windows系统安全设置(精选15篇)
2、禁用GUEST帐户,禁用或删除一些不必要的帐户;
3、更改Administrator帐户的名字(在“我的电脑”点右键选择管理――本地用户和组――用户在右册窗口中选中Administrator点右键选重命名输入所需要名字即可);
4、设定帐户锁定策略(控制面板――管理工具――本地安全策略――帐户策略――帐户锁定策略)
5、在XP中不允许SAM帐户匿名枚举:打开“组策略”,计算机配置――Windows设置――安全设置――本地策略――安全选项;双击“网络访问:不允许SAM帐户匿名枚举”,确保选中“已启用”;同时还要启用“网络访问:不允许 SAM帐户和共享的匿名枚举”;
6、开启密码策略:进入“控制面板――本地安全策略”,打开密码策略,设置该项如下:
密码复杂行要求:启用;
密码长度最小值:7位;
强制密码历史:5位;
最长存留期:42天;
7、设置用户权限:当多人共同用一台计算机时,可通过组织策略在Windows XP中设置用户权限,
微软系统账户安全设置Windows安全
,
打开“组策略”展开“计算机配置――Windows设置――安全设置――本地策略――用户权利指派”分支。双击需要改变的用户权限。单击“增加”,然后双击想指派给权限的用户帐号。
1. 帐户密码设置
1.1 关闭来宾帐户
来宾帐户即Guest帐户, 它可以访问计算机, 但受到限制。不幸的是, Guest帐户也为黑客入侵打开了方便之门。对于服务器来说, 不需要使用Guest帐户, 为了安全, 应该将Guest帐户关闭、停用、改名。在安全策略中, 将Guest帐户列入拒绝从“网络访问”名单中, 防止黑客利用Guest帐户从网络访问计算机。同时在计算机管理中把Guest帐户停用, 任何时候都不允许Guest帐户登录系统, 为了安全起见, 给Guest帐户设置一个复杂的密码。
1.2 限制用户数量
删除所有的测试帐户、共享帐户和普通部门帐户等。帐户是黑客入侵的突破口, 系统的帐户越多, 黑客得到合法权限的可能性就越大。对于Windows 2003系统来说, 要经常检查系统的帐户, 删除已经不使用的帐户, 如果系统帐户超过10个, 很容易找到弱口令帐户。
1.3 把管理员帐号改名
Windows 2003中的Administrator帐户是系统默认的安装账户, 是不能被停用的, 所以黑客可以不停地尝试去登录这个帐户。很多管理员安装系统后都没有把这个帐号改名, 这样非常容易成为受攻击的目标。因此, 安装系统应该重命名此帐号, 并设置高强度的口令。
1.4 设置陷进帐户
创建一个Administrator帐户, 将该用户隶属的组设为Guests组, 赋予最低权限, 并且设置一个包含字母、数字和特殊符号的超过10位的复杂密码, 这样黑客即使攻击该帐户, 也要费大量的时间。
1.5 设置安全密码
服务器帐户密码最好包括大小写字母、数字和特殊符号, 密码最好大于10位。用户名尽量不要用计算机名、单位名等比较容易猜到的字符。在控制面板中, 用户帐户里设置。
1.6 启用屏幕保护密码
设置屏幕保护密码可以有效防止内部人员破坏服务器。在桌面上单击鼠标右键, 选择属性, 在屏幕保护选项卡中设置。
2. 系统安全策略配置
2.1 关闭不必要的服务
2.1.1 Messenger:
这是发送和接收系统管理员或“警报器”服务消息的服务。自微软公司于90年代中期推出32位操作系统以来, 该服务就一直是windows操作系统中不可缺少的一部分。现在, 很多垃圾邮件发送者都利用这一功能向计算机用户发送垃圾信息, 建议大家禁用该服务。
2.1.2 Remote Registry Service:
该服务允许远程用户通过简单的连接就能修改本地计算机上的注册表设置。知道管理员帐号和密码的人远程访问注册表是很容易的。现在, 不少木马后门程序可以通过此服务来修改目标机器的注册表, 强烈建议大家禁用该项服务。
2.1.3 Clipbook:
这个服务允许任何已连接的网络中的其他用户查看本机的剪贴板。为了安全, 将该服务设置为手动。Clipbook所支持的Clipbook Viewer程序可以允许剪贴页被远程计算机上的Clipbook浏览, 可以使用户能够通过网络连接来剪切和粘贴文本和图形。
2.1.4 Computer Browser:
这个服务可以将当前机器所使用网络上的计算机列表提供给那些请求得到该列表的程序 (很有可能是恶意程序) , 很多黑客可以通过这个列表得知当前网络中所有在线计算机的标志并展开进一步的攻击。
2.1.5 Terminal Services:
该服务提供多会话环境, 允许客户端设备访问虚拟的系统桌面会话以及运行在服务器上的基于Windows的程序并打开默认为3389的对外端口, 允许外来IP的连接 (著名的3389攻击所依靠的服务就是它) 。
2.1.6 Indexing Service:
Indexing Service是一个搜索引擎。同时, 它也是很多蠕虫病毒爆发的罪魁祸首, 例如曾流行一时的红色代码就是利用IIS的缓冲区溢出漏洞和索引服务来进行传播的。
2.1.7 Error Reporting Service服务:
Error Reporting Service (错误报告服务) 的进程名是Svchost.exe。这个服务我们经常碰到, 当使用程序出错时会跳出对话框, 问你是否需要向微软发送报告, 就是这个服务的功能, 此服务也是攻击者的一个后门。
2.2 开启审核策略
开启安全审计策略是Windows的基本安全保障措施, 当有人尝试对系统进行某些方式入侵的时候, 都会被安全审计记录下来, 如果对系统的安全审计策略进行合理设置, 当有人尝试入侵时, 就可以从日志里看到。审核策略太多, 容易占用系统资源, 开启必要的策略即可。开启策略如表1所示。
2.3 开启帐户策略
开启帐户策略可以有效地防范字典式攻击。设置如表2所示。
2.4 关闭文件共享
对于服务器来说, 不需要共享文件, 可以直接把共享文件关。Windows 2003提供了默认的共享功能, 包括所有的逻辑盘和系统盘, 这些共享功能为黑客入侵带来了很大的方便。通过以下几种方式可以来关闭默认共享。
