系统和应用安全
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
▪ 防火墙 ▪ 连接安全规则 ▪ 安全关联
有必要考虑第三方 防火墙
26
自动更新配置
❖ 更新方式
▪ 自动更新 ▪ 自动下载,手动安装
(推荐) ▪ 通知更新、手动下载
安装 ▪ 不检查更新
❖ 更新时间 ❖ 其他设置
27
远程访问设置
❖ 限制对远程终端的访问
▪ 尽量不要开放远程终 端等远程管理系统
• 限时 • 限制访问源(IP)
63
默认端口
❖ Sql Server 默认采用的通讯端口为1433,可以将该端口进行 修改提高安全性。
64
通讯加密
❖ 可以选择强制协议加密来保证通讯安全。
65
日志监控、审计
❖经常需要查看Sql Server的运行日志 ❖打开Sql Server的审计功能
47
配置日志大小和覆盖方式
控制面板→管 理工具→事件 查看器(或者 直接在开始, 运行中输入 eventvwr.msc) →选中其中一 项,属性→调 整日志大小, 覆盖策略
48
策略九:安全增强软件
安装哪些安全增强软件 ✓ 软件防火墙 ✓ 安全防护 ✓ 影子系统 ✓ 其他安全软件
49
策略十:小心重要数据
控制面板→安 全中心→启用 控制面板→自 动更新 →选 择相应选项
37
安装更新
从弹出的对话 框选择→快速 安装或自定义 安装 安装完成后及 时重启计算机
38
手工查询更新
开始菜单→所 有程序 →windows Update→进入 微软更新网站, 手工更新
39
使用第三方工具修复系统漏洞
40
策略五:防病毒软件及更新
账号安全配置
❖ 账户信息修改
▪ 更名
• 管理员账户administrator改名 • 给管理员账户一个安全的口令 • Guest账户改名,给一个安全的口令
▪ 属性
• 关闭普通账号的终端登录权限
❖ 创建审计账户
▪ 创建一个新的administrator账户,属于guest组 ▪ 对此账户进行审计以发现口令攻击行为
❖文档 ❖邮件 ❖数据 ❖通讯录
备份
50
知识体:系统及应用安全技术
❖ 知识域:WEB应用安全
▪ 了解IIS等常用Web软件安全配置管理方法; ▪ 了解SQL等数据库系统安全配置管理方法。
❖ 知识域:互联网使用安全
▪ 了解互联网浏览安全基本常识; ▪ 了解数据安全基本概念;
51
Web应用面临的安全风险
数据库 数据库
53
如何构建安全应用环境
❖ 运行环境的安全 ❖ Web服务软件安全配置 ❖ 数据库安全管理 ❖ 安全脚本开发
54
构建安全应用环境-IIS安全设置
❖ 主目录及目录安全性(目录权限) ❖ 性能设置(端口、连接数等) ❖ 日志安全 ❖ 文档和错误消息
55
虚拟目录
❖ 默认虚拟目录带来 的安全风险
❖ 默认文件带来的安 全风险
不需要请 删除
56
主目录及目录安全性
Web文件存放位置 (不宜使用默认目录)
严格控制权限 1、严禁写入! 2、慎用目录浏览
主目录
建议设置
脚本源访问
不允许
读取
允许
写入
不允许
目录浏览
建议关闭
记录访问
建议关闭
索引资源
建议关闭
执行权限
纯脚本
57
性能设置
❖ 并发连接数设置 ❖ 带宽限制 ❖ Cpu限制
15
共享安全配置
❖ 共享安全风险
▪ IPC$的安全问题(空会话连接导致信息泄露) ▪ 管理共享风险(远程文件操作) ▪ 普通共享的风险(远程文件操作)
系统用户列表 用户信息 共享列表 ……
空会话连接
16
解决IPC$空会话连接
❖ 系统策略
本地安全策略->安全选项中的相关设置
