下面小编为大家带来通过Windows磁盘设置加强数据安全(共含6篇),希望大家能够受用!同时,但愿您也能像本文投稿人“可乐乐可”一样,积极向本站投稿分享好文章。
使用电脑的用户都有自己的秘密文件,特别是对于商务用户而言,自然不愿意让别人使用自己的电脑,以免造成商业机密的泄漏,但是有时又不能不让别人用自己的电脑,真是有点犯难了,其实这时我们可以通过简单的设置即将电脑的硬盘锁住,从而就可以让别人访问不到被限制的磁盘。这种方法是利用Windows XP的组策略进行设置的,十分便捷和实用。
首先点击Windows左下角的“开始→运行”,在对话框中输入“gpedit.msc”,这样就打开了“组策略”设置窗口。然后在“组策略”设置窗口中,依次打开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”选项,
在右侧设置中找到“防止从‘我的电脑’访问驱动器”选项,在这个选项的“未被配置”状态处点击鼠标右键,选择“属性”。
在弹出的对话框中有三个选项,分别是“未配置”、“已启用”和“已禁用”。选择“已启用”,然后在下面就会出现选择驱动器的下拉菜单列表,如果要限制某个硬盘、硬盘分区甚至是光驱的使用,只要选中该驱动器就可以了。比如,我们要限制系统盘C:的使用,选中“仅限制驱动器C”即可。提醒大家如果希望关闭所有硬盘、光驱等,可以选中“限制所有驱动器”,然后点击应用或保存设置即可。
接下来进入“我的电脑”,点击C盘或其他被限制的驱动器时出现访问失败的提示。值得一提的是,这种设置组策略的方法安全型很高,即使别人通过“资源管理器”、“运行”对话框、网络浏览器以及DIR命令等,也无法查看驱动器中文件了。这样一来,用户只要将所有重要的文件放到一个分区并限制起来,就不怕别人发现自己的秘密了。
在Windows Server 2003系统中,对于拥有共享文件夹写入权限的用户而言,默认情况下可以无限制地向共享文件夹中写入数据,这种任意性可能导致共享文件夹所在磁盘分区空间紧张,因此为了保证所有用户都能正常使用共享文件夹,建议针对每个用户设置磁盘配额。设置磁盘配额后可以限制用户有权使用的硬盘空间,操作步骤如下所述:
第1步,在“我的电脑”窗口中右键单击共享文件夹所在的磁盘分区,选择“属性”快捷命令,打开磁盘属性对话框。然后切换到“配额”选项卡,保持“启用配额管理”和“拒绝将磁盘空间给超过配额限制的用户”复选框的选中状态。另外建议选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”两个复选框,以便将配额告警记录到日志中。接着单击“配额项”按钮,如图001所示,
图001 单击“配额项”按钮
第2步,打开“本地磁盘的配额项”窗口,依次单击“配额”→“新建配额项”菜单命令,在打开的“选择用户”对话框中查找并选中目标用户(本例选中“IUSER_00022”)并单击“确定”按钮。
第3步,在打开的“添加新配额项”对话框中选中“将磁盘空间限制为”单选框,并设置空间大小为100MB。接着在“将警告等级设置为”编辑框中设置空间大小为95MB。最后单击“确定”按钮使设置生效,如图002所示。
图002 “添加新配额项”对话框
第4步,返回“本地磁盘的配额项”窗口,重复上述步骤针对其他用户新建配额项,设置完毕关闭该窗口,返回“本地磁盘 属性”对话框后单击“确定”按钮。设置配额项的用户只能使用规定容量以内的磁盘空间,如图003所示。
使用电脑的用户都有自己的秘密文件,特别是对于商务用户而言,自然不愿意让别人使用自己的电脑,以免造成商业机密的泄漏,但是有时又不能不让别人用自己的电脑,真是有点犯难了,其实这时我们可以通过简单的设置即将电脑的硬盘锁住,从而就可以让别人访问不到被限制的磁盘。这种方法是利用WindowsXP的组策略进行设置的,十分便捷和实用。