2.4.1 打开网络连接, 在网络连接属性中把“Mi-crosoft网络文件和打印机共享卸载”。
2.4.2 打开控制面板, 找到管理工具, 通过其中的计算机管理, 关闭默认共享。这种方法有个缺点, 当系统重新启动后, 这些默认共享又会重新启动。
2.4.3 通过批处理关闭。新建一个Shutdown Share.bat文件, 文件内容为:
…… (有几个硬盘分区就写几行命令)
2.5 关闭不必要的端口
关闭端口, 系统提供的服务会减少, 意味着被入侵的概率在降低。对于一台Web服务器来说, 只运行TCP的80端口通过就可以了。设置端口开放的方法如下:在IP地址设置窗口中单击“高级”按钮, 在出现的对话框中选择“选项”选项卡, 选中“TCP/IP筛选”, 单击“属性”按钮, 在弹出的对话框中设置允许通过的端口。
2.6 禁止建立空连接
默认情况下, 任何用户可通过空连接连上服务器, 进而枚举出帐号, 猜测密码。修改注册表来禁止建立空连接:将HKEY_LOCAL_MACHINESYS-TEMCurrent Control SetControlLSA中, Restrict Anonymous的值改成1即可。
2.7 不显示上次登录的用户名
默认情况下, 终端服务接入服务器时, 登录对话框中会显示上次登录的用户名, 本地的登录对话框也一样。修改注册表禁止显示上次登录名:将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中, Dont Display Last User Name的值改为1即可。
摘要:随着网络技术的发展, 网络攻击越来越多, 网络安全问题越来越严重。本文对学校Web服务器上使用的Windows 2003操作系统安全加固进行了详细研究, 给出了Windows 2003操作系统的安全加固方法, 成功提高了学校Web服务器的安全性。
关键词:服务器,Windows 2003,安全
参考文献
[1]陈学平.计算机网络安全与应用[M].北京:化学工业出版社, 2012.
关键词:站点服务器;IIS安全设置;安全策略
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2012) 16-0042-02
一、设置安全服务器
(一)系统盘和站点放置盘(包括所以盘符)必须设置为NTFS格式,方便设置权限,系统盘和站点放置盘除administrators和system的用户权限全部去除。
(二)启用windows自带防火墙,暂只保留有用的端口,如:远程(80)、Ftp(21)、远程桌面(3389)等。
(三)安装好SQL后进入目录搜索xplog70然后将找到的三个文件改名或者删除。
(四)更改sa密码为超长密码,在任何情况下都不要用sa这个帐户。
(五)改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户。
(六)配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)
(七)在安全设置里,本地策略-安全选项将“网络访问:可匿名访问的共享”、“网络访问:可匿名访问的命名管道”、“网络访问:可远程访问的注册表路径”、“网络访问:可远程访问的注册表路径和子路径”以上四项清空。
(八)在安全设置里,本地策略-安全选项:用户权利指派通过终端服务拒绝登陆加入ASPNET、Guest、IUSR_*****、IWAM_*****、NETWORKSERVICE、SQLDebugger(****表示机器名,注意不要添加进user组和administrators组,添加进去以后就没有办法远程登陆了。)
(十)更改本地安全策略的审核策略。审核策略更改-成功失败,审核登录事件-成功失败,审核对象访问-失败,审核过程跟踪-无审核,审核目录服务访问-失败,审核特权使用-失败,审核系统事件-成功失败,审核账户登录事件-成功失败,审核账户管理-成功失败。
二、保护IIS的技巧
(一)移除缺省的Web站点。很多攻击者瞄准inetpub这个文件夹,并在里面放置一些偷袭工具,从而造成服务器的瘫痪。防止这种攻击最简单的方法就是在IIS里将缺省的站点禁用。
(二)卸载不需要FTP和SMTP服务。进入计算机的最简单途径就是通过FTP访问。FTP本身就是被设计满足简单读/写访问的,如果你执行身份认证,你会发现你的用户名和密码都是通过明文的形式在网络上传播的。SMTP是另一种允许到文件夹的写权限的服务。通过禁用这两项服务,你能避免更多的黑客攻击。
(三)减少、排除Web服务器上的共享。如果网络管理员是唯一拥有Web服务器写权限的人,就没有理由让任何共享存在。共享是对黑客最大的诱惑。利用\命令寻找Everyone/完全控制权限的共享。
(四)检查*.bat和*.exe文件,在这些破坏性的文件中,也许有一些是*.reg文件。如果你右击并选择编辑,可以发现黑客已经制造并能让他们能进入你系统的注册表文件。登陆你的Web服务器并在命令行下运行netstat-an。观察有多少IP地址正尝试和你的端口建立连接,检查IIS服务器上的服务列表并保持尽量少的服务,明确哪个服务应该存在,哪个服务不应该存在。
(五)管理用户账户。安装IIS后,可能产生了一个TSInternetUser账户。除非真正需要这个账户,否则你应该禁用它。这个用户很容易被渗透,是黑客们的显著目标。为了帮助管理用户账户,确定你的本地安全策略没有问题,IUSR用户的权限也应该尽可能的小。如果你经常察看异常数据库,你能在任何时候找到服务器的脆弱点。
四、结论
本文提出了适合于二路胖树的多区域位串编码方法。该方法利于路由信息的计算,并且具有良好的可扩展性,是一种良好的编码方法。
参考文献:
[1]Dhabaleswar K.Panda.“Issues in Designing Efficient and Practical Algorithms for Collective Communication on Wormhole-Routed Systems,”ICPP 1995:8-15.
