(一)安全增强方法
安全增强方法 | 说明 | |
1 | 安全漏洞打补丁(Patch) | 大部分漏洞本质是软件设计时的缺陷和错误(如漏洞) |
2 | 停止服务和卸载软件 | 部分应用和服务安全问题较多,暂时没有可行解决方案,如果可以应考虑停止该服务 |
3 | 升级或更换程序 | 大部分情况下,安全漏洞只针对某产品某版本有效,解决办法就是升级软件。升级仍不能解决,则考虑更换程序 |
4 | 修改配置或权限 | 配置或权限设置错误或不合理,给系统安全性带来问题。应结合实际和审计结果,对配置或权限设置进行修改 |
5 | 去除特洛伊等恶意程序 | 系统如果出现过安全事故(已知或并未被发现),则可能存在隐患,如攻击者留下后门程序等,则必须去除 |
6 | 安装专用安全工具软件 | 针对Windows漏洞修补问题,可安装自动补丁管理程序 |
(二)安全增强步骤
基本步骤 | 说明 | |
1 | 确认系统安全增强目标和系统业务用途 | 系统安全目标:用户所期望系统的安全要求,如防止信息泄露、抗拒绝服务攻击、限制非法访问等 系统业务用途:是后续安全增强依据,根据系统业务用途,在安装时或设置策略时进行合适选择 |
2 | 安装最小化操作系统 | 目的:减少系统安全隐患数目,系统越大,安全风险就越大 ①尽量使用英文版Windows操作系统 ②不要安装不需要的网络协议 ③使用NTFS分区 ④删除不必要服务和组件 |
3 | 安装最新系统补丁 | 系统漏洞通常成为入侵途径,漏洞修补是系统安全增强必要步骤 |
4 | 配置安装系统服务 | 根据系统业务运行基本要求: ①不要安装与业务运行无关的网络/系统服务和应用程序 ②安装最新程序和服务软件,并定期更新安全补丁 |
5 | 配置安全策略 | 安全策略是系统安全设置规则,主要有账户策略、审计策略、远程访问、文件共享等 以配置账户策略为例: ①密码复杂度要求 ②账户锁定阈值 ③账户锁定时间 ④账户锁定记数器 |
6 | 禁用NetBIOS | NetBIOS提供名称服务和会话服务,可能提供入侵切入点。一般建议禁用NetBIOS ①防火墙过滤外部网络访问135-139、445端口 ②修改注册表,禁用NetBIOS ③禁用NetBIOS over TCP/IP ④禁用Microsoft网络文件和打印共享 |
7 | 账户安全配置 | 账户权限设置不当往往会导致安全问题 ①禁用默认账号 ②定期检查账户,尽早发现可疑账户 ③锁定Guest账户 |
8 | 文件系统安全配置 | 文件系统安全是Windows系统重要的保护对象,特别是向外提供网络服务的主机系统 ①删除不必要帮助文件和“%System%\Driver cache”目录文件 ②删除不必要应用程序,例如cmd.exe ③启用加密文件系统 ④设置文件共享口令 ⑤修改系统默认安装目录名 |
9 | 配置TCP/IP筛选和ICF | Windows 2000和XP配有TCP/IP筛选机制,Windows XP有防火墙ICF ①过滤不需要使用的端口 ②过滤不需要的应用层网络服务 ③过滤ICMP数据包 |
10 | 禁用光盘或软盘启动 | 禁用光盘或软盘启动可防止入侵者进行物理临近攻击 |
11 | 使用屏幕保护口令 | 使用屏幕保护口令防止工作主机被他人滥用 |
12 | 设置应用软件安全 | 应用软件安全不仅影响自身,也给系统带来安全隐患 ①及时安装应用软件安全补丁 ②修改应用软件安全默认设置 ③限制应用软件使用范围 |
13 | 安装第三方防护软件 | 安装第三方防护软件,如杀毒软件、个人防火墙、入侵检测系统和系统安全增强工具 |