第5章配置系统安全
教学目标:
↘能够配置系统的帐户策略
↘能够启用审核策略
↘配置用户权限分配
↘配置安全选项
↘能够配置软件限制策略
↘使用本地组策略管理用户和计算机
作为对外提供服务的服务器,系统安全是首先要考虑的事情。配置操作系统的本地安全策略,可以使操作系统更安全。设置服务器的用户密码策略,帐户锁定策略,对用户的密码长度和复杂度进行强制要求。设置审核策略记录跟踪服务器入侵行为。配置软件限制策略,可以控制服务器允许和禁止运行的软件。
通过本地组策略管理用户和计算机,可以管理用户和计算机的行为,比如禁止用户修改注册表,配置计算机跟踪用户登录情况等设置。
5.1 本地安全策略
安全策略是影响计算机安全性的安全设置的组合。可以利用本地安全策略来编辑本地计算机上的帐户策略和本地策略。
利用安全性策略,可以强化公司网络的安全性。这些安全性策略定义了一个公司对于正确计算机的期望值,也确定了特殊的过程,用于防止发生安全性事故和对已经发生的安全性事故做出响应。因此,由网络管理员保护工作站上桌面和服务的安全性是非常重要的。通过应用安全性策略,可以防止用户破坏计算机配置,并且可以保护您的网络上敏感区域。
在Windows XP、Windows Vista、Windows 7和Windows Server 2000、Windows Server 2003以及Windows Server 2008都有本地安全策略。
本章教学需要两个Windows Server 2008企业版计服务器WINServer和FileServer,均安装在VMWare的虚拟机中。下面就配置FileServer的本地安全策略加固服务器。
系统安全策略包括下面的设置:
↘配置帐户策略
↘配置审核策略
↘配置用户权限
↘配置安全选线
↘创建软件限制策略
5.2 设置服务器的帐户策略
帐户策略是服务器安全首先要考虑的事情,无论操作系统多么安全,服务器的管理员密码被入侵者很容猜到,安全就无从谈起。帐户策略包括两方面设置,密码设置和帐户锁定策略。
5.2.1密码策略
密码策略强制服务器上的用户帐户设置的密码满足安全要求。防止用户将自己的密码设置的过短或太简单。
步骤:
1.以管理员的身份登录FileServer计算机。
2.点击“开始”→“程序”→“管理工具”→“本地安全策略”。
3.如图5-1所示,点击帐户策略下的密码策略,可以看到以下几项设置。
4.按照下图设置安全策略。
图5-1 设置安全策略
5.如图5-2所示,进入命令行,以下是创建用户时密码不满足策略的情况。
图5-2 创建用户验证不满足策略的情况
密码必须符合复杂性要求
此安全设置确定密码是否必须符合复杂性要求。
如果启用此策略,密码必须符合下列最低要求:
↘不能包含用户的帐户名,不能包含用户姓名中超过两个连续字符的部分
↘至少有六个字符长
↘包含以下四类字符中的三类字符:
?英文大写字母(A 到Z)
?英文小写字母(a 到z)
?10 个基本数字(0 到9)
?非字母字符(例如!、$、#、%)
最短密码长度
此安全设置确定用户帐户密码包含的最少字符数。可以将值设置为介于1 和14 个字符之间,或者将字符数设置为0 以确定不需要密码。
密码最短使用期限
此安全设置确定在用户更改某个密码之前必须使用该密码一段时间(以天为单位)。可以设置一个介于1 和998 天之间的值,或者将天数设置为0,允许立即更改密码。
密码最短使用期限必须小于密码最长使用期限,除非将密码最长使用期限设置为0,指明密码永不过期。如果将密码最长使用期限设置为0,则可以将密码最短使用期限设置为介于0 和998 之间的任何值。
如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于0 的值。如果没有设置密码最短使用期限,用户则可以循环选择密码,直到获得期望的旧密码。默认设置没有遵从此建议,以便管理员能够为用户指定密码,然后要求用户在登录时更改管理员定义的密码。如果将密码历史设置为0,用户将不必选择新密码。因此,默认情况下将“强制密码历史”设置为1。
密码最长使用期限
此安全设置确定在系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)。可以将密码设置为在某些天数(介于 1 到999 之间)后到期,或者将天数设置为0,指定密码永不过期。如果密码最长使用期限介于1 和999 天之间,密码最短使用期限必须小于密码最长使用期限。如果将密码最长使用期限设置为0,则可以将密码最短使用期限设置为介于0 和998 天之间的任何值。
注意: 安全最佳操作是将密码设置为30 到90 天后过期,具体取决于您的环境。这样,攻击者用来破解用户密码以及访问网络资源的时间将受到限制。
默认值: 42。
强制密码历史
此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。该值必须介于0 个和24 个密码之间。
此策略使管理员能够通过确保旧密码不被连续重新使用来增强安全性。
若要维护密码历史的有效性,还要同时启用密码最短使用期限安全策略设置,不允许在密码更改之后立即再次更改密码。有关密码最短使用期限安全策略设置的信息,请参阅“密码最短使用期限”。
用可还原的加密来储存密码
使用此安全设置确定操作系统是否使用可还原的加密来储存密码。
此策略为某些应用程序提供支持,这些应用程序使用的协议需要用户密码来进行身份验证。使用可还原的加密储存密码与储存纯文本密码在本质上是相同的。因此,除非应用程序需求比保护密码信息更重要,否则绝不要启用此策略。
通过远程访问或Internet 身份验证服务(IAS)使用质询握手身份验证协议(CHAP)验证时需要设置此策略。在Internet 信息服务(IIS)中使用摘要式身份验证时也需要设置此策略。
默认值: 禁用。
5.2.2设置帐户锁定策略
如图5-3所示,如果你的服务器放到Internet或暴露在开放的网络环境中,入侵者可以猜你服务器管理员的密码,为了防止其他人无数次猜计算机上用户帐户的密码,可以设置帐户锁定阀值。
图5-3 设置账户锁定策略
帐户锁定阈值
此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。可以将登录尝试失败次数设置为介于0 和999 之间的值。如果将值设置为0,则永远不会锁定帐户。
在使用Ctrl+Alt+Del 或密码保护的屏幕保护程序锁定的工作站或成员服务器上的密码尝试失败将计作登录尝试失败。
帐户锁定时间
此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。可用范围从0 到99,999 分钟。如果将帐户锁定时间设置为0,帐户将一直被锁定直到管理员明确解除对它的锁定。
如果定义了帐户锁定阈值,则帐户锁定时间必须大于或等于重置时间。
默认值: 无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。
在此后复位帐户锁定计数器
此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为0 次错误登录尝试之前需要的时间。可用范围是 1 到99,999 分钟。
如果定义了帐户锁定阈值,此重置时间必须小于或等于帐户锁定时间。
默认值: 无,因为只有在指定了帐户锁定阈值时,此策略设置才有意义。
验证帐户锁定
切换用户,使用hanlg帐户输入5次错误密码登录,如图5-4所示,您会发现提示“引用的帐户当前已经锁定,且可能无法登录。”
或者在WINServer上访问FileServer的共享文件夹,输入账号和密码错误大于5次也会将帐户锁定。
切换到管理员登录,打开服务器管理器,双击hanlg用户账号,在常规标签下,看到帐户已经被锁定。
清除“帐户已被锁定”,将用户帐户解锁。
图5-4 验证账户锁定
5.3 设置审核策略
本节描述了如何设置应用于审核的各种设置。还提供了由几个常见任务创建的审核事件示例。每当用户执行了指定的某些操作,审核日志就会记录一个审核项。您可以审核操作中的成功尝试和失败尝试。
