《新余市中小学校网站管理员培训网络安全基本常识.ppt》由会员分享,可在线阅读,更多相关《新余市中小学校网站管理员培训网络安全基本常识.ppt(32页珍藏版)》请在三一文库上搜索。
1、新余市中小学校网站管理员培训 网络安全基本常识,2019年7月12日,准备工作,由于投影效果不是很好,请各位老师在开始菜单中运行 192.168.0.169 用户名:administrator 密码:1 拷贝htscreen文件到本地,然后运行HTClient.exe即可查看屏幕 以及网页制作软件Dreamweaver MX 2004,网络安全概要,电脑安全保护的基本策略,1,2,3,网站服务器安全概要,学校网站群管理安全注意事项,网络安全概要,电脑安全保护的基本策略,1,使用电脑应该注意的安全问题,病毒(可执行的小程序) 病毒(Virus)、蠕虫(Worm)、特洛伊木马( Trojan Ho
2、rse) 系统漏洞 数据保护 个人隐私、业务数据 网络访问 信息发布、信息接收,病毒的相关知识,计算机病毒的常见传播途径 通过移动存储设备(软盘、光盘、U盘等)传播 通过计算机网络传播 常见的计算机病毒 宏病毒 邮件病毒 文件病毒 引导区病毒,病毒如何判断?,1、程序打开的时间比平时明显延长,并且出现异常错误。 2、硬盘指示灯异常闪烁。 3、网络连接指示灯异常闪烁、网络速度很慢。 4、磁盘空间变小,或者空间大小不断变化。 5、计算机死机或者不能启动 。 6、屏幕上显示一些稀奇古怪的文字或图片。,如何有效防范病毒?,将防病毒系统设为每天自动升级 打开windows update,自动升级 经常备
3、份重要数据 必要时安装个人防火墙 不要随意打开陌生人提供的附件 不要安装一些来路不明的软件 不要随意登录一些非法或不健康的网站,电脑安全保护的基本策略,安装最新的系统补丁程序 及时安装、更新杀毒软件 谨慎打开陌生邮件以及任何不了解的附件 浏览网站时不要轻易安装提示的软件 设置强壮的口令 共享目录的密码设置 出现问题时及时处理,如何设置强壮的口令,不要只使用个人名字或呢称,电话号码、生日等敏感信息,输入8字符以上密码,记录于纸上或放置于办公处,使用重复的字符,=强壮的密码,小技巧:使用“”、“”、“,”、“、”等特殊符号可以大大加强口令的强度,系统安全设置之一,WindowsXP自带ICF功能,
4、系统安全设置之二,上网安全性 下载软件的注意事项 Cookie的安全性 ActiveX控件和Java Applet,维护软件安全的习惯及方法,安装定期更新的防病毒软件,随时防毒并扫毒 经常修改口令 时常将重要的数据进行备份避免资料遗失 不要随意删除文件 不要安装不需要或者来路不明或者不了解的程序。 使用合法的软件 共享目录的密码设置,访问网络的安全习惯和方法,只从知名及合法网站并尽量从原始网站下载资料或程序并确认无病毒感染后再行使用或安装 不要打开来历不明的电子邮件,尤其不可执行不了解的附件 上网速度突然变慢或出现不正常现象时,应该立即断开网络连接 不要随便接受自动弹出的安装程序 不要访问违反
5、国家法律法规的相关网站 遵守国家的法律法规,合法上网,网络安全概要,2,学校网站群管理安全注意事项,学校网站管理维护安全,保管好各自学校的用户名、密码。 在上传文件时,特别是自定义模板时上传的文件确保用有效杀毒软件查杀后再上传。 注意备份重要文件。 在学校网站上注意信息安全,所上传文件信息的保密性。 在制作网站时慎用网上现成的程序,及时发现并填补漏洞。,网络安全概要,3,网站服务器安全概要,WEB服务器安全,服务器账号安全策略。 为服务器操作系统及时打补丁。 尽量少开一些系统端口。 设置系统日志并经常检查日志。 安装防毒软件、防火墙。,补丁,安装最新的SP ServicePack(简称SP)是
6、Mircosoft集中发布的补丁集,包括操作系统,应用软件(如Office)等 Microsoft产品的最新补丁,应用最新的SP可以防止由于系统漏洞导致的攻击 安装最新的Hotfix Hotfix是Microsoft就某一产品缺陷特地发布的补丁,该漏洞可能允许攻击者远程控制系统,安装最新的Hoftix可以防止由于系统漏洞导致的攻击 通过CPIC的WSUS服务器更新补丁 开始菜单-运行-gpedit.msc 依次进入”计算机配置”-”管理模板”-”windows组件”-”windows update” 点击”配置自动更新”,设置如下: 选择”已启用”,在”配置自动更新”中选择”3 自动下载并通知