[2]Rajeev Sivaram,Ram Kesavan,Dhabaleswar K.Panda,Craig B.Stunkel, “Where to Provide Support for Efficient Multicasting in Irregular Networks: Network Interface or Switch?”.ICPP,1998.
[3]X. Lin and L. M. Ni. Deadlock-free Multicast Wormhole Routing in Multicomputer Networks. In Proceedings of the International Symposium on Computer Architecture,1991:116-124
[4]孙圣.“二路胖树对虫孔交换树型组播的支持特性”.第9界计算机工程与工艺年会。
一、安全策略
Windows 2000系统本身就有很多安全方面的漏洞,这是众所周知的。通过打补丁的方法可以减少大部分的漏洞,但是并不能杜绝一些小漏洞,而往往这些小漏洞也是导致被攻击或入侵的重要途径。Windows 2000中自带的“本地安全策略”就是一个很不错的系统安全管理工具。这个工具可以说是系统的防卫工具往往一些必要的设置就能起到防范的作用,可别小看这个工具。下面就为大家介绍一些常用的设置方法来为系统进行安全策略的设置从而起到安全保障的作用。
二、具体操作
图1
系统的“本地安全策略”这个工具是在,单击“开始→控制面板→管理工具→本地安全策略”后,会进入“本地安全策略”的主界面。在此可通过菜单栏上的命令设置各种安全策略,并可选择查看方式,导出列表及导入策略等操作。
1.安全日志的设置:因为安全日志是记录一个系统的重要手段,因此通过日志可以查看系统一些运行状态,而Windows 2000的默认安装是不开任何安全审核的,因此需要在本地安全策略→审核策略中打开相应的审核。单击“开始→控制面板→管理工具→本地安全策略→左边的本地策略→审核策略”,看到右栏有“审核策略更改”……等9个项目,我们双击每个项目,然后在“成功、失败”的选框上进行选择,
2. 账号安全设置:Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,造成一些密码容易泄漏而对电脑进行攻击,所以必须采用以下进行安全设置。单击“开始→控制面板→管理工具→本地安全策略→本地策略→账户策略”,看到右栏有“密码策略、账户锁定策略”2个项目。
在密码策略中设置:启用“密码必须符合复杂性要求”,“密码长度最小值”为6个字符,“强制密码历史”为5次,“密码最长存留期”为30天。
在账户锁定策略中设置:“复位账户锁定计数器”为30分钟之后,“账户锁定时间”为30分钟,“账户锁定值”为30分钟。本文来自bianceng.cn(学电脑)
3. 安全选项设置:单击“开始→控制面板→管理工具→本地安全策略→本地策略→安全选项”,找到右栏“对匿名连接的额外限制”。双击对其中有效策略进行设置,选择“不允许枚举SAM账号和共享”(如图所示)。因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项。
图2
为什么要将MS SQL SERVER数据库必须运行在“普通用户”的状态下呢?因为如果使用了“超级管理员”或者“本地系统用户”来运行“SQL2000数据库”,就会被 利用,利用SYSTEM用户权限入侵服务器。因此,为了服务器安全,务必将MS SQL SERVER运行在“普通用户”的状态下。同时,要对硬盘的权限做好对应的权限设置MS SQL SERVER才能正常运行。
将MS SQL SERVER运行于普通用户下
建立普通用户;
单击“开始”—“管理工具”—“计算机管理”,进入计算机管理界面。
单击“系统工具”—“本地用户和组”—“用户” ,进入用户管理;
在“用户”上右击,选中“新用户”,添加新用户;
进入新用户建立界面;
输入MS SQL SERVER运行用户“mssqlrun” ,并设置密码,单击“创建”建立该用户;
打开MSSQL SERVER安装盘根目录的安全属性(在安装盘盘符上右键单击,选择“属性”,在弹出的属性框中单击“安全”标签),
单击“添加”,在“选择用户或组”里输入刚刚添加的MSSQL运行用户“mssqlrun”,单击确定给MSSQLSERVER安装盘根目录添加用户;
设置“Mssqlrun”用户的权限,将默认的“读取和运行”权限取消,保留“读取”和“列出文件夹目录”权限,单击“确定”,保存该设置并退出;
进入MSSQL SERVER安装目录,同样在文件夹内右键选择“属性”;
打开MSSQL SERVER安装目录属性的“安全”属性,删除“SYSTEM”用户,添加“mssqlrun”用户,权限为完全控制;
设置完目录的权限后,就需要将MS SQL SERVER的运行用户设置为mssqlrun;
单击“此帐户”,设置帐户;
单击“浏览”,在输入框中输入MSSQL SERVER的用户“mssqlrun”;
在密码和确认密码中输入mssqlrun用户的密码,单击“应用”,系统弹出服务警告窗口“新的登录名只有在您停止并重启服务时才可生效。”,单击确定即可。
