录（AD）；Windows Server 2003在安全上下了大功夫，不仅堵住了已发现的NT漏洞，而且还重新设计了安全子系统，增加了新的安全认证，改进了安全算法；Windows 2003区别于Windows 2000之处在于软件限制策略（SRP）。Windows 2003的SRP允许用户控制在本地计算机系统上运行哪些软

6、件。用户可在选项中规定系统要运行的软件，因此可阻止不被信任的软件运行；Windows 2003系统在组策略中增加了两项内容：软件限制策略（SRP）和无线网络策略（IEEE 802.11）；3.1.3 Linux和和UnixLinux系统系统Linux 是一种类似UNIX操作系统的自由软件，它是由一位芬兰赫尔辛基大学的一位叫Linus的大学生发明的；Linux继承了UNIX的很多优点(如多任务、多用户)，还具有共享内存页面、使用分页技术的虚拟内存、动态链接共享库、支持多个虚拟控制台、调度磁盘缓冲功能、支持多平台、与其他UNIX系统兼容、提供全部源代码及支持多种CPU、多种硬件、软件移植性好等特点

7、；Unix系统系统1970年，在美国电报电话公司（AT&T）的贝尔（Bell）实验室研制出了一种新的计算机操作系统，这就是UNIX。UNIX是一种分时操作系统，主要用在大型机、超级小型机、RISC计算机和高档微机上；UNIX系统的再次成功取决于它将TCP/IP协议运行于UNIX操作系统上，使之成为UNIX操作系统的核心，从而构成了UNIX网络操作系统；UNIX系统是一个可供多用户同时操作的会话式分时操作系统3.2 网络操作系统安全与管理网络操作系统安全与管理3.2.1 网络操作系统安全与访问控制网络操作系统安全与访问控制网络操作系统安全网络操作系统安全网络操作系统安全保护的研究，通常包括如下内

8、容：第一，操作系统本身提供的安全功能和安全服务。现代操作系统本身往往要提供一定的访问控制、认证和授权等方面的安全服务。如何对操作系统本身的安全性能进行研究和开发，使之符合特定的环境和需求，是操作系统安全保护的一个方面；第二，针对各种常用的操作系统，进行相关配置，使之能正确对付和防御各种入侵；第三，保证网络操作系统本身所提供的网络服务能得到安全配置；网络操作系统安全是整个网络系统安全的基础。操作系统安全机制主要包括访问控制和隔离控制。隔离控制主要有物理（设备或部件）隔离、时间隔离、逻辑隔离和加密隔离等实现方法；访问控制是安全机制的关键，也是操作系统安全中最有效、最直接的安全措施。访问控制系统一般

9、包括：主体、客体和安全访问策略；网络访问控制网络访问控制访问控制的类型访问控制的类型访问控制也叫授权，它是对用户访问网络系统资源进行的控制过程；访问控制具体包括两方面涵义，一是指对用户进入系统的控制，最简单最常用的方法是用户账户和口令限制，其次还有一些身份验证措施；二是用户进入系统后对其所能访问的资源进行的限制，最常用的方法是访问权限和资源属性限制；访问控制所考虑的是对主体访问客体的控制；访问控制可分为自主访问控制和强制访问控制两大类；自主访问控制，是指由系统提供用户有权对自身所创建的访问对象（文件、数据表等）进行访问，并可将这些对象的访问权授予其他用户或从授予权限的用户处收回其访问权限；强制

10、访问控制，是指由系统（通过专门设置的系统安全员）对用户所创建的对象进行统一的强制性控制，按照规定的规则决定哪些用户可以对哪些对象进行何种操作系统类型的访问，即使是创建者用户，在创建一个对象后，也可能无权访问该对象；访问控制措施访问控制措施入网访问控制入网访问控制入网访问控制是为用户安全访问网络设置的第一道关口。通过对某些条件的设置来控制用户是否能进入网络的一种安全控制方法。能控制哪些用户可以登录网络，在什么时间、地点（站点）登录网络等；权限访问控制权限访问控制访问权限控制一个用户能访问哪些资源（目录和文件），以及对这些资源能进行哪些操作；在系统为用户指定用户账户后，系统根据该用户在网络系统中要

11、做的工作及相关要求，可为用户访问系统资源设定访问权限；属性访问控制属性访问控制属性是文件、目录等资源的访问特性；属性是系统直接设置给资源的，它对所有用户都具有约束权，一旦目录、文件等资源具有了某些属性，用户(包括超级用户)都不能进行超出这些属性规定的访问，即不论用户的访问权限如何，只按照资源自身的属性实施访问控制；身份验证身份验证身份验证是证明某人是否为合法用户的过程，它是信息安全体系中的重要组成部分；身份验证的方法有很多种：用户名和口令验证；数字证书验证；Security ID验证；用户的生理特征验证；智能卡验证；网络端口和节点的安全控制网络端口和节点的安全控制网络中服务器的端口往往使用自动

12、回呼设备、静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用以防范黑客的自动拨号程序对计算机进行的攻击；3.2.2 网络操作系统漏洞与补丁程序网络操作系统漏洞与补丁程序 Windows 系统的安全漏洞系统的安全漏洞 SAM数据库漏洞数据库漏洞 SMB协议漏洞协议漏洞 Registry数据库权限漏洞数据库权限漏洞 权限设置漏洞权限设置漏洞 建立域别名漏洞建立域别名漏洞 登录验证机制漏洞登录验证机制漏洞 NetBIOS漏洞漏洞 Telnet漏洞漏洞 奇怪的系统崩溃漏洞奇怪的系统崩溃漏洞 IIS服务泄漏文件内容服务泄漏文件内容 ICMP漏洞漏洞

