操作系统安全配置方案

操作系统概述
• 目前服务器常用的操作系统有三类：
• Unix • Linux • Windows NT/2000/2003 Server。
• 这些操作系统都是符合C2级安全级别的操作系统 。但是都存在不少漏洞，如果对这些漏洞不了解 ，不采取相应的措施，就会使操作系统完全暴露 给入侵者。
Windows系统
• 帐户很多是黑客们入侵系统的突破口，系统的帐户越多， 黑客们得到合法用户的权限可能性一般也就越大。
• 对于Windows NT/2000主机，如果系统帐户超过10个，一 般能找出一两个弱口令帐户，所以帐户数量不要大于10个 。
4 多个管理员帐号
• 虽然这点看上去和上面有些矛盾，但事实上是服从上面规 则的。创建一个一般用户权限帐号用来处理电子邮件以及 处理一些日常事物，另一个拥有Administrator权限的帐户 只在需要的时候使用。
• 这里给好密码下了个定义：安全期内无法破解出来的密 码就是好密码，也就是说，如果得到了密码文档，必须 花43天或者更长的时间才能破解出来，密码策略是42天 必须改密码。
• 不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用 户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可 以了，如图7-2所示。
6 陷阱帐号
• 所谓的陷阱帐号是创建一个名为“Administrator”的本地帐 户，把它的权限设置成最低，什么事也干不了的那种，并 且加上一个超过10位的超级复杂密码。
安全配置方案初级篇
• 安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则： • 物理安全、停止Guest帐号、限制用户数量 • 创建多个管理员帐号、管理员帐号改名 • 陷阱帐号、更改默认权限、设置安全密码 • 屏幕保护密码、使用NTFS分区 • 运行防毒软件和确保备份盘安全。
1、物理安全
• 服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记 录。
• 另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑， 钥匙要放在安全的地方。
2、停止Guest帐号
• 在计算机管理的用户里面把Guest帐号停用，任何时候都不允许G uest帐号登陆系统。
• （2）内置Internet功能
• 随着Internet的流行和TCP/IP协议组的标准化，Windows NT内置了IIS（Intern et Information Server），可以使网络管理员轻松的配置WWW和FTP等服务 。
• （3）支持NTFS文件系统
• Windows 9X所使用的文件系统是FAT，在NT中内置同时支持FAT和NTFS的磁 盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性，用户可 以对NTFS系统中的任何文件、目录设置权限，这样当多用户同时访问系统 的时候，可以增加文件的安全性。
第七章Fra Baidu bibliotek操作系统安全配置方 案
内容提要
• 本章介绍Windows 2000服务器的安全配置。 • 操作系统的安全将决定网络的安全，从保护级别
上分成安全初级篇、中级篇和高级篇，共36条基 本配置原则。 • 安全配置初级篇讲述常规的操作系统安全配置， 中级篇介绍操作系统的安全策略配置，高级篇介 绍操作系统安全信息通信配置。
• Windows NT（New Technology）是微软公司第一 个真正意义上的网络操作系统，发展经过NT3.0、 NT40、NT5.0和NT6.0等众多版本，并逐步占据了 广大的中小网络操作系统的市场。
• Windows NT众多版本的操作系统使用了与Window s 9X完全一致的用户界面和完全相同的操作方法， 使用户使用起来比较方便。与Windows 9X相比， Windows NT的网络功能更加强大并且安全。
• 为了保险起见，最好给Guest 加一个复杂的密码，可以打开记事 本，在里面输入一串包含特殊字符,数字，字母的长字符串。
• 用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒 绝远程访问，如图7-1所示。
3 限制用户数量
• 去掉所有的测试帐户、共享帐号和普通部门帐号等等。用 户组策略设置相应权限，并且经常检查系统的帐户，删除 已经不使用的帐户。
• 这样可以让那些企图入侵者忙上一段时间了，并且可以借 此发现它们的入侵企图。可以将该用户隶属的组修改成Gue sts组，如图7-3所示。
7 更改默认权限
• 共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在 Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些 共享资料。
Windows NT系列操作系统
• Windows NT系列操作系统具有以下三方面的优点。 • （1）支持多种网络协议
• 由于在网络中可能存在多种客户机，如Windows 95/98、Apple Macintosh、 Unix、OS/2等等，而这些客户机可能使用了不同的网络协议，如TCP/IP协议 、IPX/SPX等。Windows NT系列操作支持几乎所有常见的网络协议。
• 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享 ，默认的属性就是“Everyone”组的，一定不要忘了改。设置某文件夹 共享默认设置如图7-4所示。
8安全密码
• 好的密码对于一个网络是非常重要的，但是也是最容易 被忽略的。
• 一些网络管理员创建帐号的时候往往用公司名，计算机 名，或者一些别的一猜就到的字符做用户名，然后又把 这些帐户的密码设置得比较简单，比如：“welcome”、 “iloveyou”、“letmein”或者和用户名相同的密码等。这 样的帐户应该要求用户首此登陆的时候更改成复杂的密 码，还要注意经常更改密码。
• 因为只要登录系统以后，密码就存储再WinLogon进程中， 当有其他用户入侵计算机的时候就可以得到登录用户的密 码，尽量减少Administrator登录的次数和时间。
5 管理员帐号改名
• Windows 2000中的Administrator帐号是不能被停用的，这意味着别人 可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可 以有效的防止这一点。