windows操作系统的安全主要体现在哪些方面

发布网友 发布时间:2022-04-23 03:46

我来回答

1个回答

热心网友 时间:2023-10-17 21:53

一、 安全环境

1、身份验证:通过交互式登录和网络身份验证等方式验证用户的身份。
2、访问控制:通过给用户和组指定权限来允许或拒绝用户对相应资源的访问。
3、授权管理器:授权管理器提供了基于角色的访问控制。管理员可以基于角色进行授权,来确定某角色所能执行的操作。
4、安全配置管理器:安全配置管理器允许管理员创建、应用和编辑本地计算机、组织单位或域的安全性。
5、软件*策略:使用软件*策略,可以标识软件并控制它在本地计算机、组织单位、域或站点中的运行能务。
6、审核安全事件:设置审核策略,以便记录用户和系统的活动。 7、加密文件系统:使用“加密文件系统(EFS)”可以加密保存在磁盘上的文件和目录。 8、公钥基础结构:“公钥基础结构“(通常简写成PKI)是数字证书、证书颁发机构(OA)的系统,用于验证使用公钥加密进行电子交易时所涉及的每一方的有效性。 9、IPSEC:“INTERNET协议安全性(IPSEC)”是一种开放标准的框架结构,通过使用加密安全服务以确保在INTERNET协议(IP)网络上进行保密而安全的通信。

二、注册表安全
1、Windows Server 2003注册表的结构
2、Windows Server 2003注册表的主要组成
3、修改注册表、备份注册表、恢复注册表
三、安全设置
1、Windows Server 2003 安全配置和管理
1)定制自己的Windows Server 2003(选择合适的版本。只安装必要的组件、合理选择应用程序,暂不接入网络、安装补丁、安装防病毒软件,最少组件+最小限权=最大安全) 2)进行必要的安全配置。
除了通过防火墙来加强网络安全之外,我们也可以使用一些其它谇来强化系统安全,简介如下。
(1)物理安全
物理安全是指服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱、键盘、电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全地方。

(2)禁用guest账号
在“计算机管理”的“用户”里停用guest帐号,任何时候都不允许guest帐号登录系统。同时,还要给guest加一个复杂的密码。

(3)*不必要的用户数量
去掉所有的无用账号,如测试用账号、共享账号、普通部门账号等。这些账号往往是黑客们入侵系统的突破口,系统的账号,黑客们得到合法权限的可能性也就越大。

(4)把系统Administrator账号改名
Windows Server 2003 的Administrator账号是不能被停用的,这意味着别人可以一遍又一遍的尝试这个账号的密码,把Administrator账号改名可以有效地防止这一点。当然,请不要使用Amin之类的名字,这样改了等于没改,昼把它伪装成变通用户。

(5)创建一个陷阱账号
所谓陷阱账号,是指创建一个名为“Aministrator”的本地账户,把它的权限设置成最,并且加上一个超过10位的很复杂的密码。这样可以让那些非法用户秀难获得管理员权限,并且可以借此发现它们的入侵企图。

(6)把共享文件的权限从“Everyone”组改成“授权用户”
“Everyone”在Windws Server 2003中意味着任何有权进入你的网络的用户都能够获得这些共享。任何时候都不要把共享文件的用户设置成“everyone”组。
(7)使用安全密码
一个好的密码对于一个网络是非常重要的,便这也是最容易被忽略的。一些公司的管理员在创建账号时,往言行一致用公司名、计算机名,或者一些很容易被别人猜到的用户名,然后又把这些账户的密码设置得很简单。这样的账房应该要求用户首次登录时改成复杂的密码,还要注意经常更改密码。

(8)设置屏幕保护密码 这一点虽然很简单,但却是很有必要的。设置屏幕保护密码也是防止内部人员破坏报务器的一个屏障。注意不要使用OpenGBL和一些复杂的屏幕保护程序,这样浪费系统资源,让它黑屏就可以了。还有一点,所有系统用户所使用的机器也是最好加上屏幕保护密码。
(9)使用NTFS格式分区

把服务器的所有分区都改成NTFS格式,NTFS文件系统要比FAT、FAT32的文件系统安全得多。
(10)运行防毒软件 这一点非常重要,一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序,使“黑客”们使用的那些有名的木马毫无用武之地。同时不要忘了经常升级病毒库。

(11)保障备份盘的安全
一旦系统资料被破坏,备份盘将是你恢复资料的惟一途径,备件完资料后,把备份盘放在安全的地方,千万不要把资料备份在同一台服务器上,那样的话,还不如不备份。

(12)关闭不必要的服务
Windows Server 2003的Termtel Server(终端服务),Js和RAS都可能给你的系统带来安全漏洞。为了能够远程管理服务器,很多机器的终端服务都是打开的,如果你的也开了,要确认你已经正确地配置了终端服务。有些恶意的程序也能以服务的方式悄悄运行。要留意服务器上开启的所有服务,每天检查它们。

(13)关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上应该有所选择。用端口扫描器扫描系统所开放的端口,确定开放的哪些服务是黑客入侵系统的第一步。\System32\Drivers\Etc\Servces文件中有知名端口和服务的对照表可供参考。关闭端口的具体方法为:依次打开“网上邻居”/“属性”/“本地连接”/“属性”/“Internet协议(TCP/IP)”/“属性”/“高级”/“选项”/“TCP/IP筛选”/“属性”,打开TCP/IP筛选,添加需要的TCP,UDP协议的端口即可。
(14)打开审核策略
开启安全审核是Windows Server 2003最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码、改变账户策略、未经许可的文件访问等)入侵的时候,都会被安全审核记录下来。很多管理员在系统被入侵了几个月还不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加。 策略设置
审核系统登录事件 成功,失败 审校账户管理 成功,失败 审核登录事件 成功,失败 审核对象访问 成功
审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败
(15)设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把它设置成只有Adminitrator和系统账户才有权访问。

(16)把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是我们还是应该把一些重要的用户数据(文件、数据表、项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。

声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com