在电脑设置界面里点击“用户和帐户”选项,然后进入Win10系统的用户和帐户设置界面。如下图所示。 进入用户和帐户界面之后,点击“登录选项”,如下图所示。
点击登录选项后,后侧我们可以看到图片密码,点击图形密码下面的添加,进入“创建图片密码“界面,如下图所示。
点击添加图片密码之后,就进入了图形密码设置向导,设置图形密码首先Win10系统要输入密码进行用户验证,输入Win10系统密码后,点击确定。如下图所示。 密码验证正确后,点击“选择图片”选择一张适合做图形密码的图片,如下图所示,
注意:图形密码的图片选择时不要选择的太花哨而且要清晰容易识别,不然自己都有可能记不清图形密码的图形。
关键词:网络安全,实时监控,Windows
0 引言
随着计算机网络的迅猛发展, 从网络中获取信息已经成为人们学习和生活的一个重要手段, 但网络时刻都面临着来自各方面的威胁和攻击, 因此进行简单有效的网络安全监控就显得尤其重要[1]。从这个角度出发, 设计和实现了一个基于Windows的网络安全监控系统, 它能有效监测进出网络的数据, 具有良好的实时网络安全监控能力。
1 关键技术
1.1 包过滤技术
在网络中传输数据时, 为了保证所有共享资源的计算机都能公平、迅速地使用网络, 通常以数据包 (Packet) 为单位进行数据传输。包过滤技术[2]的工作原理就是数据包过滤, 即在网络中适当的位置上对数据包进行有选择的过滤, 它通过对数据包的IP头和TCP头或者UDP头的检查来实现。在TCP/IP中, 存在着一些标准的服务端口号, 如FTP的端口号为21, HTTP的端口号为80等, 通过屏蔽特定的端口可以禁止特定的服务。包过滤系统可以阻塞内部主机和外部主机或者另外一个网络之间的连接, 如可以阻塞一些被认为是有恶意的或不信任的主机或网络连接到用户的内部网络中来的。
包过滤是在网络层中的IP层实现的, 它根据数据包的源IP地址、目的IP地址、协议类型 (TCP包、UDP包、ICMP包) 、源端口、目的端口等包头信息以及数据包传输方向等信息来判断是否允许数据包通过。具体而言, 包过滤针对每一个数据包的包头, 结合事先制定的过滤规则对这些数据包作出判断, 从而采取相应的措施, 它可能会丢弃 (Drop) 这个包, 可能会接受 (Accept) 这个包, 也可能执行其它较为复杂的动作。
1.2 地址转换技术
地址转换技术是将一个IP地址用另一个IP地址来代替。这种技术主要应用在两个方面: (1) 网络管理员希望隐藏内部网的IP地址; (2) 内部网的IP地址是无效的。因此, 外部网不能访问内部网, 而内部网之间的主机则可以互相访问。
1.3 内容检查技术
内容检查技术能够提供对高层服务协议数据进行监控, 以确保数据流的安全。它是利用智能方式来分析数据, 使得系统免受信息内容安全威胁的一个软件组合[3]。
1.4 入侵检测技术
入侵检测技术可以采用概率统计方法、神经网络、专家系统、模式匹配和行为分析等来实现入侵检测系统的检测机制, 以此分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果[4]。
2 系统体系结构
本系统的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。因此本设计采用屏蔽子网的体系结构, 在堡垒主机上实现包过滤技术, 或者直接把系统安装在目标计算机上, 在目标计算机上实现包过滤技术。从而对其内部网的网络安全起到监控作用, 其体系结构如图1所示。
本设计通过包过滤技术来实现系统的监控作用。本系统最终体现在网络交换中, 在OSI的层次结构的关系, 如图2所示。
3 系统功能和模块的详细设计
本系统的主要功能是封包过滤。其中入侵检测、控管规则、包过滤和实时监控等功能都是基于封包过滤技术的。其功能具体设计为: (1) 根据应用程序的访问规则可以对应用程序连网动作进行过滤; (2) 可以实时监视和控制相应的网络活动; (3) 具备日志功能, 用以记录网络访问动作的详细信息; (4) 被攻击或拦阻时, 能够通过弹出窗口来实时显示警示, 方便用户采取相应的措施。
根据模块、对象化编程的思想, 本系统设计分为五个模块:数据包捕获模块、包过滤模块、控管规则模块、报警信息模块、用户模块。其模块设计的流程图, 如图3所示。
3.1 数据包捕获
目前从网络中捕获数据包有两种方法:第一, 采用专用硬件;第二, 利用普通计算机与网络连接的通用硬件网络适配器 (即网卡) , 用软件来完成数据包的捕获。软件捕获数据包虽然在性能上比不上专用硬件, 然而其实现成本相对更低, 并且修改方便、更新容易。因此, 本设计采用软件的捕获方法来实现数据包的捕获。
通常, 一个合法的网络接口只响应以下两种数据包 (帧) :第一, 帧的目标地址具有和本地网络接口相匹配的硬件地址;第二, 帧的目标地址是“广播地址” (代表所有的接口地址) , 格式如下:“FF FF FF FF FF FF”。当接收到这两种数据帧时, 网卡通过CPU产生中断, 操作系统进行中断处理后将数据帧中包含的数据传给上层系统作进一步处理, 而在其他情况下数据帧将被丢弃而不作处理。
