【文章內(nèi)容簡(jiǎn)介】 FAT32，分別適用于字長(zhǎng) 16位和字長(zhǎng) 32位計(jì)算機(jī)的文件系統(tǒng)。 FAT16的缺陷是為硬盤(pán)分區(qū)時(shí)，每個(gè)邏輯分區(qū)最大容量只有 20G。 2)NTFS 系統(tǒng) 即 NT文件系統(tǒng)，是特別為網(wǎng)絡(luò)和磁盤(pán)配額、文件加密等安全管理特性設(shè)計(jì)的文件系統(tǒng)。可用于網(wǎng)絡(luò)和個(gè)人計(jì)算機(jī)。 先介紹一下 Windows系統(tǒng)的文件系統(tǒng)，共分為兩類： 34 三． Windows2022 Server系統(tǒng)安全設(shè)置 2. 使用 NTFS文件系統(tǒng) FAT32無(wú)法提供用戶所需的針對(duì)于本地的單個(gè)文件與目錄的權(quán)限設(shè)置。 NTFS格式是服務(wù)器必須的，使用FAT32文件系統(tǒng)沒(méi)有安全性可言。 通過(guò)修改“管理工具”中的“本地安全策略”的相應(yīng)選項(xiàng)或修改系統(tǒng)注冊(cè)表來(lái)實(shí)現(xiàn)。 3. 不讓系統(tǒng)顯示上次登錄的用戶名 35 三． Windows2022 Server系統(tǒng)安全設(shè)置 2. 使用 NTFS文件系統(tǒng) 3. 不讓系統(tǒng)顯示上次登錄的用戶名 4. 禁止建立空連接 默認(rèn)情況下，系統(tǒng)允許任何用戶通過(guò)空連接連上服務(wù)器，容易讓人枚舉賬號(hào)或猜測(cè)密碼?？梢酝ㄟ^(guò)修改注冊(cè)表和修改“本地安全策略”來(lái)實(shí)現(xiàn)。 36 三． Windows2022 Server系統(tǒng)安全設(shè)置 2. 使用 NTFS文件系統(tǒng) 3. 不讓系統(tǒng)顯示上次登錄的用戶名 4. 禁止建立空連接 Windows 的安全審計(jì)功能在默認(rèn)安裝時(shí)是關(guān)閉的。激活此功能有利于管理員很好的掌握機(jī)器的狀態(tài)，有利于系統(tǒng)的入侵檢測(cè)。你可以從日志中了解到機(jī)器是否在被人蠻力攻擊、非法的文件訪問(wèn)等。 5. 打開(kāi)安全審核 設(shè)置“本地安全策略”中“本地策略”的“審核策略”，建議設(shè)置如下： 37 審核策略 設(shè)置 賬戶登錄事件 成功，失敗 賬戶管理 成功，失敗 登錄事件 成功，失敗 對(duì)象訪問(wèn) 失敗 策略更改 成功，失敗 特權(quán)使用 成功，失敗 系統(tǒng)事件 失敗 表 建議的策略設(shè)置列表 38 三． Windows2022 Server系統(tǒng)安全設(shè)置 2. 使用 NTFS文件系統(tǒng) 3. 不讓系統(tǒng)顯示上次登錄的用戶名 4. 禁止建立空連接 安裝好 Windows 2022后，一般開(kāi)放了數(shù)十項(xiàng)系統(tǒng)或應(yīng)用服務(wù)，做為一個(gè)管理員，應(yīng)該知道各種服務(wù)都是做什么用的，例如有人入侵后須及時(shí)發(fā)現(xiàn)是否運(yùn)行了一些入侵者留下的服務(wù)。 5. 打開(kāi)安全審核 6. 關(guān)閉不必要的危險(xiǎn)的系統(tǒng)服務(wù) 管理方法是打開(kāi)“管理工具” “ 服務(wù)”，根據(jù)要求啟動(dòng) /停止相應(yīng)的服務(wù)。 39 三． Windows2022 Server系統(tǒng)安全設(shè)置 40 三． Windows2022 Server系統(tǒng)安全設(shè)置 如有必要才需要此操作，默認(rèn)為 3389，可隨意修改為 1～ 65535的端口。打開(kāi)注冊(cè)表的方法是 : 7. 