強化權(quán)限管理，完善帳戶安全策略

檢查帳戶策略設(shè)置。配置密碼策略時，通常要求密碼必須符合復(fù)雜性標準，密碼長度最小值、最短使用期限、最長使用期限也要合理設(shè)置，登錄時密碼輸入錯誤達到指定次數(shù)系統(tǒng)能自動鎖定該登錄帳戶，可通過“本地安全策略”、“密碼策略”進行檢查、設(shè)置。

檢查審核策略設(shè)置。通常帳戶登錄、系統(tǒng)事件審核應(yīng)包含成功和失敗操作，策略更改、帳戶管理等事件審核應(yīng)包含成功操作，既能保證審核安全信息質(zhì)量較高，又能使系統(tǒng)資源占用較少，可通過“本地安全策略”、“審核策略”進行檢查、設(shè)置。

檢查用戶權(quán)限分配。權(quán)限定義了授予用戶或組對某對象或?qū)傩栽L問類型。應(yīng)嚴格限制用戶完全控制權(quán)限，防止默認共享被用作入侵通道，對威脅系統(tǒng)安全的權(quán)限應(yīng)做到禁用或嚴格限制，可通過“本地安全策略”、“用戶權(quán)利指派”進行檢查、設(shè)置。

修改注冊表設(shè)置，優(yōu)化系統(tǒng)安全選項

檢查并設(shè)置注冊表修改權(quán)限。WindowsServer 2003下比較安全的做法是僅允許管理員訪問注冊表，具體方法是，在系統(tǒng)目錄下找到regedit.exe文件，右鍵選擇“權(quán)限”欄進行檢查，最好將無關(guān)用戶權(quán)限取消。

檢查并清空遠程可訪問的注冊表路徑。為有效防止攻擊者通過遠程注冊表讀取系統(tǒng)信息，應(yīng)禁止該功能。具體方法是，打開組策略編輯器，依次展開“計算機配置”、“Windows 設(shè)置”、“安全設(shè)置”、“安全選項”，找到“網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑” 進行檢查，最好將內(nèi)容全部刪除。

檢查并加固注冊表安全項。常用選項設(shè)置包括：

1.為 防止ICMP重定向報文的攻擊，打開“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesTcpipParameters”， 將“Enable ICMPRedirects”值設(shè)為0。

2.為防止SYN洪水攻擊，打開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”，新建DWORD值，名 為“SynAttackProtect”，最好把數(shù)值設(shè)為2。

3.為禁止IPC空連接，打開“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetControlLSA”，最好把RestrictAnonymous數(shù)值改成1。

配置IP策略，實施網(wǎng)絡(luò)安全控制

檢查并限制無關(guān)服務(wù)及端口。開放無關(guān)服務(wù)會給入侵提供通道，通常建議將不必要的服務(wù)禁用，比 如 Computer Browser、Distributed File System、TCP/IP NetBIOS Helper、Telnet等。端口對應(yīng)服務(wù)，僅開放必要服務(wù)及端口是確保網(wǎng)絡(luò)安全的有效途徑。具體方法是，設(shè)置“Internet協(xié)議”屬性，啟用“TCP/IP篩選”,添加“允許通過的協(xié)議和端口”，只開放必要的服務(wù)端口，限制攻擊者的入侵途徑。

檢查并制定IP安全策略。 IPSec支持系列加密算法，可進行數(shù)據(jù)源認證，篩選特定IP或端口，提供安全、透明、高效的網(wǎng)絡(luò)防護。具體實施方法是：

1.定義策略。依次打開“管理工具”、“本地安全設(shè)置”，選擇“創(chuàng)建IP安全策略”。

2.定義篩選器操作。右鍵點擊“IP安全策略”選擇“管理IP篩選器表和篩選器操作”，定義“IP 篩選器列表”和“IP 篩選器屬性”，設(shè)置“源地址”、“目標地址”、“協(xié)議類型”、“協(xié)議端口”。

3.定義規(guī)則屬性。在“新規(guī)則屬性”窗口中點選創(chuàng)建的規(guī)則，點擊“管理篩選器操作”選項卡下的“添加”，點選“安全措施”下的“阻止”選項。

4.生效策略。在組策略窗口中，右鍵點擊創(chuàng)建的策略，選擇“指派”，實現(xiàn)對該策略的啟用。