7、安装” 点击”指定Intranet Microsoft 更新服务位置”, 设置如下: 选择”已启用”,在”为检测更新设置Intranet 更新服务”与”设置Intranet统计服务器”中都填写CPIC指定的WSUS服务器地址, 具体维护过程中,可以将此策略配置好后从注册表导出为注册表文件,其他用户只需执行注册表文件即可。,帐号与审计,设置BIOS与屏保密码 设置密码策略 设置必要的审核 设置帐号锁定 设置日志,设置密码策略,密码策略包括密码长度,密码复杂度和密码的使用周期, 好的密码策略应该满足不易猜解,定期更换原则,这将大大增加针对密码攻击的难度 点击“运行”-输入secpol.msc,进入
8、本地安全策略,点击“账号策略”-“密码策略”,如下: 设置“密码长度最小值”为7,“密码最长存留期”为180天,“密码必须符合复杂性要求”启用,设置必要的审核,审核是针对系统事件的跟踪,可以提供诸如帐号管理,帐号登陆,系统事件等方面详尽的信息,可以为发生安全事件的时候提供必要的原始日志 点击“运行”-输入secpol.msc,进入本地安全策略,点击“本地策略”-“审核策略”,如下: 设置“审核策略更改“,”审核登录事件“,”审核帐户登录事件“,”审核帐户管理“为成功与失败,设置帐号锁定,当无效登录次数达到规定的次数后,我们可以选择锁定此帐号,这可以有效的防御简单的猜解攻击 点击“运行”-输入s
9、ecpol.msc,进入本地安全策略,点击“帐户策略”-“帐户锁定策略”,如下: 设置“帐户锁定阀值”为10,帐户锁定时间与复位时间都是15分钟,设置日志,日志系统包括系统日志,应用日志与安全日志,详细的记录系统日常发生的事件,发生安全事件的时候可以提供必要的原始日志 进入“控制面板”-“管理工具”-事件查看器,如下 设置最大日志文件大小为80M,按需要改写日志文件,安全策略,禁止显示上次登录用户名 禁止磁盘自动运行 设置共享权限 禁止远程枚取帐号与共享,禁止显示上次登录用户名,默认登录的时候,系统会使用上一次登录使用的用户名,这给我们带来了方便,但是如果攻击着有权连接系统,同样可以给他减少猜
10、解用户名的麻烦 点击“运行”-输入secpol.msc,进入本地安全策略,点击“本地策略”-“安全选项”,如下:,禁止远程枚取帐号与共享,远程枚取帐号与共享是在不用任何用户名与密码的情况下,通过网络使用匿名身份进行帐号与共享与猜解,这通常会作为攻击的前奏。禁止远程枚取帐号与共享可以更好的保护系统信息的保密性,减少威胁的可能性 点击“运行”-输入secpol.msc,进入本地安全策略,点击“本地策略”-“安全选项”,如下: 对于windows xp/2003: 设置 网络访问-不允许SAM帐户的匿名枚取和网络访问不允许SAM帐户和共享的匿名枚取 对于window 2000: 设置 Additio
11、nal Restrictions for Anonymous Connections: “No Access Without Explicit Anonymous Permissions”,系统服务,禁用Alert服务 Alerter服务用于通知用户与计算机有关系统管理方面的事件,如服务启动失败等,通常这都可以在系统日志中出现,XP系统默认禁止该服务 打开“控制面板”管理工具-服务,打开Alert,停止并禁用 禁止Messenger服务 Messenger服务用于发送net send消息或传递Alerter服务器的消息,该功能通常比较少用,XP系统默认禁止该服务 打开“控制面板”管理工具-服务,打开Messenger,停止并禁用 禁止Remote Registry Service服务 远程注册表允许匿名用户通过网络获取一定的注册表信息,这通常会暴露系统的一些敏感信息,增加安全威胁 打开“控制面板”管理工具-服务,打开Remote Registry Service,停止并禁用,软件策略,安装统一的软件 ,不随意安装其他非授权软件,目录访问权限设置,对网站下特定的文件目录使用不同的权限,比如上传文件目录,可以打个写权限,不能开启运行权限。,实践与交流,网站管理员交流QQ群号: 55765759,Thank You !,