数据包捕获主要是对网络数据包进行捕获, 并且进行报文分类。截获数据包是实现一个系统所有功能的第一步, 截获数据包可以在用户状态下拦截网络数据包, 也可以在核心状态下进行数据包截获。由于本设计采用软件的方法来实现其捕获功能, 所以本系统的数据包捕获是在用户状态下来拦截网络数据包。在用户状态下进行网络数据包拦截有以下三种方法: (1) Winsock Layered Service Provider; (2) Windows包过滤接口; (3) 替换系统自带的Winsock动态连接库。
本设计是利用VB6.0的Winsock[5]来实现数据包的捕获, 每次获取数据后必须有一段延时, 数据取到之后必须放在缓冲区 (Buff) 的数组中。
3.2 包过滤实现
包过滤模块是本软件设计的重点。一旦驱动程序截获网络数据包后, 就跟本系统相互通讯, 通知本系统对数据包进行判断, 如果符合控管规则, 就接受数据包, 反之丢弃该数据包。本模块利用VB6.0来实现, 其主要设计步骤如下:
(1) 创建一个事件Event。
(2) 通过CreateFile 函数创建驱动程序实例, 并调用其中的Winsock。
(3) 把Event这个事件的句柄传给所创建的驱动程序。
(4) 驱动程序通过DeviceControl的函数来接受Event的句柄。
(5) 通过的DeviceIOControl的函数来传递控制驱动程序的消息。
(6) 通过Dispatch历程来获取应用程序传递过来的消息, 再由消息类型确定进行相应的服务。
(7) 把结果数据放入共享内存区中, 设置Event事件通知本模块所请求的事情已经响应完成。
(8) 根据上面的结果, 再通过VB的WaitForSingleObject函数来获知事件发生。
(9) 在共享内存区中获取数据, 并且将该事件重置。
包过滤模块是根据本系统设计的控管规则 (主要有IP规则、端口规则、高级规则、TCP/UDP协议) 来进行过滤。一旦捕获数据包后, 本模块就根据以上步骤对其进行必要的检测, 使系统做出相应的判断。在本模块设计中, 充分利用了入侵检测技术。
3.3 控管规则设计
控管规则模块负责对过滤规则进行控制与管理, 包过滤就是建立在本模块的基础之上的。在实际操作中, 用户可以根据需要, 对控管规则进行修改和管理, 如对特定的计算机进行限制或放行、对特殊端口进行特别管理等。在本模块中, 为了便于跟踪发生网络安全事件的主机, 充分利用了地址转换技术, 捕获其IP或端口等。在本系统中, 控管规则按以下优先级顺序应用:
(1) 阻止连接。
(2) 连接询问。
(3) 允许连接。
通过以上的控管规则优先级别的调用, 确定相应的出入站通信, 从而对进出网络的数据进行有效的安全监控。
3.4 报警信息
报警信息模块的功能是实时报警。首先检测是否告警, 一旦收到告警信息, 马上向报警信息模块发出指示, 并负责将报警信息实时地提示用户, 用户则可自行判断如何操作。
3.5 用户界面设计
根据需求, 用户模块主要功能设计如下:实时监控、通信阻止与允许、规则更改、监控日志等。在本系统的设计中, 充分为用户考虑, 尽量使操作界面简单清晰, 用户根据提示很容易就能进行判断, 做出相应的操作选择。
4 测试
(1) 基本功能测试
本系统通过对报警提示、流量监测、规则更改和日志功能等进行测试, 达到了预期目的。
(2) 网络丢包率测试
在千兆网卡80%的负载环境下, 对系统进行了应用测试, 其平均丢包率小于0.05, 如表1所示。
结论:经测试本系统在网络环境中能够获得较严格的访问控制策略, 实现对数据包的控制访问;并且在流量大于100Mbps的千兆网卡上, 丢包率小于万分之一, 性能达到了网络安全软件行业的标准。测试结果显示, 系统能有效监测进出网络的数据, 对数据包进行严格访问控制, 实现入侵检测和流量监测, 具有良好的实时安全监控能力。
5 发展趋势
总体而言, 网络安全监控技术是构成整个网络安全系统的关键, 它通过检测和控制网络之间的信息交换、访问来对计算机网络的信息安全进行保护。一款多功能、高安全性的网络安全监控系统可以让用户的网络更加安全可靠。但这些的前提是要确保网络的运行效率, 因此在网络安全监控系统的发展过程中, 必须始终将高性能放在重要位置, 目前的这类系统都正在朝这个方向努力。作为优秀的此类系统产品, 它应该包含有访问控制、网络地址转换、代理、认证、日志审计等基础功能, 而且应该拥有自己的特色。
6 结束语
随着威胁网络安全的因素越来越多, 攻击方式不断翻新, 维护网络环境的安全是十分必要的。本系统是在Windows XP环境下, 利用VB6.0工具设计与实现的。本系统具有操作简单、控管规则简化和可维护性强等特点, 能对用户的网络安全进行简单有效的保障。但由于网络安全问题是一个非常复杂的系统工程, 如何提高它在实际中的防御能力, 还需要不断地去思考、去探索。
参考文献
[1]韩彬.防火墙技术在网络安全中的实际应用[J].科技资讯, 2010 (1) :13.
[2]杨永杰, 冯军, 谢正光.一种基于ND IS网络数据包过滤器的设计[J].计算机应用与软件, 2010, 27 (7) :100-102.
[3]柳婵娟.网络安全审计与监控系统的设计与实现[J].电脑知识与技术, 2008, 3 (7) :1391-1393.
[4]高翔.基于协议分析的入侵检测系统研究[J].自动化与仪器仪表, 2010, 150 (4) :24-27.
