測(cè)定目標(biāo)行為基線的意義是什么

對(duì)目標(biāo)系統(tǒng)展開各類安全檢查?；€測(cè)量是一種通過對(duì)服務(wù)對(duì)象介人前、介人中和介人后的觀察研究檢驗(yàn)服務(wù)效果的方法，安全基線的意義在于通過在系統(tǒng)生命周期不同階段對(duì)目標(biāo)系統(tǒng)展開各類安全檢查，找出不符合基線定義的安全配置項(xiàng)并選擇。

公司主營業(yè)務(wù)：成都網(wǎng)站制作、成都網(wǎng)站建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)建站是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)建站推出海東免費(fèi)做網(wǎng)站回饋大家。

如何讓win更安全

“金無足赤,人無完人”任何事物都沒有十全十美的,微軟Windows 2003也是如此，照樣存在著系統(tǒng)漏洞、存在著不少安全隱患.不管是你用計(jì)算機(jī)欣賞音樂、上網(wǎng)沖浪、運(yùn)行游戲，還是編寫文檔都不可避免的面臨著各種病毒的威脅,如何讓W(xué)indows Server 2003更加安全，成為廣大用戶十分關(guān)注的問題。 下面讓我們來討論如何讓W(xué)indows Server 2003更加安全。

理解你的角色

理解服務(wù)器角色絕對(duì)是安全進(jìn)程中不可或缺的一步。Windows Server可以被配置為多種角色，Windows Server 2003 可以作為域控制器、成員服務(wù)器、基礎(chǔ)設(shè)施服務(wù)器、文件服務(wù)器、打印服務(wù)器、IIS服務(wù)器、IAS服務(wù)器、終端服務(wù)器等等。一個(gè)服務(wù)器甚至可以被配置為上述角色的組合。

現(xiàn)在的問題是每種服務(wù)器角色都有相應(yīng)的安全需求。例如，如果你的服務(wù)器將作為IIS服務(wù)器，那么你將需要開啟IIS服務(wù)。然而，如果服務(wù)器將作為獨(dú)立的文件或者打印服務(wù)器，啟用IIS服務(wù)則會(huì)帶來巨大的安全隱患。

我之所以在這里談到這個(gè)的原因是我不能給你一套在每種情況下都適用的步驟。服務(wù)器的安全應(yīng)該隨著服務(wù)器角色和服務(wù)器環(huán)境的改變而改變。

因?yàn)橛泻芏鄰?qiáng)化服務(wù)器的方法，所以我將以配置一個(gè)簡單但安全的文件服務(wù)器為例來論述配置服務(wù)器安全的可行性步驟。我將努力指出當(dāng)服務(wù)器角色改變時(shí)你將要做的。請(qǐng)諒解這并不是一個(gè)涵蓋每種角色服務(wù)器的完全指南。

物理安全

為了實(shí)現(xiàn)真正意義上的安全，你的服務(wù)器必須被放置在一個(gè)安全的位置。通常地，這意味著將將服務(wù)器放置在上了鎖的門后。物理安全是相當(dāng)重要的，因?yàn)楝F(xiàn)有的許多管理和災(zāi)難恢復(fù)工具同樣也可以被黑客利用。任何擁有這樣工具的人都能在物理接入到服務(wù)器的時(shí)候攻擊服務(wù)器。唯一能夠避免這種攻擊的方法是將服務(wù)器放置在安全的地點(diǎn)。對(duì)于任何角色的Windows Server 2003，這都是必要的。

創(chuàng)建基線

除了建立良好的物理安全以外，我能給你的最佳建議是，在配置一系列Windows Server 2003的時(shí)候，應(yīng)該確定你的安全需求策略，并立即部署和執(zhí)行這些策略 。

實(shí)現(xiàn)這一目的最好的方法是創(chuàng)建一個(gè)安全基線(security baseline)。安全基線是文檔和公認(rèn)安全設(shè)置的清單。在大多數(shù)情況下，你的基線會(huì)隨著服務(wù)器角色的不同而產(chǎn)生區(qū)別。因此你最好創(chuàng)建幾個(gè)不同的基線，以便將它們應(yīng)用到不同類型的服務(wù)器上。例如，你可以為文件服務(wù)器制定一個(gè)基線，為域控制器制定另一個(gè)基線，并為IAS服務(wù)器制定一個(gè)和前兩者都不同的基線。

windows 2003包含一個(gè)叫"安全配置與分析"的工具。這個(gè)工具讓你可以將服務(wù)器的當(dāng)前安全策略與模板文件中的基線安全策略相比較。你可以自行創(chuàng)建這些模板或是使用內(nèi)建的安全模板。