13、补丁程序补丁程序补丁程序是指对于大型软件系统(如微软操作系统)在使用过程中暴露的问题(一般由黑客或病毒设计者发现)而发布的解决问题的小程序；补丁程序主要有系统补丁和软件补丁:系统补丁就是操作系统的不定期错误漏洞修复程序;软件补丁通常是因为发现了软件的小错误，为了修复个别小错误而推出的，或者为了增强某些小功能而发布的，或者是为了增强文件抵抗电脑病毒感染而发布的补丁。补丁程序的安装补丁程序的安装 常用的“打补丁”的方法：利用软件的自动更新（Update）功能和手工操作。利用系统的Update功能打补丁 只需要在“开始”菜单中找到Update命令，单击后即可自动上网搜索官方网站，检查有无最新版本或者

14、补丁程序。33 网络操作系统的安全设置实践网络操作系统的安全设置实践3.3.1 Windows系统的安全设置系统的安全设置 1用户安全设置用户安全设置2系统安全设置系统安全设置3安全使用安全使用Internet Explorer1用户安全设置用户安全设置1）管理员账号管理）管理员账号管理(1)创建创建2个管理员账号个管理员账号(2)把把Administrator账号改名并创建一个陷阱账号改名并创建一个陷阱账号账号(3)使用安全密码使用安全密码(1)创建创建2个管理员账号个管理员账号 系统可创建两个管理员账号，一个是具有系统可创建两个管理员账号，一个是具有一般权限的普通账号，一个是具有最高权一般

15、权限的普通账号，一个是具有最高权限的限的Administrator。平时利用具有一般权。平时利用具有一般权限的普通账号接收信息和处理一些日常事限的普通账号接收信息和处理一些日常事务，而务，而Administrator只在特殊需要或关键只在特殊需要或关键时刻使用。时刻使用。(2)把把Administrator账号改名并创建一个陷阱账号改名并创建一个陷阱账号账号 众人皆知众人皆知Administrator是管理员账号，为了是管理员账号，为了不使其成为众矢之的，有效的防止别人对不使其成为众矢之的，有效的防止别人对它尝试攻击或破译，可将它尝试攻击或破译，可将Administrator改为改为一个普通的

16、名字（不要使用一个普通的名字（不要使用Admin）。将）。将Administrator改名后，再创建一个名为改名后，再创建一个名为“Administrator”的本地账号，把它的权限的本地账号，把它的权限设置成最低，并为其设置一个超级复杂密设置成最低，并为其设置一个超级复杂密码。这样可以使那些别有企图的人找不到码。这样可以使那些别有企图的人找不到真正的管理员，借此还有可能发现它们的真正的管理员，借此还有可能发现它们的入侵企图。入侵企图。(3)使用安全密码使用安全密码 为账号选择一个安全密码是非常重要的，但为账号选择一个安全密码是非常重要的，但这却是最容易被忽略的。一些部门的管理这却是最容易被忽

17、略的。一些部门的管理员创建账号时，往往用公司名、计算机名员创建账号时，往往用公司名、计算机名等做用户名，然后又把这些账号的密码设等做用户名，然后又把这些账号的密码设置得很简单，如置得很简单，如“welcome”、“iloveyou”或与用户名相同。用户在首次登录时就应或与用户名相同。用户在首次登录时就应该为这些账号设置复杂的密码，并注意经该为这些账号设置复杂的密码，并注意经常更换这些密码。常更换这些密码。2）一般用户账号管理）一般用户账号管理(1)禁用或激活用户账号禁用或激活用户账号(2)为账号双重加密为账号双重加密(3)重命名和禁用默认的账号重命名和禁用默认的账号(4)删除不必要的用户账号删

18、除不必要的用户账号(1)禁用或激活用户账号禁用或激活用户账号第1步：使用计算机管理员身份登录（若使用受限用户登录系统，后续工作就不能完成；如果计算机与网络连接，则网络策略设置也可以阻止用户完成后续操作）。第2步：登录系统后，选择“开始”“程序”“管理工具”“计算机管理”，打开“计算机管理”窗口。依次展开窗口左侧列表中的“计算机管理(本地)”“系统工具”“本地用户和组”“用户”，这时在窗口右侧显示了系统中所有的用户账号，如图3.1所示。第3步：如果管理员想禁用哪个用户账号，可以选中该用户账号，然后单击鼠标右键，在弹出的菜单中选择“属性”，打开该账号的“属性”窗口。在该窗口的“常规”标签中选择“账

19、号已停用”复选框，如图3.2所示。然后点击“确定”按钮，这样此账号就被禁用了。如果想激活被禁用的账号，可以将“账号已停用”复选框的选择取消，即可激活该用户。图3.1 显示系统中所有的用户账号 图3.2 账号属性(2)为账号双重加密为账号双重加密用户可使用系统的组策略工具对用户账号密码设置进行限制，用户可使用系统的组策略工具对用户账号密码设置进行限制，这样可保护自己的账号安全。第这样可保护自己的账号安全。第1步：在步：在“开始开始”“运运行行”对话框中输入对话框中输入“syskey”，回车后可打开，回车后可打开“保证保证WindowsXP账号数据库的安全账号数据库的安全”对话框，如图对话框，如图

20、3.3所示。所示。该项操作是不可逆的，一旦启用加密则不可以禁用。在这该项操作是不可逆的，一旦启用加密则不可以禁用。在这里若直接选中里若直接选中“启用加密启用加密”单选项，并点击单选项，并点击“确定确定”按钮，按钮，程序就对账号完成了双重加密，只不过该加密过程对用户程序就对账号完成了双重加密，只不过该加密过程对用户来说是透明的。第来说是透明的。第2步：如果用户想进一步体验这种双重步：如果用户想进一步体验这种双重加密功能，则可在加密功能，则可在“保证保证Windows XP账号数据库的安全账号数据库的安全”对话框中点击对话框中点击“更新更新”按钮，打开按钮，打开“启动密码启动密码”对话框，对话框，