安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵,正确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。
简介
每当用户执行了指定的某些操作,审核日志就会记录一个审核项。例如,修改文件或策略可以触发一个审核项。审核项显示了所执行的操作、相关的用户帐户以及该操作的日期和时间。您可以审核操作中的成功尝试和失败尝试。
安全审核对于任何企业系统来说都极其重要,因为只能使用审核日志来说明是否发生了违反安全的事件。如果通过其他某种方式检测到入侵,真确的审核设置所生成的审核日志将包含有关此次入侵的重要信息。
通常,失败日志比成功日志更有意义,因为失败通常说明有错误发生。例如,如果用户成功登录到系统,一般认为这是正常的。然而,如果用户多次尝试都未能成功登录到系统,则可能说明有人正试图使用他人的用户ID 侵入系统。事件日志记录了系统上发生的事件。安全日志记录了审核事件。组策略的“事件日志”容器用于定义与应用程序、安全性和系统事件日志相关的属性,例如日志大小的最大值、每个日志的访问权限以及保留设置和方法。
审核设置
所有审核设置的漏洞、对策和潜在影响都一样,因此这些内容仅在以下段落中详细讲述一次。然后在这些段落之后简要说明了每个设置。
审核设置的选项为:
↘成功
↘失败
↘无审核
漏洞
如果未配置任何审核设置,将很难甚至不可能确定出现安全事件期间发生的情况。不过,如果因为配置了审核而导致有太多的授权活动生成事件,则安全事件日志将被无用的数据填满。为大量对象配置审核也会对整个系统性能产生影响。
对策
组织内的所有计算机都应启用适当的审核策略,这样合法用户可以对其操作负责,而未经授权的行为可以被检测和跟踪。
潜在影响
如果在组织内的计算机上没有配置审核,或者将审核设置的太低,将缺少足够的甚至根本没有可用的证据,可在发生安全事件后用于网络辩论分析。而另一方面,如果启用过多的审核,安全日志中将填满毫无意义的审核项。
5.3.1审核设置
打开“开始”→“程序”→“管理工具”→“本地安全策略”。如图5-5所示,点中“本地策略”下的“审核策略”,在右面可以看到能够设置的审核项。
图5-5 打开审核策略
审核帐户登录事件
“审核帐户登录事件”设置用于确定是否对用户在另一台计算机上登录或注销的每个实例进行审核,该计算机记录了审核事件,并用来验证帐户。如果定义了该策略设置,则可指定是否审核成功、失败或根本不审核此事件类型。成功审核会在帐户登录尝试成功时生成一个审核项,该审核项的信息对于记帐以及事件发生后的辩论十分有用,可用来确定哪个人成功登录到哪台计算机。失败审核会在帐户登录尝试失败时生成一个审核项,该审核项对于入侵检测十分有用,但此设置可能会导致拒绝服务(DoS) 状态,因为攻击者可以生成数百万次登录失败,并将安全事件日志填满。
如果在域控制器上启用了帐户登录事件的成功审核,则对于没有通过域控制器验证的每个用户,都会为其记录一个审核项,即使该用户实际上只是登录到加入该域的一个工作站上。
审核帐户管理
“审核帐户管理”设置用于确定是否对计算机上的每个帐户管理事件进行审核。
帐户管理事件的示例包括:
↘创建、修改或删除用户帐户或组。
↘重命名、禁用或启用用户帐户。
↘设置或修改密码。
如果定义了此策略设置,则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在任何帐户管理事件成功时生成一个审核项,并且应在企业中的所有计算机上启用这些成功审核。在响应安全事件时,组织可以对创建、更改或删除帐户的人员进行跟踪,这一点非常重要。失败审核会在任何帐户管理事件失败时生成一个审核项。
审核登录事件
“审核登录事件”设置用于确定是否对用户在记录审核事件的计算机上登录、注销或建立网络连接的每个实例进行审核。如果正在域控制器上记录成功的帐户登录审核事件,工作站登录尝试将不生成登录审核。只有域控制器自身的交互式登录和网络登录尝试才生成登录事件。总而言之,帐户登录事件是在帐户所在的位置生成的,而登录事件是在登录尝试发生的位置生成的。
如果定义了此策略设置,则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在登录尝试成功时生成一个审核项。该审核项的信息对于记帐以及事件发生后的辩论十分有用,可用来确定哪个人成功登录到哪台计算机。失败审核会在登录尝试失败时生成一个审核项,该审核项对于入侵检测十分有用,但此设置可能会导致进入DoS 状态,因为攻击者可以生成数百万次登录失败,并将安全事件日志填满。
审核对象访问
此安全设置确定是否审核用户访问指定了它自己的系统访问控制列表(SACL)的对象(例如文件、文件夹、注册表项、打印机等等)的事件。
如果定义此策略设置,可以指定是否审核成功、审核失败或者根本不审核该事件类型。成功审核在用户成功访问指定了相应SACL 的对象时生成审核项。失败审核在用户尝试访问指定了SACL 的对象失败时生成审核项。
请注意,使用文件系统对象“属性”对话框中的“安全”选项卡,可以在该对象上设置SACL。
5.3.2审核对文件夹失败的访问。
下面将会演示配置系统审核策略,跟踪记录用户访问文件夹失败的事件。
在FileServer上启用对对象的失败审核,配置test文件夹NTFS全选拒绝wang用户帐户访问,并设置审核wang的失败访问,打开Windows日志中的安全日志,查看记录的访问失败的事件。
步骤:
1.如图5-6所示,双击“审核对象访问”,选中“失败”,点击“确定”。
2.如图5-7所示,在E盘创建一个文件夹test,拒绝wang用户读取和执行、列
出文件夹目录和读取权限。
图5-6 对失败的操作进行审核图5-7 对test文件夹设置权限
3.如图5-8所示,点击test文件夹属性安全标签下的“高级”按钮,在出现的对话
框,点击“审核”标签下的“编辑”按钮。
4.在出现的点击“添加”,在出现的选择用户或组对话框,输入wang,点击“确定”。
5.在出现的test的审核项目对话框,按照图示选择,点击“确定”,完成审核策略
设置。
图5-8 对test文件夹进行审核项目的编辑
6.切换用户,以wang用户登录,双击test文件夹,被拒绝。
7.如图5-9所示,切换至管理员登录,点击“开始”→“程序”→“管理工具”→
“事件查看器”,查看日志。在Windows日志下的安全下,可以看到wang用户访问E:\test文件夹审核失败。
图5-9 通过事件查看器查看日志
5.3.3审核登录
审核登录事件,可以发现黑客的入侵行为。比如你打开安全事件,看到一连串的登录失败事件后有一个登录成功事件,你基本上就可以断定,有人猜对了登录你服务器的密码,入侵操作系统成功。
下面配置服务器安全策略审核登录成功和失败,并查看安全日志记录的登录事件。
如图5-10所示,在FileServer上,配置本地安全策略,启用审核登录事件,成功和失败。
图5-10 启用审核登录事件
如图5-11所示,注销当前用户,输入一次错误密码登录。再输入正确的用户密码登录。
在WINServer访问Fileserver共享文件夹,输入帐户时输入wang用户,再输入一个错误的密码。
图5-11 验证登录失败事件
打开事件查看器,查看安全日志,可以看到记录的administrator和wang登录成功和失败的记录。
5.3.4审核用户管理
入侵者利用系统或服务器运行的软件的漏洞,可以入侵你的系统,然后创建一个用户,把该用户添加到管理员组,然后使用该用户登录。入侵完成后,将该用户删除。如果该服务器的管理员如果不做审核,不会留下任何入侵痕迹。
我们可以配置服务器审核策略,审核用户管理。这样创建用户,重设密码,启用用户,将用户添加到组,删除用户等操作都将记录在安全日志。
打开FileServer的本地安全策略,如图5-12所示,启用帐户管理成功和失败的审核。
在命令提示符下,输入net user wang password1!,重设wang用户的密码。
如图5-13所示,打开事件查看器,在安全事件下,可以看到跟踪的重设密码的记录。
图5-12 启用账户管理审核图5-13 在事件查看器中查看记录5.4 用户权限分配
