分类
Windows Server 2003安全策略的制定(1)‖
2000/XP的易用性和稳定性
小型网络应用服务器的当然
方面的安全策略制定作出一
们的网络服务器的正常运行
,而且还提供了更高的硬件支持
之选。本文就Windows 2003在企
些说明,希望能对大家起到抛砖
。
和更加强大的安全功能,无疑是中
业网络应用中企业帐户和系统监控
引玉的效果,最终的目标是确保我
| 一、企业账户保护安全策略 |
| 二、企业系统监控安全策略 |
| ==================== | ========================= |
| 一、企业账户保护安全策略 |
| 用户账户的保护一般 而被夺取或盗用,通常可采 限制外部连接以及防范网络 | 主要围绕着密码的保护来进行。 取诸如提高密码的破解难度、启 嗅探等措施。 | 为了避免用户身份由于密码被破解 用账户锁定策略、限制用户登录、 |
| 1、提高密码的破解难度 |
| 提高密码的破解难度主要是通过采用 施来实现,但这常常是用户很难做到的, 相关的措施,以强制改变不安全的密码使 | 提高密码复杂性、增大密码长度、提高更换频率等措 对于企业网络中的一些安全敏感用户就必须采取一些 用习惯。 |
| 在Windows系统中可以通过一系列的 Windows Server 2003系统中,可以通过 Server 2003系统的安全策略可以根据网 定。例如可以针对本地计算机、域及相应 范围。 | 安全设置,并同时制定相应的安全策略来实现。在 在安全策略中设定“密码策略”来进行。Window 络的情况,针对不同的场合和范围进行有针对性地设 的组织单元来进行设定,这将取决于该策略要影响的 |
| 以域安全策略为例,其 域安全策略”工具,然后就 | 作用范围是企业网中所指定域的 可以针对密码策略进行相应的设 | 所有成员。在域管理工具中运行“ 定。 |
| 密码策略也可以在指定的计算机上用 组织单元通过组策略进行设定。 | “本地安全策略”来设定,同时也可在网络中特定的 |
| 2、启用账户锁定策略 |
| 账户锁定是指在某些情 攻击),为保护该账户的安 挫败连续的猜解尝试。 | 况下(例如账户受到采用密码词 全而将此账户进行锁定。使其在 | 典或暴力猜解方式的在线自动登录 一定的时间内不能再次使用,从而 |
| Windows2003系统在默 ,对黑客的攻击没有任何限 至可以进行暴力模式的攻击 的第一步就是指定账户锁定 误造成的登录失败的次数是 果3次登录全部失败,就会 | 认情况下,为方便用户起见,这 制。只要有耐心,通过自动登录 ,那么破解密码只是一个时间和 的阈值,即锁定前该账户无效登 有限的。在这里设置锁定阈值为 锁定该账户。 | 种锁定策略并没有进行设定,此时 工具和密码猜解字典进行攻击,甚 运气上的问题。账户锁定策略设定 录的问R话憷此担捎诓僮魇?br>3次,这样只允许3次登录尝试。如 |
| 但是,一旦该账户被锁 用该账户,这就造成了许多 时间,这样以来在3次无效 设定,可以有效地避免自动 的打击。锁定用户账户常常 | 定后,即使是合法用户也就无法 不便。为方便用户起见,可以同 登最后就开始锁定账户,以及锁 猜解工具的攻击,同时对于手动 会造成一些不便,但系统的安全 | 使用了。只有管理员才可以重新启 时设定锁定的时间和复位计数器的 定时间为30分钟。以上的账户锁定 尝试者的耐心和信心也可造成很大 有时更为重要。 |
| 3、限制用户登录 |
| 对于企业网的用户还可以通过对其登 来,即使是密码出现泄漏,系统也可以在 2003网络来说,运行“Active Directory 并设置其账户属性。 | 录行为进行限制,来保障其户户账户的安全。这样以 一定程度上将黑客阻挡在外,对于Windows Server 用户和计算机”管理工具。 然后选择相应的用户, |
| 在账户属性对话框中,可以限制其登 这里可以设置允许该用户登录的时间,这 录到”按钮,在这里可以设置允许该账户 选项来限制登录时的行为。例如使用“用 。除此之外,还可以引入指纹验证等更为 | 录的时间和地点。单击其中的“登录时间”按钮,在 样就可防止非工作时间的登录行为。单击其中的“登 从哪些计算机乾地登录。另外,还可以通过“账户” 户必须用智能卡登录”,就可避免直接使用密码验证 严格的手段。 |
| 4、限制外部连接 |
| 对于企业网络来说,通 服务。远程拨号访问技术实 网中。由于这个连接无法隐 的措施可以有效地降低风险 | 常需要为一些远程拨号的用户( 际上是通过低速的拨号连接来将 藏,因此常常成为黑客入侵内部 。 | 业务人员或客户等)提供拨号接入 远程计算机接入到企业内部的局域 网络的最佳入口。但是,采取一定 |
| 对于基于Windows Serv 的所有用户建立连接。因此 ,严格限制拨入权限的分配 户和固定的分支机构的用户 在主叫方通过验证后立即挂 被破解,也不必有任何担心 | er 2003的远程访问服务器来说 ,安全防范的第一步就是合理地 范围,只要不是必要的就不给予 来说,可通过回拨技术来提高网 断线路,然后再回拨到主叫方的 。需要注意的是,这里需要开通 | ,默认情况下将允许具有拨入权限 、严格地设置用户账户的拨入权限 此权限。对于网络中的一些特殊用 络安全性。这里所谓的回拨,是指 电话上。这样,即使帐户及其密码 来电显示业务。 |