21、如图如图3.4所示。在这里有所示。在这里有“密码启动密码启动”和和“系统产生的密系统产生的密码码”两个选项。若选择两个选项。若选择“启动密码启动密码”则需要自己设置一个则需要自己设置一个密码，这样在登录密码，这样在登录Windows XP之前要先输入该密码然后之前要先输入该密码然后才能选择登录的账号。才能选择登录的账号。图3.3为账号双重加密 图3.4“启动”密码对话框 在“系统产生的密码”选项下又有两个选项。若选择“在本机上保存启动密码”项，则程序仅在后台完成加密过程。在登录时不需要输入任何密码，因为密码就保存在计算机内部。如果用户对安全保密要求比较高，则可以选择“在软盘上保存启动密码”选项

22、，点击“确定”按钮后，就会有提示在软驱里放入一张软盘。创建完毕，会在软盘上生成一个StartKey.key文件，以后每次开机时则必须放入该软盘才能登录，相当于系统有了一张可以随身携带的钥匙盘。(3)重命名和禁用默认的账号重命名和禁用默认的账号 安装好安装好Windows后，系统会自动建立两个账后，系统会自动建立两个账号：号：Administrator和和Guest，其中，其中Administrator是管理员账号，它拥有最高的是管理员账号，它拥有最高的权限；权限；Guest是来宾账号，它只有基本的权是来宾账号，它只有基本的权限且默认是禁用的。而这种默认账号在为限且默认是禁用的。而这种默认账号在

23、为用户带来方便的同时也严重危害到了系统用户带来方便的同时也严重危害到了系统安全。因此，安全的做法是把安全。因此，安全的做法是把Administrator账号的名称改掉，然后再建立一个几乎没账号的名称改掉，然后再建立一个几乎没有任何权限的假有任何权限的假Administrator账号，以迷惑账号，以迷惑入侵者。具体操作如下：入侵者。具体操作如下：l在“开始”“运行”中输入secpol.msc后回车，打开“本地安全设置”对话框。l依次展开“本地策略”“安全选项”，在右侧窗口有一个“账号：重命名Administrator账号”的策略。l双击打开后可以给Administrator重新设置一个不是很引人

24、注目的用户名（如ABCD），如图3.5所示。然后还可以再新建一个名称为Administrator的受限制用户，以假乱真。图3.5 Administrator重命名设置(4)删除不必要的用户账号删除不必要的用户账号 Guest账号很容易被入侵者利用来攻击系统，因此，账号很容易被入侵者利用来攻击系统，因此，为了安全起见，可以考虑将该账号停掉，任何时为了安全起见，可以考虑将该账号停掉，任何时候都不允许候都不允许Guest账号登录系统。管理员可利用用账号登录系统。管理员可利用用户组策略设置相应权限，并经常检查系统账号，户组策略设置相应权限，并经常检查系统账号，删除已经不用的账号。因为这些无用账号很多时

25、删除已经不用的账号。因为这些无用账号很多时候都是黑客入侵系统的突破口，系统的账号越多，候都是黑客入侵系统的突破口，系统的账号越多，黑客得到合法用户的权限可能性一般也就越大。黑客得到合法用户的权限可能性一般也就越大。为了安全起见，限制系统中的用户数量是必要的，为了安全起见，限制系统中的用户数量是必要的，因此可以将系统中的因此可以将系统中的duplicateuser账号、测试用账号、测试用账号、共享账号等删除。账号、共享账号等删除。3）用户登录和密码安全）用户登录和密码安全(1)Administrator账号登录账号登录(2)找回找回Administrator账号密码账号密码(3)找回丢失的系统密

26、码找回丢失的系统密码（1）Administrator账号登录账号登录 在在Windows XP下，如果建立了一个新的非受限制用户下，如果建立了一个新的非受限制用户(计计算机管理员，如算机管理员，如QAZ)，下次登录计算机时，将不会出现，下次登录计算机时，将不会出现Administrator超级用户的登录入口了。当必须使用超级用户的登录入口了。当必须使用Administrator账号登录时，可以采用以下方法：以现有账号登录时，可以采用以下方法：以现有的计算机管理员的计算机管理员QAZ账号登录，进入账号登录，进入“程序程序”“管理管理工具工具”“计算机管理计算机管理”，选择，选择“系统工具系统工具

27、”“本地本地用户和组用户和组”，然后单击，然后单击“用户用户”，即可看到，即可看到Administrator账号，如图账号，如图3.6所示。将当前的计算机管理所示。将当前的计算机管理员账号员账号QAZ停用或删除后，就可以用停用或删除后，就可以用Administrator用户用户的登录了。其操作为：右键单击的登录了。其操作为：右键单击“QAZ”，选择，选择“属性属性”，勾选勾选“账户已停用账户已停用”复选框后，点击复选框后，点击“确定确定”按钮，这按钮，这样就停用了该账号。停用后的该账号前有个红色的叉号样就停用了该账号。停用后的该账号前有个红色的叉号显示，如图显示，如图3.6所示。这样重新启动计