❖ 注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \LSA]把RestrictAnonymous = DWORD的键值改为:1
24
文件安全配置
❖ 设置系统文件权限(权限最小化原则)
▪ 给予正常工作所需的最小权限 ▪ 参考相关文档或标准
❖ 数据文件权限设置
▪ 仅对需要访问的用户提供权限
❖ 日志文件系统安全防护
▪ 日志系统设置为仅对system有写权限 ▪ Administrator为读权限
25
防火墙安全配置
❖ 出站规则 ❖ 入站规则 ❖ 连接安全规则 ❖ 监视
30
策略一:规范的计算机名称
为什么要规范计算机名称? ✓ 方便管理 ✓ 出现问题后及时定位
31
更改计算机名
✓ 我的电脑→ 属性→计算机 名→更改,重 启计算机即可。
32
策略二:安全的账号及口令
如何保障账号及口令安全? ✓ 更改管理员administrator及访客guest账号名称 ✓ 设置强壮的口令 ✓ 设置账户安全策略
41
移动存储设备自动播放的威胁
❖ U盘插入,病毒则立刻运行
42
策略六:关闭系统自动执行功能
43
策略七:开启windows防火墙
控制面板→安 全中心→启用 控制面板 →windows防 火墙 →选择 “启用”
44
配置windows防火墙
选择例外→根据需 要配置“例外”选 项 只有经过允许的应 用程序才能访问网 络
令转换
9
Windows文件系统
❖ FAT/FAT32
▪ 小磁盘和简单的目录结构设计,以簇(Clusters) 为单位进行空间分配,容易导致空间浪费
▪ 不具备安全特性
❖ NTFS
▪ 访问控制 ▪ 权限管理 ▪ 容错性 ▪ 支持压缩及空间利用率高 ▪ ……
10
优化安装
❖ 最小化组件安装,仅安装必要的组件
❖ 默认提供日志
▪ 系统日志 ▪ 应用程序日志 ▪ 安全日志
❖安装相应服务后 提供
▪ 目录服务日志 ▪ 文件复制日志 ▪ DNS服务器日志
20
开启安全审核!
日志安全配置
❖ 日志属性
▪ 日志大小上限 > 100M
▪ 日志覆盖时间 > 30天
❖ 日志保存路径修改
▪ HKEY_LOCAL_MACHINE\SYSTEM\Curren tControlSet\Services\Eventlog
▪ 限制管理员从远程终 端登录
28
安全增强软件
❖ 软件防火墙 ❖ 防病毒软件 ❖ 安全检测软件 ❖ 安全还原软件 ❖ ……
外部网络
29
打造安全计算机终端的十条策略
❖ 规范的名称 ❖ 安全的账号及口令 ❖ 确保共享安全 ❖ 确保系统补丁更新 ❖ 防病毒软件及更新 ❖ 关闭系统自动执行功能 ❖ 启用系统防火墙 ❖ 安全策略设置 ❖ 安装增强软件 ❖ 重要数据要备份
58
Web站点设置
❖ IP地址 ❖ 端口 ❖ 主机头名称 ❖ 连接控制 ❖ 日志
59
日志安全性
❖ 日志记录内容 ❖ 日志的路径
▪ 非系统盘 ▪ 足够大的空间 ▪ 单独的日志分区
❖日志的访问权限
❖ System可以写入,不可读 ❖ Administrator可读不可修改 ❖ 其他用户无权限
60
构建安全应用环境-SQL Server安全管理
❖ 篡改 ❖ 挂马 ❖ 数据丢失 ❖ 拒绝服务 ❖ 钓鱼攻击 ❖ SQL注入 ❖ ……
52
Web应用架构
Web 浏览器
URL请求 请求响应
IIS Apache ……
Asp Php Jsp Perl ……
Sql server Oracle Db2 mysql ……
Web 服务器
Web 应用 Web 应用 Web应用 Web应用
❖ 端口
139 445端口
17
关闭管理共享
