“tonm110”通过精心收集,向本站投稿了5篇如何做好Windows 安全策略,下面是小编为大家整理后的如何做好Windows 安全策略,以供大家参考借鉴!
篇1:如何做好Windows 安全策略
为大家介绍一些常用的设置方法来为Windows 2000系统进行安全策略的设置从而起到安全保障的作用,
一、安全策略
Windows 2000系统本身就有很多安全方面的漏洞,这是众所周知的。通过打补丁的方法可以减少大部分的漏洞,但是并不能杜绝一些小漏洞,而往往这些小漏洞也是导致被攻击或入侵的重要途径。Windows 2000中自带的本地安全策略就是一个很不错的系统安全管理工具。这个工具可以说是系统的防卫工具往往一些必要的设置就能起到防范的作用,可别小看这个工具。下面就为大家介绍一些常用的设置方法来为系统进行安全策略的设置从而起到安全保障的作用。
二、具体操作
系统的本地安全策略这个工具是在,单击开始控制面板管理工具本地安全策略后,会进入本地安全策略的主界面。在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。
1.安全日志的设置:因为安全日志是记录一个系统的重要手段,因此通过日志可以查看系统一些运行状态,而Windows 2000的默认安装是不开任何安全审核的,因此需要在本地安全策略审核策略中打开相应的审核,
单击开始控制面板管理工具本地安全策略左边的本地策略审核策略,看到右栏有审核策略更改等9个项目,我们双击每个项目,然后在成功、失败的选框上进行选择。
2. 账号安全设置:Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,造成一些密码容易泄漏而对电脑进行攻击,所以必须采用以下进行安全设置。单击开始控制面板管理工具本地安全策略本地策略账户策略,看到右栏有密码策略、账户锁定策略2个项目。
在密码策略中设置:启用密码必须符合复杂性要求,密码长度最小值为6个字符,强制密码历史为5次,密码最长存留期为30天。
在账户锁定策略中设置:复位账户锁定计数器为30分钟之后,账户锁定时间为30分钟,账户锁定值为30分钟。
3. 安全选项设置:单击开始控制面板管理工具本地安全策略本地策略安全选项,找到右栏对匿名连接的额外限制。双击对其中有效策略进行设置,选择不允许枚举SAM账号和共享(如图所示)。因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项。
经过这样设置后,你的系统就安全很多了特别是账户的安全和密码的安全,有效防止一些非法的入侵。不但可以通过查看日志来监控系统的一些运行方面的重要信息。还对账户的登录有了清晰的掌握。
篇2:windows 远程桌面安全策略
windows的远程桌面虽然用起来比较方便,但其安全性和资源占用比起SSH还是有不少的差距,
想到的安全策略有一下几个:
1、更改默认端口号
终端服务默认使用知名端口号3389,很显然大家都知道这个端口是做什么的,所以改端口号可以躲过很多的机器扫描。可以从终端服务本机上修改默认端口号,如果有防火墙做NAT,那更简单了,NAT后的端口号别用3389就是了。
2、设置复杂密码
现在的GPU处理能力十分恐怖,所以密码位数少了就不安全了,大小写字母和数字组合的12位密码目前还基本够用。远程桌面竟然不支持CA证书验证登录,这点不如SSH了。SSH设置成2048位RSA证书登录,禁止口令登录,禁止root登录,就相当的安全了。
3、限制登录尝试次数
修改组策略,“计算机配置->windows设置->安全设置->账户策略->账户锁定策略”,“账户锁定阈值”设置为10,也就是10次无效登录后就封锁对方IP,禁止其在一段时间内继续尝试登录,