用户权限是允许用户在计算机系统或域中执行的任务。有两种类型的用户权限:登录权限和特权。登录权限控制为谁授予登录计算机的权限以及他们的登录方式。特权控制对计算机上系统范围的资源的访问,并可以覆盖在特定对象上设置的权限。登录权限的一个示例是在本地登录计算机的权限。特权的一个示例是关闭系统的权限。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。
5.4.1用户权限设置
允许本地登录
此登录权限确定哪些用户能以交互方式登录到此计算机。通过在连接的键盘上按Ctrl+Alt+Del 序列启动的登录要求用户具有此登录权限。此外,可以登录用户的某些服务或管理应用程序可能要求此登录权限。如果为某个用户或组定义此策略,则还必须向Administrators 组授予此权限。
关闭系统
此安全设置确定哪些在本地登录到计算机的用户可以使用关机命令关闭操作系统。误用此用户权限会导致拒绝服务。
从网络访问此计算机
此用户权限确定允许哪些用户和组通过网络连接到计算机。此用户权限不影响终端服务。
5.4.2拒绝本地登录
如图5-14所示,FileServer是一个文件服务器,只允许使用wang用户帐户从网络访问该服务器上的资源,但拒绝wang用户帐户在本地登录。
在FileServer上拒绝wang用户本地登录。
图5-14 配置用户权限拒绝本地登录
8.如图5-15所示,双击“从网络访问计算机”,删除现有的用户,添加wang和
guest帐户。现在只有wang和guest帐户能够访问FileServer的共享资源。
9.如图5-16所示,再登录FileServer时,看不到wang用户了。
图5-15 删除现有用户图5-16 登录验证
10.如图5-17所示,在WINServer访问FileServer共享文件夹,输入zhang的
账号和密码访问,出现以下对话框,提示没有权限访问网络资源。
11.输入wang的账号和密码,能够访问成功。
图5-17 验证访问
用户权限分配很多,比如谁能够关机,谁能够更改系统时间等等,在这里就不一一介绍了。
5.5 安全选项
配置服务器安全选项,可以增强服务器的安全性,比如不显示上一次登录的用户名。比如将管理员的名字重名为admin,空密码的只允许本地登录,只允许guest账号访问服务器共享资源等设置。
5.5.1安全选项设置
打开本地安全策略,“安全设置”→“本地策略”→“安全选项”。如图5-18所示,能够看到所有的安全选项设置。下面介绍一些常用的安全选项设置。
图5-18 设置本地安全策略的安全选项
交互式登录: 不显示最后的用户名
该安全设置确定是否在Windows 登录屏幕中显示最后登录到计算机的用户的名称。
如果启用该策略,则不会在“登录到Windows”对话框中显示最后成功登录的用户的名称。
如果禁用该策略,则会显示最后登录的用户的名称。
默认: 禁用。
交互式登录: 提示用户在密码过期之前进行更改
确定提前多长时间(以天为单位)向用户发出其密码即将过期的警告。借助该提前警告,用户有时间构造足够强大的密码。
默认: 14 天。
审核: 如果无法记录安全审核则立即关闭系统
此安全设置确定无法记录安全事件时系统是否会关机。
启用此安全设置后,如果因任何原因无法记录安全审核,它就会停止系统。通常,当安
全审核日志已满且为安全日志指定的保留方法为“不覆盖事件”或“按天数覆盖事件”时,会无法记录事件。
如果安全日志已满且无法覆盖某个现有条目,并且启用了此安全选项,则会出现下列停止错误:
尝试生成安全审核失败。
若要恢复,管理员必须根据需要登录、归档日志(可选)、清除日志以及重置此选项。即使安全日志未满,也要到重置此安全设置之后,非Administrators 组成员用户才能登录到系统。
注意: 配置此安全设置时,只有重新启动Windows,更改才会生效。
网络访问: 本地帐户的共享和安全模型
此安全设置确定如何对使用本地帐户的网络登录进行身份验证。如果将此设置设为“经典”,使用本地帐户凭据的网络登录通过这些凭据进行身份验证。“经典”模型允许更好地控制对资源的过度访问。通过使用“经典”模型,您可以针对同一个资源为不同用户授予不同的访问类型。
如果将此设置设为“仅来宾”,使用本地帐户的网络登录会自动映射到来宾帐户。通过使用“仅来宾”模型,您可以平等地对待所有用户。以来宾身份验证所有用户,使所有用户都获得相同的访问权限级别来访问指定的资源,这些权限可以为只读或修改。
使用“仅来宾”模型时,所有可以通过网络访问计算机的用户(包括匿名Internet 用户)都可以访问共享资源。您必须使用Windows 防火墙或其他类似设备来防止对计算机进行未经授权的访问。同样,使用“经典”模型时,本地帐户必须受密码保护,否则,这些用户帐户可以被任何人用来访问共享的系统资源。
5.5.2不显示最后的用户名
默认登录时,按下Ctrl+Alt+Delete键,显示本机所有的用户名,为确保服务器安全,不显示本机用户和最后一次登录的用户名。
如图5-19所示,打开本地安全策略,展开“安全设置”→“本地策略”→“安全选项”,双击“交互式登录: 不显示最后的用户名”,选择“已启用”。
如图5-20所示,登录时将不会显示该计算机上的所有用户名,并且也不显示上次登录的用户名。
图5-19 启用不显示最后的登录名图5-20 验证登录
5.5.3只允许使用Guest帐户访问
输入服务器上的用户和密码可以访问服务器上的共享资源,对于安全要求高的服务器,可以设置本地安全策略的安全选项,只允许guest帐户访问服务器的共享资源。
如图5-21所示,打开本地安全策略,展开“安全设置”→“本地策略”→“安全选项”,双击“网络访问: 本地帐户的共享和安全模型”,选中“仅来宾-对本地用户进行身份验证,其身份为来宾”。
如果启用仅来宾,必须启用Guest帐户。Guest帐户的密码默认为空,如果guest帐户密码为空,用户访问FileServer时,不需要输入账号和密码,直接就以guest帐户连接该服务器。
如图5-22所示,打开“服务器管理器”→“配置”→“本地用户和组”→“用户”,双击Guest帐户,在用户属性对话框,在常规标签下,去掉“帐户禁用”,点击“确定”。
图5-21 设置仅来宾-对本地用户进行身份验证图5-22 去掉账户禁用
在WINServer计算机上访问FileServer计算机上的共享资源。您发现不需要输入任何凭
据,就可以访问FileServer计算机上的共享文件和打印机。因为Guest帐户密码为空。
如果Guest帐户有密码,则必须输入Guest帐户以及密码才能访问。不许使用其他用户帐户访问FileServer。
5.6 创建软件限制策略
本模块专用于说明软件限制策略,这种策略是Microsoft? Windows? XP 和Microsoft Windows Server?2003,Windows Server 2008和Vista 操作系统中的新功能。软件限制策略提供了一种体制,用于指定允许执行哪些程序以及不允许执行哪些程序。
它们提供了一套策略驱动机制,用于指定允许执行哪些程序以及不允许执行哪些程序。软件限制策略可以帮助组织免遭恶意代码的攻击。也就是说,软件限制策略针对病毒、特洛伊木马和其他类型的恶意代码提供了另一层防护。
虽然软件限制策略是增强计算机安全的重要工具,但它们不能代替其他安全措施,如防病毒程序、防火墙和严格的访问控制列表。
5.6.1创建软件限制策略
如图5-23所示,在FileServer上,打开本地安全策略,展开“安全设置”,如图右击“软件限制策略”,点击“创建软件限制策略”。
如图5-24所示,点击“安全级别”,可以看到默认安全级别是“不受限的”,可以更改默认的安全级别。
图5-23 创建软件限制策略图5-24 更改默认的安全级别
默认安全级别不要轻易选择“不允许的”,某单位员工将默认安全级别设置为“不允许”,只允许特定程序运行,他想更改本地安全策略,发现已经打不开“本地安全策略”管理工具了。
如图5-25所示,设置了默认安全级别后,再创建其他规则,右击“其他规则”,可以看到有以下几种规则;
图5-25 其他规则
