操作系统安全配置-PPT.pptxVIP

《网络安全技术应用》;能力目标

具备对Windows服务器操作系统进行安全策略配置的能力

具备对Windows服务器进行端口和服务安全加固的能力

具备安全配置Web服务器的能力

具备利用MBSA扫描系统漏洞并查看报告的能力

具备利用微软WSUS服务器为客户端分发和安装系统补丁的能力

知识目标

了解Windows服务器操作系统的安全策略

掌握Windows服务器操作系统安全策略的配置方法

掌握安全配置Web服务器的方法

掌握服务和端口安全

了解系统漏洞的概念

掌握使用MBSA检测系统漏洞的方法

掌握企业操作系统补丁更新的方法

情感态度价值观

培养认真细致的工作态度

逐步形成网络安全的主动防御意识

;计算机系统安全是网络安全的基础。目前，Windows操作系统是应用最多的计算机操作系统之一，市场占有率始终维持在90%左右。常用的Windows服务器操作系统包括Windows2003和WindowsServer2008。任何安全措施都无法保证万无一失，而强有力的安全措施可以增加入侵的难度，从一定程度上提升系统的安全性。通常情况下，用户安装操作系统后便投入使用是非常危险的。要想使服务器在复杂的环境下平稳运行，必须进行安全加固。本章将以Windows2003系统为例进行安全加固，保证系统安全运行。

;任务2网络服务安全配置;活动一设置本地安全策略

活动二关闭不必要的服务和端口;【任务描述】

齐威公司新购置了几台计算机准备作为服务器，小齐给它们安装了比较流行的Windows2003服务器操作系统，而且安装的时候选择的是默认安装。但由于是服务器，对公司来说非常重要，来不得半点马虎，于是在默认安装结束后，小齐决定对系统进行安全加固。

【任务分析】

小齐利用网络查找资料了解到，利用WindowsServer2003的安全配置工具来配置安全策略，微软提供了一套基于管理控制台的安全配置和分析工具，可以配置服务器的安全策略，在管理工具中可以找到“本地安全设置”配置5类安全策略：账户策略、本地策略、公钥策略、软件限制策略和IP安全策略。小齐决定先进行账户策略的设置。

;【任务实战】

（1）选择“开始”→“所有程序”→“管理工具”→“本地安全策略”，显示??本地安全设置”窗口，如图1-1所示。

图1-1“本地安全设置”窗口

;（2）开启账户策略。开启账户策略就可以有效防止字典式攻击，设置如下。

①单击“账户策略”左边的，展开“账户策略”项，看到“密码策略”与“账户锁定策略”两项。

②选择“账户锁定策略”，在窗口的右边将出现“复位账户锁定计数器”、“账户锁定时间”、“账户锁定阈值”3项，如图1-2所示。

;③选择“账户锁定阈值”，单击鼠标右键，选择“属性”，打开“账户锁定阈值属性”对话框，如图1-3所示。

④在对话框中选择需要设置的登录次数，超过该次数后就会锁定该登录账户，以防止非授权用户的无限次尝试登录。其余项目设置与此相同。

;（3）开启密码策略。密码对系统安全非常重要。本地安全设置中的密码策略在默认情况下都没有开启。

①选择“密码策略”，在窗口右边窗格中显示策略具体项，如图1-4所示。

;②以“密码长度最小值”的设置为例，说明密码策略的设置。选择“密码长度最小值”，单击鼠标右键，选择“属性”，打开“密码长度最小值属性”对话框，如图1-5所示。

③在“密码必须至少是”文本框中选择要规定的字符个数，然后单击“应用”按钮，再单击“确定”按钮。这样就设置了密码策略的长度项，其余项的设置与此相同。

;（4）开启审核策略。安全审核是WindowsServer2003最基本的入侵检测的方法。当有人尝试对系统进行某种方式（如尝试用户密码、改变账户策略和未经许可的文件访问等）入侵时，都会被安全审核记录下来。

①选择“审核策略”，在窗口右边窗格中显示审核策略具体项，如图1-6所示。

;（5）不显示上次登录名。默认情况下，终端服务接入服务器时候，登录对话框中会显示上次登录的账户名，本地的登录对话框也是一样。黑客们可以得到系统的一些用户，进而猜测密码。通过修改注册表可以禁止显示上次登录名，方法是在HKEY_LOCAL_MACHINE主键下修改子键

SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\

DontDisplayLastUserName，将键值修改为“1”。

（6）禁止建立空连接。默认情况下，任何用户可以通过空连接进入服务器，进而枚举出账号，猜测密码。可以通过修改注册表来禁止建立空连接，方法是在HKEY_LOC