“账户锁定时间”就是无效登录后多久才可以继续尝试登录。“复位账户锁定计数器”设置多长时间后复位“账户锁定阈值”,必须小于等于“账户锁定时间”。
4、禁止administrator用户远程桌面登录
administrator实在是太扎眼了,可以禁止其远程桌面登录,另设立一个管理员账户来执行远程登录任务,这样用户名和密码的组合就更复杂了,爆破的难度大大加大。
双击“计算机配置->Windows设置->安全设置->本地策略->用户权限分配->通过终端服务允许登录”,将Administrators账号删除掉,加入另设立的管理员账户即可。
5、加密远程桌面连接
默认情形下,远程桌面的数据链接是不加密的,十分危险有木有,容易被监听有木有。2003以后的windows版本可以使用SSL来加密远程桌面连接。
篇3:Windows 安全策略常用设置方法
为大家介绍一些常用的设置方法来为Windows 2000系统进行安全策略的设置从而起到安全保障的作用,
一、安全策略
Windows 2000系统本身就有很多安全方面的漏洞,这是众所周知的。通过打补丁的方法可以减少大部分的漏洞,但是并不能杜绝一些小漏洞,而往往这些小漏洞也是导致被攻击或入侵的重要途径。Windows 2000中自带的“本地安全策略”就是一个很不错的系统安全管理工具。这个工具可以说是系统的防卫工具往往一些必要的设置就能起到防范的作用,可别小看这个工具。下面就为大家介绍一些常用的设置方法来为系统进行安全策略的设置从而起到安全保障的作用。
二、具体操作
图1
系统的“本地安全策略”这个工具是在,单击“开始→控制面板→管理工具→本地安全策略”后,会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。
1.安全日志的设置:因为安全日志是记录一个系统的重要手段,因此通过日志可以查看系统一些运行状态,而Windows 2000的默认安装是不开任何安全审核的,因此需要在本地安全策略→审核策略中打开相应的审核。单击“开始→控制面板→管理工具→本地安全策略→左边的本地策略→审核策略”,看到右栏有“审核策略更改”……等9个项目,我们双击每个项目,然后在“成功、失败”的选框上进行选择,
2. 账号安全设置:Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,造成一些密码容易泄漏而对电脑进行攻击,所以必须采用以下进行安全设置。单击“开始→控制面板→管理工具→本地安全策略→本地策略→账户策略”,看到右栏有“密码策略、账户锁定策略”2个项目。
在密码策略中设置:启用“密码必须符合复杂性要求”,“密码长度最小值”为6个字符,“强制密码历史”为5次,“密码最长存留期”为30天。
在账户锁定策略中设置:“复位账户锁定计数器”为30分钟之后,“账户锁定时间”为30分钟,“账户锁定值”为30分钟。本文来自bianceng.cn(学电脑)
3. 安全选项设置:单击“开始→控制面板→管理工具→本地安全策略→本地策略→安全选项”,找到右栏“对匿名连接的额外限制”。双击对其中有效策略进行设置,选择“不允许枚举SAM账号和共享”(如图所示)。因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项。
图2
经过这样设置后,你的系统就安全很多了特别是账户的安全和密码的安全,有效防止一些非法的入侵。不但可以通过查看日志来监控系统的一些运行方面的重要信息。还对账户的登录有了清晰的掌握。
篇4:windows系统客户机管理的安全策略
window系统管理中管理员要实现对客户机的管理,战略恐怕是最主要的利器,下面我就对我平时罕见的战略做下分析理清各个策略之间的关系及其在实际中的应用.