28、算机时就会出现所示。这样重新启动计算机时就会出现Administrator账号的登录入口了。账号的登录入口了。(2)找回找回Administrator账号密码账号密码 Windows XP安装在安装在NTFS分区上。在使用故分区上。在使用故障修复控制台时，程序要求输入障修复控制台时，程序要求输入Administrator的密码，但此时却忘记了密码的密码，但此时却忘记了密码(安装安装Windows XP时设置了密码时设置了密码)。可用以下。可用以下方法找回方法找回Administrafor的密码。的密码。第一：若能正常进入Windows XP，则使用具有管理员权限的账号登录Windows XP，

29、然后打开如图3.6所示的计算机本地用户栏，可以看到当前系统里存在的全部账号。鼠标右键点击Administrator，选择“设置密码”，然后按照屏幕提示操作即可重新设置密码，如图3.7所示。图3.6 本地计算机用户 图3.7 重新设置密码 第二：若无法正常进入Windows XP，如果可以使用命令行安全模式，则可用具有管理权限的账号登录，使用NETUSER命令修改密码，格式为“NETUSERAdministrator(输入你的新密码)”，然后回车即可。第三：如果连命令行安全模式都无法进入，那么只有使用安装光盘选择修复了。用安装光盘启动系统时，在安装程序选择菜单上选择“现在运行安装Windows”

30、，然后选择“修复”开始修复程序。修复过程类似于Windows98的覆盖安装，修复中会要求重新创建密码，而且已经安装的软件仍然可以继续使用。(3)找回丢失的系统密码找回丢失的系统密码 从从SAM文件中破解密码文件中破解密码SAM文件是文件是Windows XP的用户账号数据库，所有的用户账号数据库，所有Windows XP用户的登录名及口令等相关信息都保存在该文件中。用户的登录名及口令等相关信息都保存在该文件中。SAM文件位于文件位于“C:system32configsam”路径下，如果删路径下，如果删除了除了SAM文件，在登录文件，在登录XP时就不需要密码了，但是账号中时就不需要密码了，但是账

31、号中包含的一些信息（如所创建的用户及用户组）也随之丢失。包含的一些信息（如所创建的用户及用户组）也随之丢失。第第1步：将丢失账号的硬盘接到正常系统中，然后运行步：将丢失账号的硬盘接到正常系统中，然后运行LC4（一款暴力破解软件），在程序界面的菜单上选择（一款暴力破解软件），在程序界面的菜单上选择“Flie-NewSession”来新建一个任务，接着选择来新建一个任务，接着选择“Import-ImprortfromSAMfile”。第。第2步：在弹出的对话框中找到并步：在弹出的对话框中找到并打开待破解的打开待破解的SAM文件，此时文件，此时LC4会自动分析此文件，并会自动分析此文件，并显示文件中

32、的用户名，确认这个账号是欲破解的目标后，显示文件中的用户名，确认这个账号是欲破解的目标后，点击点击“Session-BeginAudit”即可开始破解密码。如果密码即可开始破解密码。如果密码不是很复杂，很快就能得到结果；如果密码比较复杂，需不是很复杂，很快就能得到结果；如果密码比较复杂，需要的时间会较长。要的时间会较长。利用密码重设盘恢复密码利用密码重设盘恢复密码 第第1步：打开步：打开“控制面板控制面板”窗口，选择窗口，选择“用户账用户账号号”，点击欲备份密码的账号，在弹出的账号操，点击欲备份密码的账号，在弹出的账号操作窗口中作窗口中“相关任务相关任务”栏下方，点击栏下方，点击“阻止一个阻止

33、一个已忘记的密码已忘记的密码”字样，如图字样，如图3.8所示。第所示。第2步：打步：打开开“忘记密码向导忘记密码向导”对话框，点击对话框，点击“下一步下一步”按按钮，根据提示在软驱中插人一张空白已格式化的钮，根据提示在软驱中插人一张空白已格式化的软盘，点击软盘，点击“下一步下一步”按钮，输入当前账号的密按钮，输入当前账号的密码，再次点击码，再次点击“下一步下一步”按钮，即可完成密码重按钮，即可完成密码重设磁盘的创建，如图设磁盘的创建，如图3.9所示。第所示。第3步：当忘记密步：当忘记密码需要使用密码重设盘时，可先启动码需要使用密码重设盘时，可先启动Windows XP，在出现录入窗口时，单击用

34、户名，然后随意输入在出现录入窗口时，单击用户名，然后随意输入密码。由于输入密码错误，所以系统会给出密码。由于输入密码错误，所以系统会给出“没没有记住密码有记住密码?”的提示，这时利用生成的密码重设的提示，这时利用生成的密码重设盘，根据提示即可进行密码的恢复工作了。盘，根据提示即可进行密码的恢复工作了。图3.8 进入“忘记密码向导”图3.9 输入当前账号密码 2系统安全设置系统安全设置1）使用文件加密系统）使用文件加密系统EFS 2）目录和文件权限设置）目录和文件权限设置3）备份系统和数据）备份系统和数据4）安装系统补丁程序）安装系统补丁程序5)禁止管理共享禁止管理共享6）设置屏幕保护密码）设置

35、屏幕保护密码7)防范防范SYN攻击攻击8)预防预防DoS9）加密）加密temp文件夹文件夹 10）清空远程可访问的注册表路径）清空远程可访问的注册表路径11）利用）利用“密码策略密码策略”设置可靠的密码设置可靠的密码12)删除默认共享删除默认共享13)卸载不安全组件卸载不安全组件14)关闭不必要的端口关闭不必要的端口15）杜绝非法访问应用程序）杜绝非法访问应用程序16）关闭自动播放服务）关闭自动播放服务17）账户锁定设置）账户锁定设置18)审核审核1）使用文件加密系统）使用文件加密系统EFS Windows系统强大的文件加密功能可给磁盘、文件夹和文件加上一层安全保护。这样可以防止别人把用户的硬