通过控制面板里面的管理工具来取消共享为暂时,重启后恢复。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServwenku.baidu.comr\Para
meters 服务器:创建键值名AutoShareServer,类型DWORD(双字节)并且值为0 客户端:创建键值名为AutoShareWks,类型DWORD(双字节)并且值为0
18
系统服务安全配置
❖ 关闭不必要的服务(手工、禁用)
▪ Message
▪ Task Scheduler
▪ Remote Registry ▪ Windows Time
关注互操作服务
▪ ……
❖ 服务的权限控制
▪ 默认服务权限-system
▪ 降低部分服务的权限,特别是应用程序服务权限
19
日志安全配置
45
策略八:安全策略设置
如何设置安全策略 ✓ 账户策略 ✓ 本地策略 ✓ 其他策略 ✓ 日志管理
46
开启审核功能
控制面板→管理 工具→本地安全 策略(或者直接 在开始,运行中 输入gpedit.msc) →windows设置→ 安全设置→本地 策略→审核策略 →属性→根据需 要选择“成功”、 “失败”选项
注意不同版 本之间的差
异
❖ 单一操作系统
8
分区选择
❖ 分区设置
▪ 操作系统与数据放在不同的分区 ▪ 建议三个分区
• C盘(操作系统,适当的空间) • D盘(数据,足够大的空间) • E盘(日志及备份,尽量大的空间)
❖ 文件系统
▪ 使用NTFS文件系统 ▪ 安装前格式化为NTFS,不要安装后使用convert命
• Application 应用程序日志
• Security
安全日志
• System
系统日志
21
本地安全策略设置
❖ 用户权限分配
▪ 创建文件和目录
▪ 从网络访问此计算机
▪ ……
❖ 安全选项
▪ 当登录时间完成自动注销
▪ 关机清理虚拟内存页面
▪ 不显示上次登陆用户名
▪ 超过登录时间后强制注销
▪ 用户登录时的消息标题
❖ 账户安全问题 ❖ 扩展存储过程 ❖ 默认端口、通讯加密 ❖ 日志监控、审计 ❖ 备份、恢复
61
账户安全问题
默认的SA用户为空口令
62
扩展存储过程
❖Sql Server存在扩展存储过程能够对系统 进行调用。
❖ xp_cmdshell(实现cmd的调用) ❖ xp_regwrite(实现注册表的调用) ❖ 其他与系统交互的存储过程
系统及应用安全
中国信息安全测评中心
课程内容
系统及应用安 全技术
操作系统安全 Web应用安全 互联网使用安全
2
知识体:系统及应用安全技术
❖ 知识域:操作系统安全
▪ 了解Windows系统服务器安全安装及配置; ▪ 了解Windows系统终端安全管理策略。
3
系统安全重要性
❖ 系统安全是信息系统纵深防御中的最后环节 ❖ IATF“保护计算环境”的主要内容
保护计算环境
保护网络边界
保护网络和 基础设施
骨干网络
4
系统安全的核心要素
❖ 硬件系统安全
▪ 硬件:服务器、存储等硬件设施 ▪ 威胁源(故障、自然灾害等) ▪ ……
❖ 软件系统安全
▪ 软件:操作系统、系统软件、应用软件等 ▪ 威胁源:兼容性、入侵、病毒等 ▪ ……
5
如何打造安全的 Windows系统
❖ 安全的安装 ❖ 安全的配置
6
打造安全的Windows系统-安全安装
❖ 系统选择 ❖ 分区选择 ❖ 优化安装 ❖ 补丁及备份
7
系统选择
❖ 正版
❖ 合适的版本(以windows2003为例)
▪ Windows Server 2003标准版