1.组策略:什么是组策略呢?组策略是一个允许执行针对用户或计算机进行配置的基础架构,这是最常用的组策略中我可以制定各种规章制度,其中计算机配置是针对所用登陆到计算机的用户都生效和用户配置则是针对系统的当前用户,管理员在运用过程中主要是运用gpmc来实现对域模式下计算机的管理,中gpmc这个工具要去微软官网下载,则是系统集成的组策略和A ctivDirectory结合使用,可以安排在OU站点和域的级别上,当然也可以部署在外地计算机上,但部署在外地计算机并不能使用组策略中的全部功能,只有和A ctivDirectory配合,组战略才可以发挥出全部潜力。组策略部署在不同级别的优先级是不同的外地计算机<站点<域
组战略管理可以通过组战略编辑器和组策略管理控制台(GPMC组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。GPMC则是功能更强大的组策略编辑工具,GPMC可以创立,管理,安排GPO最新的GPMC可以从微软网站下载。推荐大家运用gpmc进行管理,打开结构化的管理面板,即体现出整个域的结构,又直观的表示出组策略的层次感。GPMC 中 具体的战略写好了并不影响具体对象 OU站点 域)要连接到具体的OU上当前的GPO才会生效。链接起来很容易,只需要拖拽住一条GPO某一个对象(OU站点、域)上就可以了 可以运用组策略来实现软件的分发,桌面的统一,补丁的管理,及其注册表限定USB禁用等功能。
2. 外地战略,域控制器策略,域策略:大家可能有时候分不清其中的关系,给大家解释下,外地战略是针对当前计算机的刚安装还系统时,就自动生成,可以用 administr进入进行相应的设置。下面2个策略则是针对ad环境下的其中域控制器策略是针对dc设置的只对dc生效,而域策略则是针对当下域环境下所有的机器。成员计算机和域的设置项冲突时,域安全策略生效,域控制器和域的设置项冲突时,域控制器安全策略生效。
下面我就举个例子说下本地安全策略的各个选项的意思
打开计算机-顺序-管理-外地平安战略
1.账户战略: 密码战略;主要设定用户登录密码的复杂水平
账户锁定战略:帐户锁定阈值:就是设定用户在输入错误密码的情况下,可以登录几次
复位帐户锁定计数器:记录用户登录输入密码错误的次数
如我设定帐户锁定阈值为3帐户锁定时间30分钟复位帐户锁定计数器2意思是输入3次密码错误的情况下,再输入错误了账户锁定30分钟,只有两次这样连续输入3次密码错误的机会。
2.外地战略:审核战略:主要是一些事件记录
用户权利指派:把用户加入不同的组,使之有不同权限,如我把用户张三加入administratior组,张三就有了管理员的权限c平安选项:系统的一些关于安全的自定设置,如交互登录 其实3者策略分关系是相关的可以通过在具体运用中自己总结些相关的知识,总之 知识出于运用,大家明白其中的道理再在这基础上做实验,相信大家会有不一样的收获,不推荐大家跟着一些教程的东西一步步跟着去做,可能做完这个你会了转下问题你又不会做了理解原理,综合运用,这是推荐大家学习网络的方法
其实3者策略分关系是相关的可以通过在具体运用中自己总结些相关的知识,总之 知识出于运用,大家明白其中的道理再在这基础上做实验,相信大家会有不一样的收获,不推荐大家跟着一些教程的东西一步步跟着去做,可能做完这个你会了转下问题你又不会做了理解原理,综合运用,这是推荐大家学习网络的方法
篇5:电子商务安全策略探讨
电子商务安全策略探讨
摘要:[摘要]本文总结了我国电子商务发展及其信息安全的现状,在详细分析了电子商务信息安全的主要威胁因素的基础上,具体探讨了电子商务安全的技术保障机制。
[关键词]电子商务,信息安全,网络安全,交易安全,技术保障
电子商务是利用互联网络进行的商务活动。电子商务有多种定义,但内涵大致相同,即电子商务是利用电子数据交换、电子邮件、电子资金转账等方式及互联网的主要技术在个人、企业和国家之间进行的网上广告及交易活动,内容包括商品及其订购信息、资金及其支付信息、安全及其认证信息等方面。信息安全是指利用网络管理控制和技术措施,防止网络本身及网上传输的信息财产被故意的或偶然的非授权泄漏、更改、破坏,或使网上传输的信息被非法系统辨认、控制。电子商务信息安全的具体表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。随着互联网的快速扩张和电子商务的迅猛发展,电子商务系统的安全性已受到计算机病毒、网络黑客、计算机系统自身防御性脆弱等方面的严峻挑战。
