科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道操作系统安全 我的地盘自然我做主

操作系统安全 我的地盘自然我做主

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。Windows 2000/XP Pro的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。

作者:中国IT实验室 2007年8月30日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

七、审核策略

具体方法:控制面板→管理工具→本地安全策略→本地策略→审核策略,然后右键点击下列各项,选择“安全性”来设置就可以了。

审核策略更改:成功,失败

审核登录事件:成功,失败

审核对象访问:失败

审核对象追踪:成功,失败

审核目录服务访问:失败

审核特权使用:失败

审核系统事件:成功,失败

审核账户登录事件:成功,失败

审核账户管理:成功,失败

密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天。

在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟。

安全选项设置:本地安全策略→本地策略→安全选项→对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项,然后再禁止登录屏幕上显示上次登录的用户名。

禁止登录屏幕上显示上次登录的用户名也可以改注册表HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn项中的Don't Display Last User Name串,将其数据修改为1

八、Windows日志文件的保护

日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。

1. 修改日志文件存放目录

Windows日志文件默认路径是“%systemroot%\system32\config”,我们可以通过修改注册表来改变它的存储目录,来增强对日志的保护。

点击“开始→运行”,在对话框中输入“Regedit”,回车后弹出注册表编辑器,依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog后,下面的Application、Security、System几个子项分别对应应用程序日志、安全日志、系统日志。

我以应用程序日志为例,将其转移到“d:\abc”目录下。首先选中Application子项,在右栏中找到File键,其键值为应用程序日志文件的路径“%SystemRoot%system32configAppEvent.Evt”,将它修改为“d:abc\AppEvent.Evt”。接着在D盘新建“abc”目录,将“AppEvent.Evt”拷贝到该目录下,重新启动系统,这样就完成了应用程序日志文件存放目录的修改。其它类型日志文件路径修改方法相同,只是在不同的子项下操作。

2. 设置文件访问权限

修改了日志文件的存放目录后,日志还是可以被清空的,下面通过修改日志文件访问权限,防止这种事情发生,前提是Windows系统要采用NTFS文件系统格式。

右键点击D盘的CCE目录,选择“属性”,切换到“安全”标签页后,首先取消“允许将来自父系的可继承权限传播给该对象”选项勾选。接着在账号列表框中选中“Everyone”账号,只给它赋予“读取”权限;然后点击“添加”按钮,将“System”账号添加到账号列表框中,赋予除“完全控制”和“修改”以外的所有权限,最后点击“确定”按钮。这样当用户清除Windows日志时,就会弹出错误对话框。

九、写在最后的话

现在你可以连接上网了,但是暂时不要打开IE浏览器。接下来工作是升级杀毒软件和防火墙,并设置好,具体设置方法请参照缔造论坛的相关教程。然后从开始菜单打开Windows update 打好系统所有的补丁,这个过程有点漫长,耐心等待吧。当你打好系统所有补丁后再备份好系统,呵呵……上网吧你安全了(注意!没有绝对的安全哦)!

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章