▪ Windows Server 2003 企业版 ▪ Winows Server 数据中心版 ▪ Windows server 2003 Web版
❖ 文件安全配置 ❖ 防火墙安全配置 ❖ 自动更新配置
❖ 安全软件增强
13
账号安全配置
❖ 账户策略
▪ 密码策略
• 密码必须符合复杂性要求
• 密码长度最小值
• 密码最短使用期限
• 密码最长使用期限
• 强制密码历史
• 用可还原的加密来存储密码
▪ 账户锁定策略
• 账户锁定时间
• 账户锁定阀值
•
重置账户锁定计数器 14
▪ 用户登录时的消息文本
▪ 使用空白密码的账号允许 控制台登录
▪ ……
22
其他本地安全策略
❖ 高级安全Windows防火墙 ❖ 网络列表管理器策略 ❖ 公钥策略 ❖ 软件限制策略 ❖ 应用程序控制策略 ❖ 高级审核策略配置
23
组策略设置
❖ 软件设置 ❖ Windows设置 ❖ 管理模板
▪ Windows组件 ▪ 打印机 ▪ 控制面板 ▪ 网络 ▪ 系统 ▪ 所有设置 ▪ ……
▪ IIS ▪ FTP ▪ SMTP ▪ NNTP ▪ ……
❖ 修改默认配置
▪ Windows安装目录(例如:c:\winnt)
11
补丁及备份
❖ 补丁
▪ Service Pack ▪ Hotfix
❖备份
▪ 应急修复盘 ▪ 还原点
12
打造安全的Windows系统-安全配置
❖ 账户安全配置 ❖ 共享安全配置 ❖ 系统服务配置 ❖ 日志安全配置 ❖ 安全策略配置
33
开启屏幕保护功能
桌面右键→属 性→屏幕保护 程序→勾选 “在回复时使 用密码保护”
34
策略三:确保共享安全
共享的管理 关闭管理共享
共享
35
策略四:确保系统补丁更新
如何确保系统补丁的更新? ✓ 开启系统的自动更新并安装 ✓ 手动设置检测系统补丁更新 ✓ 第三方软件更新系统补丁
36
开启自动更新、安装更新
有必要考虑第三方 防火墙
26
自动更新配置
❖ 更新方式
▪ 自动更新 ▪ 自动下载,手动安装
(推荐) ▪ 通知更新、手动下载
安装 ▪ 不检查更新
❖ 更新时间 ❖ 其他设置
27
远程访问设置
❖ 限制对远程终端的访问
▪ 尽量不要开放远程终 端等远程管理系统
• 限时 • 限制访问源(IP)
63
默认端口
❖ Sql Server 默认采用的通讯端口为1433,可以将该端口进行 修改提高安全性。
64
通讯加密
❖ 可以选择强制协议加密来保证通讯安全。
65
日志监控、审计
❖经常需要查看Sql Server的运行日志 ❖打开Sql Server的审计功能
47
配置日志大小和覆盖方式
控制面板→管 理工具→事件 查看器(或者 直接在开始, 运行中输入 eventvwr.msc) →选中其中一 项,属性→调 整日志大小, 覆盖策略
48
策略九:安全增强软件
安装哪些安全增强软件 ✓ 软件防火墙 ✓ 安全防护 ✓ 影子系统 ✓ 其他安全软件
49
策略十:小心重要数据
控制面板→安 全中心→启用 控制面板→自 动更新 →选 择相应选项
37
安装更新
从弹出的对话 框选择→快速 安装或自定义 安装 安装完成后及 时重启计算机
38
手工查询更新
开始菜单→所 有程序 →windows Update→进入 微软更新网站, 手工更新
39
使用第三方工具修复系统漏洞
40
策略五:防病毒软件及更新
账号安全配置
❖ 账户信息修改
▪ 更名
• 管理员账户administrator改名 • 给管理员账户一个安全的口令 • Guest账户改名,给一个安全的口令
▪ 属性
• 关闭普通账号的终端登录权限
❖ 创建审计账户
▪ 创建一个新的administrator账户,属于guest组 ▪ 对此账户进行审计以发现口令攻击行为