安全模板是一系列基于文本的INF文件，被保存在%SYSTEMROOT%SECURITY|TEMPLATES 文件夾下。檢查或更改這些個(gè)體模板最簡單的方法是使用管理控制臺(tái)(MMC)。

要打開這個(gè)控制 臺(tái)，在RUN提示下輸入MMC命令，在控制臺(tái)加載后，選擇添加/刪除管理單元屬性命令，Windows就會(huì)顯示添加/刪除管理單元列表。點(diǎn)擊"添加"按鈕，你將會(huì)看到所有可用管理單元的列表。選擇安全模板管理單元，接著依次點(diǎn)擊添加，關(guān)閉和確認(rèn)按鈕。

在安全模板管理單元加載后，你就可以察看每一個(gè)安全模板了。在遍歷控制臺(tái)樹的時(shí)候，你會(huì)發(fā)現(xiàn)每個(gè)模板都模仿組策略的結(jié)構(gòu)。模板名反映出每個(gè)模板的用途。例如，HISECDC模板就是一個(gè)高安全性的域控制器模板。

如果你正在安全配置一個(gè)文件服務(wù)器，我建議你從SECUREWS模板開始。在審查所有的模板設(shè)置時(shí)，你會(huì)發(fā)現(xiàn)盡管模板能被用來讓服務(wù)器更加安全，但是不一定能滿足你的需求。某些安全設(shè)置可能過于嚴(yán)格或過于松散。我建議你修改現(xiàn)有的設(shè)置，或是創(chuàng)建一個(gè)全新的策略。通過在控制臺(tái)中右擊C:WINDOWSSecurityTemplates文件夾并在目標(biāo)菜單中選擇新建模板命令，你就可以輕輕松松地創(chuàng)建一個(gè)新的模板。

在創(chuàng)建了符合需求的模板后，回到添加/刪除管理單元屬性面板，并添加一個(gè)安全配置與分析的管理單元。在這個(gè)管理單元加載后，右擊"安全配置與分析"容器，接著在結(jié)果菜單中選擇"打開數(shù)據(jù)庫"命令，點(diǎn)擊"打開"按鈕，你可以使用你提供的名稱來創(chuàng)建必要的數(shù)據(jù)庫。

接下來，右擊"安全配置與分析"容器并在快捷菜單中選擇"導(dǎo)入模板"命令。你將會(huì)看到所有可用模板的列表。選擇包含你安全策略設(shè)置的模板并點(diǎn)擊打開。在模板被導(dǎo)入后，再次右擊"安全配置與分析"容器并在快捷菜單中選擇"現(xiàn)在就分析計(jì)算機(jī)"命令。Windows將會(huì)提示你寫入錯(cuò)誤日志的.位置，鍵入文件路徑并點(diǎn)擊"確定"。

在這樣的情況下，Windows將比較服務(wù)器現(xiàn)有安全設(shè)置和模板文件里的設(shè)置。你可以通過"安全配置與分析控制臺(tái)"看到比較結(jié)果。每一條組策略設(shè)置顯示現(xiàn)有的設(shè)置和模板設(shè)置。

在你可以檢查差異列表的時(shí)候，就是執(zhí)行基于模板安全策略的時(shí)候了。右擊"安全配置與分析"容器并從快捷菜單中選擇"現(xiàn)在就配置計(jì)算機(jī)"命令。這一工具將會(huì)立即修改你計(jì)算機(jī)的安全策略，從而匹配模板策略。

組策略實(shí)際上是層次化的。組策略可以被應(yīng)用到本地計(jì)算機(jī)級(jí)別、站點(diǎn)級(jí)別、域級(jí)別和OU級(jí)別。當(dāng)你實(shí)現(xiàn)基于模板的安全之時(shí)，你正在在修改計(jì)算機(jī)級(jí)別的組策略。其他的組策略不會(huì)受到直接影響，盡管最終策略可能會(huì)反映變化，由于計(jì)算機(jī)策略設(shè)置被更高級(jí)別的策略所繼承。

修改內(nèi)建的用戶賬號(hào)

