【正文】 操作系統(tǒng)的安全是整個(gè)計(jì)算機(jī)系統(tǒng)的安全的基礎(chǔ)。本實(shí)訓(xùn)指導(dǎo)書(shū)以windows2003操作系統(tǒng)為配置對(duì)象，windows2003是微軟公司開(kāi)發(fā)的和C2級(jí)安全標(biāo)準(zhǔn)《可信計(jì)算機(jī)系統(tǒng)評(píng)價(jià)準(zhǔn)則(TCSEC)》相兼容的，在安全性上能夠充分確保系統(tǒng)安全、穩(wěn)定、高效地運(yùn)行。第一章 windows Server2003系統(tǒng)安全管理本章包括二個(gè)實(shí)訓(xùn)：。實(shí)訓(xùn)內(nèi)容：通過(guò)windows Server2003系統(tǒng)的安全模板進(jìn)行系統(tǒng)安全設(shè)置。如果將計(jì)算機(jī)加入域，Domain Admins 組的成員也可以執(zhí)行這個(gè)過(guò)程。然后，在控制臺(tái)樹(shù)中，使用Ctrl+M 快捷鍵打開(kāi)“添加/刪除管理單元” 如下圖所示。打開(kāi)數(shù)據(jù)庫(kù)執(zhí)行安全性分析是根據(jù)系統(tǒng)提供的安全模板來(lái)實(shí)現(xiàn)的，這個(gè)過(guò)程中，需要用戶(hù)打開(kāi)或新建一個(gè)包含安全信息的數(shù)據(jù)庫(kù)，并選擇合適的安全模板。（系統(tǒng)內(nèi)置了不同安全級(jí)別的安全模板），點(diǎn)擊“打開(kāi)”，如下圖所示。“TCP/IP協(xié)議”網(wǎng)絡(luò)安全設(shè)置實(shí)訓(xùn)目的：進(jìn)行windows Server2003“Internet 協(xié)議”網(wǎng)絡(luò)安全設(shè)置，提升系統(tǒng)網(wǎng)絡(luò)安全性。實(shí)訓(xùn)過(guò)程：一、ICMP協(xié)議是網(wǎng)絡(luò)的一項(xiàng)服務(wù)，能被某些人利用這個(gè)功能通過(guò)Ping方式掃描并攻擊服務(wù)器。在“文件”菜單上，單擊“打開(kāi)”，單擊要打開(kāi)的控制臺(tái)，然后單擊“打開(kāi)”。 接著右擊“關(guān)閉端口”選擇“屬性”，接著點(diǎn)擊“添加”，進(jìn)入管理IP篩選器和篩選器操作，在管理IP篩選器列表中，你可以添加要封鎖的端口，這里以關(guān)閉ICMP和NetBIOS（139端口）為例說(shuō)明。選擇“阻止”，選擇“常規(guī)”選項(xiàng)卡命名“關(guān)閉ICMP操作”，最后點(diǎn)擊“確定”，如下圖所示。二、禁用TCP/IP上的NetBIOS當(dāng)安裝TCP/IP協(xié)議時(shí)，NetBIOS 也被Windows作為默認(rèn)設(shè)置載入，我們的計(jì)算機(jī)也具有了NetBIOS本身的開(kāi)放性，即139端口被打開(kāi)。選擇“WINS”選項(xiàng)卡，在此指定NetBIOS設(shè)置，選擇“禁用TCP/IP上的NetBIOS”選項(xiàng)，最后“確定”如下圖所示。實(shí)訓(xùn)內(nèi)容：對(duì)獨(dú)立服務(wù)器用戶(hù)賬戶(hù)進(jìn)行設(shè)置，修改administrator賬號(hào)，建立虛擬的管理員賬號(hào)，禁用Guest來(lái)賓賬號(hào)，并設(shè)置賬戶(hù)、密碼策略。作為網(wǎng)絡(luò)和計(jì)算機(jī)管理員，尤其應(yīng)該做好管理員賬戶(hù)的安全管理，避免被破解或盜取。