在win2003系統中開啟組策略編輯器,展開【計算機配置\windows設定\安全設定\本地策略\安全選項】。通過本地策略中的安全選項,可以控制一些和作業系統安全相關的設定。
下面是一些常用的安全選項策略:
(1)「關機:允許系統在未登入前關機」
正常情況下,使用者只有登入到系統後,具有許可權的使用者才能關機,啟用此策略後,登入螢幕上的關機命令可用。
(2)「賬戶:使用空白密碼的本地賬戶只允許進行控制台登入」
控制台登入就是指在本地按ctrl+alt+del鍵登入,這項設定啟用之後,沒設密碼的賬戶就無法通過遠端桌面登入或是無法訪問網路共享。這項一定要啟用,否則會導致嚴重安全隱患。
(3)「互動式登入:使用者試圖登入時訊息文字」
該安全設定指定使用者登入時顯示的文字訊息,使用該文字通常是出於法律方面的考慮。例如:警告使用者不得以任何方式濫用公司資訊或者警告使用者其操作可能會受到審核。
(4)「互動式登入:使用者試圖登入時訊息標題」
用於設定在「交換式登入:試圖登入的使用者的訊息文字」視窗的標題欄中所顯示的資訊。
(5)「互動式登入:不顯示上次的使用者名稱」
在登入介面中是否顯示上次成功登入的使用者名稱,預設禁用,建議設為啟用。
(6)「互動式登入:在密碼到期前提示使用者更改密碼」
預設情況下,使用者密碼42天到期,這項設定決定了在到期之前提前多少天進行提示,預設14天。
(7)「互動式登入:不需要按ctrl+alt+del」
該項設定決定了使用者在登入之前是否必須按ctrl+alt+del,建議禁用。
(8)「網路訪問:本地賬戶的共享和安全模式」
該項設定決定了客戶端以什麼使用者的身份來訪問當前伺服器上的檔案共享。
僅來賓,客戶端只能以guest的身份訪問共享。
經典,客戶端可以輸入本地使用者賬號進行身份驗證,並具有相應的許可權。
預設設定是「經典」,注意如果設為僅來賓,並將guest賬號禁用,那麼伺服器上的共享就無法被訪問。
(9)「網路安全:不要在下次更改密碼時儲存lan manager的雜湊值」
使用者密碼在加密儲存時採用了lm和ntlm兩種方式,lm hash的安全性比較低,啟用該項設定後,就不會再用lm方式加密,可以增強系統安全性。
網路安全系列之三十 遠端檔案包含
遠端檔案包含 remote file include,它也屬於是 注入 的一種,其原理就是注入一段使用者能控制的指令碼或 並讓服務端執行。檔案包含漏洞可能出現在jsp php asp等語言中,原理都是一樣的,本文只介紹php檔案包含漏洞。本次實驗需要使用2臺web伺服器,實驗環境如下 首先我們編寫下...
網路安全系列之十二 Linux使用者賬號安全設定
使用者賬號是計算機使用者的身份憑證或標識,每乙個要訪問系統資源的人,必須憑藉他的使用者賬號才能進入計算機。在linux系統中,提供了多種機制來確保使用者賬號的正當 安全使用。合理地規劃使用者賬號,並合理地分配許可權,是保證linux系統安全的第一步。1.清理系統賬號 在linux系統中,一些程式在安...
網路安全系列之三十 遠端檔案包含攻擊
遠端檔案包含攻擊remote file include,它也屬於是 注入 的一種,其原理就是注入一段使用者能控制的指令碼或 並讓服務端執行。檔案包含漏洞可能出現在jsp php asp等語言中,原理都是一樣的,本文只介紹php檔案包含漏洞。本次實驗需要使用2臺web伺服器,實驗環境如下 web1,i...