多年以來，微軟一直在強(qiáng)調(diào)最好重命名Administrator賬號(hào)并禁用Guest賬號(hào)，從而實(shí)現(xiàn)更高的安全。在Windows Server 2003中，Guest 賬號(hào)是缺省禁用的，但是重命名Administrator賬號(hào)仍然是必要的，因?yàn)楹诳屯鶗?huì)從Administrator賬號(hào)入手開始進(jìn)攻。

有很多工具通過檢查賬號(hào)的SID來尋找賬號(hào)的真實(shí)名稱。不幸的是，你不能改變用戶的SID，也就是說基本上沒有防止這種工具來檢測(cè)Administrator賬號(hào)真實(shí)名稱的辦法。即便如此，我還是鼓勵(lì)每個(gè)人重命名Administrator 賬號(hào)并修改賬號(hào)的描述信息，有兩個(gè)原因:

首先，誑橢械男率摯贍懿恢?勒飫喙ぞ叩拇嬖諢蛘卟換崾褂盟?恰F浯危?孛?鸄dministrator賬號(hào)為一個(gè)獨(dú)特的名稱讓你能更方便的監(jiān)控黑客對(duì)此賬號(hào)的進(jìn)攻。

另一個(gè)技巧適用于成員服務(wù)器。成員服務(wù)器有他們自己的內(nèi)建本地管理員賬號(hào)，完全獨(dú)立于域中的管理 員賬號(hào)。你可以配置每個(gè)成員服務(wù)器使用不同的用戶名和密碼。如果某人猜測(cè)出你的本地用戶名和密碼，你肯定不希望他用相同的賬號(hào)侵犯其他的服務(wù)器。當(dāng)然，如果你擁有良好的物理安全，誰也不能使用本地賬號(hào)取得你服務(wù)器的權(quán)限。

服務(wù)賬號(hào)

Windows Server 2003在某種程度上最小化服務(wù)賬號(hào)的需求。即便如此，一些第三方的應(yīng)用程序仍然堅(jiān)持傳統(tǒng)的服務(wù)賬號(hào)。如果可能的話，盡量使用本地賬號(hào)而不是域賬號(hào)作為服務(wù)賬號(hào)，因?yàn)槿绻橙宋锢砩汐@得了服務(wù)器的訪問權(quán)限，他可能會(huì)轉(zhuǎn)儲(chǔ)服務(wù)器的LSA機(jī)密，并泄露密碼。如果你使用域密碼，森林中的任何計(jì)算機(jī)都可以通過此密碼獲得域訪問權(quán)限。而如果使用本地賬戶，密碼只能在本地計(jì)算機(jī)上使用，不會(huì)給域帶來任何威脅。

系統(tǒng)服務(wù)

一個(gè)基本原則告訴我們，在系統(tǒng)上運(yùn)行的代碼越多，包含漏洞的可能性就越大。你需要關(guān)注的一個(gè)重要安全策略是減少運(yùn)行在你服務(wù)器上的代碼。這么做能在減少安全隱患的同時(shí)增強(qiáng)服務(wù)器的性能。

在Windows 2000中，缺省運(yùn)行的服務(wù)有很多，但是有很大一部分服務(wù)在大多數(shù)環(huán)境中并派不上用場(chǎng)。事實(shí)上，windows 2000的缺省安裝甚至包含了完全操作的IIS服務(wù)器。而在Windows Server 2003中，微軟關(guān)閉了大多數(shù)不是絕對(duì)必要的服務(wù)。即使如此，還是有一些有爭議的服務(wù)缺省運(yùn)行。

其中一個(gè)服務(wù)是分布式文件系統(tǒng)(DFS)服務(wù)。DFS服務(wù)起初被設(shè)計(jì)簡化用戶的工作。DFS允許管理員創(chuàng)建一個(gè)邏輯的區(qū)域，包含多個(gè)服務(wù)器或分區(qū)的資源。對(duì)于用戶，所有這些分布式的資源存在于一個(gè)單一的文件夾中。

我個(gè)人很喜歡DFS，尤其因?yàn)樗娜蒎e(cuò)和可伸縮特性。然而，如果你不準(zhǔn)備使用DFS，你需要讓用戶了解文件的確切路徑。在某些環(huán)境下，這可能意味著更強(qiáng)的安全性。在我看來，DFS的利大于弊。

