国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

系統(tǒng)及應(yīng)用軟件安全設(shè)置

l      用戶賬號(hào)的安全設(shè)置

l      　在一個(gè)局域網(wǎng)中，正確有效地設(shè)置各不同組用戶賬號(hào)的權(quán)限，是確保網(wǎng)絡(luò)安全的首要因素。我只是想說(shuō)明的一點(diǎn)就是，Win2000的默認(rèn)安裝允許所有用戶通過(guò)空用戶名和空密碼得到系統(tǒng)所有賬號(hào)和共享列表，這本來(lái)是為了方便局域網(wǎng)用戶共享資源和文件的，但是，同時(shí)任何一個(gè)遠(yuǎn)程用戶也可以通過(guò)同樣的方法得到你的用戶列表，并可能使用暴力法破解用戶密碼給整個(gè)網(wǎng)絡(luò)帶來(lái)破壞，這是整個(gè)網(wǎng)絡(luò)中的最大不安全因素之一。

 

l      文件和文件夾權(quán)限的設(shè)置

l      　　我們知道NT系統(tǒng)的安全性在本地網(wǎng)絡(luò)中最主要還是可以自由設(shè)置各用戶、文件和文件夾的訪問(wèn)權(quán)限來(lái)保證的。為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，必須安全有效地設(shè)置文件夾和文件的訪問(wèn)權(quán)限。NT的訪問(wèn)權(quán)限分為：讀取、寫入、讀取及執(zhí)行、修改、列目錄、完全控制。在默認(rèn)的情況下，大多數(shù)的文件夾和文件對(duì)所有用戶（Everyone這個(gè)組）是完全控制的（Full Control），這根本不能滿足不同網(wǎng)絡(luò)的權(quán)限設(shè)置需求，所以你還需要根據(jù)應(yīng)用的需要進(jìn)行重新設(shè)置。

 

l      權(quán)限具有繼承性

l      　權(quán)限的繼承性就是下級(jí)文件夾的權(quán)限設(shè)置在未重設(shè)之前是繼承其上一級(jí)文件的權(quán)限設(shè)置的，更明了地說(shuō)就是如果一個(gè)用戶對(duì)某一文件夾具有“讀取”的權(quán)限，那這個(gè)用戶對(duì)這個(gè)文件夾的下級(jí)文件夾同樣具有“讀取”的權(quán)限，除非你打斷這種繼承關(guān)系，重新設(shè)置。但要注意的是這僅是對(duì)靜態(tài)的文件權(quán)限來(lái)講，對(duì)于文件或文件夾的移動(dòng)或復(fù)制，其權(quán)限的繼承性又如何呢？請(qǐng)看下文：

l      　　a、在同一NTFS分區(qū)間復(fù)制或移動(dòng)

l      　　在同一NTFS分區(qū)間復(fù)制到不同文件夾時(shí)，它的訪問(wèn)權(quán)限是和原文件或文件夾的訪問(wèn)權(quán)限不一樣。但在同一NTFS分區(qū)間移動(dòng)一文件或文件夾其訪問(wèn)權(quán)限保持不變，繼承原先未移動(dòng)前的訪問(wèn)的權(quán)限。

l      　

b、在不同NTFS分區(qū)間復(fù)制或移動(dòng)

　　在不同NTFS分區(qū)間復(fù)制文件或文件夾訪問(wèn)權(quán)限會(huì)隨之改變，復(fù)制的文件不是繼承原權(quán)限，而是繼承目標(biāo)（新）文件夾的訪問(wèn)權(quán)限。同樣如果是在不同NTFS分區(qū)間移動(dòng)文件或文件夾則問(wèn)權(quán)限隨著移動(dòng)而改變，也是繼承移動(dòng)后所在文件夾的權(quán)限。

　　c、從NTFS分區(qū)復(fù)制或移動(dòng)到FAT格式分區(qū)

　　因?yàn)?/span>FAT格式的文件或文件夾根本沒(méi)有權(quán)限設(shè)置項(xiàng)，所以原來(lái)文件或文件夾也就再?zèng)]有訪問(wèn)權(quán)限了，

 

l      權(quán)限具有累加性

l      　　權(quán)限的累加性具體雙表現(xiàn)在以下幾個(gè)方面：

l      　　a、工作組權(quán)限由組中各用戶權(quán)限累加決定

l      　　如一個(gè)組GROUP1中有兩個(gè)用戶USER1、USER2，他們同時(shí)對(duì)某文件或文件夾的訪問(wèn)權(quán)限分別為“只讀”型的和“寫入”型的，那么組GROUP1對(duì)該文件或文件夾的訪問(wèn)權(quán)限就為USER1和USER2的訪問(wèn)權(quán)限之和，實(shí)際上是取其最大的那個(gè)，即“只讀”+“寫入”=“寫入”。