36、盘挂到别的机器上以读出里面的数据。有关EFS的内容可见5.2节。2）目录和文件权限设置）目录和文件权限设置(1)访问权限设置访问权限设置先创建一个用户组，以后所有站点的用户都建在先创建一个用户组，以后所有站点的用户都建在这个组里；再设置该组在各个分区没有权限或者这个组里；再设置该组在各个分区没有权限或者完全拒绝；然后设置各用户在各自文件夹里的权完全拒绝；然后设置各用户在各自文件夹里的权限。限。对对Windows用户，在系统中可按用户（组）来划用户，在系统中可按用户（组）来划分权限。在分权限。在“开始开始”“程序程序”“管理工管理工具具”“计算机管理（本地）计算机管理（本地）”路径下选择路径下选

37、择“本本地用户和组地用户和组”，在这里可详细管理系统用户和用，在这里可详细管理系统用户和用户组。户组。NTFS权限设置。分区时可把所有的硬盘都分为权限设置。分区时可把所有的硬盘都分为NTFS分区，然后确定每个分区对每个用户开放的分区，然后确定每个分区对每个用户开放的权限。右键单击要设定权限的文件或文件夹，选权限。右键单击要设定权限的文件或文件夹，选择择“属性属性”“安全安全”标签，在这里可管理标签，在这里可管理NTFS文件（夹）权限。文件（夹）权限。(2)设置文件共享权限设置文件共享权限 简单文件共享简单文件共享 打开打开“我的电脑我的电脑”窗口，依次选择菜单中的窗口，依次选择菜单中的“工工具

38、具”“文件夹选项文件夹选项”，打开，打开“文件夹选项文件夹选项”窗口，选择窗口，选择“查看查看”标签，在标签，在“高级设置高级设置”列表中，选择列表中，选择“使用简单使用简单文件共享文件共享(推荐推荐)”复选框的选择，如图复选框的选择，如图3.10所示。所示。启动启动Guest账号账号 在系统的默认状况下，在系统的默认状况下，Guest账号是没有启用的。如要想账号是没有启用的。如要想让局域网中的其他用户能访问你的电脑，首先就得启用该让局域网中的其他用户能访问你的电脑，首先就得启用该账号。打开账号。打开“控制面板控制面板”“用户账号用户账号”，单击界面中的，单击界面中的“Guest账号账号”，然

39、后再单击，然后再单击“启用来宾账号启用来宾账号”按钮，即按钮，即可完成可完成Guest账号的启动，如图账号的启动，如图3.11所示。所示。添加共享访问用户添加共享访问用户 由于用户在访问共享资源时，需要根据不同的用户设置不由于用户在访问共享资源时，需要根据不同的用户设置不同的访问权限，所以在这里所添加的共享访问用户也要设同的访问权限，所以在这里所添加的共享访问用户也要设置多个权限的用户和密码，以供用户访问。置多个权限的用户和密码，以供用户访问。图3.10 简单文件共享 图3.11 启动Guest账号 第1步：打开“控制面板”中的“用户账号”，单击“创建一个新账号”，这时会提示为新账号键入一个名

40、称，输入一个要创建的用户名(如ABCD)，点击“下一步”，然后系统会提示选择账号类型，有计算机管理员和受限用户两个账号类型供选择。鉴于安全考虑，选择创建受限用户，如图3.12所示。图3.12 创建受限账号 第2步：完成以上操作后，在“用户账号”的主界面中就多了一个“ABCD”受限账号，如图3.13所示。然后再为该用户设置访问密码。在“用户账号”主界面中单击“ABCD”账号，再单击“创建密码”，进入创建密码对话框。在为ABCD用户创建密码对话框中输入并验证新创建账号的密码，并设置一个密码提示语，最后单击“创建密码”按钮即可，如图3.14所示。图3.13 完成创建受限账号ABCD 图3.14 为A

41、BCD账号设置密码 设置共享资源设置共享资源 在完成以上操作后，就可以设置共享了。第1步：选择一个要共享的文件或文件夹，单击鼠标右键，选择“共享和安全”，这时的界面已与先前共享的界面不同了，多了“权限”和“缓存”设置项。第2步：选择“共享该文件夹”，单击“权限”按钮，在“权限”设置窗口中先删除已有的“Everyone”，接着添加刚才所创建的用户。依次单击“添加”“高级”“立即查找”，搜索系统中已有的用户和组。最后在界面下方的用户和组的列表中选择“ABCD”账号，单击两次“确定”按钮回到权限设置窗口。(3)设定安全记录的访问权限设定安全记录的访问权限 在默认情况下安全记录是没有保护的，可把它设置

42、成只有Administrator和系统账号才有权访问。3）备份系统和数据）备份系统和数据 用ghost软件及时对C盘做好备份，并用KV2008、PQ等软件将硬盘的分区表进行备份。同时，还需要制作一张启动盘以便必要时使用。使用ntbackup软件备份系统状态，使用reg.exe备份系统关键数据，如reg export HKLMSOFTWAREODBC e:backupsystemodbc.reg/y，即可将SOFTWARE下的ODBC文件备份到e:盘。4）安装系统补丁程序）安装系统补丁程序 安装系统补丁的重要性是不言而喻的，尤其是一些重要的安全补丁和针对IE、OE漏洞的补丁。尽量安装最新的操作系

43、统和浏览器，并通过下载安装补丁对系统进行升级。Microsoft会经常发布一些已知漏洞的修补程序，这些程序一般都可以通过Windows Update来安装（可经常性的访问Windows Update网站或者直接点击“开始”菜单中Windows Update的快捷方式)。而Windows XP和最新的Windows 2000更加先进了，可以自动检查更新，在后台下载，完成后通知下载完成并询问是否开始安装。对于Windows 2000/XP的用户，Microsoft还提供了一个检查安全性的实用工具：基准安全分析器(Microsoft Baseline Security Analyzer)。该程序可以

