加强Windows NT Server的安全管理要从以下几个方面进行考虑,制定强化安全的措施。
(1)用最新的Service Pack包对系统升级:因为其中包含有所有补丁程序和以前发布的各种安全补丁程序。
(2)将系统的一些默认设置进行修改以符合安全要求:例如:禁用默认安装未禁用的 Guest账号、不要授予Everyone工作组“完全控制”权限,以及实施口令策略等等。
(3)配置适当的NTFS访问控制权限:取消或更改默认情况下Everyone组的“完全控制”权限,始终对用户设置所能允许的最小的访问文件夹和文件的权限。另外,不对FAT卷进行共享。
(4)控制授权用户的访问:避免向用户授予特定的访问控制权。
(5)以“工作组”的方式进行用户管理:当一个域用户的角色发生了变化时,跟踪并更改他对文件的访问权限是很困难的。最佳的方法就是为每个用户指定一个工作组,并为工作组指定文件和文件夹访问权。如果要收回或更改某个用户的访问权,只要把该用户从工作组中删除或指派到另一个工作组即可。
(6)设置一个强壮的口令:保证用户账户和口令安全的原则主要有:①登录名称中字符不要重复或循环;②至少包含两个字母字符和一个非字母字符;③至少有6个字符长度;④不是用户的姓名,不是相关人物、著名人物的姓名,不是用户的生日和电话号码及其他容易猜测的字符组合等;⑤要求用户定期更改口令;⑥更名系统的默认用户特别是 Administrator;⑦不要使用无口令的账号;⑧禁用Guest账号。
(7)设置账号锁定:建议设置尝试登录三次后锁定账号,在规定的锁定时间后被锁定的账号自动打开,或者只有管理员才能打开,使用户恢复正常登录。
(8)控制远程访问服务:远程访问是黑客攻击Windows NT系统的常用手段,应该配置使用回叫安全机制,并尽量采用数据加密技术,保证数据安全。
(9)启用登录工作站和登录时间限制:根据用户的情况,可以把每个用户的账号限制在自己的PC上,且在工作时间内使用,从而保护网络数据的安全。
(10)启动审查功能:为防止未经授权的访问,可以利用域用户管理器启用安全审查功能,以便在事件查看器安全日志中记录未经授权的访问企图,尽早发现安全漏洞,
(11)确保注册表安全:取消或限制对regedit.exe、regedit32.exe的访问;利用regedit.exe或文件管理器设置只允许管理员访问注册表,其他任何用户不得访问注册表。
(12)保证应用系统的安全:对于在Windows NT上运行的应用系统如Web服务器、FTP服务器、E—mail服务器,Internet Explorer等,应及时通过各种途径获得其补丁程序包,以解决其安全问题。
(13)服务器的物理安全管理:①卸掉或锁死软盘驱动器,禁止其他操作系统访问NTFS分区;②在服务器上设置系统启动口令,设置BIOS禁用软盘引导系统;③不创建任何DOS分区;④保证机房的物理安全。