首先点击Windows左下角的“开始→运行”,在对话框中输入“gpedit.msc”,这样就打开了“组策略”设置窗口。然后在“组策略”设置窗口中,依次打开“本地计算机策略→用户配置→管理模板→Windows组件→Windows资源管理器”选项,
在右侧设置中找到“防止从‘我的电脑’访问驱动器”选项,在这个选项的“未被配置”状态处点击鼠标右键,选择“属性”。
在弹出的对话框中有三个选项,分别是“未配置”、“已启用”和“已禁用”。选择“已启用”,然后在下面就会出现选择驱动器的下拉菜单列表,如果要限制某个硬盘、硬盘分区甚至是光驱的使用,只要选中该驱动器就可以了。比如,我们要限制系统盘C:的使用,选中“仅限制驱动器C”即可。如果希望关闭所有硬盘、光驱等,可以选中“限制所有驱动器”,然后点击应用或保存设置即可。
接下来进入“我的电脑”,点击C盘或其他被限制的驱动器时出现访问失败的提示。值得一提的是,这种设置组策略的方法安全型很高,即使别人通过“资源管理器”、“运行”对话框、网络浏览器以及DIR命令等,也无法查看驱动器中文件了。这样一来,用户只要将所有重要的文件放到一个分区并限制起来,就不怕别人发现自己的秘密了。
我们知道,Windows中有自带的启动文件夹,它是最常见的启动项目,但很多人却很少注意仔细检查它,如果把程序装入到这个文件夹中,系统启动就会自动地加载相应程序,而且因为它是暴露在外的,所以非常容易被外在的因素更改。
我们知道,Windows中有自带的启动文件夹,它是最常见的启动项目,但很多人却很少注意仔细检查它。如果把程序装入到这个文件夹中,系统启动就会自动地加载相应程序,而且因为它是暴露在外的,所以非常容易被外在的因素更改。
一、具体的位置是“开始”菜单中的“启动”选项
在硬盘上的位置是:C:\Documents andSettings\Administrator“开始”菜单\程序\启动;
在注册表中的位置是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
现在你可以打开看看里面有没有什么来历不明的程序存在。
内容导航
二、Msconfig
Msconfig是Windows系统中的“系统配置实用程序”,它管的方面可够宽,包括:system.ini、win.ini、启动项目等。同样,里面也是自启动程序非常喜欢呆的地方!
1.System.ini
首先,在“运行”对话框中输入“msconfig”启动系统配置实用程序(下同),找到system.ini标签,里面的“shell=……” 就可以用来加载特殊的程序。如果你的shell=后面不是默认的explorer.exe,或者说后面还有一个程序的名字,那你可要小心了,请仔细检查相应的程序是否安全!
2.Win.ini
如果我们想加载一个程序:hack.exe,那么可以在win。ini中用下面的语句来实现:
load=hack.exe
run=hacke.exe
该怎么做,你应该知道了吧!
内容导航
3.“启动”项目
系统配置实用程序中的启动标签和我们上面讲的“启动”文件夹并不是同一个东西,在系统配置实用程序中的这个启动项目,是Windows系统启动项目的集合地。几乎所有的启动项目都能在这里找到DD当然,经过特殊编程处理的程序可以通过另外的方法不在这里显示。
打开“启动”标签,“启动项目”中罗列的是开机启动程序的名称,“命令”下是具体的程序附加命令,最后的“位置”就是该程序在注册表中的相应位置,
你可以对可疑的程序进行详细的路径、命令检查,一旦发现错误,就可以用下方的“禁用”来禁止该程序开机时候的加载。
一般来讲,除系统基于硬件部分和内核部分的系统软件的启动项目外,其他的启动项目都是可以适当更改的,包括:杀毒程序、特定防火墙程序、播放软件、内存管理软件等。也就是说,启动项目中包含了所有我们可见程序的列表,你完全可以通过它来管理你的启动程序!