证书规则
软件限制策略可以通过其签名证书来标识文件。证书规则不能应用到带有.exe 或.dll 扩展名的文件。它们可以应用到脚本和Windows 安装程序包。可以创建标识软件的证书,然后根据安全级别的设置,决定是否允许软件运行。
路径规则
路径规则通过程序的文件路径对其进行标识。由于此规则按路径指定,所以程序发生移动后路径规则将失效。路径规则中可以使用诸如%programfiles% 或%systemroot% 之类环境变量。路径规则也支持通配符,所支持的通配符为* 和?。
散列规则
散列是唯一标识程序或文件的一系列定长字节。散列按散列算法算出来。软件限制策略可以用SHA-1(安全散列算法)和MD5 散列算法根据文件的散列对其进行标识。重命名的文件或移动到其他文件夹的文件将产生同样的散列。
例如,可以创建散列规则并将安全级别设为“不允许的”以防止用户运行某些文件。文件可以被重命名或移到其他位置并且仍然产生相同的散列。但是,对文件的任何篡改都将更改其散列值并允许其绕过限制。软件限制策略将只识别那些已用软件限制策略计算过的散列。
Internet 区域规则
区域规则只适用于Windows 安装程序包。区域规则可以标识那些来自Internet Explorer 指定区域的软件。这些区域是Internet、本地计算机、本地Intranet、受限站点和可信站点。
5.6.2指定软件限制策略限制的软件类型
以上规则所影响的文件类型只有“指派的文件类型”中列出的那些类型。系统存在一个由所有规则共享的指定文件类型的列表。默认情况下列表中的文件类型包括:ADE ADP BAS BAT CHM CMD COM CPL CRT EXE HLP HTA INF INS ISP LNK MDB MDE MSC MSI MSP
综合性实验项目名称:使用windows组策略对计算机进行安全配置 一、实验目的及要求: 1.组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件,计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理: 组策略是管理员为用户和计算机定义并控制程序,网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件,计算机和用户策略。 三、主要仪器设备及实验耗材: PC机一台,Windows2000系统,具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定,即可运行程序。 依次进行以下实验: (1)隐藏驱动器 平时我们隐藏文件夹后,别人只需在文件夹选项里显示所有文件,就可以看见了,我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。
图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时,我们有时要离开座位一段时间,如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时,为了避免有人动用电脑,我们一般会把电脑锁定。但是在局域网中,为了方便网络登录,我们有时候会建立一些来宾账户,如果对方利用这些账户来注销当前账户并登录到别的账户,就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录,让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”,然后双击右侧窗格的”拒绝本地登录”项,在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示
教你怎么设置安全的SOLARIS系统 一、帐号和口令安全策略 1.1更改口令文件、影像文件、组文件的权限 /etc/passwd 必须所有用户都可读,root用户可写?rw-r?r? /etc/shadow 只有root可读?r-------- /etc/group 必须所有用户都可读,root用户可写?rw-r?r? 1.2修改不必要的系统帐号 移去或锁定那些系统帐号,比如sys、uucp、nuucp、listen、lp、adm等等,简单的办法是在/etc/shadow的password域中放上NP字符。还能考虑将/etc/passwd文件中的shell 域设置成/bin/false 1.3修改口令策略 修改/etc/default/passwd文件 MAXWEEKS=4 口令至少每隔4星期更改一次 MINWEEKS=1 口令至多每隔1星期更改一次 WARNWEEKS=3 修改口令后第三个星期会收到快要修改口令的信息 PASSLENGTH=6 用户口令长度不少于6个字符 二、用户授权安全策略 2.1移去组及其他用户对/etc的写权限。 执行命令#chmod -R go-w /etc 2.2禁止root远程登录 在/etc/default/login中设置 CONSOLE=/dev/concle 2.3setuid和setgid特别权限。 Setuid是指设置程式的有效执行用户身份(uid)为该文件的属主,而不是调用该程式进程的用户身份。Setgid和之类似。Setuid和setgid用1s -1显示出来为s权限,存在于主人和属组的执行权限的位置上。系统设置特别权限,使用户执行某些命令时,具有root的执行权限, 命令执行完成, root身份也随之消失。因此特别权限关系系统的安全,可执行命令#find / -perm -4000 -print 寻找系统中具有setuid权限的文件,存为列表文件,定时检查有没有这之外的文件被设置了setuid权限。 2.4审计并日志所有以root身份的登陆情况 添加或编辑/etc/default/login文件如下: SYSLOG= YES syslog记录root的登陆失败,成功的情况。 2.5设置远程登陆会话超时时间 添加或编辑/etc/default/login文件如下: TIMEOUT= 300
windows7的安全策略的 原理及应用 姓名:张~班级:~~学号~~~~~~~~~ -----------------------------------------------【摘要】windows7在安全与加密方面相对于以前版本有很大的创新与优化,在安全性与易用性上也有这很大的提高。本文通过对window7对加密,权 限等技术的讨论来了解windows7的安全方面的情况。 【关键词】EFS加密,BitLocker,数字签名 1windows7中的账户 1.1什么是用户账户 如若一台计算机被多个用户使用,则必定会遇到每个用户对自己隐私,重要文件保护的问题,windows7每个用户账户给每个用户一个相对独立的管理与利用空间。每当用一个账户登陆windows7时,将告诉windows7这个账户所拥有的对相应文件与文件夹或者个人首选项(如桌面背景等)管理与使用的权限。通过用户帐户,您可以在拥有自己的文件和设置的情况下与多个人共享计算机。每个人都可以使用用户名和密码访问其用户帐户。 (①windows帮助和支持,什么是用户账户?) 1.2账户类型 Windows7账户类型与前几个版本一样分为三类: 1.标准用户 拥有正常使用计算机进行工作的用户。 2.管理员 拥有对计算机最高权限,对计算机有完全访问权,可以对计算机做出任何修改。还可以对其他非管理员账户进行管理。 3.来宾(Guest) 临时使用计算机的用户。(可以在管理员控制面板的其他用户管理中禁用)账户的创建(图1-1): 图1-1(创建用户路径) 之后设置用户名密码,完成用户的创建。 1.3账户的管理权限与维护(以管理员账户为例) 1.3.1账户密码管理 长期使用同一个密码增加了密码的被盗率,windows7对此也给出了解决方案:-------------------------------------------------------------------------------【参考】 ①(windows帮助和支持,什么是用户账户?)
