对于小型网络来说网络管理员一般承担安全管理员的角色。网络管理员采取的安全策略,最重要的是保证服务器的安全和分配好各类用户的权限。

1.网络管理员必须了解整个网络中的重要公共数据(限制写)和机密数据(限制读)分别是哪些,它在哪儿,哪些人使用,属于哪些人,丢失或泄密会造成怎样的损失。这些重要数据集中至位于中心机房的务器上,置于有安全经验的专人管理之下。

2.定期对各类用户进行安全培训。

3.服务器上只安装NT。不要安装Windows9x和DOS,确保服务器只能从NT启动。

4.服务器上所有的卷全部使用NTFS。

5.使用最新的Service Pack升级你的NT。

6.设置服务器的BIOS,不允许从可移动的存储设备(软驱、光驱、ZIP、SCIS设备)启动。确保服务器从NT启动置于NT安全机制管理之下。

7.通过BIOS设置软驱无效,并设置BIOS口令。防止非法用户利用控制台获取敏感数据,以及由软驱感染病毒到服务器。

8.取消服务器上不用的服务和协议种类。网络上的服务和协议越多安全性越差。

9.将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\

WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。

10.不要将服务器的Windows NT设置为自动登录,应使用NT Security对话框(Ctrl+Alt+Del)注册。

11.C/S软件的服务器端如果是用户模式运行的(即需要从服务器端登录),用NT Resource Kit中的Autoexnt将设为启动时自动运行形式。

12.系统文件和用户数据文件分别存储在不同的卷上。方便日常的安全管理和数据备份。

13.修改默认“Administrator”用户名,加上“强口令”(多于10个字符且必须包括数字和符号),最好再创建一个具有“强口令”的管理员特权的账号,使网络管理员账号不易被攻破。

14.管理员账号仅用于网络管理,不要在任何客户机上使用管理员账号。对属于Administrator组和备份组的成员用户要特别慎重。

15.记住口令文件保存在\\WINNT \SYSTEM32\CONFIG目录的SAM文件中,

\\WINNT\REPAIR目录中有SAM备份。对SAM文件写入、更改权限等进行审计。

16.鼓励用户将数据保存到服务器上。DOS和Windows9x客户机没有NT提供的安全性,所以不建议用户在本地硬盘上共享文件。

17.限制可以登录到有敏感数据的服务器的用户数。这样在出现问题时可以缩小怀疑范围。

18.利用Windows9x的“系统策略编辑器”建立策略文件,存入服务器,控制的Windows9x客户机的注册表。建议打开计算机策略中的“需要使用Network for Windows Access进行验证”、“登录到WindowsNT”/“禁用域口令缓冲”,控制Windows9x用户必须首先注册到网上。这样可以防止用户通过“放弃”使用Windows9x降低客户机安全。

19.通过“系统策略编辑器”可以进一步控制一般用户或组在Windows9x客户机上的行为。

20.不允许一般用户在服务器上拥有除读/执行以外的权限。注意NT本身不支持用户空间限制。

21.限制Guest账号的权限,最好不允许使用Guest账号。不要在Everyone组增加任何权限,因为Guest也属于该组。

22.一般不直接给用户赋权,而通过用户组分配用户权限。

23.新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,最好进一步设置成口令的不低于6个字符,杜绝安全漏洞。

24.至少对用户“登录和注销”网络、“重新启动、关机及系统”、“安全规则更改”活动进行审计,但不要忘了过多的审计将影响系统性能。

针对提供Internet访问服务网络的策略:

25.文件服务器不与Internet直接连接,设专用代理服务器;不允许客户机通过Modem连到Internet,形成在防火墙内的连接。

26.可以利用“TCP/IP安全”对话框,关闭Internet上机器不用的TCP/UDP端口,过滤流入服务器的请求,特别是限制使用TCP/UDP的137、138、139端口。

27.可以考虑将对外的Web服务器放在防火墙之外,隔离外界对内的访问以保护内部的敏感数据。

28.对只提供内部访问的服务器和客户机可以采用非TCP/IP协议实现连接,这样可以隔离Internet访问。

29.利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描。

30.不允许除NT的RAS以外的机器应答远程访问请求。最好设专门的远程访问服务器,并将该服务器置于中心机房。

31.对于偶尔使用远程访问可以采用人工控制RAS服务的启动和停止。

32.对固定的用户最好采取回叫的方式实现远程连接。

33.通过RAS服务器的IP地址分配,限制远程用户的IP地址,进而利用防火墙控制和隔离远程访问客户。

34.对于远程访问的口令采取某种加密鉴别(如:MS-CHAP),以保证用户口令在远程线路上安全传送。

蓝盟在上海成立，致力于为企业客户提供IT外包、IT软硬件采购、弱电工程（网络布线、机房建设、门禁考勤、视频监控、电话交换机、多媒体会议室）、系统集成（网络组建、网络改造、WIFI覆盖、数据备份、病毒防护、文件权限、虚拟化等）、云服务（微软云、阿里云、企业邮箱、Office365等）“一站式”IT外包解决方案。www.lanmon.com,www.lanmon.net ,www.linemore.com,www.linemore.net咨询。咨询热线：021-80581919

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 蓝盟it外包专家告诉你，网络使用者的安全防范策略

• 分享到：