内容导航
三、注册表中相应的启动加载项目
注册表的启动项目是病毒和木马程序的最爱!非常多病毒木马的顽固性就是通过注册表来实现的,所以平常的时候可以下载一个注册表监视器来监视注册表的改动。特别是在安装了新软件或者是运行了新程序的时候,一定不要被程序漂亮的外表迷惑。一定要看清楚它的实质是不是木马的伪装外壳或者是捆绑程序!必要的时候可以根据备份来恢复注册表,这样的注册表程序网上很多,这里也就不再详谈了。
我们也可以通过手动的方法来检查注册表中相应的位置,虽然它们很多是和上文讲的位置重复,但是对网络安全来讲,小心永远不嫌多!
注意同安全、清洁的系统注册表相应键进行比较,如果发现不一致的地方,一定要弄清楚它是什么东西!不要相信写在外面的“system”、 “windows”、“programfiles”等名称,谁都知道“欲盖弥彰”的道理。如果经过详细的比较,可以确定它是不明程序的话,不要手软,马上删除!
内容导航
四、Wininit.ini
我们知道,Windows的安装程序常常调用这个程序来实现安装程序后的删除工作,所以不要小看它,如果在它上面做手脚的话,可以说是非常隐蔽、非常完美的!
它在系统盘的Windows目录下,用记事本打开它(有时候是wininit.hak文件)可以看到相应的内容。很明显,我们可以在里面添加相应的语句来达到修改系统程序或者是删除程序的目的。如果是文件关联型木马,可以通过winint.ini来删除它感染后的原始文件,从而达到真正隐藏自己!
内容导航
五、DOS下的战斗
最后,我们说说DOS下的启动项目加载,config.sys、autoexec.bat、*.bat等文件都可以用特定的编程方式来实现加载程序的目的。所以不要以为DOS就是个过时的东西,好的DOS下编程往往能达到非常简单、非常实用的功能!
作为企业的网络维护管理员, 网络安全应该是网络管理的一个重点,如何构建安全的企业网,是每个企业网管的重要工作,下面我就自己的工作经验,谈谈WINDOWS 2000 ADVANCE SERVER网络的安全设置,WINDOWS 2000 ADVANCE SERVER是比较流行的服务器操作系统之一,但是要想安全的配置微软的这个操作系统,却不是一件容易的事。下面我就WINDOWS 2000 ADVANCE SERVER安全配置进行初步的探讨。
一、定制自己的WINDOWS 2000 ADVANCE SERVER
1.版本的选择:WIN2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况)
2.组件的安装:win2000在默认情况下进行典型安装,不过这种安装的系统是脆弱的,不够安全,根据安全原则,最少的服务+最小的权限=最大的安全。请根据自己服务器的所需要求做出合理的配置。
3.根据用途对服务器进行单独管理:就是说如果你根据企业的各种需要作出有不同功能的服务器,原则上是一台服务服务器只提供单独的服务,如域控制器、文件服务器、备份服务器、WEB服务器、FTP服务器等等。
二、合理安装WINDOWS 2000 ADVANCE SERVER
1.安装WINDOWS 2000 ADVANCE SERVER,建议最少CREATE两个分区,一个系统分区,一个应用程序分区。
2.顺序的选择:WINDOWS 2000 ADVANCE SERVER在安装中有几个顺序是一定要注意的:首先,WINDOWS 2000 ADVANCE SERVER在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。
三、 安全配置WIN2000 SERVER
即使正确的安装了WIN2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。
1.PORT:PORT是计算机和外部网络相连的逻辑接口,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选。
2.IIS:IIS是微软的组件中漏洞最多的一个,所以IIS的配置是我们的重点:
首先,DELTREE C:INETPUB ,在c盘以外creat Inetpub,在IIS管理器中将主目录指向x:Inetpub; 其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除。第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP、ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,在IIS管理器中右击主机-属性-WWW服务 编辑-主目录 配置-应用程序映射,删除你不需要的映射。最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。
3.账号安全:
WINDOWS 2000 ADVANCE SERVER的账号安全是另一个重点。WINDOWS 2000 ADVANCE SERVER的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值:
0:None. Rely on default permissions(无,取决于默认的权限)
1:Do not allow enumeration of SAM accounts and shares(不允许列举SAM帐号和共享)