44、自动对用户的系统进行安全性检测，并且对于出现的问题，都可以提供一个完整的解决方案，它非常适合对于安全性要求高的用户使用。5)禁止管理共享禁止管理共享 进入注册表，打开进入注册表，打开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters项。对于服务器，添加键值项。对于服务器，添加键值“AutoShareServer”，类型为，类型为“REG_DWORD”，其值为，其值为“0”。对于客户。对于客户机，添加键值机，添加键值“AutoShareWks”，类型为，类型为“REG_DWORD”，其值为，其值为“0”。

45、6）设置屏幕保护密码）设置屏幕保护密码 设置屏幕保护密码是很必要的，操作也很简单，这也是防止内部人员破坏服务器的一个屏障。屏幕保护密码不要很复杂的，因为没必要浪费很多系统资源。系统用户所使用的机器最好也加上屏幕保护密码。7)7)防范防范SYNSYN攻击攻击 系统可使用SYN淹没攻击保护，进入注册表，打开HKLMSYSTEMCurrentControlSetServiceTcpipParameters，相关的值项如下：(1)“DWORD：SynAttackProtect”定义了是否允许SYN淹没攻击保护，值为“1”表示允许起用Windows 2000的SYN淹没攻击保护。(2)“DWORD：Tc

46、pMaxConnectResponseRetransmissions”定义了对于连接请求回应包的重发次数。值为“1”，则SYN淹没攻击不会有效果，但是这样会使连接请求失败的概率增大。SYN淹没攻击保护只有在该值2时才会被启用，默认值为3。(3)“DWORD：TcpMaxHalfOpen”定义了能够处于SYN_RECEIVED状态的TCP连接数目，默认值为100。(4)“TcpMaxHalfOpenRetried”定义了在重新发送连接请求后，仍处于SYN_RECEIVED状态的TCP连接数目，默认值为80。(5)“TcpMaxPortsExhausted”定义了系统拒绝连接请求的次数，默认值为5

47、。上述前两项定义是否允许SYN淹没攻击保护，后三项定义了激活SYN淹没攻击保护的条件，满足其中之一，则系统自动激活SYN淹没攻击保护。8)预防预防DoS 进入注册表，打开HKLMSYSTEMCurrentControlSetServicesTcpipParameters，更改以下值可以防御一定强度的DoS攻击：SynAttackProtectREG_DWORD 2EnablePMTUDiscoveryREG_DWORD0 NoNameReleaseOnDemandREG_DWORD 1EnableDeadGWDetectREG_DWORD 0KeepAliveTimeREG_DWORD300，

48、000PerformRouterDiscoveryREG_DWORD 0EnableICMPRedirectsREG_DWORD 0 9）加密）加密temp文件夹文件夹 一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹下，但是当程序升级完毕或关闭时，并不会自动清除temp文件夹中的内容。所以，给temp文件夹加密也可为文件多一层保护。10）清空远程可访问的注册表路径）清空远程可访问的注册表路径 Windows 2003系统提供了注册表的远程访问功能。当将远程可访问的注册表路径设置为空时，才能有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息。设置远程可访问的注册表路径为

49、空的步骤如下：第1步：选择“开始”“运行”，输入gpedit.msc，确认后打开组策略编辑器。第2步：在组策略中，展开“计算机配置”“Windows设置”“安全设置”“本地策略”。第3步：单击“安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，并双击之，如图3.15所示。第4步：在打开的“网络访问：可远程访问的注册表路径属性”窗口中，将可远程访问的注册表路径和子路径内容全部设置为空，再点击“确定”按钮即可。图3.15 进入远程可访问的注册表路径 另外，在进行安全设置中，对如图3.15所示的本地策略的安全选项设置可以考虑将“网络访问：可匿名访问的共享”、“网络访问：可匿名访问的命

50、名管道”和“网络访问：可远程访问的注册表路径和子路径”三项全部删除；将“不允许SAM账户的匿名枚举”、“不允许SAM账户和共享的匿名枚举”、“网络访问：不允许存储网络身份验证的凭据或.NETPassports”和“网络访问：限制匿名访问命名管道和共享”四项更改为“已启用”。11）利用）利用“密码策略密码策略”设置可靠的密码设置可靠的密码尽管绝对安全的密码是不存在的，但是相对尽管绝对安全的密码是不存在的，但是相对安全的密码还是可以实现的。这还需要运安全的密码还是可以实现的。这还需要运行行secpol.msc来配置来配置“本地安全设置本地安全设置”。展。展开到开到“账户策略账户策略”“密码策略密码

51、策略”，如图，如图3.16、图、图3.17所示。经过对这里策略的配置，所示。经过对这里策略的配置，就可以建立一个完备密码策略，使密码可就可以建立一个完备密码策略，使密码可以得到最大限度的保护。账号密码配置如以得到最大限度的保护。账号密码配置如下：下：图3.16 安全选项的设置 图3.17 账号的密码配置(1)强制密码历史。该设置决定了保存用户曾经用过的密码个数。很多人知道要经常性的更换自己的密码，可是换来换去就是有限的几个在轮换。配置该策略就可以知道用户更换的密码是否是以前曾经使用过的。默认情况下，该策略不保存用户的密码，用户可以自己设置，建议保存5个以上（最多可以保存24个）。(2)密码最长

