毕业论文论文范文课程设计实践报告法律论文英语论文教学论文医学论文农学论文艺术论文行政论文管理论文计算机安全
您现在的位置: 毕业论文 >> 计算机安全 >> 正文

局域网网络安全管理研究 第3页

更新时间:2009-10-19:  来源:毕业论文
局域网网络安全管理研究 第3页
减小风险的建议:除了系统缺省创建的Administrator帐户,还应该创建至少一个具有管理员特权的帐户,并且,把缺省Administrator帐户改成另外一个名字。
安全漏洞(12):具有管理员特权的帐户在达到注册失败的次数时将被锁住,然而,30分钟后自动解锁。
解释:帐户策略(Accounts Policy)中的设置。
减小风险的建议:对于所有管理员帐户,应该使用难猜的口令。
安全漏洞(13):缺省地,Windows NT在注册对话框中显示最近一次注册的用户名。
解释:这是NT的一个预先考虑过的特征,然而,它也成为一种风险,给潜在的黑客提供了信息。
减小风险的建议:在域控制器上,修改Registry中Winlogon的设置,关闭这个功能。
安全漏洞(14):Windows NT和Windows 95的客户可以保存口令于文件中,以便快速缓冲。
解释:任何人可能通过访问内存来获取加密的口令,或者通过访问Windows NT工作站的ADMINST.PWD文件,以及Windows 95的ADMINST.PWL,来读取口令,以获得缺省管理员的访问权。尤其在Windows 95上,这个文件很容易得到。
减小风险的建议:严格限制NT域中Windows 95客户的使用。限制Windows NT工作站上的管理员特权。
安全漏洞(15):Windows NT口令可能被非NT平台进行同步。
解释:如果Windows 95中的“Change Windows Password”工具在Windows NT系统中已被授权,就可以作到这一点。结果是一个强的口令被一个弱的口令所替代。
减小风险的建议:在与Windows NT平台连接时,不能运行“Change Windows Password”工具。
安全漏洞(16):管理员有能力从非安全的工作站上进行远程登录。
解释:这种能力带来许多潜在的对系统的严重攻击。
减小风险的建议:加强计算机设施的保安工作是可行的。关闭系统管理员的远程能力,对管理员只允许直接访问控制台。可以从[用户管理器] [帐户策略] (User Manager, Policies)进行设置。使用加密的对话,在管理员的属性中,限制他可以从哪些工作站上进行远程登录。
由于远程管理员访问很危险,商业机构必须要测试和评估与此相关的风险,以满足业务的需要。在实施计划中,必须作出决定,来如何控制和限制这种风险。
安全漏洞(17):N T上的缺省Registry权限设置有很多不适当之处。
解释:Registry的缺省权限设置是对“所有人”“完全控制”(Full Control)和“创建”(Create)。这种设置可能引起Registry文件的删除或者替换。
减小风险的建议:对于Registry,严格限制只可进行本地注册,不可远程访问。在NT工作站上,限制对Registry编辑工具的访问。使用第三方工具软件,比如Enterprise Administrator (Mission Critical Software),锁住Registry。或者,至少应该实现的是,把“所有人”缺省的“完全控制”权利改成只能“创建”。实际上,如果把这种权利设置成“只读”,将会给系统带来许多潜在的功能性问题,因此,在实现之前,一定要小心谨慎地进行测试。NT 4.0引入了一个Registry Key用来关闭非管理员的远程Registry访问。在NT服务器上,这是一个缺省的Registry Key,对于NT工作站,必须把这个Registry Key添加到Registry数据库中。
安全漏洞(18):有可能远程访问NT平台上的Registry。
解释:在Windows 95上,或者系统管理共享资源上,运行REGEDT.EXE,将允许交互地,远程地访问NT域服务器。
减小风险的建议:严格限制Windows 95客户的使用。使用Registry审计。制定规章制度限制管理员的操作程序,禁止这样的访问,或者明确授权给指定的几个系统管理员。
上面我已经说明了,Windows NT系统的最常见也是最易受到利用的18个漏洞。下面我们看一下,如何避免这些漏洞。
(二)、避免安全漏洞
Windows2000 含有很多的安全功能和选项,我们只需合理的配置它们,那么windows 2000将会是一个很安全的操作系统。具体说来,应该做到以下所列:
1、物理安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。
2、停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3、限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是黑客们入侵系统的突破口,系统的帐户越多,黑客们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。
4、创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5、把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6、创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,并且加上一个超过10位的超级复杂密码
7、把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定要改。
8、使用安全密码
一个好的密码对于一个网络是非常重要的,但是它是最容易被忽略的。前面的所说的也许已经可以说明这一点了。许多管理员创建帐号的时候往往用公司名,计算机名,或者一些别的一猜就到的东西做用户名,然后又把这些帐户的密码设置得N简单,比如 “welcome” “iloveyou” “letmein”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。
9、设置屏幕保护密码
很简单也很有必要,设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10、使用NTFS格式分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。
11、运行防毒软件
一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的

上一页  [1] [2] [3] [4] 下一页

局域网网络安全管理研究 第3页下载如图片无法显示或论文不完整,请联系qq752018766
设为首页 | 联系站长 | 友情链接 | 网站地图 |

copyright©751com.cn 辣文论文网 严禁转载
如果本毕业论文网损害了您的利益或者侵犯了您的权利,请及时联系,我们一定会及时改正。