组策略是管理员为计算机和用户定义地,用来控制应用程序、系统设置和管理模板地一种机制.通俗一点说,是介于控制面板和注册表之间地一种修改系统、设置程序地工具.微软自开始便采用了组策略这一机制,经过发展到已相当完善.利用组策略可以修改地桌面、开始菜单、登录方式、组件、网络及浏览器等许多设置. 平时像一些常用地系统、外观、网络设置等我们可通过控制面板修改,但大家对此肯定都有不满意,因为通过控制面板能修改地东西太少;水平稍高点地用户进而使用修改注册表地方法来设置,但注册表涉及内容又太多,修改起来也不方便.组策略正好介于二者之间,涉及地内容比控制面板中地多,安全性和控制面板一样非常高,而条理性、可操作性则比注册表强. 文档来自于网络搜索 本文主要介绍本地组策略地应用.本地计算机组策略主要可进行两个方面地配置:计算机配置和用户配置.其下所有设置项地配置都将保存到注册表地相关项目中.其中计算机配置保存到注册表地子树中,用户配置保存到.文档来自于网络搜索 一、访问组策略 有两种方法可以访问组策略:一是通过命令直接进入组策略窗口;二是打开控制台,将组策略添加进去.文档来自于网络搜索 . 输入命令访问 选择“开始”→“运行”,在弹出窗口中输入“”,回车后进入组策略窗口(图).组策略窗口地结构和资源管理器相似,左边是树型目录结构,由“计算机配置”、“用户配置”两大节点组成.这两个节点下分别都有“软件设置”、“设置”和“管理模板”三个节点,节点下面还有更多地节点和设置.此时点击右边窗口中地节点或设置,便会出现关于此节点或设置地适用平台和作用描述.“计算机配置”、“用户配置”两大节点下地子节点和设置有很多是相同地,那么我们该改哪一处?“计算机配置”节点中地设置应用到整个计算机策略,在此处修改后地设置将应用到计算机中地所有用户.“用户配置”节点中地设置一般只应用到当前用户,如果你用别地用户名登录计算机,设置就不会管用了.但一般情况下建议在“用户配置”节点下修改,本文也将主要讲解“用户配置”节点地各项设置地修改,附带讲解“计算机配置”节点下地一些设置.其中“管理模板”设置最多、应用最广,因此也是本文地重中之重.文档来自于网络搜索. 通过控制台访问组策略 单击“开始”→“运行”,输入“”,回车后进入控制台窗口.单击控制台窗口地“文件”→“添加删除管理单元”,在弹出窗口单击“添加”(图),之后选择“组策略”并单击“添加”(图),在下一步地“选择组策略对象”对话框中选择对象.由于我们组策略对象就是“本地计算机”,因此不用更改,如果是网络上地另一台计算机,那么单击“浏览”选择此计算机即可.另外,如果你希望保存组策略控制台,并希望能够选择通过命令行在控制台中打开组策略对象,请选中“当从命令行开始时,允许更改‘组策略管理单元’地焦点”复选框(图).最后添加进来地组策略如图所示. 文档来自于网络搜索 二、任务栏和“开始”菜单项目设置 本节点允许你为开始菜单、任务栏和通知区域添加、删除或禁用某一功能项目.依次展开“用户配置”→“管理模板”→“任务栏和‘开始’菜单”,在右边窗口便能看到“任务栏和‘开始’菜单”节点下地具体设置,其状态都处在“未被配置”(图).文档来自于网络搜索. 给“开始”菜单减肥 地“开始”菜单地菜单项很多,可通过组策略将不需要地删除掉.以删除开始菜单中地“我地文档”图标为例看看其具体操作方法:在右边窗口中双击“从‘开始’菜单上删除‘我地文档’图标”项,在弹出对话框地“设置”标签中点选“已启用”,然后单击“确定”(图),这样在“开始”菜单中“我地文档”图标将会隐藏.文档来自于网络搜索 . 防止隐私泄漏
内外网安全等级保护建设项目初步设计方案 编制单位:
编制时间:二〇一五年三月
目录 1.信息安全概述 (77) 什么是信息安全? (77) 为什么需要信息安全 (77) 1.1 安全理念 (88) 1.1.1系统生命周期与安全生命周期 (88) 1.1.2 ..........................3S安全体系-以客户价值为中心88 1.1.3关注资产的安全风险 (99) 1.1.4安全统一管理 (1010) 1.1.5安全 = 管理 + 技术 (1010) 1.2 计算机系统安全问题 (1010) 1.2.1 从计算机系统的发展看安全问题 (1111) 1.2.2 从计算机系统的特点看安全问题 (1111) 2.物理安全 (1212) 2.1 设备的安全 (1212) 3.访问控制 (1515) 3.1访问控制的业务需求 (1616) 3.2用户访问的管理 (1616) 3.3用户责任 (1818) 3.4网络访问控制 (2020) 3.5操作系统的访问控制 (2323) 3.6应用系统的访问控制 (2727) 3.7系统访问和使用的监控 (2727)
3.8移动操作及远程办公 (3030) 4.网络与通信安全 (3131) 4.1网络中面临的威胁 (3232) 5.系统安全设计方案............ 错误!未定义书签。错误!未定义书签。 5.1系统安全设计原则........... 错误!未定义书签。错误!未定义书签。 5.2建设目标................... 错误!未定义书签。错误!未定义书签。 5.3总体方案................... 错误!未定义书签。错误!未定义书签。 5.4总体设计思想............... 错误!未定义书签。错误!未定义书签。 5.4.1内网设计原则..... 错误!未定义书签。错误!未定义书签。 5.4.2有步骤、分阶段实现安全建设错误!未定义书签。错误!未定义书签。 5.4.3完整的安全生命周期错误!未定义书签。错误!未定义书签。 5.5网络区域划分与安全隐患.. 错误!未定义书签。错误!未定义书签。 6.0网络安全部署............... 错误!未定义书签。错误!未定义书签。 保护目标.............. 错误!未定义书签。错误!未定义书签。 威胁来源.............. 错误!未定义书签。错误!未定义书签。 安全策略.............. 错误!未定义书签。错误!未定义书签。 6.1防火墙系统................. 错误!未定义书签。错误!未定义书签。 6.1.1防火墙系统的设计思想错误!未定义书签。错误!未定义书签。 6.1.2 防火墙的目的.... 错误!未定义书签。错误!未定义书签。 6.1.3 防火墙的控制能力错误!未定义书签。错误!未定义书签。 6.1.4 防火墙特征...... 错误!未定义书签。错误!未定义书签。 6.1.5 第四代防火墙的抗攻击能力错误!未定义书签。错误!未定义书签。 6.1.6 防火墙产品的选型与推荐错误!未定义书签。错误!未定义书签。