❖文档 ❖邮件 ❖数据 ❖通讯录
备份
50
知识体:系统及应用安全技术
❖ 知识域:WEB应用安全
▪ 了解IIS等常用Web软件安全配置管理方法; ▪ 了解SQL等数据库系统安全配置管理方法。
❖ 知识域:互联网使用安全
▪ 了解互联网浏览安全基本常识; ▪ 了解数据安全基本概念;
51
Web应用面临的安全风险
数据库 数据库
53
如何构建安全应用环境
❖ 运行环境的安全 ❖ Web服务软件安全配置 ❖ 数据库安全管理 ❖ 安全脚本开发
54
构建安全应用环境-IIS安全设置
❖ 主目录及目录安全性(目录权限) ❖ 性能设置(端口、连接数等) ❖ 日志安全 ❖ 文档和错误消息
55
虚拟目录
❖ 默认虚拟目录带来 的安全风险
❖ 默认文件带来的安 全风险
不需要请 删除
56
主目录及目录安全性
Web文件存放位置 (不宜使用默认目录)
严格控制权限 1、严禁写入! 2、慎用目录浏览
主目录
建议设置
脚本源访问
不允许
读取
允许
写入
不允许
目录浏览
建议关闭
记录访问
建议关闭
索引资源
建议关闭
执行权限
纯脚本
57
性能设置
❖ 并发连接数设置 ❖ 带宽限制 ❖ Cpu限制
15
共享安全配置
❖ 共享安全风险
▪ IPC$的安全问题(空会话连接导致信息泄露) ▪ 管理共享风险(远程文件操作) ▪ 普通共享的风险(远程文件操作)
系统用户列表 用户信息 共享列表 ……
空会话连接
16
解决IPC$空会话连接
❖ 系统策略
本地安全策略->安全选项中的相关设置
❖ 注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \LSA]把RestrictAnonymous = DWORD的键值改为:1
24
文件安全配置
❖ 设置系统文件权限(权限最小化原则)
▪ 给予正常工作所需的最小权限 ▪ 参考相关文档或标准
❖ 数据文件权限设置
▪ 仅对需要访问的用户提供权限
❖ 日志文件系统安全防护
▪ 日志系统设置为仅对system有写权限 ▪ Administrator为读权限
25
防火墙安全配置
❖ 出站规则 ❖ 入站规则 ❖ 连接安全规则 ❖ 监视
30
策略一:规范的计算机名称
为什么要规范计算机名称? ✓ 方便管理 ✓ 出现问题后及时定位
31
更改计算机名
✓ 我的电脑→ 属性→计算机 名→更改,重 启计算机即可。
32
策略二:安全的账号及口令
如何保障账号及口令安全? ✓ 更改管理员administrator及访客guest账号名称 ✓ 设置强壮的口令 ✓ 设置账户安全策略
41
移动存储设备自动播放的威胁
❖ U盘插入,病毒则立刻运行
42
策略六:关闭系统自动执行功能
43
策略七:开启windows防火墙
控制面板→安 全中心→启用 控制面板 →windows防 火墙 →选择 “启用”
44
配置windows防火墙
选择例外→根据需 要配置“例外”选 项 只有经过允许的应 用程序才能访问网 络
令转换
9
Windows文件系统
❖ FAT/FAT32
▪ 小磁盘和简单的目录结构设计,以簇(Clusters) 为单位进行空间分配,容易导致空间浪费
▪ 不具备安全特性
❖ NTFS
▪ 访问控制 ▪ 权限管理 ▪ 容错性 ▪ 支持压缩及空间利用率高 ▪ ……
10
优化安装
❖ 最小化组件安装,仅安装必要的组件
❖ 默认提供日志
▪ 系统日志 ▪ 应用程序日志 ▪ 安全日志
❖安装相应服务后 提供
▪ 目录服务日志 ▪ 文件复制日志 ▪ DNS服务器日志
20
开启安全审核!
