Windows 2003安全策略的制定

新客网 XKER.COM 2006-10-24 来源：收藏本文

　　对于基于Windows Server 2003的远程访问服务器来说，默认情况下将允许具有拨入权限的所有用户建立连接。因此，安全防范的第一步就是合理地、严格地设置用户账户的拨入权限，严格限制拨入权限的分配范围，只要不是必要的就不给予此权限。对于网络中的一些特殊用户和固定的分支机构的用户来说，可通过回拨技术来提高网络安全性。这里所谓的回拨，是指在主叫方通过验证后立即挂断线路，然后再回拨到主叫方的电话上。这样，即使帐户及其密码被破解，也不必有任何担心。需要注意的是，这里需要开通来电显示业务。

　　在Windows Server 2003网络中，如果活动目录工作在Native-mode(本机模式)下，这时就可以通过存储在访问服务器上或Internet验证服务器上的远程访问策略来管理。针对各种应用场景的不同，可以设置多种不同的策略。具体的管理比较复杂，由于篇幅有限，大家可参考相关资料，这里就不再作详细介绍。

　　5、限制特权组成员

　　在Windows Server 2003网络中，还有一种非常有效的防范黑客入侵和管理疏忽的辅助手段，这就是利用“受限制的组”安全策略。该策略可保证组成员的组成固定。在域安全策略的管理工具中添加要限制的组，在“组”对话框中键入或查找要添加的组。一般要对管理员组等特权组的成员加以限制。下一步就是要配置这个受限制的组的成员。在这里选择受限制的组的“安全性(S)”选项。然后，就可以管理这个组的成员组成，可以添加或删除成员，当安全策略生效后，可防止黑客将后门账户添加到该组中。

　　6、防范网络嗅探

　　由于局域网采用广播的方式进行通信，因而信息很容易被窃听。网络嗅探就是通过侦听所在网络中所传输的数据来嗅探有价值的信息。对于普通的网络嗅探的防御并不困难，可通过以下手段来进行：

　　1)采用交换网络

　　一般情况下，交换网络对于普通的网络嗅探手段具有先天的免疫能力。这是由于在交换网络环境下，每一个交换端口就是一个独立的广播域，同时端口之间通过交换机进行桥接，而非广播。网络嗅探主要针对的是广播环境下的通信，因而在交换网络中就失去作用了。

　　随着交换网络技术的普及，网络嗅探所带来的威胁也越来越低，但仍不可忽视。通过ARP地址欺骗仍然可以实现一定范围的网络嗅探，此外黑客通过入侵一些型号的交换机和路由器仍然可以获得嗅探的能力。

　　2)加密会话

　　在通信双方之间建立加密的会话连接也是非常有效的方法，特别是在企业网络中。这样，即使黑客成功地进行了网络嗅探，但由于捕获的都是密文，因而毫无价值。网络中进行会话加密的手段有很多，可以通过定制专门的通信加密程序来进行，但是通用性较差。这时，完善IP通信的安全机制是最根本的解决办法。

　　由于历史原因，基于IP的网络通信技术没有内建的安全机制。随着互联网的发展，安全问题逐渐暴露出来。现在经过各个方面的努力，标准的安全架构也已经基本形成。那就是IPSec机制，并且它将作为下一代IP网络标准IPv6的重要组成。IPSec机制在新一代的操作系统中已经得到了很好的支持。在Windows Server 2003系统中，其服务器产品和客户端产品都提供了对IPSec的支持。从而增强了安全性、可伸缩性以及可用性，同时使部署和管理更加方便。

　　在Windows Server 2003系统的安全策略相关的管理工具集(例如本地安全策略、域安全策略、组策略等)中，都集成了相关的管理工具。为清楚起见，通过Microsoft管理控制台MMC定制的管理工具来了解一下。

　　具体方法如下：首先在“开始”菜单中单击“运行”选项，然后键入mmc，并同时单击“确定”按钮。在“控制台”菜单中选择“添加删除管理单元(M)”命令，然后，单击其中的“添加”按钮。在可用的独立管理单元中，选择“IP安全策略管理”选项，双击或单击“添加”按钮，在这里选择被该管理单元所管理的计算机，然后单击“完成”按钮。关闭添加管理单元的相关窗口，就得到了一个新的管理工具，在这里可以为其命名并保存。

共4页: 上一页 [1] [2] [3] [4] 下一页

标签：

顶一下

上一篇：在 Windows Server 2003 中使用软件限制策略
下一篇：Windows Server 2003全接触(1)

【收藏】【评论】【推荐】【投稿】【打印】【关闭】