科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道操作系统安全 我的地盘自然我做主

操作系统安全 我的地盘自然我做主

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。Windows 2000/XP Pro的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。

作者:中国IT实验室 2007年8月30日

关键字: 日志文件 安全策略 空连接 访问权限 系统安全

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

电脑安全问题一直以来都是个最重要的一个问题,也是电脑爱好者最关心的一个问题。它是个大话题涉及到电脑的方方面面,三言两语是说不清楚的,也不是几天就能够学会的。在这里我总结了一些系统安全配置方面的知识,希望对大家有所帮助。因为只有一台安全的电脑才可以预防病毒的骚扰、抵御黑客的入侵。

下面就开始我们的安全之旅吧。

一、安装过程

1、有选择性地安装组件

安装操作系统时请用NTFS格式, 不要按Windows 2000的默认安装组件,本着“最少的服务+最小的权限=最大的安全”原则,只选择安装需要的服务即可。例如:不作为Web服务器或FTP服务器就不安装IIS.常用Web服务器需要的最小组件是: Internet 服务管理器、WWW服务器和与其有关的辅助服务。如果是默认安装了IIS服务自己又不需要的就将其卸载。卸载办法:开始——>设置——>控制面板——>添加删除程序——>添加/删除Windows组件,在“windows组件向导”的“组件(C):”中将“Internet信息服务(IIS)”前面小框中的√去掉,然后“下一步”就卸载了IIS.

2、网络连接

在安装完成Windows 2000/XP操作系统后,不要立即连入网络,因为这时系统上的各种程序还没有打上补丁,存在各种漏洞,非常容易感染病毒和被入侵,此时应该安装杀毒软件和防火墙。杀毒软件和防火墙推荐使用卡巴斯基、诺顿企业版客户端(若做服务器则用服务端)和ZoneAlarm防火墙。接着,再把下面的事情做完后再上网。

二、正确设置和管理账户

1、停止使用Guest账户,并给Guest 加一个复杂的密码。所谓的复杂密码就是密码含大小写字母、数字、特殊字符(~!@#¥%《》,。?)等。比如象:“G7Y3,^)y.

2、账户要尽可能少,并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户,常用的扫描软件有:流光、HSCAN、X-SCAN、STATSCANNER等。正确配置账户的权限,密码至少应不少于8位,比如:"3H.#4d&j1)~w",呵呵……让他破吧!!这样的密码他可能把机子跑烂也跑不出来哦 ^_^

3、增加登录的难度,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值8位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”设定:“账户锁定3次错误登录”,“锁定时间30分钟”,“复位锁定计数30分钟”等,增加了登录的难度对系统的安全大有好处。

4、把系统Administrator账号改名,名称不要带有Admin等字样; 创建一个陷阱帐号,如创建一个名为“Administrator”的本地帐户,把权限设置成最低,什么事也干不了,并且加上一个超过10位的超级复杂密码。这样可以让那些“不法之徒”忙上一段时间了,并且可以借此发现他们的入侵企图。

三、正确地设置目录和文件权限(这步可以在以后做)

为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。Windows 2000/XP Pro的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全控制的(Full Control),您需要根据应用的需要重新设置权限。在进行权限控制时,请记住以下几个原则:

㈠权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。

②拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。

③文件权限比文件夹权限高。

④利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。

⑤只给用户真正需要的权限,权限的最小化原则是安全的重要保障。

⑥预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法,而Windows 2000/2003应付的方法很简单。Windows 2000/2003自带一个Routing &Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章