52、存留期。该策略决定了一个密码可以使用多久，之后就会过期，并要求用户更换密码。如果设置为0，则密码永不过期。一般情况下设置为30到60天左右就可以了，最长可以设置999天。具体的过期时间要看系统对安全要求的严格程(3)密码最短存留期。该策略决定了一个密码要在使用多久之后才能再次被使用。如果设置为0，则表示一个密码可以被无限制的重复使用。(4)密码长度最小值。该策略决定了一个密码的长度，有效值在0到14之间。如果设置为0，则表示不需要密码；该数字越大，表示密码的位数越多，密码安全程度越高。建议的密码长度6位。(5)密码必须符合复杂性要求。如果启用了该策略，则在设置和更改密码时，系统将会按照一定的规

53、则检查密码是否有效。(6)为域中的所有用户使用可还原的加密来存储密码。很明显，该策略最好不要启用。12)删除默认共享删除默认共享 使用使用Windows 2003的用户都会碰到一个问题，就的用户都会碰到一个问题，就是系统在默认安装时，都会产生默认的共享文件是系统在默认安装时，都会产生默认的共享文件夹。虽然用户并没有设置共享，但每个盘符都被夹。虽然用户并没有设置共享，但每个盘符都被Windows自动设置了共享，其共享名为盘符后面自动设置了共享，其共享名为盘符后面加一个符号（共享名称分别为加一个符号（共享名称分别为c$、d$、ipc$等）。这样，只要攻击者知道了该系统的管理员等）。这样，只要攻击者

54、知道了该系统的管理员密码，就有可能通过输入密码，就有可能通过输入“工作站名工作站名共享名称共享名称”来打开系统的指定文件夹，用户精心设置的安全来打开系统的指定文件夹，用户精心设置的安全防范就不安全了。因此，应将防范就不安全了。因此，应将Windows 2003系统系统默认的共享隐患从系统中清除掉，可采用以下步默认的共享隐患从系统中清除掉，可采用以下步骤：骤：第1步：选择“开始”“运行”，输入gpedit.msc，确认后打开组策略编辑器；第2步：选择“用户配置”“Windows设置”“脚本(登录/注销)”，双击“登录”脚本，在出现的“登录属性”窗口中单击“添加”按钮，如图3.18所示；第3步：在

55、出现的“添加脚本”对话框中的“脚本名”栏中输入delshare.bat，然后单击“确定”按钮即可。重新启动计算机系统后，就可以自动将系统所有的隐藏共享文件夹全部取消。图3.18 利用组策略删除默认共享13)卸载不安全组件卸载不安全组件当我们在系统中加入不安全组件检测功能后，就可发当我们在系统中加入不安全组件检测功能后，就可发现使用的服务器支持的很多组件是不安全的。但这些不安现使用的服务器支持的很多组件是不安全的。但这些不安全也是相对的，只要做好相关的设置，原来不安全的组件全也是相对的，只要做好相关的设置，原来不安全的组件就会安全了。就会安全了。如果有些组件是不安全的，且对用户来说又可能没有如果

56、有些组件是不安全的，且对用户来说又可能没有什么用途，在系统安装后就可以将它们删除掉（卸载）。什么用途，在系统安装后就可以将它们删除掉（卸载）。决定是否卸载一个组件时一定要谨慎。因为组件是为了应决定是否卸载一个组件时一定要谨慎。因为组件是为了应用而出现的，所有的组件都有它的用处，所以在卸载一个用而出现的，所有的组件都有它的用处，所以在卸载一个组件前，必须明确该组件确实是系统不需要的。比如，组件前，必须明确该组件确实是系统不需要的。比如，FSO和和XML都是常用的组件，很多程序会用到它们。都是常用的组件，很多程序会用到它们。WSH组件会被一部分主机管理程序用到，有的打包程序也会用组件会被一部分主机

57、管理程序用到，有的打包程序也会用到它。到它。最危险的组件是最危险的组件是WSH和和Shell，因为它们可以运行硬盘，因为它们可以运行硬盘里的里的.exe程序，比如可以运行提升程序来提升程序，比如可以运行提升程序来提升SERV-U权限，权限，甚至用甚至用SERV-U来运行更高权限的系统程序。因此，用户可来运行更高权限的系统程序。因此，用户可以卸载以卸载WSH和和Shell这两个组件。卸载组件的最简单办法就这两个组件。卸载组件的最简单办法就是直接卸载后删除相应的程序文件。是直接卸载后删除相应的程序文件。例1：卸载WSH和Shell组件将下面的代码保存为一个.BAT文件：regsvr32/u C:W

58、INDOWSSystem32wshom.ocxdelC:WINDOWSSystem32wshom.ocx（利用regsvr32/u wshom.ocx 卸载WScript.Shell 组件）regsvr32/u C:WINDOWSsystem32shell32.dlldelC:WINDOWSsystem32shell32.dll（利用regsvr32/u shell32.dll 卸载Shell.application 组件）运行该批处理文件后，WScript.Shell和Shell.application组件就会被卸载。在卸载过程中，可能会出现无法删除文件的提示，可以不用管它，重启服务器即可。

59、例2：卸载FSO组件 使用regsvr32/u c:windowssystem32scrrun.dll卸载组件。在“开始”菜单下运行“regedit”，打开注册表编辑器，将/HKEY_CLASSES_ROOT下的WScript.Network、WScript.Network.1、WScript.Shell、WScript.Shell.1、Shell.Application和Shell.Application.1的键值改名或删除。在/HKEY_CLASSES_ROOT/CLSID中包含的字串（如72C24DD5-D70A-438B-8A42-98424B88AFB8）下找到相关的键值，如图3.1

