发布时间 : 星期日 文章中小型企业网络安全整体解决方案 - 图文更新完毕开始阅读
北京工业大学通州分校
2511路由器广域网接口 2511路由器局域网接口 192.168.0.2/24 公共服务器 Web 192.168.0.3/24 DNS Mail Ftp
192.168.0.4/24 192.168.0.5/24
内部工作站 CONSOLE 10.0.0.1/24 网管工作站 路由设置 目的网络/掩码 网关地址 0.0.0.0/0.0.0.0 202.96.151.206 DNS设置 202.96.128.68 系统纪绿输出地址 CONSOLE
第一节 入网访问控制策略
入网访问控制策略为网络访问提供了第一层访问控制。它控制那些用户能够登录打服务器并获取网络资源,控制准许用户入网时间和准许他们在哪台工作站入网。用户的入网访问控制科分为三步骤:
(一)用户名的识别与验证:如图3—2
图3—2登录用户名
(二)用户口令的识别与验证:如图3—3
9
北京工业大学通州分校
图3—3登录密码
第二节 网络的权限控制
网络的权限控制是针对网络非法操作所提供的一种安全保护措施。用户和用户被赋予一定的权限。网络控制用户和用户可以访问哪些目录。子目录文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备、继承权限屏蔽相当于一个过滤器。可以限制子目录从父目录那里继承哪些权限。
我们可以根据访问权限将用户分为以下几种类:
①特权用户(即系统管理员)
②一般用户。系统管理员根据他们的实际需求为他们分配操作权限; ③审计用户,负责网络的安全控制与资源使用情况的审核。
第三节 目录级安全控制
网络应允控制用户对目录、文件、设备的访问。用户在目录一级制定的权限对所有文件和子目录有效,用户还可以一步制定对目录下的子目录和文件权限。对目录和文件的访问权限一般分为8种:
系统管理员权限(supervisor) 读权限(read) 写权限(write) 创建权限(create) 删除权限(erase) 修改权限(modify)
文件查找权限(file scan)
存储控制权限(access control)
用户对文件或目标有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户制定适
10
北京工业大学通州分校
当的访问权限,这些访问权限控制着用户对服务器的访问。8中访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制对服务器资源的访问。从而加强了网络和服务器的安全性。
第四节 属性安全控制
当用文件、目录和网络设备是,网络系统管理员应给文件目录制定访问属性。属性安全控制可以将给定的属性与网络服务器的分拣、目录和网络设备联系起来、属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都预先标出一组安全属性、用户对网络资源的访问对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以制定的任何受托者指派和有效权限。属性往往能控制一下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐藏文件、共享。系统属性等。网络的属性可以保护重要的目录和文件。防止用户对目录和文件的误删除、执行修改。显示等。
(一)进入选项设置
右击“我的电脑”>管理>本地用户和组>用户>新建一个用户比如shareuser,给他设置密码,这个密码就使我们准备给共享用户的密码,默认情况下此用户是隶属于users组的,不需要修改所属组
1.删除不再使用的账户,禁用guest账户 ⑴ 检查和删除不必要的账户 右键单击“开始”按钮,、打开“资源管理器”,选择“控制面板”中的“用户和密码”项;
在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用,删除其中不用的账户。
如图3—5所示
图3—5用户账户管理
⑵ 禁用guest账户
为了便于观察实验结果,确保实验用机在实验前可以使用guest账户登陆。 打开“控制面板”中的“管理工具”,选中“计算机管理”中“本地用户和组”,打开“用户”,右键单击guest账户,
对话框中“帐户已停用”一栏前打勾。
11
北京工业大学通州分校
确定后,观察guest前的图标变化,并再次试用guest用户登陆,记录显示的信息。如图3—6所示
图3—6账户禁用
(二)进行权限设置
2.启用账户策略 ⑴ 设置密码策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”;双击“密码策略”,在右窗口中,双击其中每一项,可按照需要改变密码特性的设置。根据你选择的安全策略,尝试对用户的密码进行修改以验证策略是否设置成功,记录下密码策略和观察到的实验结果。
⑵ 设置账户锁定策略
打开“控制面板”中的“管理工具”,在“本地安全策略”中选择“账户策略”。双击“帐户锁定策略”。
在右窗口中双击“账户锁定阀值”,在弹出的对话框中设置账户被锁定之前经过的无效登陆次数(如3次),以便防范攻击者利用管理员身份登陆后无限次的猜测账户的密码。
在右窗口中双击“账户锁定时间”,在弹出的对话框中设置账户被锁定的时间(如20 min)。如图3—7
12