l      　　b、用戶權(quán)限由所屬組權(quán)限的累決定

l      　　如一個(gè)用戶USER1同屬于組GROUP1和GROUP2，而GROUP1對(duì)某一文件或文件夾的訪問(wèn)權(quán)限為“只讀”型的，而GROUP2對(duì)這一文件或文件夾的訪問(wèn)權(quán)限為“完全控制”型的，則用戶USER1對(duì)該文件或文件夾的訪問(wèn)權(quán)限為兩個(gè)組權(quán)限累加所得，即：“只讀”+“完全控制”=“完全控制”。

l      權(quán)限的優(yōu)先性

　　權(quán)限的這一特性又包含兩種子特性，其一是文件的訪問(wèn)權(quán)限優(yōu)先文件夾的權(quán)限，也就是說(shuō)文件權(quán)限可以越過(guò)文件夾的權(quán)限，不顧上一級(jí)文件夾的設(shè)置。另一特性就是“拒絕”權(quán)限優(yōu)先其它權(quán)限，也就是說(shuō)“拒絕”權(quán)限可以越過(guò)其它所有其它權(quán)限，一旦選擇了“拒絕”權(quán)限，則其它權(quán)限也就不能取任何作用，相當(dāng)于沒(méi)有設(shè)置，下面就具體講一下這兩種子特性。

　　a、文件權(quán)限優(yōu)先文件夾權(quán)限

　　如果一用戶USER1對(duì)文件夾Folder A的訪問(wèn)權(quán)限為只讀類型的，在這個(gè)文件夾下面有一個(gè)Fiel1文件，我們可以對(duì)這個(gè)文件Fiel1設(shè)置權(quán)限為“完全控制”型，而不顧它的上一級(jí)文件Folder A的權(quán)限設(shè)置情況。

b、“拒絕”權(quán)限優(yōu)先其它權(quán)限

　　這種情況我們可舉這們一個(gè)例子，就是一個(gè)用戶USER1同屬于組GROUP1和組GROUP2，其中組GROUP1對(duì)一個(gè)文件File1（或文件夾）的訪問(wèn)權(quán)限為“完全控制”，而用戶GROUP2對(duì)這個(gè)文件File1的訪問(wèn)權(quán)限設(shè)置為“拒絕訪問(wèn)”，那么根據(jù)這個(gè)特性USER1對(duì)文件File1的訪問(wèn)權(quán)限為“拒絕訪問(wèn)”類型，而不管工作組GROUP1對(duì)這個(gè)文件設(shè)置什么權(quán)限。

 

l      訪問(wèn)權(quán)限和共享權(quán)限的交叉性

l      　　當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時(shí)又為用戶設(shè)置了該文件夾的訪問(wèn)權(quán)限，且所設(shè)權(quán)限不一致時(shí)，它的取舍原則是取兩個(gè)權(quán)限的交集，也即最嚴(yán)格、最小的那種權(quán)限。如文件夾Folder A為用戶USER1設(shè)置的共享權(quán)限為“只讀”，同時(shí)文件夾Folder A為用戶USER1設(shè)置的訪問(wèn)權(quán)限為“完全控制”，那用戶USER1的最終訪問(wèn)權(quán)限為“只讀”。當(dāng)然這個(gè)文件夾只能是在NTFS文件格式的分區(qū)中，如是FAT格式的分區(qū)中也就不存在“訪問(wèn)權(quán)限”了，因?yàn)?/span>FAT文件格式的文件夾沒(méi)有本地訪問(wèn)權(quán)限的設(shè)置。

l      選擇好的遠(yuǎn)程通訊軟件

　　選擇一個(gè)好的遠(yuǎn)程通訊軟件是非常重要的事，因?yàn)榫W(wǎng)絡(luò)的不安全因素多數(shù)還是出在遠(yuǎn)程通訊軟件上，Internet太復(fù)雜了，任何無(wú)意的疏忽都可能給別有用心之人以難得的良機(jī)。選擇好一個(gè)好的遠(yuǎn)程通訊軟件這不僅僅是應(yīng)用方面的要求，也更是從安全方面的考慮。

　　Win2000的Terminal Service是基于RDP（遠(yuǎn)程桌面協(xié)議）的遠(yuǎn)程控制軟件，它的速度快，操作方便，比較適合用來(lái)進(jìn)行常規(guī)操作。但是，Terminal Service也有其不足之處，由于它使用的是虛擬桌面，再加上微軟編程的不嚴(yán)謹(jǐn)，當(dāng)你使用Terminal Service進(jìn)行安裝軟件或重啟服務(wù)器等與真實(shí)桌面交互的操作時(shí)，往往會(huì)出現(xiàn)直接關(guān)機(jī)的BUG。所以，一般需另外選擇一個(gè)專業(yè)的遠(yuǎn)程通訊軟件，如在WinDWOS下的PcAnyWhere，DOS下的CarbonCopy就是不錯(cuò)的選擇。

IIS是微軟的組件中問(wèn)題最多的一個(gè)，要注意很多軟件的默認(rèn)安裝是黑客攻擊的源頭，是引起不安全因素的根源，微軟的IIS也不例外，同時(shí)它又是一個(gè)網(wǎng)絡(luò)應(yīng)用軟件，直接與千變?nèi)f化的互聯(lián)網(wǎng)相聯(lián)系，所以IIS是我們安全配置的重點(diǎn)。