60、9所示，并将其全部删除。14)关闭不必要的端口关闭不必要的端口 在系统安装后，为了安全起见，可关闭一些在系统安装后，为了安全起见，可关闭一些不需要的端口。具体步骤如下：不需要的端口。具体步骤如下：第第1步：选择步：选择“开始开始”“设置设置”“网络网络连接连接”“本地连接本地连接”，打开，打开“本地连接本地连接属性属性”，如图，如图3.20所示。所示。图3.19 注册表修改或删除键值 第2步：选择“Internet协议(TCP/IP)”，点击“属性”按钮，出现“Internet协议属性”窗口，如图3.21所示。图3.20 本地连接属性 图3.21 Internet协议属性窗口 第3步：点击“高

61、级”按钮，进入“高级TCP/IP”设置窗口，如图3.22所示。第4步：点击“选项”标签，进入“TCP/IP筛选”，点击“属性”按钮，打开TCP/IP筛选，添加需要的TCP、UDP协议即可，参见图2.8。图3.22 高级TCP/IP设置窗口 15）杜绝非法访问应用程序）杜绝非法访问应用程序 Windows 2003是一种服务器操作系统。为是一种服务器操作系统。为了防止非法用户登录到系统中并随意启动了防止非法用户登录到系统中并随意启动服务器中的应用程序，给服务器的正常运服务器中的应用程序，给服务器的正常运行带来不必要的麻烦。我们可根据不同用行带来不必要的麻烦。我们可根据不同用户的访问权限，来限制他

62、们去调用应用程户的访问权限，来限制他们去调用应用程序。实际上只要使用组策略编辑器作进一序。实际上只要使用组策略编辑器作进一步的设置，即可实现这一目的。具体步骤步的设置，即可实现这一目的。具体步骤如下：如下：打开“组策略编辑器”，然后依次选择“本地计算机策略”“用户配置”“管理模板”“系统”。选择“只运行许可的Windows应用程序”并双击之，出现如图3.23所示窗口。在图中的“设置”标签中选择“已启用”，点击下面的“允许的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框。单击“添加”按钮来添加允许运行的应用程序，如图3.24所示。这样操作后一般用户只能运行“允许的应用程序列表”中的程

63、序。图3.23 组策略编辑器的系统设置 图3.24 允许的应用程序列表框 16）关闭自动播放服务）关闭自动播放服务 自动播放功能不仅对光驱起作用，而且对其他驱动自动播放功能不仅对光驱起作用，而且对其他驱动器也起作用，这样很容易被黑客利用来执行黑客器也起作用，这样很容易被黑客利用来执行黑客程序，因此，可以考虑关闭该服务。关闭自动播程序，因此，可以考虑关闭该服务。关闭自动播放服务的操作为：放服务的操作为：打开组策略编辑器，依次展开打开组策略编辑器，依次展开“计算机配计算机配置置”“管理模板管理模板”“系统系统”。在右侧窗口中找到在右侧窗口中找到“关闭自动播放关闭自动播放”选项，并双选项，并双击之。

64、击之。在打开的对话框中选择在打开的对话框中选择“已启用已启用”，然后在，然后在“关关闭自动播放闭自动播放”后面的下拉菜单中选择后面的下拉菜单中选择“所有驱动所有驱动器器”，按，按“确定确定”按钮即可生效，如图按钮即可生效，如图3.25所示。所示。图3.25 关闭自动播放服务17）账户锁定设置）账户锁定设置账户锁定策略是一项账户锁定策略是一项 Active Directory 安全功安全功能。在指定时间段内，如果登录尝试失败次数达能。在指定时间段内，如果登录尝试失败次数达到指定次数，它会锁定用户账户并禁止登录。允到指定次数，它会锁定用户账户并禁止登录。允许尝试的次数和时间段基于为账户锁定设置的值

65、。许尝试的次数和时间段基于为账户锁定设置的值。账户锁定策略还可以指定锁定期限。账户锁定设账户锁定策略还可以指定锁定期限。账户锁定设置有助于防止攻击者猜测用户密码，并且会降低置有助于防止攻击者猜测用户密码，并且会降低对网络环境攻击成功的可能性。账户锁定设置的对网络环境攻击成功的可能性。账户锁定设置的过程为：过程为：点击点击“开始开始”“运行运行”，输入，输入secpol.msc，打开本地安全设置界面，选择打开本地安全设置界面，选择“账户策账户策略略”“账户锁定策略账户锁定策略”。双击。双击“账户锁定阈账户锁定阈值值”，在出现的对话框中输入允许尝试的最大登，在出现的对话框中输入允许尝试的最大登录次

66、数，再录次数，再“确认确认”即可，如图即可，如图3.26所示。所示。图3.26 账户锁定设置18)审核审核进入进入“本地安全策略本地安全策略”“本地策本地策略略”“审核策略审核策略”，可见到以下项目内，可见到以下项目内容：容：审核策略更改成功，失败；审核策略更改成功，失败；审核系统事件成功，失败；审核系统事件成功，失败；审核账号登录事件成功，失败；审核账号登录事件成功，失败；审核账号管理成功，失败。审核账号管理成功，失败。对每一项目进行审核：双击每一项，选择成功（或失败），按“确定”按钮完成设置，如图3.27所示。图3.27 安全审核策略3安全使用安全使用Internet Explorer(1)“Internet选项选项”的的“Internet”安全设置安全设置(2)“Internet选项选项”的的“可信站点可信站点”安全设置安全设置(3)“Internet选项选项”的的“内容内容”安全设置安全设置(4)“Internet选项选项”的的“高级高级”安全设置安全设置（1）“Internet选项选项”的的“Internet”安全设置安全设置 打开打开Internet Explorer，点击