Windows 的HTML帮助系统的设计目的是通过图形、多媒体和链接信息帮助PC用户更好地使用Windows,但是黑客可以利用这个系统来进入您的文件,甚至控制您的PC。
最新发现的两个HTML帮助系统的漏洞可以侵袭Windows XP和2000的任务管理器,并且这样的漏洞在早期的Windows版本像Windows 98/98 SE/Me中也同样存在。
不幸的是目前微软还没有针对早期的Windows版本开发出修补方案,微软的解释是早期的Windows版本对任务管理器bug不太敏感。
目前黑客还没有针对HTML帮助系统的漏洞开发出恶意攻击程序,但会强迫用户访问一些特定的网站。
像微软产品中的其它安全漏洞一样,黑客可以利用HTML帮助系统漏洞向机器发送一些系统错误。
微软将HTML帮助系统漏洞设定为“危险”级,因为如果黑客利用成功就可以完全接管用户的PC,并因此可以自如地管理或者偷盗用户文件,甚至完全破坏硬盘上的所有文件。
微软已经为Windows XP和2000发布了补丁,如果您使用Windows XP,我们推荐您使用SP2,目前微软还没有发布Windows 98和Me的补丁。
虽然目前还没有针对此漏洞的攻击报告,但不要心存侥幸。到
Dell 召回笔记本电脑电源适配器
Dell公司正在召回28000个Latitude系列和Inspiron系列笔记本电脑的部分电源适配器,这些笔记本电脑包括Latitude X300、D400、D500、D505、D600 和D800, Inspiron 300m、 500m、510m、600m、I8500、I8600 和 Precision M60,2003年11月到2004年4月间售出的这些笔记本电脑产品中,电源适配器上标注了"DELL"和 "Dell P/N W1451"的,都在召回之列。 详情咨询:
IBM召回旧款笔记本电脑电源适配器
IBM宣布召回于1999年1月至2000年8月期间装配在IBM ThinkPad 笔记本电脑上的56W交流电源适配器。装配有这些适配器的IBM产品主要是ThinkPad I系列、390和240、及S系列(未在中国大陆销售)笔记本电脑。目前上述系列的笔记本电脑已经停止销售。
这批适配器由德尔塔(Delta)电子集团为IBM制造生产。召回适配器的IBM零部件编号为02K6549,在连接处有三个空心金属插针。
IBM提醒拥有这批适配器的用户,当本人不在现场时,请不要将适配器插在任何交流电源插座上。同时,替换产品可通过访问更换网站获取: www.AdapterProgram.com 详情请咨询IBM服务中心800-810-1818转5070,该电话开通时间为周一至周五上午8:30— 下午5:30 (节假日除外)。
Red Hat企业版3进行第3次升级
Red Hat网络用户现在可以通过up2date特性进行在线升级,以体验不同的技术改进。目前新的升级版本在RHN(Red Hat Network )的下载站点上还只提供beta版ISO镜像下载,不过正式版的也将很快被公布出来。
利盟召回存在安全隐患的打印机
利盟公司近日宣布召回2004年5月~8月间生产的部分可能存在漏电隐患的打印机,这些产品通过利盟、IBM和戴尔出售,其中包括利盟E232、E232t、E330、E332n和E332tn,戴尔1700和1700n,IBM Infoprint 1412和1412n,目前国内市场只有E332和E230两款产品存在问题,对于出现该问题的产品,利盟一律实行免费更换或维修。如果您使用这两款型号的打印机,请尽快跟利盟中国(800-810-0595)联系。
您在日常的使用过程发现的产品硬件和软件漏洞、缺陷,请告诉我们
新的IE补丁包
微软新发现了3个最新的“危险”级的IE安全漏洞,其中的一个与7月份发作的"download.ject" 和 "Scob" 病毒很像,攻击者可以接管用户的键盘。
把注册表位置
HKEY_USERSS-1-5-20
HKEY_USERSS-1-5-20_Classes
NETWORK SERVICE 帐号的完全权限,改为读取权限,就可以防范了
补充:为了安全考虑我们一般包括虚拟主机设置软件,都是各个网站都是独立用户的,这样才能更好的防止提取,而且有效的保护了各个网站之间安全问题,一个出问题,其它网站不会受到影响,
windows服务器安全设置之提权篇WEB安全
,
如果有虚拟主机管理软件更好
之前我们报道过有用户在仔细研究了泄露的Windows biuld 9385后发现系统文件中存在与“指纹密码(fingerprint password)”相关的文件,推测Windows 8.1中将会增加指纹登录系统功能,不过当时该功能目前尚未启用,今天曝光的界面截图中再次证明了Windows 8.1中很可能将加入指纹登录系统功能,增强系统安全保护,
截图中显示了系统登录选项设置中的增加指纹帐户的界面。需要用户在指纹阅读器中移动手指,系统记录用户指纹扫描数据,设置成功之后会在登录界面出现相关的选项,然后再次对指纹进行扫描配对最终确定能够用这个指纹数据登录系统。
指纹识别技术其实并不新鲜,已经应用在商务和需要高度安全的的领域内,而且基本上都是由第三方软件公司进行推动。本次微软自己将其作为原生应用整合到Windows系统中,为消费者登录系统提供更多方便和安全。新用户用旧桌面
用自己的名字建一個新用户本来是一件开心的事儿,但用新用户名登录后却发现桌面变成了刚安装好Windows时的样子,这就非常不方便了。
打开“我的电脑”,进入系统盘下的Windows安装目录,其中有一个名为“Documents and Settings”的文件夹,找到Administrator用户名,复制其中的“桌面”文件夹,将它粘贴到新建用户名下覆盖同名文件即可。如果你在复制粘贴“桌面”文件夹的同时,也一并复制了Administrator用户名下的“开始菜单”和“收藏夹”到新建用户名下,还可以恢复原来的开始菜单和收藏夹设置。顾名思义,这些文件夹中包含了原来Administrator用户名内所有的桌面、安装软件及收藏夹的信息,复制到新建用户名文件夹后就相当于让新用户有了和旧用户一样的信息。现在重新启动电脑后,所有的信息就回归原位了。
小试身手,登录Adiministrator账号
如果想直接登录原来的Adiministrator账号该怎么办呢?其实也很简单,这里就有三个方法:
1.右击“我的电脑”,在弹出菜单中选中“管理”,在打开的“计算机管理”界面下单击“本地用户和组/用户”,这时在右侧窗口会显示所有用户名。右击你新建的账号,选择“属性”,选中“账号已停用”复选框后注销或者重启一次计算机就OK了。
2.单击“开始/控制面板”,找到“用户账户”图标,双击打开,选择“更改用户登录或注销的方式”,在弹出界面中去掉“使用欢迎界面”前的小钩,把登录方式修改掉。重新启动电脑后,你就会看到Adiministrator账号了,以后每次登录时直接在登录框中手动输入Administrator用户名和密码即可。
2、所有盘符根目录只给system和Administrator的权限,其他的删除。
3、将所有磁盘格式转换为NTFS格式。
命令:convert c:/fs:ntfsc:代表C盘,其他盘类推。WIN08 r2 C盘一定是ntfs格式的,不然不能安装系统
4、开启Windows Web Server 2008 R2自带的高级防火墙。
默认已经开启。
5、安装必要的杀毒软件如mcafee,安装一款ARP防火墙,安天ARP好像不错。略。
6、设置屏幕屏保护。
7、关闭光盘和磁盘的自动播放功能。
8、删除系统默认共享。
命令:net share c$ /del这种方式下次启动后还是会出现,不彻底。也可以做成一个批处理文件,然后设置开机自动执动这个批处理。但是还是推荐下面的方法,直修改注册表的方法。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下面新建AutoShareServer,值为0 。。重启一下,测试。已经永久生效了。
9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码,你说这个密码谁能破。。。。也只有自己了。...
