关于Windows系统的安全加固

ZDNet软件频道 时间:2009-11-05 作者:sec114 | 赛迪网 我要评论()
本文关键词:Windows Xp Forefront 系统安全 Windows
用户可以根据实际情况,关闭如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP Services 、Terminal Services 等有安全隐患的系统服务。

  (一)安装对策

  在进行系统安装时,采取以下对策:

  1、在完全安装、配置好操作系统,给系统全部安装系统补丁之前,一定不要把机器接入网络。

  2、在安装操作系统时,建议至少分三个磁盘分区。第一个分区用来安装操作系统,第二分区存放IIS、FTP和各种应用程序,第三个分区存放重要的数据和日志文件。

  3、采用NTFS文件格式安装操作系统,可以保证文件的安全,控制用户对文件的访问权限。

  4、在安装系统组件时,不要采用缺省安装,删除系统缺省选中的IIS、DHCP、DNS等服务。

  5、在安装完操作系统后,应先安装在其上面的应用系统,后安装系统补丁。安装系统补丁一定要全面。

  6、做系统的ghost以备还原。

  (二)运行对策

  在系统运行时,采取以下对策:

  1、关闭系统默认共享

  修改系统注册表,禁止默认共享功能。在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=dword:00000000。

  2、删除多余的不需要的网络协议,只保留TCP/IP网络通讯协议。

  3、关闭不必要的有安全隐患的服务

  用户可以根据实际情况,关闭如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP Services 、Terminal Services 等有安全隐患的系统服务。 

  4、启用安全策略(Gpedit.msc 打开系统策略编辑器)

  (1)帐号锁定策略。设置帐号锁定阀值,3次无效登录后,即锁定帐号。

  (2)密码策略。

  一是密码必须符合复杂性要求,即密码中必须包括字母、数字以及特殊字符。

  二是服务器密码长度最少设置为8位字符以上。

  (3)审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态,可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。建议至少审核登录事件、帐户登录事件、帐户管理三个事件。

  (4)“用户权利指派”。在“用户权利指派”中,将“从远端系统强制关机”权限设置为禁止任何人有此权限,防止黑客从远程关闭系统。

  (5)“安全选项”。在“安全选项”中,将“对匿名连接的额外限制”权限改为“不允许枚举SAM帐号和共享”。也可以通过修改注册表中的值来禁止建立空连接,[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。可以有效地防止利用IPC$空连接枚举SAM帐号和共享资源,造成系统信息的泄露。

  5、加强对Administrator帐号和Guest帐号的管理监控

  将Administrator帐号重新命名,创建一个陷阱账号,名为“Administrator”,口令为10位以上的复杂口令,其权限设置成最低,即:将其设为不隶属于任何一个组,并通过安全审核,借此发现攻击者的入侵企图。设置2个管理员用账号,一个具有一般权限,用来处理一些日常事物;另一个具有Administrators 权限,只在需要的时候使用。修改Guest用户口令为复杂口令,并禁用GUEST用户帐号。

  6、 关闭文件和打印共享

  [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork] "NoFileSharingControl"=0000001

Windows Xp

Forefront

系统安全

Windows


百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134