一、我国电子商务发展及其信息安全现状
我国电子商务始于20上世纪90年代,政府主导相继实施的“金桥”、“金卡”、“金关”、“金税”工程大大加快了我国电子商务的发展步伐。目前,我国电子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。艾瑞市场咨询公司最新的调查数据显示:截至2006年底,中国网络购物市场总用户数达到4310万人,B2C和C2C总交易额分别为82亿元和230亿元。然而,据中国互联网络信息中心(CNNIC)的一份最新调研显示,只有约15%的网民平时有网上购物的习惯,而不选择网络购物的原因主要由于对网站不信任、怕受骗,担心商品质量问题和售后服务,质疑其安全性等。
电子商务自从诞生之日起,安全问题就像幽灵一样如影随形而至,成为制约其进一步发展的重要瓶颈。电子商务系统的安全是与计算机安全尤其是计算机网络安全密切相关的,综合当前电子商务所面临的网络安全现状不容乐观。公安部公布了2006年全国信息网络安全调查结果,结果显示,半数以上的被调查单位发生过信息网络安全事件,病毒或木马程序感染率达84%,目前,全国已有8成左右的单位安装了防火墙和病毒查杀系统。对数据统计分析,2005年5月至2006年5月间,有54%的被调查单位发生过信息网络安全事件,其中,感染计算机病毒、蠕虫和木马程序为84%,遭到端口扫描或网络攻击的'占36%,垃圾邮件占35%。未修补和防范软件漏洞仍然是导致安全事件发生的最突出原因,占发生安全事件总数的73%。
二、电子商务安全威胁的主要方面
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。因此,从整体而言,电子商务安全有计算机网络安全和商务交易安全两个方面。计算机网络安全是商务交易安全的基础;商务交易安全是电子商务安全的主要内容。
计算机网络安全的内容主要包括:计算机网络设备安全、计算机网络系统安全。网络设备安全是指保护计算机主机硬件和物理线路的安全,保证其自身的可靠性和为系统提供基本安全前提;设备安全风险来自硬件器件与部件失效、老化、损害,自然雷击、静电、电磁场干扰等多方面,有人为因素还有自然灾害所引起的故障。例如,2006年12月26日,我国台湾附近海域发生强烈地震,造成中美海缆等6条国际海底通信光缆发生中断,使附近国家和地区的国际和地区性通信受到严重影响,给有关企业和个人造成巨大影响和严重经济损失。网络系统安全是指保护用户计算机、网络服务器等网络资源上的软件系统能正常工作,网络通信及其网络操作能安全、正常完成。网络系统安全风险来自系统的结构设计缺陷、网络安全配置缺陷、系统存在的安全漏洞、恶意的网络攻击和病毒侵入等多方面。网络系统安全是计算机网络安全的主要方面。计算机网络安全的特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全是指商务活动在公开网络上进行时的安全,其实质是在计算机网络安全的基础上,保障商务过程顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性,核心内容是电子商务信息的安全。一般情况下,我们可以把电子商务安全归结为电子商务信息的安全。目前,电子商务主要存在的安全威胁有:
1.身份仿冒
攻击者通过非法手段盗用合法用户的身份信息,仿冒合法用户的身份与他人进行交易,进行信息欺诈与信息破坏,从而获得非法利益。主要表现有:冒充他人身份、冒充他人消费、栽赃、冒充主机欺骗合法主机及合法用户、使用欺诈邮件和虚假网页设计设骗。近年来随着电子商务、网上结算、网上银行等业务在日常生活中的普及,网络仿冒已经成为电子商务应用的主要威胁之一。
2.未经授权的访问
未经授权而不能接入系统的人通过一定手段对认证性进行攻击,假冒合法人接入系统,实现对文件进行篡改、窃取机密信息、非法使用资源等。一般采取伪装或利用系统的薄弱环节(如绕过检测控制)、收集情报(如口令)等方式实现。
3.服务拒绝
攻击者使合法接入的信息、业务或其他资源受阻。主要表现为散布虚假资讯,扰乱正常的资讯通道。包括:虚开网站和商店、伪造用户,对特定计算机大规模访问等,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应。
