不可忽視的網絡終端安全策略

強化權限管理，完善帳戶安全策略

檢查帳戶策略設置。配置密碼策略時，通常要求密碼必須符合復雜性標準，密碼長度最小值、最短使用期限、最長使用期限也要合理設置，登錄時密碼輸入錯誤達到指定次數系統能自動鎖定該登錄帳戶，可通過“本地安全策略”、“密碼策略”進行檢查、設置。

檢查審核策略設置。通常帳戶登錄、系統事件審核應包含成功和失敗操作，策略更改、帳戶管理等事件審核應包含成功操作，既能保證審核安全信息質量較高，又能使系統資源占用較少，可通過“本地安全策略”、“審核策略”進行檢查、設置。

檢查用戶權限分配。權限定義了授予用戶或組對某對象或屬性訪問類型。應嚴格限制用戶完全控制權限，防止默認共享被用作入侵通道，對威脅系統安全的權限應做到禁用或嚴格限制，可通過“本地安全策略”、“用戶權利指派”進行檢查、設置。

修改注冊表設置，優化系統安全選項

檢查并設置注冊表修改權限。WindowsServer 2003下比較安全的做法是僅允許管理員訪問注冊表，具體方法是，在系統目錄下找到regedit.exe文件，右鍵選擇“權限”欄進行檢查，最好將無關用戶權限取消。

檢查并清空遠程可訪問的注冊表路徑。為有效防止攻擊者通過遠程注冊表讀取系統信息，應禁止該功能。具體方法是，打開組策略編輯器，依次展開“計算機配置”、“Windows 設置”、“安全設置”、“安全選項”，找到“網絡訪問:可遠程訪問的注冊表路徑” 進行檢查，最好將內容全部刪除。

檢查并加固注冊表安全項。常用選項設置包括：

1.為 防止ICMP重定向報文的攻擊，打開“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetServicesTcpipParameters”， 將“Enable ICMPRedirects”值設為0。

2.為防止SYN洪水攻擊，打開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”，新建DWORD值，名 為“SynAttackProtect”，最好把數值設為2。

3.為禁止IPC空連接，打開“HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetControlLSA”，最好把RestrictAnonymous數值改成1。

配置IP策略，實施網絡安全控制

檢查并限制無關服務及端口。開放無關服務會給入侵提供通道，通常建議將不必要的服務禁用，比 如 Computer Browser、Distributed File System、TCP/IP NetBIOS Helper、Telnet等。端口對應服務，僅開放必要服務及端口是確保網絡安全的有效途徑。具體方法是，設置“Internet協議”屬性，啟用“TCP/IP篩選”,添加“允許通過的協議和端口”，只開放必要的服務端口，限制攻擊者的入侵途徑。

檢查并制定IP安全策略。 IPSec支持系列加密算法，可進行數據源認證，篩選特定IP或端口，提供安全、透明、高效的網絡防護。具體實施方法是：

1.定義策略。依次打開“管理工具”、“本地安全設置”，選擇“創建IP安全策略”。

2.定義篩選器操作。右鍵點擊“IP安全策略”選擇“管理IP篩選器表和篩選器操作”，定義“IP 篩選器列表”和“IP 篩選器屬性”，設置“源地址”、“目標地址”、“協議類型”、“協議端口”。

3.定義規則屬性。在“新規則屬性”窗口中點選創建的規則，點擊“管理篩選器操作”選項卡下的“添加”，點選“安全措施”下的“阻止”選項。

4.生效策略。在組策略窗口中，右鍵點擊創建的策略，選擇“指派”，實現對該策略的啟用。