如下圖所示：修改Guest賬戶(hù)將Guest賬戶(hù)禁用并更改名稱(chēng)和描述，然后輸入一個(gè)復(fù)雜的密碼，操作如下：選擇“Guest”賬戶(hù)，點(diǎn)擊右鍵選擇“重命名”為lb，如下圖所示：然后輸入一個(gè)復(fù)雜密碼，輸入的密碼必需符合系統(tǒng)的密碼過(guò)濾規(guī)范，即要包含數(shù)字、字母、特殊字符等，然后點(diǎn)擊“確定”。l 密碼最長(zhǎng)使用期限。下面以設(shè)置“強(qiáng)制密碼歷史”策略為例來(lái)說(shuō)明如何設(shè)置賬戶(hù)策略。l 賬戶(hù)鎖定時(shí)間。具體設(shè)置如下：選擇“開(kāi)始”－“運(yùn)行”命令，顯示“運(yùn)行”對(duì)話(huà)框，在“打開(kāi)”文本框中，輸入“”，單擊“確定”按鈕，打開(kāi)“組策略編輯器”窗口，選擇“計(jì)算機(jī)配置”－“Windows設(shè)置”－“安全設(shè)置”－“賬戶(hù)策略”－“賬戶(hù)鎖定策略”選項(xiàng)，顯示如圖所示。本策略的更改將同步更改其他關(guān)聯(lián)策略，如圖所示。 單擊“確定”按鈕，完成策略的設(shè)置，如下圖所示。設(shè)置賬戶(hù)、密碼策略。選擇“gl”賬號(hào)右鍵選擇“屬性”，在“常規(guī)”選項(xiàng)卡中修改“描述內(nèi)容”，如下圖所示。如下圖所示。然后輸入一個(gè)復(fù)雜密碼，輸入的密碼必需符合系統(tǒng)的密碼過(guò)濾規(guī)范，即要包含數(shù)字、字母、特殊字符等，然后點(diǎn)擊“確定”，如下圖所示。編輯默認(rèn)域賬戶(hù)設(shè)置在“開(kāi)始”－“管理工具”－“域安全策略”，打開(kāi)“默認(rèn)域賬戶(hù)設(shè)置”窗口，選擇“安全設(shè)置“－“賬戶(hù)策略”－“賬戶(hù)鎖定策略”，將賬戶(hù)設(shè)為“3次登陸無(wú)效”，“鎖定時(shí)間60分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為60分鐘”。選擇“定義這些策略設(shè)置”打勾，并點(diǎn)擊“添加用戶(hù)或組（U）”，點(diǎn)擊“瀏覽”出現(xiàn)窗口如下圖所示。則保留相應(yīng)賬戶(hù)即可。實(shí)訓(xùn)內(nèi)容：對(duì)系統(tǒng)盤(pán)、c:\Documents and Settings目錄及其子目錄分別進(jìn)行不同的權(quán)限設(shè)置，對(duì)system32目錄的可執(zhí)行程序進(jìn)行權(quán)限設(shè)置。添加IIS_WPG進(jìn)程組“特別權(quán)限或高級(jí)設(shè)置，請(qǐng)單擊‘高級(jí)’”處點(diǎn)擊“高級(jí)”按鈕，如下圖所示。在“高級(jí)安全設(shè)置”窗口中點(diǎn)擊“應(yīng)用”，如下圖所示。（\Documents and Settings子目錄的權(quán)限不會(huì)繼承\(zhòng)Documents and Settings的設(shè)置,因此需分別設(shè)置）選擇\Documents and Settings文件夾，點(diǎn)擊右鍵選擇“屬性”，在“安全”選項(xiàng)卡中只保留Administrators 和 SYSTEM 權(quán)限，其他的刪除，如下圖所示。其他目錄，如果有安裝程序運(yùn)行的可設(shè)置Administrators 和 SYSTEM 權(quán)限，無(wú)只給 Administrators 權(quán)限（某些程序的服務(wù)功能需要SYSTEM用戶(hù)組權(quán)限）。