修改終端的默認(rèn)端口 在 [開(kāi)始 ][運(yùn)行 ]的窗口中輸入 :Regedit 41 42 三． Windows2022 Server系統(tǒng)安全設(shè)置 看具體情況配置 (正常情況下不需要做此項(xiàng)配置 )。 操作的方法是 :通過(guò)網(wǎng)卡“屬性” “TCP/IP 協(xié)議屬性” “ 高級(jí)” “ 選項(xiàng)” “TCP/IP 篩選屬性”來(lái)設(shè)置。 7. 修改終端的默認(rèn)端口 8. 網(wǎng)卡的端口篩選 43 三． Windows2022 Server系統(tǒng)安全設(shè)置 IIS安全操作步驟：配置“開(kāi)始” — “ 程序” “ 管理工具” “Inter 服務(wù)管理器”。刪除“默認(rèn)站點(diǎn)”的站點(diǎn)。默認(rèn)的 IIS發(fā)布目錄為 C:\Ipub，請(qǐng)將這個(gè)目錄刪除。在 d盤(pán)或 e盤(pán)新建一個(gè)目錄 (目錄名隨意 )，然后新建一個(gè)站點(diǎn)，將主目錄指向你新建的目錄。 7. 修改終端的默認(rèn)端口 8. 網(wǎng)卡的端口篩選 9. IIS安全配置 44 三． Windows2022 Server系統(tǒng)安全設(shè)置 建議在網(wǎng)絡(luò)屬性中關(guān)閉“ Microsoft網(wǎng)絡(luò)客戶端”和“ Microsoft網(wǎng)絡(luò)文件與打印機(jī)共享”的選項(xiàng)。 建議去掉系統(tǒng)的默認(rèn)共享?？赏ㄟ^(guò) Net命令、“計(jì)算機(jī)管理”或修改注冊(cè)表實(shí)現(xiàn)。 7. 修改終端的默認(rèn)端口 8. 網(wǎng)卡的端口篩選 9. IIS安全配置 10. 禁用不必要的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)共享 45 三． Windows2022 Server系統(tǒng)安全設(shè)置 建議仔細(xì)查看 “ 本地安全策略 ” 、 “ 計(jì)算機(jī)管理 ”及 “ 組策略 ” 等相關(guān)組件的功能，了解這些組件對(duì)系統(tǒng)安全的影響。 7. 修改終端的默認(rèn)端口 8. 網(wǎng)卡的端口篩選 9. IIS安全配置 10. 禁用不必要的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)共享 11. 其他 46 一． 安全審計(jì)概述 審計(jì)是對(duì)訪問(wèn)控制的必要補(bǔ)充 ， 是訪問(wèn)控制的一個(gè)重要內(nèi)容 。 審計(jì)會(huì)對(duì)用戶使用何種信息資源、使用的時(shí)間，以及如何使用（執(zhí)行何種操作）進(jìn)行記錄與監(jiān)控 。 審計(jì)和監(jiān)控是實(shí)現(xiàn)系統(tǒng)安全的最后一道防線，處于系統(tǒng)的最高層。審計(jì)與監(jiān)控能夠再現(xiàn)原有的進(jìn)程和問(wèn)題，這對(duì)于責(zé)任追查和數(shù)據(jù)恢復(fù)非常有必要。 審計(jì)跟蹤是系統(tǒng)活動(dòng)的流水記錄。該記錄按事件從始至終的途徑，順序檢查、審查和檢驗(yàn)每個(gè)事件的環(huán)境及活動(dòng)。 審計(jì)跟蹤記錄系統(tǒng)活動(dòng)和用戶活動(dòng)。審計(jì)跟蹤可以發(fā)現(xiàn)違反安全策略的活動(dòng)、影響運(yùn)行效率的問(wèn)題以及程序中的錯(cuò)誤。審計(jì)跟蹤不但有助于幫助系統(tǒng)管理員確保系統(tǒng)及其資源免遭非法授權(quán)用戶的侵害，同時(shí)還能幫助恢復(fù)數(shù)據(jù)。 47 二． 