重命名管理员用户组Administrators。
10、创建一个陷阱用户Administrator,权限最低。
上面二步重命名最好放在安装IIS和SQL之前做好,那我这里就不演示了。
11、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
12、本地策略——>用户权限分配
关闭系统:只有Administrators 组、其它的全部删除,
管理模板 > 系统 显示“关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。
13、本地策略——>安全选项
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM 帐户和共享的匿名枚举 启用
网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
14、禁止dump file 的产生。
系统属性>高级>启动和故障恢复把 写入调试信息 改成“无”
15、禁用不必要的服务。
TCP/IP NetBIOS Helper
Server
Distributed Link Tracking Client
Print Spooler
Remote Registry
Workstation
16、站点方件夹安全属性设置
删除C: inetpub 目录。删不了,不研究了。把权限最低。。。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为:
System 完全控制
Administrator 完全控制
Users 读
IIS_Iusrs 读、写
在IIS7 中删除不常用的映射 建立站点试一下。一定要选到程序所在的目录,这里是www.postcha.com目录,如果只选择到wwwroot目录的话,站点就变成子目录或虚拟目录安装了,比较麻烦。所以一定要选择站点文件所在的目录,填上主机头。因为我们是在虚拟机上测试,所以对hosts文件修改一下,模拟用域名访问。真实环境中,不需要修改hosts文件,直接解释域名到主机就行。目录权限不够,这个下个教程继续说明。至少,我们的页面已经正常了。
17、禁用IPV6。看操作。
【关键词】电梯检验;控制系统;主要故障;故障解决
随着电梯使用量的增加和使用环境的限制,电梯的正常运行成为生产,应用者不容忽视的问题,据调查,电梯故障通常由控制系统引发,因此要加强电梯的检验。
1、电梯运行过程
电梯的运行就是指轿厢受到绳索的牵引,沿着垂直的轨道上下运动,实现运输的目的。其中的电器系统对电梯运动加以控制,使电梯实现楼层选择,速度控制。指示系统则显示电梯运行的方向和位置,补偿装置可以增加电梯运行的平稳度,制动器则是使电梯停在设定的位置,方便乘坐者进出,各类安全装置则是对电梯正常运行增加双层保险。
2、电梯控制系统主要故障介绍
电梯故障就是指电梯的元器件或设备、线路等发生毁坏或异常,引起乘坐者的不适,或者导致电梯的正常工作。根据现实生活中常见的电梯故障,将电梯故障主要分为两大类,一类是短路故障,一类是断路故障,只有了解这两类故障发生的原理,才能更好的排查故障源,解除故障。下面即对这两类常见故障进行介绍。
2.1短路故障
出现短路故障主要有两方面原因:一方面是由于电源发生短路,电源短路后,使得电路中的内阻变很小,电路中出现的极大电流会直接毁坏电容等设备,但是通常这种电源短路能够被比较及时的发觉,只要对电路稍加排查就能找出问题所在,并及时的解决问题;另一方面是由于电路中某个局部位置发生短路,即某局部本不该连通的电路被组成回路接通,这种局部电路的短路通常不会产生足以毁坏电路装置的强大电流,但是可能会造成电梯工作的失控,而且不像电源短路易解决,一般排查比较繁杂,需要对电路进行逐段的排查,依次寻找故障源。
2.2断路故障
断路故障就是指电路中本该接通的部分被切断,引起断路的原因一般有电路局部部分的引入引出接头线松掉,或者连接点处接触不畅,最终导致电路中元器件毁坏,使电梯无法正常工作。断路故障的检测方法主要分两种:万用表检测方法和短路法,其中万用表检测法要利用电压档和电阻档。用电压档测试时,接通电源,测量电路的电位,根据读数判断断路处;用电阻档测试时,不用电源,直接根据电路图测电阻,由读数大小确定断路点。用短路路检测时,根据电气控制原理图检测可能的故障点。
3、电梯控制系统故障解决
3.1短路故障解决办法
如果是电源发生短路,电路中内阻很小,产生的电流大到足以毁坏元器件,这类故障特点比较鲜明、易查,这时只需对主控电路排查找出问题所在,对毁坏元器件换新即可。如果是电路中某个局部位置发生短路,电路中的电流没有足够大到可以损坏元器件,因此不易查,这时需要对电路进行分段,然后逐段排查故障所在。
3.2断路故障解决办法
这种故障通常采用采用万用表检测法和短路法,万用表检测法需要采用电压档和电阻档。具体的操作方法如下:
采用电压档时,首先接通电源,接着按照电路设计图,将表笔置于线路的两端点,根据读数大小判断是否有故障,如果读数很大,表明此处电压很大,有可能是断路;如果读数显示正常,并没有太大变化,则表明此线路处工作正常,可以继续检测另外位置的线路。采用电阻档时,不必接通电源,按照电路图,直接测量各条线路内的电阻即可,如果检测过程中阻值突然变大,则表明检测处有断路故障;如果电阻值没有太大变化,表明线路内工作正常,可继续排查其他线路。采用短路法,利用带灯泡的导线,将其连入某段线路,若此时灯泡亮了,表明此段线路原先断路,若没有,则表明此段线路正常工作,可继续排查其他线路,直到确定故障源头。
3.3专门安全装置的设置
3.3.1极限开关设置
电梯运行过程中,如果遇到限位开关不起作用了,电梯的轿厢到达最高,最低位置后,没有限位开关的控制,则继续向上,或向下运行,直到碰撞到电梯井道的最顶端或最底端,给电梯内人员带来危险。所以在现行标准里面强制要求设置极限开关,保证在限位开关失效的情况下还能使电梯不失去控制,不会超过极限开关设置的最高或者最低位置,一旦碰到极限开关,将会切断电路,停止电梯的运行工作,避免了人身伤害。