4.恶意程序侵入
任何系统都可能是有漏洞的,漏洞的存在给恶意程序侵入提供了可乘之机。恶意程序是所有含有特殊目的、非法进入计算机系统、并待机运行,能给系统或者网络带来严重干扰和破坏的程序的总称。一般可以分为独立运行类(细菌和蠕虫)和需要宿主类(病毒和特洛依木马)。恶意程序是网络安全的重要天敌,具有防不胜防的重大破坏性。例如:网络蠕虫是一种可以不断复制自己并在网络中传播的程序,蠕虫的不断蜕变并在网络上的传播,可能导致网络阻塞,致使网络瘫痪,使各种基于网络的电子商务等应用系统失效。
5.交易抵赖和修改
有些用户企图对自己在网络上发出的有效交易信息刻意抵赖,安全的电子商务系统应该有措施避免交易抵赖。为保证交易双方的商业利益、维护交易的严肃和公正,电子商务的交易文件也应该是不可修改的。
6.其他安全威胁
电子商务安全威胁种类繁多、来自各种可能的潜在方面,有蓄意而为的,也有无意造成的,例如电子交易衍生了一系列法律问题:网络交易纠纷的仲裁、网络交易契约等问题,急需为电子商务提供法律保障。还有诸如非法使用、操作人员不慎泄露信息、媒体废弃物导致泄露信息等均可构成不同程度后果的威胁。
三、电子商务安全的技术保障机制
电子商务安全包括网络安全和交易安全。因此,电子商务安全技术主要有计算机网络安全技术和商务交易安全技术两方面的保障机制。
1.计算机网络安全技术
网络安全技术伴随着网络的诞生就出现,如今已出现了日新月异的变化。VPN安全隧道、防火墙和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。目前,主要的网络安全保障技术有:
(1)VPN安全隧道,VPN即虚拟专用网(VirtualPrivateNetwork),是一条穿过混乱的公用网络的安全、稳定的隧道。VPN架构中采用了多种安全机制,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
(2)防火墙技术,防火墙是企业内部网络和外网之间的一套安全屏障。防火墙能根据企业的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
(3)病毒防护和入侵检测技术,病毒防护技术可降低病毒和恶意代码攻击风险,并防止有害软件通过服务器或网络执行和传播。入侵检测系统则能够帮助网络系统快速发现攻击的发生,扩展系统管理员的安全管理能力,从而提高信息安全基础结构的完整性。
2.商务交易安全技术
商务交易安全是为了实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。它是电子商务交易过程中最核心和最关键的安全问题。目前,主要的商务交易安全保障技术有:
(1)数据加密技术,加密一般是利用密码算法把可懂的信息变成不可懂的信息。利用各种复杂的加密算法,通过对网络中传输的信息进行数据加密,用很小的代价即可为信息提供相当大的安全保护。
(2)数字签名技术,数字签名是通过密码算法对数据进行加、解密变换实现的。应用广泛的数字签名方法主要有三种,即:RSA签名、DSS签名和Hash签名。这三种算法可单独使用,也可综合在一起使用。在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。
(3)安全协议技术,使用SET和SSI等安全协议能有效地保障交易安全。SET即安全电子交易(SecureElectronicTransaction)的简称,SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,已成为目前公认的信用卡/借记卡的网上交易的国际安全标准。SSL即安全套接层(SecureSocketsLayer)协议的简称,主要用于提高应用程序之间数据的安全系数。
四、结束语
电子商务的安全威胁既有来自恶意攻击、防范疏漏,还可能来自管理松散、操作疏忽等方面。因此,保障电子商务安全是一项综合工程。除了主要从技术上提高防范和保障机制外,还需要单位完善网络系统管理体制,人员加强信息安全意识。另外,电子商务实践要求有透明、和谐的交易秩序和环境保障,为此还需要政府建立和完善相应的法律体系。