应用系统安全策略 1 高效的认证机制 登录验证机制:登录时需要输入系统分配的用户名和密码,连续输入错误次数达到系统设定的次数,系统将锁定该用户账户,只有通过系统管理员才能进行解锁重置。同时,系统支持用户安全卡(USBKEY)管理机制,利用软件电子钥匙的方法,只有持有该电子钥匙的用户才能正常启动客户端软件或Web 插件,再配合加密的用户名密码对,通过双重措施保障用户访问的安全。管理人员访问网络视频监控系统时都将进行身份认证,认证信息采用128位的DES加密处理,以判断用户是否有权使用此系统。认证系统对用户进行安全认证,身份验证的资料来源于集中规划的数据库,数据库管理着视频监控系统所有用户的身份资料。系统应具有独特的用户名与MAC地址绑定功能,能够限定某一用户使用唯一指定的终端观看其权限范围内的视频信息,避免该用户名、密码被盗后,通过其它终端访问系统造成视频信息泄露,同时也可有效地监督用户的工作行为,防止非正常场所观看秘密视频信息。 2 严格的权限管理 授权机制:系统应提供完善的授权机制,可以灵活地分配给用户可以查看的监控点、可执行的功能模块、可执行的具体功能等。用户只能查看权限范围内的监控点和执行被授予的功能。管理人员登录到监控系统后,可以对监控点的设备进行管理和配置、实时查看监控点的视频图像、录像日程安排,管理、查看和检索保存在存储系统中的视频文件。系统具有完善的权限管理系统,数据库中记录了各个管理人员对各监控点的使用权限,权限管理系统根据这些数据对用户使用权限进行管理,并对用户使用界面进行定制,使用户只能管理和使用具有相应权限的监控点的设备和视频文件,而不能随意查看,甚至管理其它监控点的设备和视频文件,以保障系统的安全性。同一用户名在同一时间内,系统可严格限定只能有一人登陆使用系统,防止某一用户名和密码泄露后,其它人访问监控系统,造成视频信息泄露。 3 完善的日志管理 系统详细记录用户登录、登出、控制视频、浏览视频等重要操作日志,便于查询和统计;同时,在系统产生故障时,可以通过系统日志信息,作为分析、处理问题的一个重要依据。 4 软件监测技术
1.1?某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1)?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2)?通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护
Windows环境中组策略处理优先级详解 组策略处理和优先级 应用于某个用户(或计算机)的组策略对象(GPO) 并非全部具有相同的优先级。以后应用的设置可以覆盖以前应用的设置。 处理设置的顺序 本节提供有关用户和计算机组策略设置处理顺序的详细信息。有关策略设置处理适合计算机启动和用户登录框架的位置的信息,请参阅以下主题启动和登录中的第3 步和第8 步。 组策略设置是按下列顺序进行处理的: 1.本地组策略对象—每台计算机都只有一个在本地存储的组策略对象。对于计算机或用户策略处理,都会处 理该内容。 2.站点—接下来要处理任何已经链接到计算机所属站点的GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。o 3.域—多个域链接GPO 的处理顺序是由管理员在GPMC 中该域的“链接的组策略对象”选项卡内指定的。 “链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 4.组织单位—链接到Active Directory 层次结构中最高层组织单位的GPO 最先处理,然后是链接到其子 组织单位的GPO,依此类推。最后处理的是链接到包含该用户或计算机的组织单位的GPO。 wu 在Active Directory 层次结构的每一级组织单位中,可以链接一个、多个或不链接GPO。如果一个组织单位链接了几个GPO,它们的处理顺序则由管理员在GPMC 中该组织单位的“链接的组策略对象”选项卡内指定。“链接顺序”最低的GPO 最后处理,因此具有最高的优先级。 该顺序意味着首先会处理本地GPO,最后处理链接到计算机或用户直接所属的组织单位的GPO,它会覆盖以前GPO 中与之冲突的设置。(如果不存在冲突,则只是将以前的设置和以后的设置进行结合。) 设置默认处理顺序的例外 设置的默认处理顺序受下列例外情况的影响: GPO 链接可以“强制”,也可以“禁用”,或者同时设置两者。默认情况下,GPO 链接既不强制也不禁用。
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
基于操作系统安全策略的研究 在信息化高速发展的今天,有关计算机安全的问题正在受到越来越多的重视。操作系统的安全是整个计算机系统安全的基础。目前操作系统正面临着各种各样的攻击,如何制定好对操作系统安全威胁因素的相关安全策略,对计算机的广泛应用有重要的作用。 在我们的现实生活中,计算机操作系统面临着很多种安全威胁,每种威胁的方式、特征不同,以下为大家列举出几种普遍的安全威胁问题: 一、软件威胁 软件所面临的一个主要威胁是对可用性的威胁。软件,尤其是应用软件,非常容易被删除。软件也可能被修改或破坏,从而失效。较好的软件配置管理可以保证失效损失大大减少。其次,软件的非法修改导致程序仍能运行但其行为却发生了变化,计算机病毒和恶意插件就属于这一类。 二、数据威胁 数据安全性是一个更普遍的安全问题,与数据有关的安全性涉及面广,如。可用性主要指对数据文件有意和无意的窃取和破坏。数据的完整性是非常紧迫的问题,对数据文件的更改可能造成灾难性的后果。 三、人为威胁 在我们的日常生活当中,由于我们很多的不当操作,例如:误删系统文件、泄露重要密码、关闭防护程序等。这些人为威胁因素其实是在众多威胁当中最严重最难防范的。 针对以上操作系统发现的潜在威胁,我们应该从以下几方面做出相应的保护策略,以避免我们使用的计算机系统出现问题。 一、使用高强密码
要提高安全性,最简单最简单的方法之一就是使用不会被暴力攻击轻易猜到的密码,如增加密码长度和复杂度,但不可过于复杂以免给操作人员带来不便。 二、做好外部防御 不是所有的安全问题都发生在桌面系统上,外部数据威胁也是很严重的。做好U盘免疫,防止光盘自动运行,避免恶意网站的浏览等都是必要的。 三、更新系统和常用软件 如果长时间没有更新安全补丁,可能会导致你使用的计算机很容易成为肆无忌惮的攻击者的下手目标。 四、关闭没有使用的服务 计算机用户常常甚至不知道自己的系统上运行着哪些有着潜在威胁的服务。 如果你的计算机不需要一些非常用服务,就应当关闭,避免留下安全隐患。五、使用数据加密 对关注安全的计算机用户或者系统管理员来说,有不同级别的数据加密方法可供使用;选择合理的加密级别以满足自己的需要,这必须根本实际情况来决定。 六、通过备份保护操作系统 对操作系统进行及时备份是你用来保护自己、避免灾难的最重要也是最有效的方法之一。 七、监控系统、查找安全威胁和漏洞 千万不要想当然地认为采取了一系列安全防备措施,系统就肯定不会遭到攻击者的破坏。应该建立某种日常监控机制,确保可疑事件会迅速引起你的注意,可以针对可能的安全漏洞或者安全威胁采取相应措施,例如安装一些第三方的防护软件来保护我们的操作系统。
