6.2.5 Windows NT 安全審核系統的配置
安全審核系統的配置是通過設置用戶的安全現 進行設置之后,系統才會自動啟動安全市社全審核規則來進行的,
只有在對用戶的安全規 1. 設置安全審核規則
建立安全審核系統, 必須設置用戶安全規則。
時話相中進行, 打開“審核規則”對話框的操作方成寫 步驟如下: ,對用戶安全審核規則的設置是在“審核規 (1) 進行“開始程序一管理工具 (公用)一城用戶管理器”操作,打開“城用戶管理 。”對話框;
(2)在“城用戶管理器”對話框,選擇(單擊) 用戶或用戶組:
在“審核規則”對話框,系統管理員就可以設置有 有關用戶安全審核規則了。既可以審核 用戶對某安全事件的成功操作,也可以只審核進行其 有來安全事件時的失敗操作。當決定并選擇 了某安全事件進行審核,可將其右邊的選 擇框變 否則為空。
系統可以審核的安全文件包括登錄及注銷: , 文件及對象訪問:
組管理: 安全性規則的修改:重新啟動、關機及系統安全: 用戶權限的使用:用戶及
或“失敗”的操作情況。 進程追蹤等事件的各種“成功”
線的速度。因此,若設置了對用戶的安全審核,就意味著要損失定的系統性能,所以應根 ,設置中成該明確 安全審核規則是針對用戶的。由于審校是在后合進行的,它會影響系 據網絡的安全總體規劃妥善設置安全審核規則。
2.目錄和文件訪問的審核
在NTFS分區上,方可對訪問目錄或文件的操作進行審核,允許跟蹤有關用戶對目錄或 文件的使用和使用企圖。對于一個具體的目錄或文件訪問,可以審核其成功的操作,又可以 審核失敗的操作。審核的結果也保存在“安全日志文件”中。
h訪問目錄和文件審核的設置,是針對某一目錄或文件的。 在“審 核規則” 對話框選擇審 核“文件及對象訪問”事件,便對用戶訪問目錄或文件設置了審核規則。
3.安全審核系統的管理
安全審核系統將審核的結果保存在“安全日志(Security Log)”文件中,該文件的大 小默認為512KB,也可根據設置審核的安全事件的多少,調整該文件大小的限制,方法
為:進行“開始一管理工具一事件查看器→日志→日志設置”操作,便可設置“安全日 者”的大小。但是,只有Aiminsrators組的成員具有查看“安全日志”和進行“日志設 置”的權力。
6.2.6 Windows NT的其他安 全配置策略
0)使用最新的sviePce并時常打些小補丁, 目前的sivceckek版本為60 (2)硬盤必須格式化成NTIS格式,如果現在使用的是FAT的文件格式,趕快用 covert.exe轉換成NTFS格式。 。137。
HKEY LOCAL MACHINEUSTSTEM
格式文件識別, 這需要在 Dsabledo 3Namcrestion 的值設為“1”。
(3)關閉NTFS的8.3 CurentControlSetControNFileSystem e 中將 Nitis B“按制面版一 系統一啟動關閉”操作,
(4)系統啟動的等待時 時間設置為0 “30”改為 “0”。 :不少安全級別。
后將“系統啟動欄”中 中列表顯示默認值 議的服務器,也能提高 .... 以免他人從別的系統上修改長
' (5)將Web服務器設置為獨立 其他系統如 oS/2, Lxn....
(6)從NT服務器上移走 net shareld, 那些為了管理而設置的 的NT系統。 以使用這樣的命令 MACHINEISYSTEMCuTON 共享就必須通過修改注冊表的方法 (7)刪除服務器的網絡共學上來實現了,HKEY LOCAL 的AutoSha eServer 改為0。謝天放
SeverParameters 日志, 通過 “城用戶管理器→規則→審核” /Pailed Logon/ogoff 日志,
(8)嚴格審核success/F MACHINEISOFTWAREMicrosof
進行。 修改注冊表 HKEY LOCAL astUserName改為0.全安果
(9) 隱藏上次登錄用戶名, 中的Dntiplaylay
\WindowsNTCurentVersionlWinlogon own” 按鈕移走, 修改注冊表HKEY LOCAL (10)在你的logon對話框中把 “shutdowr M TentVersionlWinlogon中的Shutdowm. MACHINEISOFTWAREMicrosoft lWindowsNTcurrent
WithoutLogon改為0。 般可以 設到九位, 密碼位數到了這個數字再被猜出來的 (11)設定用戶的口令長度, 可能性很小了:關閉gust賬號,將Aiministatort 賬號改名,并為管理員設置一個不易破 (12) Windows NT有一個特征: 允許未認證的用戶 戶進入網絡列舉域內用戶。如果想要 禁止這個功能,修改HKEY LOCAL MA MIACUINESYSTEMCurentControlSeticontroNLSA中 的RestrictAnonymous, 將它的值改為1。 反一網絡一協議-TCPIP協議一屬性”,使這個框 (13)禁止IP 轉發,通過“控制面版
為空。 (14)配置TCPIP過濾,可以減少許多不必要的麻煩。具體配置方法是:“控制面版
一網絡一協議-TCPIP辦議一屬性一高級一啟用安全機制一配置”,可以這樣配置TCPPots 80和443 (SSL 的端口);不允許UDP端口: IP 協議6。這是-一個典型的安全配置,推 薦使用。
6.2.7 IS 4.0的安全漏洞
隨著Option Pack的發布,越來越多的人用IS 4.0來做Web服務器,這樣一來,I ASP就 成了不少網管的寵愛。雖然ASP的開發和維護都比較簡單,功能也比較強大,但在IIS 3.0 的 時候,發現在ASP程序后面加$Data就可以看到ASP的源程序。由于ASP的源程序里面一般 都有數據庫的結構,用戶的訪問口令等關鍵數據,所以這就成了ASP一個相當大的BUG. 雖然修改目錄的執行權限可以防止這個BUG。在IS 4.0 里面,也出現了-一個類似的漏洞,就 是在ASP后面加上81%或者是82%也可以看到ASP的源程序,這次修改目錄權限就沒有用 了,惟一的辦法就是安裝SP5.不僅如此,在Is 4.0里面有個叫showoode asp的程序,允許 用瀏覽器顯示ASP文件的源碼。aiaSselctov日錄下,后面跟上這樣一句話: scuereptilename就可以看到想看的源文件。:p/mi/a/m/ma/imamplselcto 。138。 網站建設
本文地址:http://murenxiang.com.cn//article/3836.html