首先，為了系統(tǒng)的安全起見(jiàn)我們一般要?jiǎng)h除系統(tǒng)盤下的Inetpub目錄，在另一分區(qū)中新建一個(gè)Inetpub，并使IIS管理器中將主目錄指向它。這樣即使IIS安全出了問(wèn)題，也不會(huì)直接影響到整個(gè)系統(tǒng)。

l      其次，我們要記住一個(gè)原則，那就是：最小的權(quán)限+最少的服務(wù)=最大的安全。所以必需把IIS安裝時(shí)默認(rèn)的scrīpts等虛擬目錄也一概刪除，如果你需要什么權(quán)限的目錄可以以后再建（特別注意寫權(quán)限和執(zhí)行程序的權(quán)限）。

然后是應(yīng)用程序的配置。在IIS管理器中把無(wú)用映射都統(tǒng)統(tǒng)刪除（當(dāng)然必須保留如ASP、ASA等）。在IIS管理器中“主機(jī)→屬性→WWW服務(wù)編輯→主目錄配置→應(yīng)用程序映射”，然后開(kāi)始一個(gè)個(gè)刪掉。接著再在應(yīng)用程序調(diào)試書簽內(nèi)，將“腳本錯(cuò)誤消息”改為“發(fā)送文本”。點(diǎn)擊“確定”退出時(shí)別忘了讓虛擬站點(diǎn)繼承剛才設(shè)定好的屬性。

解決IIS4以及之前的版本受到D.O.S攻擊會(huì)停止服務(wù)。運(yùn)行Regedt32.exe在：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters增加一個(gè)值：Value Name: MaxClientRequestBuffer Data Type: REG_DWORD設(shè)置為十進(jìn)制具體數(shù)值設(shè)置為你想設(shè)定的IIS允許接受的URL最大長(zhǎng)度。CNNS的設(shè)置為256。

　　2）刪除HTR腳本映射。

　　3）將IIS web server下的/_vti_bin目錄設(shè)置成禁止遠(yuǎn)程訪問(wèn)。

　　4）在IIS管理控制臺(tái)中，點(diǎn)web站點(diǎn)，屬性，選擇主目錄，配置（起始點(diǎn)），應(yīng)用程序映射，將htw與webhits.dll的映射刪除。

  5）如果安裝的系統(tǒng)是2K的話，安裝Q256888_W2K_SP1_x86_en.EXE。

　　6）刪除:c:\Program Files\Common Files\System\Msadc\msadcs.dll。

　　7）如果不需要使用Index Server，禁止或卸載該服務(wù)。如果你使用了Index Server，請(qǐng)將包含敏感信息的目錄的“Index this resource”的選項(xiàng)禁止。

　　8）解決unicode漏洞：2K安裝2kunicode.exe、NT安裝ntunicode86.exe。
最后，為了保險(xiǎn)起見(jiàn)，可以使用IIS的備份功能，將剛剛的設(shè)定全部備份下來(lái)，這樣就可以隨時(shí)恢復(fù)IIS的安全配置。

 

l      1.物理安全

l      　　服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。另外，機(jī)箱,鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無(wú)法使用電腦，鑰匙要放在另外的安全的地方。

l      2.停掉Guest賬號(hào)

　　在計(jì)算機(jī)管理的用戶里面把guest賬號(hào)停用掉，任何時(shí)候都不允許guest賬號(hào)登陸系統(tǒng)。為了保險(xiǎn)起見(jiàn)，最好給guest加一個(gè)復(fù)雜的密碼，你可以打開(kāi)記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長(zhǎng)字符串，然后把它作為guest賬號(hào)的密碼拷進(jìn)去。

l      3．限制不必要的用戶數(shù)量

l      　　去掉所有的duplicate user帳戶,測(cè)試用帳戶,共享賬號(hào)，普通部門賬號(hào)等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不在使用的帳戶。這些帳戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。國(guó)內(nèi)的nt/2000主機(jī)，如果系統(tǒng)帳戶超過(guò)10個(gè)，一般都能找出一兩個(gè)弱口令帳戶。我曾經(jīng)發(fā)現(xiàn)一臺(tái)主機(jī)197個(gè)帳戶中竟然有180個(gè)賬號(hào)都是弱口令帳戶。

l      4．創(chuàng)建2個(gè)管理員用賬號(hào)
  雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。創(chuàng)建一個(gè)一般權(quán)限賬號(hào)用來(lái)收信以及處理一些日常事物，另一個(gè)擁有Administrators權(quán)限的帳戶只在需要的時(shí)候使用?？梢宰尮芾韱T使用“ RunAS”命令來(lái)執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理。

 

5．把系統(tǒng)administrator賬號(hào)改名
　　大家都知道，windows 2000的administrator賬號(hào)是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。當(dāng)然，請(qǐng)不要使用Admin之類的名字，改了等于沒(méi)改，盡量把它偽裝成普通用戶，比如改成：guestone。

6．創(chuàng)建一個(gè)陷阱賬號(hào)
　　什么是陷阱賬號(hào)?創(chuàng)建一個(gè)名為” Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低。

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。