實(shí)訓(xùn)目的：windows的應(yīng)用程序的許多初始化信息和配置信息等都存儲(chǔ)在注冊(cè)表中，如某些軟件的序列號(hào)和注冊(cè)信息，遠(yuǎn)程數(shù)據(jù)庫(kù)的用戶(hù)和明文口令等，對(duì)注冊(cè)表信息進(jìn)行修改即可以增強(qiáng)系統(tǒng)安全，又能為入侵者提供便利，因此進(jìn)行安全保護(hù)具有舉足輕重的作用。禁用IPC空連接默認(rèn)情況下，任何用戶(hù)可利用net use、net view、nbtstat等網(wǎng)絡(luò)命令建立空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測(cè)密碼。更改TTL值 不同的TTL值代表不同的操作系統(tǒng)，因此，通過(guò)修改TTL值為任意值，可以防止入侵者根據(jù)ping回的TTL值來(lái)大致判斷你的操作系統(tǒng)，具體操作如下： TTL=107(WINNT)。 TTL=252(solaris)。完全隱藏重要文件/目錄：系統(tǒng)盤(pán)中的一些重要文件/目錄及一些設(shè)置為“隱藏”屬性的文件/目錄一般可以通過(guò)修改窗口屬性后看到，通過(guò)修改注冊(cè)表能實(shí)現(xiàn)完全隱藏的效果。對(duì)注冊(cè)表網(wǎng)絡(luò)訪(fǎng)問(wèn)（遠(yuǎn)程訪(fǎng)問(wèn)）的實(shí)現(xiàn)可以通過(guò)設(shè)置下列子關(guān)鍵字Winreg的訪(fǎng)問(wèn)控制列表ACL實(shí)現(xiàn)。第四章IIS服務(wù)的實(shí)現(xiàn)和安全配置本章包括二個(gè)實(shí)訓(xùn)：。實(shí)訓(xùn)內(nèi)容：?jiǎn)⒂肐IS服務(wù)器，配置相關(guān)的IIS服務(wù)應(yīng)用功能。配置Web站點(diǎn)選擇“開(kāi)始”－“程序”－“管理工具”，選擇“Internet信息服務(wù)（IIS）管理器”命令，如下圖所示。在“網(wǎng)站主目錄”窗口“路徑（P）：”處輸入網(wǎng)站內(nèi)容存放的位置（可新建目錄），任一個(gè)網(wǎng)站都需要有主目錄作為默認(rèn)目錄，如下圖所示。（4）設(shè)置默認(rèn)文檔，通常情況下，Web網(wǎng)站都需要至少一個(gè)默認(rèn)文檔，當(dāng)在IE瀏覽器中使用IP地址或域名訪(fǎng)問(wèn)時(shí)，Web服務(wù)器會(huì)將默認(rèn)文檔回應(yīng)給瀏覽器，并顯示其內(nèi)容。（C：\）的目錄及文件的權(quán)限進(jìn)行過(guò)設(shè)置，刪除了不需要的用戶(hù)組及賬戶(hù)，因此在此處則需要輸入用戶(hù)名才對(duì)網(wǎng)站進(jìn)行訪(fǎng)問(wèn)。實(shí)訓(xùn)內(nèi)容：設(shè)置從網(wǎng)絡(luò)訪(fǎng)問(wèn)計(jì)算機(jī)的訪(fǎng)問(wèn)控制，刪除不必要的訪(fǎng)問(wèn)用戶(hù)組。二、IIS屬性的安全設(shè)置打開(kāi)“Internet信息服務(wù)（IIS）管理器”，選擇“shixun”右鍵點(diǎn)擊屬性，在窗口中選擇“主目錄”選項(xiàng)卡，將“腳本資源訪(fǎng)問(wèn)（T）”及“讀?。≧）”打勾，如下圖所示。設(shè)置成功后，打開(kāi)該網(wǎng)站，則出現(xiàn)“客戶(hù)端IP地址被拒絕。第五章Win