第一期中小学网络安全培训班教案.docVIP

第一期“中小学网络安全培训班”教案

第一章网络安全知识及安全配置

一.在用户安全设置方面

1.禁用Guest账号。不论工作组模式还是域模式，都应该禁用此账号。惟一的例外就是极少数量(10台以下)的机器之间用网上邻居互访共享文件夹，且不和公网相连，可以继续保持此账号。

2.限制不必要的用户。此时需注意:

默认账号有Administrator、Guest。如果要用IIS(InternetInformationServer)建设各类站点，则IUSER,computername和IWAM,computername也是默认账号，不能停用。因前者是IIS匿名访问账号，后者是IIS匿名执行脚本的账号。这两个账号默认有密码，是由系统分配的，用户不要更改其密码，更不要删除，否则IIS不能匿名访问和执行脚本;如果有终端服务则TsInternetUser也是默认账号，不能停用。

3.开启用户策略。(控制面板-管理工具-本地安全设置)其中有用户锁定阀值设置，将它设置为多少才合适呢,用户在登录时，Windows会采用加密协议加密用户的用户名和密码。在域环境中，如果只是单纯的系统(即什么软件都不装)，用户进行登录时，Windows会尝试用Kerbos协议验证，不成功则会再用Ntlm验证，此时的验证的方式有两种;如果该账户同时又是Outlook的用户，验证的方式将有6种之多，也就是说用户在登录时如果密码输入错误，一次登录就要浪费掉6次账户锁定值。因此，微软技术支持中心的工程师建议将这个锁定值设置为13，这样才可以实现错误输入密码3次再锁定账户的目的。

二在密码安全设置方面

在给账号设置密码时，不是密码位数越多越好，在符合密码复杂性原则的基础上，7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的，它是由密码所采用的加密算法决定的。

有一点大家需注意:屏幕保护存在一个安全漏洞，即他人可以在不进入系统的情况下，利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后，只要这个“屏幕保护程序”一运行，Cmd窗口就会弹出且以系统身份运行，默认是最大权限。因此，采用设置屏幕保护密码的做法并不安全，正确的做法应是网管员离开工位时要锁定计算机(Windows2000下，按Ctrl，Alt，Del，在弹出的“关机”菜单中选择“锁定计算机”即可)。

三在系统安全设置方面

1.使用NTFS格式分区。NTFS分区要比FAT分区安全很多，且只有使用NTFS分区才能真正发挥Windows2000的作用。

2.到微软网站下载最新的补丁程序。强烈建议～这是每一个网络管理员都应该有的好习惯。

3.关闭默认共享。[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]

RestrictAnonymous=DWORD用来防止IPC$联结.

四在服务安全设置方面

1.关闭不必要的端口。可惜Windows2000并不支持关闭端口的选项，我们只好选用第三方工具，关闭一些关键端口，比如Telnet等。每个端口对应某个服务,可以通过关闭服务(控制面板-管理工具-服务)来关闭对应的端口.(135,139-server服务,25-smtp,110-pop3,21-ftp,23-telnet)

2.把敏感文件存放在另外的文件服务器中。出于对性能和安全的双重考虑，建议有条件的用户将域控制器与Web服务器、数据库服务器等其他重要服务器分开，即不要用同一台服务器运行多种服务。同时，一定要进行及时、有效的备份，最好有一个详尽的备份计划

3.网络日志,用户对网站的访问都会被网络日志记录下来!

对于IIS，其默认记录存放在c:/winnt/system32/logfiles/w3svc1，文件名就是当天的日期，记录格式是标准的W3C扩展记录格式，可以被各种记录分析工具解析，默认的格式包括时间、访问者IP地址、访问的方法(GETorPOST…)、请求的资源、HTTP状态(用数字表示)等。对于其中的HTTP状态，我们知道200,299表明访问成功;300,399表明需要客户端反应来满足请求;400,499和500,599表明客户端

和服务器出错;其中常用的如404表示资源没找到，403表示访问被禁止。

一名黑客如要对某个网站进行攻击必会先到他的网站收集信息,和进行漏洞扫描!

2004-04-2401:34:5296-680HEAD

/adsamples/check.bat/..?..?..?winnt/system32/cmd.exe/c+dir404-

2004-04-2401:34:5296-68