日志安全配置
❖ 日志属性
▪ 日志大小上限 > 100M
▪ 日志覆盖时间 > 30天
❖ 日志保存路径修改
▪ HKEY_LOCAL_MACHINE\SYSTEM\Curren tControlSet\Services\Eventlog
▪ 限制管理员从远程终 端登录
28
安全增强软件
❖ 软件防火墙 ❖ 防病毒软件 ❖ 安全检测软件 ❖ 安全还原软件 ❖ ……
外部网络
29
打造安全计算机终端的十条策略
❖ 规范的名称 ❖ 安全的账号及口令 ❖ 确保共享安全 ❖ 确保系统补丁更新 ❖ 防病毒软件及更新 ❖ 关闭系统自动执行功能 ❖ 启用系统防火墙 ❖ 安全策略设置 ❖ 安装增强软件 ❖ 重要数据要备份
58
Web站点设置
❖ IP地址 ❖ 端口 ❖ 主机头名称 ❖ 连接控制 ❖ 日志
59
日志安全性
❖ 日志记录内容 ❖ 日志的路径
▪ 非系统盘 ▪ 足够大的空间 ▪ 单独的日志分区
❖日志的访问权限
❖ System可以写入,不可读 ❖ Administrator可读不可修改 ❖ 其他用户无权限
60
构建安全应用环境-SQL Server安全管理
❖ 篡改 ❖ 挂马 ❖ 数据丢失 ❖ 拒绝服务 ❖ 钓鱼攻击 ❖ SQL注入 ❖ ……
52
Web应用架构
Web 浏览器
URL请求 请求响应
IIS Apache ……
Asp Php Jsp Perl ……
Sql server Oracle Db2 mysql ……
Web 服务器
Web 应用 Web 应用 Web应用 Web应用
❖ 端口
139 445端口
17
关闭管理共享
通过控制面板里面的管理工具来取消共享为暂时,重启后恢复。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServwenku.baidu.comr\Para
meters 服务器:创建键值名AutoShareServer,类型DWORD(双字节)并且值为0 客户端:创建键值名为AutoShareWks,类型DWORD(双字节)并且值为0
18
系统服务安全配置
❖ 关闭不必要的服务(手工、禁用)
▪ Message
▪ Task Scheduler
▪ Remote Registry ▪ Windows Time
关注互操作服务
▪ ……
❖ 服务的权限控制
▪ 默认服务权限-system
▪ 降低部分服务的权限,特别是应用程序服务权限
19
日志安全配置
45
策略八:安全策略设置
如何设置安全策略 ✓ 账户策略 ✓ 本地策略 ✓ 其他策略 ✓ 日志管理
46
开启审核功能
控制面板→管理 工具→本地安全 策略(或者直接 在开始,运行中 输入gpedit.msc) →windows设置→ 安全设置→本地 策略→审核策略 →属性→根据需 要选择“成功”、 “失败”选项
注意不同版 本之间的差
异
❖ 单一操作系统
8
分区选择
❖ 分区设置
▪ 操作系统与数据放在不同的分区 ▪ 建议三个分区
• C盘(操作系统,适当的空间) • D盘(数据,足够大的空间) • E盘(日志及备份,尽量大的空间)
❖ 文件系统
▪ 使用NTFS文件系统 ▪ 安装前格式化为NTFS,不要安装后使用convert命
• Application 应用程序日志
• Security
安全日志
• System
系统日志
21
本地安全策略设置
❖ 用户权限分配
▪ 创建文件和目录
▪ 从网络访问此计算机
▪ ……
❖ 安全选项
▪ 当登录时间完成自动注销