2:No access without explicit anonymous permissions(没有显示匿名权限就不允许访问)
0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等等,对服务器来说这样的设置非常危险,
1这个值是只允许非NULL用户存取SAM账号信息和共享信息。
2这个值是在win2000中才支持的,不过会失去所有的共享,在企业中这基本上是不可能的。所以我建议大家选择1,另外最好把administrator改名。
4.安全日志:打开本地安全策略-审核策略中打开相应的审核,必须的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
与之相关的是:
在账户策略-密码策略中设定:
密码复杂性要求 启用
密码长度最小值 8位
强制密码历史 3次
最长存留期 30天
在账户策略-账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 30分钟
5.目录和文件权限:WINDOWS 2000 ADVANCE SERVER的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1)限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2)拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源;
3)文件权限比文件夹权限高(这个不用解释了吧?);
4)利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5)仅给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6.预防DoS:
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻击:ICMP的风暴攻击和碎片攻击也是WINDOWS 2000 ADVANCE SERVER比较头疼的攻击方法,其实应付的方法也很简单,win2000自带一个Routing Remote Access工具,这个工具初具路由器的雏形,在这个工具中,我们可以轻易的定义输入输出包过滤器。
实际上,安全和应用在很多时候是矛盾的,所以你要对所涉及的各种折衷选择有比较深刻的认识,毕竟服务器是给用户用的,安全原则不能妨碍系统应用。网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。部分系统/网络管理员认为进行了安全配置WINDOWS 2000 ADVANCE SERVER是足够安全的,其实这其中有个误区:我们只能说一台服务器在一定的情况下,一定的时间内是安全的,随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,安全状况是时刻改变的,我们要不断的对我们的网络进行有效的设置维护其安全和满足我们的应用,时刻关注新的发现,对安全的原则作出相应的修改,这样,才是系统/网络管理员工作的正确方向。
有很多人都认为微软的东西漏洞太多,微软的系统安全性太差,网站服务器通常都不建议用微软的系统,不过,如果网站维护人员很少,通过在Windows Server里进行一些安全配置,也可以让系统的安全性有所提高,对于网站的备份、恢复等一系列复杂操作,也可以通过一些较为简单的方式来实现,下面是我总结的一些Windows Server安全配置和备份恢复的一些经验和技巧,供各位参考,
Windows服务器安全配置技巧 - Windows服务器安装、网络安全配置、安全模板设置等。
防止服务器网卡被误停用 - 服务器一般放在IDC机房,如果我们远程控制Windows服务器的时候,不小心禁用了网卡,后果不堪设想。
ASP博客安全技巧 - 以Z-Blog博客系统为例介绍在独立主机可配置的条件下(托管、租用或者合租主机)的系统安全设置。
海量文件复制和备份的技巧 - 海量文件服务技巧,带权限文件复制(单个文件的权限)技巧。
修改远程登录3389端口 - 众所周知,远程终端服务基于端口3389,
入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。
五个远程管理Windows服务器的技巧 - 一些有效管理服务器的小技巧。
IIS 的备份恢复 - Windows的IIS有一个非常“ ”的备份还原功能,和大部分备份还原不同的是,这个服务默认不支持不同电脑之间的备份还原,如果用户重装Windows的话,即使备份了IIS的相关文件,还原的时候还是提示“无效签名”,导致这个IIS无法恢复。
Windows IIS日志文件分析程序 - Windows Server具有事件日志记录的功能,其IIS日志文件里记录了包括下列信息:谁访问了您的站点,访问者查看了哪些内容等等。通过定期检查这些日志文件,网站管理员可以检测到服务器或站点的哪些方面易受攻击或存在其他安全隐患。
Google KMZ/MKL文件设置 - Google Earth的KML文件的MIME类型是application/vnd.google-earth.kml+xml,KMZ文件的MIME类型是application/vnd.google-earth.kmz。
★ SVNSVN设置日志提交限制和日志设置(windows下)
★ 怎样保护数据安全
★ 数据安全保密协议