Vol.28No.2 Feb.2012 赤峰学院学报(自然科学版)Journal of Chifeng University (Natural Science Edition )网络的日新月异,对实现资源共享、加快信息处理、信息资源分配和提高工作效率都在不同层度起到了不可估量的作用.但是,自互联网问世以来,信息安全与资源共享一直处于相对矛盾的状态,随着网络资源共享的进一步推广和加强,网络安全问题也日益突出.一个园区网络经常不可避免地受到恶意软件、病毒、黑客入侵等的安全威胁和攻击,造成数据篡改丢失、 网络瘫痪、系统崩溃等一系列严重后果.因此,如何确保园区网络正常、高效和相对安全地运行是所有企业园区、高校校园网都面临的问题,保证网络安全问题势在必行. 目前主流绝大数网络系统均采用一种分层次的拓扑结构,因此分层次的网络安全防护对园区网络来说也显得十分必要,即一个完整的园区网络安全设计方案应该覆盖网络的各个层次,同时必须考虑到安全管理等人为因素.根据当前园区网络的应用现状和网络的结构,本文提出一个分接入层、汇聚层、核心层、系统应用层和安全管理多个层次的安全设计方案.1接入层安全设计 1.1 物理层安全 物理安全是指保护计算机网络设备、设施以及 其它媒体免遭地震、水灾、火灾等自然环境事故以及人为操作失误或错误导致的破坏过程.物理层安全是保证网络系统安全的前提,在实践过程中,根据Sage Research 的一项研究,可达80%的网络故 障都归结于物理层连接.针对网络物理层存在的各种安全隐患,改善校园网的物理环境,主要需要做如下几项工作:(1)温度控制,增加湿度控制;完善防雷和防静电措施等保证设备环境良好;(2)对物理层实时监控,监视所有物理层链接,确保当发生故障时,管理员迅速了解故障位置并恢复故障;(3)保障和完善主机房电源供应,确保备用电源切换正常;(4)与保安等相关保全部门合作,监控保障通信线缆安全.1.2 使用虚拟局域网实现网络隔离 虚拟局域网VLAN (Virtual local area network )是一种将局域网设备从逻辑上划分成多个网段,从而实现虚拟工作组的数据交换技术.通过VLAN 技术,网管可以根据实际应用需求,把同一个物理实际局域网中的用户从逻辑上划分成多个不同的广播域,这划分出的每个广播域即VLAN.不同的VLAN 是不能相互通信的,若需要通信必需得经过三层路由转发,这样从某种程度说保证了安全性.同时广播和组播流量也被限定在自己VLAN 中,不会转发到其它VLAN 中. 园区网可以根据网络用途或者不同楼宇和地理位置合理VLAN 划分,调整相关网络拓扑,使学生宿舍区、 网络中心、服务器群区、办公区等区域更明确的划分,这更有利于安全策略的实现和网络管理.例如宿舍楼每一楼层可以单独划到一个VLAN.VLAN 间相互通信可在汇聚层通过路由实现.通过 园区网络系统安全设计方案 商伶俐 (安徽农业大学 信息与计算机学院,安徽 合肥230036) 摘要:互联网的普及和大型企业园区、校园网络建设的不断发展,对加快信息处理、资源共享、充分利用资源和提高工作效率都起了不可估量的作用.但随着病毒的泛滥、 网络入侵的多样化、以及黑客的增多,园区网络的安全已成为不容忽视的问题,如何在开放网络环境中保证网络系统的安全性已经成为当今十分迫切的问题.本文针对园区网络中可能存在的安全风险,提出了多层次的园区网络安全系统的设计方案. 关键词:园区网络;虚拟局域网;访问控制列表;虚拟专用网中图分类号:TP393 文献标识码:A 文章编号:1673-260X (2012)02-0135-03 第28卷第2期(上) 2012年2月135--
Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享:应关闭 Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
编订:__________________ 单位:__________________ 时间:__________________ 操作系统的安全策略基本配置原则(正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-8263-70 操作系统的安全策略基本配置原则 (正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务 (3)关闭不必要的端口, (4)开启审核策略(5)开启密码策略, (6)开启帐户策略,(7)备份敏感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1 操作系统安全策略 利用Windows 2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认
的情况下,这些策略都是没有开启的. 2 关闭不必要的服务 Windows 2000的Terminal Services(终端服务)和IIS(Internet 信息服务)等都可能给系统带来安全漏洞.为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果开了,要确认已经正确的配置了终端服务. 有些恶意的程序也能以服务方式悄悄的运行服务器上的终端服务.要留意服务器上开启的所有服务并每天检查.Windows2000可禁用的服务服务名说明Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体,驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印.要用打印机的用户不能禁用这项服务IPSEC Policy Agent管
各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上
Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)
新核心系统安全策略 XX银行信息技术部所有,未经授权,严禁复制、编辑和传播! 1
目录 1. 核心业务系统-应用和业务安全控制和管理策略 (3) 1.1 系统核算风险控制 (3) 1.2 访问控制 (3) 1.3 人员控制 (3) 1.4 业务控制 (4) 1.5 资源控制 (5) 1.6 数据安全 (5) 1.7 预警与保护 (5) 1.8 审计要求 (6) 2
