[最新版]个人计算机的安全防范毕业论文(3)

（3）强制登录

要求所有的用户必须登陆，通过认证后才可以访问资源 （4）审核

在控制用户访问资源的同时，也可以对这些访问作了相应的记录。 （5）对象的访问控制

不允许直接访问系统的某些资源，必须是该资源允许被访问，然后是用户或应用通过第一次认证后再访问。

2.4 Windows的访问控制过程

当一个账号被创建时，Windows系统为它分配一个SID，并与其他账号信息一起存入SAM数据库。

每次用户登录时，登录主机(通常为工作站)的系统首先把用户输入的用户名、口令和用户希望登录的服务器／域信息送给安全账号管理器，安全账号管理器将这些信息与SAM数据库中的信息进行比较，如果匹配，服务器发给工作站允许访问的信息，并返回用户的安全标识和用户所在组的安全标识，工作站系统为用户生成一个进程。服务器还要记录用户账号的特权、主目录位置、工作站参数等信息。

然后，本地安全授权机构为用户创建访问令牌，包括用户名、所在组、安全标识等信息。此后用户每新建一个进程，都将访问令牌复制作为该进程的访问令牌。

当用户或者用户生成的进程要访问某个对象时，安全引用监视器将用户／进程的访问令牌中的SID与对象安全描述符中的自主访问控制表进行比较，从而决定用户是否有权访问对象。

2.5 Windows安全存在缺陷

（1）受入侵主机的错误信息的配置

安全缺陷的主要原因就是受入侵主机的错误信息配置，大多数操作系统都处于一种安装软件不可靠性的状态，往往都是源于用户知识的不足而引起。

（2）系统的缺陷

它与安全相关程序内部所固有的缺陷，入侵者利用它可以轻松获得对系统或数据的非法访问。

第三章 个人计算机安全配置及防范

本章从多方面描述了个人计算机安全配置及防范，主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏

3.1系统的安装

（1）使用正版可靠安装盘，来防止病毒的侵入。

（2）将系统安装在NTFS分区上，进行文件系统安全设置。

（3）系统和数据要分开存放在不同的磁盘上，最少建立两个分区，一个系统分区，一个应用程序分区。

（4）安装其它的服务和应用程序补丁

（5）在安装其它程序之后，重新应用安全补丁

3.2系统用户管理和登录

3.2.1 系统用户帐号

用户帐号一方面为每个用户设置相应的密码、隶属的组、保存个人文件夹及系统设置；另一方面将每个用户的程序、数据等互相隔离，在不关闭计算机的情况下，不同用户可以互相访问资源。

对于一个刚安装完的系统，如果没有设置我们都是以administration这个超级管理员用户登录的，此用户对计算机有完全的操作权限，因此如果我们以此用户登录个人计算机如果中了木马病毒等，对计算机和个人信息安全会造成严重的损害，因此我们要设置一个常用用户账号并对其加密，超级管理员也要加密，并且密码设置的尽量复杂。 3.2.2 加强密码安全及设置密码规则

（1）选择较长的口令，大多数系统都接受长字符串的口令。口令越长， 要猜出或试出它所有的可能组合就越难。

（2）口令最好选用字母和数字等字符的多种组合方式，避免口令字符单一化。

（3）最好不要单纯使用自己的名字、生日、电话号码和简单英语单词， 因为这些都是容易被别人猜到的信息。

（4）经常更换口令，如一个月换一次，避免一个口令在长期使用的过程 中被人破译获取。

3.3 系统的安全配置

3.3.1Windows 系统安全设置 (1)用户管理

删除所有不需要的账号，禁用所有暂时不用的账号。一定要禁用“guest”用户。重命名系统默认的管理员“Administrator”，然后再创建一个名为“Administrator”的用户，并分配给这个新用户一个复杂无比的口令，最后不让它属于任何组。

（2）使用NTFS文件系统

FAT32无法提供用户所需的针对于本地的单个文件与目录的权限设置。NTFS格式是服务器必须的，使用FAT32文件系统没有安全性可言。

（3）不让系统显示上次登录的用户名

通过修改“管理工具”中的“本地安全策略”的相应选项或修改系统注册表来实现。

3.3.2账户安全策略设置

增强操作系统的安全，除了启用强壮的密码外，操作系统本身有账户的安全策略。账户策略包含密码策略和账户锁定策略。在密码策略中，设置增加密码复杂度，提高暴力破解的难度，曾强安全性。

图3-1 本地安全配置

配置步骤：依次选择“运行”→“本地安全策略”→“账户策略”→“密码策略”。

如图3-1所示。

（1）强制密码历史。Windows Server 2003 SP1中“强制密码历史”设置的默认值最多为24个密码。要增强此策略设置的有效性，也可以配置“密码最短使用期限”设置以便密码无法被立即更改。

（2）密码最短使用期限“密码最短使用期限”设置的值范围介于0~999天；0允许更改密码。此策略设置的默认值为1天。

（3）密码最长使用期限。此策略设置的值范围为1~999天。设置配置为0，意味着密码永不过期。此设置的默认值为42天。定期的更改密码有助于防止密码遭破坏。如图3-2所示

图3-2 密码期限

（4）密码必须符合复杂性要求。如果启用该策略，如图4-3所示。则密码必须符合一下最低要求。不得明显包含用户账户名或用户全名的一部分。长度至少为6个字符。包含来自以下4个类别中的3个字符：英文大、小写字母，10个基本数字（0~9）。非字母字符（例如，！、￥、#、%......）。

图3-3 密码复杂性策略

3.3.3安全审核 1、审核介绍

审核跟踪计算机上用户和操作系统的活动。

审核项包括执行的操作‘执行改操作的用户、事件的成功或失败。 审核策略定义了Windows 2003会记录的安全事件的类型。

设置审核策略来跟踪事件成功还是失败，将非授权使用资源的风险消除或降到最低，维持记录用户或管理员的活动。

2、打开安全审核

为了审核与安全性有关的事件，Windows 的安全审计功能在默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，有利于系统的入侵检测。你可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等。如果系统管理员将审核策略更改为不再审核失败的登录尝试，那么将显示这一事件。

设置“本地安全策略”中“本地策略”的“审核策略”，建议如图3-4所示配置：

图3-4 审核策略

3、设置审核策略

使用组策略下的本地策略，为个人计算机配置安全设置，创建一个组策略对象为个人计算机配置安全设置。如图3-5所示：

图3-5 组策略安全设置

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库[最新版]个人计算机的安全防范毕业论文(3)在线全文阅读。