|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 (二)運行對策 在系統運行時,采取以下對策: 1、關閉系統默認共享 方法一:采用批處理文件在系統啟動后自動刪除共享。 首選在Cmd提示符下輸入“Net Share”命令,查看系統自動運行的所有共享目錄。然后建立一個批處理文件SHAREDEL.BAT,將該批處理文件放入計劃任務中,設為每次開機時運行。文件內容如下: NET SHARE C$ /DELETE NET SHARE D$ /DELETE NET SHARE E$ /DELETE …… NET SHARE IPC$ /DELETE NET SHARE ADMIN$ /DELETE 方法二:修改系統注冊表,禁止默認共享功能。在Local_Machine\ System\ CurrentControlSet\Services\Lanmanserver\parameters下新建一個雙字節項“auto shareserver”,其值為“0”。 2、刪除多余的不需要的網絡協議 刪除網絡協議中的NWLink NetBIOS協議,NWLink IPX/SPX/NetBIOS 協議,NeBEUI PROtocol協議和服務等,只保留TCP/IP網絡通訊協議。 3、關閉不必要的有安全隱患的服務 用戶可以根據實際情況,關閉表1中所示的系統自動運行的有安全隱患的服務。
表1 需要關閉的服務表 4、啟用安全策略 安全策略包括以下五個方面: (1)帳號鎖定策略。設置帳號鎖定閥值,5次無效登錄后,即鎖定帳號。 (2)密碼策略。一是密碼必須符合復雜性要求,即密碼中必須包括字母、數字以及特殊字符,如:上檔鍵上的+_()*&^%$#@!?><”:{} 等特殊字符。二是服務器密碼長度最少設置為8位字符以上。三是密碼最長保留期。一般設置為1至3個月,即30-90天。四是密碼最短存留期:3天。四是強制密碼歷史:0個記住的密碼。五是“為域中所有用戶使用可還原的加密來儲存密碼”,停用。 (3)審核策略。默認安裝時是關閉的。激活此功能有利于管理員很好的掌握機器的狀態,有利于系統的入侵檢測。可以從日志中了解到機器是否在被人蠻力攻擊、非法的文件訪問等等。開啟安全審核是系統最基本的入侵檢測方法。當攻擊者嘗試對用戶的系統進行某些方式(如嘗試用戶口令,改變賬號策略,未經許可的文件訪問等等)入侵的時候,都會被安全審核記錄下來。避免不能及時察覺系統遭受入侵以致系統遭到破壞。建議至少審核登錄事件、帳戶登錄事件、帳戶管理三個事件。 (4)“用戶權利指派”。在“用戶權利指派”中,將“從遠端系統強制關機”權限設置為禁止任何人有此權限,防止黑客從遠程關閉系統。 (5)“安全選項”。在“安全選項”中,將“對匿名連接的額外限制”權限改為“不允許枚舉SAM帳號和共享”。也可以通過修改注冊表中的值來禁止建立空連接,將Local_Machine \System\CurrentControlSet\Control \LSA-RestrictAnonymous 的值改為“1”。如在LSA目錄下如無該鍵值,可以新建一個雙字節值,名為“restrictanonymous”,值為“1”,十六進制。此舉可以有效地防止利用IPC$空連接枚舉SAM帳號和共享資源,造成系統信息的泄露。 5、加強對Administrator帳號和Guest帳號的管理監控 將Administrator帳號重新命名,創建一個陷阱賬號,名為“Administrator”,口令為10位以上的復雜口令,其權限設置成最低,即:將其設為不隸屬于任何一個組,并通過安全審核,借此發現攻擊者的入侵企圖。設置2個管理員用賬號,一個具有一般權限,用來處理一些日常事物;另一個具有Administrators 權限,只在需要的時候使用。修改Guest用戶口令為復雜口令,并禁用GUEST用戶帳號。 6、禁止使用共享 嚴格限制用戶對共享目錄和文件的訪問,無特殊情況,嚴禁通過共享功能訪問服務器。 7、清除頁面文件 修改注冊表HKLM\SYSTEM\CurrentControlSet\Control\ Session Manager\Memory Management中“ClearPageFileAtShutdown”的值為“1”,可以禁止系統產生頁面文件,防止信息泄露。 8、清除Dump文件 打開控制面板→系統屬性→高級→啟動和故障恢復,將“寫入調試信息”改成“無”,可以清除Dump文件,防止信息泄露。 9、WEB服務安全設置 確需提供WEB服務和FTP服務的,建議采取以下措施: (1)IIS-WEB網站服務。在安裝時不要選擇IIS服務,安裝完畢后,手動添加該服務,將其安裝目錄設為如D:\INTE等任意字符,以加大安全性。刪除INTERNET服務管理器,刪除樣本頁面和腳本,卸載INTERNET打印服務,刪除除ASP外的應用程序映射。針對不同類型文件建立不同文件夾并設置不同權限。對腳本程序設為純腳本執行許可權限,二進制執行文件設為腳本和可執行程序權限,靜態文件設為讀權限。對安全掃描出的CGI漏洞文件要及時刪除。 (2)FTP文件傳輸服務。不要使用系統自帶的FTP服務,該服務與系統賬戶集成認證,一旦密碼泄漏后果十分嚴重。建議利用第三方軟件SERV-U提供FTP服務,該軟件用戶管理獨立進行,并采用單向hash函數(MD5)加密用戶口令,加密后的口令保存在ServUDaemon.ini或是注冊表中。用戶采用多權限和模擬域進行權限管理。虛擬路徑和物理路徑可以隨時變換。利用IP規則,用戶權限,用戶域,用戶口令多重保護防止非法入侵。利用攻擊規則可以自動封閉拒絕攻擊,密碼猜解發起計算機的IP并計入黑名單。 三、結束語 以上是筆者根據多年的工作經驗總結的一點心得,有些地方研究的還不夠深入,希望本文能給操作系統安全防范工作提供幫助。日常管理工作中,系統管理員還必須及時安裝微軟發布的最新系統安全漏洞補丁程序,安裝防病毒軟件并及時升級病毒定義庫,來防止計算機病毒的入侵,保障操作系統的安全運行。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