▪ 关机清理虚拟内存页面
▪ 不显示上次登陆用户名
▪ 超过登录时间后强制注销
▪ 用户登录时的消息标题
❖ 账户安全问题 ❖ 扩展存储过程 ❖ 默认端口、通讯加密 ❖ 日志监控、审计 ❖ 备份、恢复
61
账户安全问题
默认的SA用户为空口令
62
扩展存储过程
❖Sql Server存在扩展存储过程能够对系统 进行调用。
❖ xp_cmdshell(实现cmd的调用) ❖ xp_regwrite(实现注册表的调用) ❖ 其他与系统交互的存储过程
系统及应用安全
中国信息安全测评中心
课程内容
系统及应用安 全技术
操作系统安全 Web应用安全 互联网使用安全
2
知识体:系统及应用安全技术
❖ 知识域:操作系统安全
▪ 了解Windows系统服务器安全安装及配置; ▪ 了解Windows系统终端安全管理策略。
3
系统安全重要性
❖ 系统安全是信息系统纵深防御中的最后环节 ❖ IATF“保护计算环境”的主要内容
保护计算环境
保护网络边界
保护网络和 基础设施
骨干网络
4
系统安全的核心要素
❖ 硬件系统安全
▪ 硬件:服务器、存储等硬件设施 ▪ 威胁源(故障、自然灾害等) ▪ ……
❖ 软件系统安全
▪ 软件:操作系统、系统软件、应用软件等 ▪ 威胁源:兼容性、入侵、病毒等 ▪ ……
5
如何打造安全的 Windows系统
❖ 安全的安装 ❖ 安全的配置
6
打造安全的Windows系统-安全安装
❖ 系统选择 ❖ 分区选择 ❖ 优化安装 ❖ 补丁及备份
7
系统选择
❖ 正版
❖ 合适的版本(以windows2003为例)
▪ Windows Server 2003标准版
▪ Windows Server 2003 企业版 ▪ Winows Server 数据中心版 ▪ Windows server 2003 Web版
❖ 文件安全配置 ❖ 防火墙安全配置 ❖ 自动更新配置
❖ 安全软件增强
13
账号安全配置
❖ 账户策略
▪ 密码策略
• 密码必须符合复杂性要求
• 密码长度最小值
• 密码最短使用期限
• 密码最长使用期限
• 强制密码历史
• 用可还原的加密来存储密码
▪ 账户锁定策略
• 账户锁定时间
• 账户锁定阀值
•
重置账户锁定计数器 14
▪ 用户登录时的消息文本
▪ 使用空白密码的账号允许 控制台登录
▪ ……
22
其他本地安全策略
❖ 高级安全Windows防火墙 ❖ 网络列表管理器策略 ❖ 公钥策略 ❖ 软件限制策略 ❖ 应用程序控制策略 ❖ 高级审核策略配置
23
组策略设置
❖ 软件设置 ❖ Windows设置 ❖ 管理模板
▪ Windows组件 ▪ 打印机 ▪ 控制面板 ▪ 网络 ▪ 系统 ▪ 所有设置 ▪ ……
▪ IIS ▪ FTP ▪ SMTP ▪ NNTP ▪ ……
❖ 修改默认配置
▪ Windows安装目录(例如:c:\winnt)
11
补丁及备份
❖ 补丁
▪ Service Pack ▪ Hotfix
❖备份
▪ 应急修复盘 ▪ 还原点
12
打造安全的Windows系统-安全配置
❖ 账户安全配置 ❖ 共享安全配置 ❖ 系统服务配置 ❖ 日志安全配置 ❖ 安全策略配置
33
开启屏幕保护功能
桌面右键→属 性→屏幕保护 程序→勾选 “在回复时使 用密码保护”
34
策略三:确保共享安全
共享的管理 关闭管理共享
共享
35
策略四:确保系统补丁更新
如何确保系统补丁的更新? ✓ 开启系统的自动更新并安装 ✓ 手动设置检测系统补丁更新 ✓ 第三方软件更新系统补丁
36
开启自动更新、安装更新