3.3.2安全钳设置
电梯在工作过程中,若产生超速失控,绳索断裂等问题时,安全钳的作用就是将轿厢紧急制停,并将其及时夹持到导轨上,作为限速操作下紧急制停的执行装置,极大保证了电梯的安全运行。
3.3.3限速器设置
限速器也是保证电梯安全运行的重要装置,当遇到电梯超速失控,绳索断裂等情况时,它会紧急拖动轿厢到正常工作的导轨上,减少或者避免了人身伤害和工作设备的毁坏的问题,对限速器的检验,一定要谨遵规范,细致检查,保证电梯的安全停靠。
3.3.4补偿装置设置
补偿装置通常用于超高建筑,或者电梯高速运行,或者装载特重货物时,起到平衡电梯运行的作用。即它可以根据高层,高速,高载等特殊工作条件判断电梯的运行状态,平衡锁链提拉牵引轿厢的摩擦力,从而增加了电梯运行的平稳性,保护了电梯相关设备,减少了安全事故的发生几率。
4、结语
电梯作為城市发展和现代建筑业发达的必要产物,为人们的日常生活提供了极大的便利,但是高层,高载,高速的条件为电梯的良好运行提出了很大的挑战,电梯故障带来的人身安全问题已越来越提起人们的关注与重视,因此我们要加强电梯的检验工作,熟知电梯故障发生的原理及排除方法,才能更好的保证电梯的良好运行。
参考文献
[1]李捷,李莹.浅谈电梯检验中控制系统的常见问题[J].中国新技术新产品,2013,19:139-140.
??在有些系统中有这样的需求,希望内部网中的某几个IP地址连接互联网,而又希望这些IP地址不被非法用户盗用。可以通过下面的解决办法实现:
首先使用ipchains或者iptables来设定只允许合法的IP地址连出。
对于合法IP建立IP/Mac捆绑。要讨论这个问题我们首先需要了解ARP协议的工作原理,arp协议是地址解析协议(Address Resolution Protocol)的缩写,其作用及工作原理如下:
在底层的网络通信中,两个节点想要相互通信,必须先要知道源与目标的MAC地址。为了让系统能快速地找到一个远程节点的MAC地址,每一个本地的内核都保存有一个即时的查询表(称为ARP缓存)。ARP中有影射远程主机的IP地址到其对应的MAC地址的一个列表。地址解析协议(ARP)缓存是一个常驻内存的数据结构,其中的内容是由本地系统的内核来管理和维护的。默认的情况下,ARP缓存中保留有最近十分钟本地系统与之通信的节点的IP地址(和对应的MAC地址),
当一个远程主机的MAC地址存在于本地主机的ARP 缓存中,转换远程节点的IP地址为MAC地址不会遇到问题。然而在许多情况下,远程主机的MAC地址并不存在于本地的ARP缓存中,系统会怎么处理呢?在知道一个远程主机的IP地址,但是MAC地址不在本地的ARP缓存中的时候,以下的过程用来获取远程节点的MAC地址:本地主机发送一个广播包给网络中的所有的节点,询问是否有对应的IP地址。一个节点(只有一个)会回答这个ARP广播信息。在回应的信息包里就会包含有这个远程主机的MAC地址。在收到这个返回包后,本地节点就会在本地ARP缓存中记录远程节点的MAC地址。
如果我们将IP/MAC对应关系建立为固定的,也就是对那些合法IP地址建立静态的MAC对应关系,那么即使非法用户盗用了IP地址linux路由器在回应这些IP发出的连接请求时则不会通过arp协议询问其mac地址而是使用Linux建立的静态MAC地址、发出应答数据这样盗用IP者则不会得到应答数据从而不能使用网络服务。
建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:
192.168.2.32 08:00:4E:B0:24:47
然后再/etc/rc.d/rc.local最后添加:
arp -f
即可
2.4内核的iptables可以对IP和Mac同时进行限定,使用该功能对合法IP的规则同时限定IP地址和Mac地址即可。
1987年10月推出windows 2.0,比 windows 1.0版有了不少进步,但自身不完善,效果不好,
1990年5月windows 3.0 版推出,期间微软继2.0后还有代号为286、386两款系统,但因其自身原因,一直没有得到人们的注意。直到3.0的出现才改观了这种局面,windows逐渐占据了个人电脑系统,3.0也首次加入了多媒体,被舆为“多媒体的dos”。
1992年windows 3.1发布,该系统修改了3.0的一些不足,并提供了更完善的多媒体功能。windows系统开始流行起来。
1993年11月windows 3.11发布,革命性的加入了网络功能和即插即用技术。
1994年windows 3.2发布,这也是windows系统第一次有了中文版!在我国得到了较为广泛的应用。
1995年8月24日windows 95发布,windows系统发生了质的变化,具有了全新的面貌和强大的功能,dos时代走下舞台。95标明了一个“开始”按钮的介绍以及桌面个人电脑桌面上的工具条,这一直保留到现在视窗后来所有的产品中。
198月24日windows nt4.0发布,在93、94年微软都相继发布了3.1、3.5等版nt系统。主要面向服务器市场。
196月25日windows发布,基于windows 95上,改良了硬件标准的支持,例如mmx和agp。其它特性包括对fat32文件系统的支持、多显示器、web tv的支持和整合到windows图形用户界面的inte
【windows系统安全设置】推荐阅读:
妙用Windows系统“安全模式”01-26
windows系统基本操作10-15
windows操作系统课件12-05
Windows7系统文件共享12-24
Windows98操作系统优化实战01-28
网络通信命令详解Windows系统02-21
加强Windows安全性06-12
windows实验09-22