另一個(gè)這樣的服務(wù)是文件復(fù)制服務(wù)(FRS)。FRS被用來在服務(wù)器之間復(fù)制數(shù)據(jù)。它在域控制器上是強(qiáng)制的服務(wù)，因?yàn)樗軌虮３諷YSVOL文件夾的同步。對(duì)于成員服務(wù)器來說，這個(gè)服務(wù)不是必須的，除非運(yùn)行DFS。

如果你的文件服務(wù)器既不是域控制器，也不使用DFS，我建議你禁用FRS服務(wù)。這么做會(huì)減少黑客在多個(gè)服務(wù)器間復(fù)制惡意文件的可能性。

另一個(gè)需要注意的服務(wù)是Print Spooler服務(wù)(PSS)。該服務(wù)管理所有的本地和網(wǎng)絡(luò)打印請(qǐng)求，并在這些請(qǐng)求下控制所有的打印工作。所有的打印操作都離不開這個(gè)服務(wù)，它也是缺省被啟用的。

不是每個(gè)服務(wù)器都需要打印功能。除非服務(wù)器的角色是打印服務(wù)器，你應(yīng)該禁用這個(gè)服務(wù)。畢竟，專用文件服務(wù)器要打印服務(wù)有什么用呢?通常地，沒有人會(huì)在服務(wù)器控制臺(tái)工作，因此應(yīng)該沒有必要開啟本地或網(wǎng)絡(luò)打印。

我相信通常在災(zāi)難恢復(fù)操作過程中，打印錯(cuò)誤消息或是事件日志都是十分必要的。然而，我依然建議在非打印服務(wù)器上簡單的關(guān)閉這一服務(wù)。

信不信由你，PSS是最危險(xiǎn)的Windows組件之一。有不計(jì)其數(shù)的木馬更換其可執(zhí)行文件。這類攻擊的動(dòng)機(jī)是因?yàn)樗墙y(tǒng)級(jí)的服務(wù)，因此擁有很高的特權(quán)。因此任何侵入它的木馬能夠獲得這些高級(jí)別的特權(quán)。為了防止此類攻擊，還是關(guān)掉這個(gè)服務(wù)吧。

Windows Server 2003作為Microsoft 最新推出的服務(wù)器操作系統(tǒng)，相比Windows 2000/XP系統(tǒng)來說，各方面的功能確實(shí)得到了增強(qiáng)，尤其在安全方面，總體感覺做的還算不錯(cuò).但如果你曾經(jīng)配置過Windows NT Server或是windows 2000 Server，你也許發(fā)現(xiàn)這些微軟的產(chǎn)品缺省并不是最安全的。但是,你學(xué)習(xí)了本教程后,你可以讓你的windows 2003系統(tǒng)變得更安全.

什么是安全基線

廣義的安全基線

安全基線，是借用“基線”的概念。字典上對(duì)“基線”的解釋是：一種在測(cè)量、計(jì)算或定位中的基本參照。如海岸基線，是水位到達(dá)的水位線。類比于“木桶理論”，可以認(rèn)為安全基線是安全木桶的最短板，或者說，是最低的安全要求。

計(jì)算機(jī)中的安全基線

安全基線是微軟安全體系中，windows server 2003和ISA server

2004對(duì)如何配置和管理計(jì)算機(jī)的詳細(xì)描述。安全基線在一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)了受信計(jì)算機(jī)組件。同時(shí)，它還描述了實(shí)現(xiàn)安全運(yùn)行的所有相關(guān)配置設(shè)置。

安全基線的元素包括：

服務(wù)和應(yīng)用程序設(shè)置。例如：只有指定用戶才有權(quán)啟動(dòng)服務(wù)或運(yùn)行應(yīng)用程序。

操作系統(tǒng)組件的配置。例如：Internet信息服務(wù)（IIS）自帶的所有樣本文件必須從計(jì)算機(jī)上刪除。

權(quán)限和權(quán)利分配。例如：只有管理員才有權(quán)更改操作系統(tǒng)文件。

管理規(guī)則。例如：計(jì)算機(jī)上的administrator密碼每30天換一次。

當(dāng)前文章：服務(wù)器安全基線作用是什么 服務(wù)器基線是什么意思
轉(zhuǎn)載源于：http://jinyejixie.com/article22/ddccejc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站策劃、用戶體驗(yàn)、小程序開發(fā)、網(wǎng)站維護(hù)、網(wǎng)頁設(shè)計(jì)公司、動(dòng)態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)