与之相关的还有,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值6位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”中设定:“账户锁定3次错误登录”,“锁定时间20分钟”,“复位锁定计数20分钟”等。
Terminal Service的安全日志默认也是不启用的,可以在“Terminal Service Configration(远程服务配置)→权限→高级”中配置安全审核,一般来说只要记录登录、注销事件就可以了。
五、 目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。在进行权限控制时,请记住以下几个原则:
1. 权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
2. 拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
4. 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5. 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6. 预防ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,WIN2K自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
要注意
实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。