審計(jì)內(nèi)容 1)個(gè)人職能 審計(jì)跟蹤是管理人員用來(lái)維護(hù)個(gè)人職能的技術(shù)手段。如果用戶被知道他們的行為活動(dòng)被記錄在審計(jì)日志中，相應(yīng)的人員需要為自己的行為負(fù)責(zé)，他們就不太會(huì)違反安全策略和繞過(guò)安全控制措施。 2)事件重建 在發(fā)生故障后，審計(jì)跟蹤可以用于重建事件和數(shù)據(jù)恢復(fù)。 3)入侵檢測(cè) 審計(jì)跟蹤記錄可以用來(lái)協(xié)助入侵檢測(cè)工作。如果將審計(jì)的每一筆記錄都進(jìn)行上下文分析，就可以實(shí)時(shí)發(fā)現(xiàn)或是過(guò)后預(yù)防入侵檢測(cè)活動(dòng)。 4)故障分析 審計(jì)跟蹤可以用于實(shí)時(shí)審計(jì)或監(jiān)控。 48 三． 安全審計(jì)的目標(biāo) 1)應(yīng)為安全人員提供足夠多的信息，使他們能夠定位問(wèn)題所在；但另一方面，提供的信息應(yīng)不足以使他們自己也能夠進(jìn)行攻擊。 2)應(yīng)優(yōu)化審計(jì)追蹤的內(nèi)容，以檢測(cè)發(fā)現(xiàn)的問(wèn)題，而且必須能從不同的系統(tǒng)資源收集信息。 3)應(yīng)能夠?qū)σ粋€(gè)給定的資源 (其他用戶也被視為資源 )進(jìn)行審計(jì)分析，分辨看似正常的活動(dòng)，以發(fā)現(xiàn)內(nèi)部計(jì)算機(jī)系統(tǒng)的不正當(dāng)使用； 4)設(shè)計(jì)審計(jì)機(jī)制時(shí)，應(yīng)將系統(tǒng)攻擊者的策略也考慮在內(nèi)。 概括而言，審計(jì)系統(tǒng)的目標(biāo)至少包括： 確定和保持系統(tǒng)活動(dòng)中每個(gè)人的責(zé)任 ； 確認(rèn)重建事件的發(fā)生 ； 評(píng)估損失 ； 臨測(cè)系統(tǒng)問(wèn)題區(qū) ； 提供有效的災(zāi)難恢復(fù)依據(jù) ； 提供阻止不正當(dāng)使用系統(tǒng)行為的依據(jù) ；提供案件偵破證據(jù)。 49 四． 安全審計(jì)系統(tǒng) 審計(jì)通過(guò)對(duì)所關(guān)心的事件進(jìn)行記錄和分析來(lái)實(shí)現(xiàn)。因此審計(jì)過(guò)程包括 審計(jì)發(fā)生器 、 日志記錄器 、 日志分析器 和 報(bào)告機(jī)制 幾部分。 1. 日志的內(nèi)容 通常，對(duì)于一個(gè)事件，日志應(yīng)包括事件發(fā)生的日期和時(shí)間、引發(fā)事件的用戶 (地址 )、事件和源和目的的位置、事件類型、事件成敗等。 2. 安全審計(jì)的記錄機(jī)制 不同的系統(tǒng)可采用不同的機(jī)制記錄日志。日志的記錄可能由操作系統(tǒng)完成，也可以由應(yīng)用系統(tǒng)或其他專用記錄系統(tǒng)完成。但是，大部分情況都可用系統(tǒng)調(diào)用 Syslog來(lái)記錄日志。 50 四． 安全審計(jì)系統(tǒng) 3. 安全審計(jì)分析 通過(guò)對(duì)日志進(jìn)行分析，發(fā)現(xiàn)所需事件信息和規(guī)律是安全審計(jì)的根本目的。主要內(nèi)容有： 1）潛在侵害分析； 2）基于異常檢測(cè)的輪廓； 3）簡(jiǎn)單攻擊探測(cè)； 4）復(fù)雜攻擊探測(cè)。 51 四． 安全審計(jì)系統(tǒng) 4. 安全事件查閱 由于審計(jì)系統(tǒng)是追蹤、恢復(fù)的直接依據(jù)，甚至是司法依據(jù)，因此其自身的安全性十分重要。審計(jì)系統(tǒng)的安全主要是查閱和存儲(chǔ)的安全。審計(jì)事件的查閱應(yīng)該受到嚴(yán)格的限制，不能篡改日志。 通常通過(guò)以下的不同層次保證查閱的安全：