第1讲 加固windows系统安全.ppt

学习目标 1.更改Administrator账户名称 　由于Administrator账户是微软操作系统的默认账户，建议将此账户重命名为其他名称，以增加非法入侵者对系统管理员账户探测的难度。重命名Administrator账户的方法。 1.更改Administrator账户名称 　 1.更改Administrator账户名称 　 1.更改Administrator账户名称 　 2．创建陷阱账号 　默认的系统账号Administrator重命名后，系统管理员可以创建一个同名的拥有最低权限的同名的Administrator账户，并且添加到Guests中，同时将它的权限设置成最低，并且加上一个超过20位的超级复杂密码（包括字母、数字、特殊符号）。新创建的Administrator帐户名称虽然和默认的系统管理员帐户的名称相同，但是SID安全描述符不同，不会出现帐户名称重复的问题。 3．管理帐户 　由于Administrator账户是微软操作系统的默认账户，建议将此账户重命名为其他名称，以增加非法入侵者对系统管理员账户探测的难度。 4. 磁盘访问权限配置 （1）设置磁盘访问权限 磁盘在系统安装完成以后，就赋予了部分权限，为了保证系统的安全，建议系统管理员对默认的磁盘权限进行调整，授予仅有窗口Administrator和SYSTEM才可以访问的权限。 （2）查看磁盘权限 微软公司提供了查看磁盘文件或者文件夹当前权限的图形化工具，利用AccessEnum可全面了解文件系统和注册表安全设置，它是网络管理员查看安全权限的理想工具。 5. 组策略的配置 组策略是管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。例如，可使用“组策略”从桌面删除图标、自定义“开始”菜单并简化“控制面板”。此外,还可添加在计算机上（在计算机启动或停止时，以及用户登录或注销时）运行的脚本，甚至可配置Internet Explorer。 5. 组策略的配置 ⑴组策略中审核策略的设置 　　1）审核帐户登录事件 　　2）推荐的审核策略设置 　　3）调整日志审核文件的大小 　　4）调整日志审核文件的大小。 ⑵“桌面”安全设置 　　1）隐藏桌面的系统图标 　　2）不要将最近打开的文档的共享添加到网上邻居 5. 组策略的配置 　　3）禁止用户更改“我的文档”路径 ⑶IE安全设置 1）管理好Cookie 2）禁用或限制使用Java程序及ActiveX控件 3）消除潜在威胁 4）组策略中对IE浏览器进行安全配置 5）禁用“在新窗口中打开”菜单项 6）禁用“Internet 选项”控制面板 7）给工具栏减肥 8）禁止修改IE浏览器的主页 9）自定义IE工具栏 6. 注册表基本知识及安全配置 　 6. 注册表基本知识及安全配置 　 6. 注册表基本知识及安全配置 　 6. 注册表基本知识及安全配置 　 6. 注册表基本知识及安全配置 　 6. 注册表基本知识及安全配置 　 6. 注册表基本知识及安全配置 　 6. 注册表基本知识及安全配置 　 问题探究 1. 系统管理员账户设置 帐户是计算机的基本安全对象，Windows server 2003本地计算机包含了两种帐户：用户帐户和组帐户。用户帐户适用于鉴别用户身份，并让用户登录系统，访问资源，而组帐户适用于组织用户帐户和指派访问资源的权限。 Windows server 2003操作系统安装完成后，默认的系统管理员帐户是Administrator，这已经是总所周知的事情。系统管理员权限，正是非法入侵者梦寐以求的权限，一旦成功，操作系统将完全暴露在黑客的眼前。 1. 系统管理员账户设置 在这里建议应尽量减少管理员的数量，因为管理员组成员拥有对系统的各项操作、配置和访问权限。因此，系统管理员的数量越少，密码丢失或被猜到的可能性就越小，相对而言，系统也就越安全，这也是最大限度保证网络安全的重要手段。 在Windows server 2003操作系统安装完成后，建议重命名Administrator帐户，因为黑客往往会从Administrator帐户进行探测。并且禁用Guest账户，或者给Guest加一个复杂的密码，同时停用该用户，从而实现更高的安全机制，因为此用户还可以重新启用，一旦启用将可以建立IPC$连接。 2. 用户访问限制 保护计算机和计算机内存数据的安全措施之一，就是指定拥有不同访问权限的用户帐户，通过限制用户帐户权限的方式，实现对资源访问控制。用户名和密码用于在登录Windows 2000/XP/2003时进行身份验证，登录的身份决定了该用户是否可以进入该计算机，以及可以在该计算机上做什么。因此，对用户帐户和管理员帐户的严格审批、发放