1.核心业务系统-应用和业务安全控制和管理策略 1.1系统核算风险控制 系统核算风险控制经过“经办-复核-授权-后督”四个基本环节,每个环节之间相互制约,管理柜员对超过前台柜员权限的业务进行复核或授权;管理柜员与前台柜员要分工明确,不能交叉操作;后督中心采取“分行集中监督、档案光盘微缩、凭证统一保管”的管理模式。 1.2访问控制 访问控制指基于部门或应用管理员定义的访问权限。具体要求如下:访问权限、交易权限、交易额度限制等可以通过参数进行配置。可以有效地控制权限的颗粒度,其最细的控制可到界面的某个交易,并且为不同帐户的授权必须遵循最小权限原则,即只为不同操作员用户赋予其完成各自承担任务所需的最小权限,且支持自动初始化用户鉴权信息,仅显示用户所拥有使用权限的功能菜单及信息展现。支持基于角色画面访问以区分不同类型的操作。支持多级授权机制。所有的交易授权可采用刷卡方式或指纹方式完成。支持柜员、机构、终端绑定功能。屏蔽客户端使用Ctrl+N等快捷键等方式重复登录。 1.3人员控制 操作员角色由总行统一定义。管理中心对前台柜员身份进行分层管理,系统严格管理柜员的身份,每个柜员都有一个唯一柜员号,并终身使用该号码。柜员自己管理自已密码。此密码口令经加密后在系统中存储,不可查询。只有本人才能修改口令。密码遗忘后须经相关审批流程 3
第二章系统安全的需求分析 本章从数据安全和业务逻辑安全两个角度对应用系统的安全进行需求分析,主要包括保密性需求、完整性需求、可用性需求三部分;随后对业务逻辑安全需求进行了分析,包括身份认证、访问控制、交易重复提交控制、异步交易处理、交易数据不可否认性、监控与审计等几个方面;最后还分析了系统中一些其它的安全需求。 2.1 数据安全需求 2.1.1 数据保密性需求 数据保密性要求数据只能由授权实体存取和识别,防止非授权泄露。从目前国内应用的安全案例统计数据来看,数据保密性是最易受到攻击的一个方面,通常表现为客户端发生的数据泄密,包括用户的基本信息、账户信息、登录信息等的泄露。在应用系统中,数据保密性需求通常主要体现在以下几个方面:A.客户端与系统交互时输入的各类密码:包括系统登录密码、转账密码、凭证查询密码、凭证交易密码等必须加密传输及存放,这些密码在应用系统中只能以密文的方式存在,其明文形式能且只能由其合法主体能够识别。 以网银系统为例,在网银系统中,通常存有四种密码:系统登录密码、网银转账密码、柜面交易密码及一次性密码。系统登录密码用来认证当前登录者为指定登录名的合法用户,网银用户的登录密码和网银转账密码由用户在柜面开户时指定,用户在首次登录网银系统时,系统必须强制用户修改初始密码,通常要求长度不得少于六位数,且不能是类似于111111、1234567、9876543等的简单数字序列,系统将进行检查。 网银转账密码是指网银系统为巩固用户资金安全,在涉及资金变动的交易中对用户身份进行了再认证,要求用户输入预设的密码,网银交易密码仅针对个人用户使用,企业用户没有网银交易密码。建立多重密码机制,将登录密码与网银转账密码分开管理,有利于加强密码的安全性。由于用户在使用网银时每次都必须先提供登录密码,故登录密码暴露的机会较多,安全性相对较弱;但登录网银的用户并不是每次都会操作账户资金的,所以专门设定网银转账密码可加强账户
信息系统安全建设方案 摘要从信息系统安全建设规划设计、技术体系以及运行管理等三个方面对信息系统安全建设技术要点进行了分析。 关键词信息系统安全系统建设 1 建设目标 当前,随着信息技术的快速发展及本公司信息系统建设的不断深化,公司运行及业务的开展越来越依赖信息网络,公司的信息安全问题日益突出,安全建设任务更加紧迫。 由于本公司的业务特殊性,我们必须设计并建设一个技术先进、安全高效、可靠可控的信息安全系统,在实现网络系统安全的基础上,保护信息在传输、交换和存储过程中的机密性、完整性和真实性。 2 设计要点 主要考虑两个要点:一是尽可能满足国家关于信息系统安全方面的有关政策要求,二是切合本公司信息安全系统建设内涵及特点。 国家在信息系统建设方面,比较强调信息安全等级保护和安全风险管理。针对本公司的涉密系统集成资质要求和软件开发、软件外包业务的开展,这个方面的硬性规定会越来越重要。目前正在与有关主管单位咨询。 信息系统等级划分需按照国家关于计算机信息系统等级划分指南,结合本本公司实际情况进行信息系统定级,实行分级管理。 信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全技术措施,从而确保信息安全保障能力建设的成效。 3 建设内容 信息系统的安全建设包括三方面:一是技术安全体系建设;二是管理安全体系建设;三是运行保障安全体系建设。其中,技术安全体系设计和建设是关键和重点。 按照信息系统的层次划分,信息系统安全建设技术体系包括物理层安全、网络安全、平台安全、应用安全以及用户终端安全等内容。 3.1 物理层安全 物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施包括:机房屏蔽,电源接地,布线隐蔽,传输加密。对于环境安全和设备安全,国家都有相关标准和实施要求,可以按照相关要求具体开展建设。 3.2 网络安全 对于网络层安全,不论是安全域划分还是访问控制,都与网络架构设计紧密相关。网络
一、实验名称 组策略的配置及使用 二、实验类型 验证性实验 三、实验目的 通过对服务器进行本地安全策略的配置,使学生掌握组策略的概念,配置组策略的方法,及使用组策略配置用户、配置计算机及配置软件的具体实例操作。 四、实验内容 (1)通过控制台访问组策略 (2)对用户设置密码策略 (3)对用户设置登录策略 (4)退出系统时清除最近打开的文件的历史 五、相关知识 1、组策略对象的类型 组策略对象有两种类型:本地和非本地。 本地组策略对象:对于每台运行Windows 2000以上操作系统的计算机,无论该计算机是否连接在网络上,或者是否是Active directory环境的一部分,它都存储着一个本地组策略对象。然而,若计算机处在Active directory的网络中,那么非本地组策略对象将覆盖本地组策略对象,从而将本地组策略对象对系统的影响降到最小。在非网络环境中,或非Active directory中,由于本地组策略对象的设置并没有被非本地组策略对象覆盖,所以仍然可以发挥作用。 非本地组策略对象:非本地组策略对象是与Active directory对象联系起来使用的。非本地组策略对象也可以应用于用户或计算机。如果要使用非本地组策略对象,那么必须在网络中安装一台域控制器。根据Active directory服务的属性,系统会分层次地应用非本地组策略对象中的策略。 2、组策略模板 组策略模板(GPT)是域控制器上SYSVOL文件夹中的一个目录层次结构。该文件夹是一个共享文件夹,其中存储着域中公共文件的服务器拷贝,这些拷贝来自域中所有的域控制器。当创建一个组策略对象时,服务器会创建一个相应的组策略模板文件夹层次结构。组策略模板包含了所有的组策略设置和信息,包括管理模板、安全设置、软件安装、脚本和文件夹重