【初级篇】操作系统安全配置方案

wangod

题外话：由于这个学期开了网络安全的课，我在书上看到这个操作系统安全配置方案~~~

                                对于新手来说，很基础-值得学习(说的就是自己)就共享出来~~~

正题：                              安全配置方案初级篇



安全配置方案初级篇主要介绍常规的操作系统安全配置，包括十二条基本配置原则：

• 物理安全
• 停止Guest帐号
• 限制用户数量
• 创建多个管理员帐号
• 管理员帐号改名
• 陷阱帐号
• 更改默认权限
• 设置安全密码
• 屏幕保护密码
• 使用NTFS分区
• 运行防毒软件
• 确保备份盘安全
  

1、物理安全

• 服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。
• 另外，机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。
  

2、停止Guest帐号

• 在计算机管理的用户里面把Guest帐号停用，任何时候都不允许Guest帐号登陆系统。
• 为了保险起见，最好给Guest 加一个复杂的密码，可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串。
• 用它作为Guest帐号的密码。并且修改Guest帐号的属性，设置拒绝远程访问，如图1所示。
  
  

3、限制用户数量

• 去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限，并且经常检查系统的帐户，删除已经不使用的帐户。
• 帐户很多是黑客们入侵系统的突破口，系统的帐户越多，黑客们得到合法用户的权限可能性一般也就越大。
• 对于Windows NT/2000主机，如果系统帐户超过10个，一般能找出一两个弱口令帐户，所以帐户数量不要大于10个。
  

4、多个管理员帐号

• 虽然这点看上去和上面有些矛盾，但事实上是服从上面规则的。创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物，另一个拥有Administrator权限的帐户只在需要的时候使用。
• 因为只要登录系统以后，密码就存储再WinLogon进程中，当有其他用户入侵计算机的时候就可以得到登录用户的密码，尽量减少Administrator登录的次数和时间。
  

5、管理员帐号改名

• Windows 2000中的Administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。
• 不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone。具体操作的时候只要选中帐户名改名就可以了，如图2所示。
  
  

6、陷阱帐号

• 所谓的陷阱帐号是创建一个名为“Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。
• 这样可以让那些企图入侵者忙上一段时间了，并且可以借此发现它们的入侵企图。可以将该用户隶属的组修改成Guests组，如图3所示。
  
  

7、更改默认权限

• 共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows 2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。
• 任何时候不要把共享文件的用户设置成“Everyone”组。包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。设置某文件夹共享默认设置如图4所示。
  
  

8、安全密码

• 好的密码对于一个网络是非常重要的，但是也是最容易被忽略的。
• 一些网络管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的字符做用户名，然后又把这些帐户的密码设置得比较简单，比如：“welcome”、“iloveyou”、“letmein”或者和用户名相同的密码等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。
• 这里给好密码下了个定义：安全期内无法破解出来的密码就是好密码，也就是说，如果得到了密码文档，必须花43天或者更长的时间才能破解出来，密码策略是42天必须改密码。
  

9、屏幕保护密码

• 设置屏幕保护密码是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序，浪费系统资源，黑屏就可以了。
• 还有一点，所有系统用户所使用的机器也最好加上屏幕保护密码。
• 将屏幕保护的选项“密码保护”选中就可以了，并将等待时间设置为最短时间“1秒”，如图5所示。
  
  

10、NTFS分区

• 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。
  

11、防毒软件

• Windows 2000/NT服务器一般都没有安装防毒软件的，一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。
• 设置了放毒软件，“黑客”们使用的那些有名的木马就毫无用武之地了，并且要经常升级病毒库。
  

12、备份盘的安全

• 一旦系统资料被黑客破坏，备份盘将是恢复资料的唯一途径。备份完资料后，把备份盘防在安全的地方。
• 不能把资料备份在同一台服务器上，这样的话还不如不要备份。
  

leehenwu

谢谢分享！！！！！

Angel--xl

这个对于我们新手来说很实用。。。。谢谢楼主分享。。。。