| 在Windows Server 2003网络中,如 就可以通过存储在访问服务器上或Intern 用场景的不同,可以设置多种不同的策略 相关资料,这里就不再作详细介绍。 | 果活动目录工作在Native-mode(本机模式)下,这时 et验证服务器上的远程访问策略来管理。针对各种应 。具体的管理比较复杂,由于篇幅有限,大家可参考 |
| 5、限制特权组成员 |
| 在Windows Server 200 段,这就是利用“受限制的 管理工具中添加要限制的组 特权组的成员加以限制。下 “安全性(S)”选项。然后 策略生效后,可防止黑客将 | 3网络中,还有一种非常有效的 组”安全策略。该策略可保证组 ,在“组”对话框中键入或查找 一步就是要配置这个受限制的组 ,就可以管理这个组的成员组成 后门账户添加到该组中。 | 防范黑客入侵和管理疏忽的辅助手 成员的组成固定。在域安全策略的 要添加的组。一般要对管理员组等 的成员。在这里选择受限制的组的 ,可以添加或删除成员, 当安全 |
| 6、防范网络嗅探 |
| 由于局域网采用广播的 在网络中所传输的数据来嗅 下手段来进行: | 方式进行通信,因而信息很容易 探有价值的信息。对于普通的网 | 被窃听。网络嗅探就是通过侦听所 络嗅探的防御并不困难,可通过以 |
| 1)采用交换网络 |
| 一般情况下,交换网络对于普通的网 络环境下,每一个交换端口就是一个独立 广播。网络嗅探主要针对的是广播环境下 | 络嗅探手段具有先天的免疫能力。这是由于在交换网 的广播域,同时端口之间通过交换机进行桥接,而非 的通信,因而在交换网络中就失去作用了。 |
| 随着交换网络技术的普 地址欺骗仍然可以实现一定 然可以获得嗅探的能力。 | 及,网络嗅探所带来的威胁也越 范围的网络嗅探,此外黑客通过 | 来越低,但仍不可忽视。通过ARP 入侵一些型号的交换机和路由器仍 |
| 2)加密会话 |
| 在通信双方之间建立加密的会话连接 即使黑客成功地进行了网络嗅探,但由于 密的手段有很多,可以通过定制专门的通 IP通信的安全机制是最根本的解决办法。 | 也是非常有У姆椒ǎ乇鹗窃谄笠低缰小U庋?br>捕获的都是密文,因而毫无价值。网络中进行会话加 信加密程序来进行,但是通用性较差。 这时,完善 |
| 由于历史原因,基于IP 题逐渐暴露出来。现在经过 机制,并且它将作为下一代 经得到了很好的支持。在Wi 对IPSec的支持。从而增强 | 的网络通信技术没有内建的安全 各个方面的努力,标准的安全架 IP网络标准IPv6的重要组成。IP ndows Server 2003系统中,其 了安全性、可伸缩性以及可用性 | 机制。随着互联网的发展,安全问 构也已经基本形成。那就是IPSec Sec机制在新一代的操作系统中已 服务器产品和客户端产品都提供了 ,同时使部署和管理更加方便。 |
| 在Windows Server 200 策略、组策略等)中,都集 定制的管理工具来了解一下 | 3系统的安全呗韵喙氐墓芾砉?br>成了相关的管理工具。为清楚起 。 | 具集(例如本地安全策略、域安全 见,通过Microsoft管理控制台MMC |
| 具体方法如下:首先在“开始”菜单 确定”按钮。在“控制台”菜单中选择“ 添加”按钮。 在可用的独立管理单元中 ”按钮,在这里选择被该管理单元所管理 元的相关窗口,就得到了一个新的管理工 | 中单击“运行”选项,然后键入mmc,并同时单击“ 添加删除管理单元(M)”命令,然后,单击其中的“ ,选择“IP安全策略管理”选项,双击或单击“添加 的计算机,然后单击“完成”按钮。关闭添加管理单 具,在这里可以为其命名并保存。 |
| 此时可以看到已有的安 。其中Windows Server 200 | 全策略,用户可以根据情况来添 3系统自带的有以下几个策略: | 加、修改和删除相应的IP安全策略 |
| 安全服务器(要求安全设置); |
| 客户端(只响应); |
| 服务器(请求安全设置); |
| 其中的“客户端(只响应)”策略是根 安全设置)”策略要求支持IP安全机制的 端来建立不安全的连接;而“安全服务器 使用IPSec协议。 | 据对方的要求来决定是否采用IPSec;“服务器(请求 客户端使用IPSec,但允许不支持IP安全机制的客户 (要求安全设置)”策略则最为严格,它要求双方必须 |
| 不过,“安全服务器(要求安全设置) 够被窃听。直接修改此策略或定制专门的 通讯”选项,在这里可以编辑其规则属性 | ”策略默认允许不加密的受信任的通信,因此仍然能 策略,就可以实现有效的防范。选择其中的“所有IP 。 |
| 选择“筛选器操作”选 设置里可以编辑安全措施, | 项卡,选择其中的“要求安全设 在这里将安全措施设置为“高” | 置”选项。在此筛选器操作的属性 选项。 |
| 以上采用IPSec加密数 的所有计算机使用IPSec加 来说是值得的。IPSec还可 | 据通信的方法适用于企业网应用 密通信。当然这种严格的限制会 以应用于VPN技术中,在这里可 | ,通过部署组策略可以强制网络中 带来一些不便,不过对于系统安全 以对IP隧道中的数据流进行加密。 |
| 对于不方便大范围实施IPSec的环境 VPN技术是目前实现端对端安全通信的最 服务器的连接。例如,客户端通过Intern | ,可以考虑采用VPN。这里的VPN是指虚拟私有网络。 佳解决方案,它主要适用于客户端通过开放的网络与 et/Intranet连接到企业或部门的专用网络。 |