第一篇:windows 2003 server web配置和安全
输入此网站的网页文件所在目录。设置网站访问的权限,一般不需要“写入”权限。点击下一步,完成新网站的创建。
配置不同IP地址的站点方法
具体方法:
在“IIS服务管理器”中,右击新建的网站(电影服务),选择属性,并在“网站选项卡”下更改IP地址。
配置不同端口的站点方法
具体方法:
在“IIS服务管理器”中,右击新建的网站(电影服务),选择属性,并在“网站选项卡”下更改端口为不同的值,如81。
配置不同主机头
具体方法:
在“IIS服务管理器”中,右击新建的网站(电影服务),选择属性,在“网站选项卡”下点击ip地址后的“高级”,并在弹出的“高级网络标识”窗口中点击“编辑”按钮。
接着在弹出的“添加/编辑网络标识”窗口中“主机头值”。
设置完主机头后还需要配置DNS服务器,添加主机头值的主机记录,是客户端能够解析出主机头的IP地址,就可以使用“http://主机头”访问网站。
二、WEB站点的排错
·客户机访问WEB站点的过程
1>当客户机访问网站时,服务器先检查客户机IP地址是否授权
2>然后检查用户和密码是否正确(匿名用户不需要密码)
3>接着检查主目录是否设置了“读取权限”
4>最后检查网站文件的NTFS权限
·常见错误
1、错误号403.6
分析:
由于客户机的IP地址被WEB网站中设置为阻止。
解决方案:
打开站点属性->“目录安全性选项卡”->“IP地址和域名限制”->点击“编辑”按钮,并将拒绝的IP段删除。
2、错误号401.1
分析:
由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用,或者没有权限访问计算机,将造成用户无法访问。
解决方案:
(1)查看IIS管理器中站点安全设置的匿名帐户是否被禁用,如果是,请尝试用以下办法启用:
控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用。如果还没有解决,请继续下一步。
(2)查看本地安全策略中,IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限,如果没有尝试用以下步骤赋予权限:
开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配,双击“从网络访问此计算机”,添加IIS默认用户或者其所属的组。
注意:一般自定义 IIS默认匿名访问帐号都属于组,为了安全,没有特殊需要,请
遵循此规则。
3、错误号401.2
原因:关闭了匿名身份验证
解决方案:
打开站点属性->目录安全性->身份验证和访问控制->选中“启用匿名访问”,输入用户名,或者点击“浏览”选择合法的用户,并两次输入密码后确定。
4、错误号:401.3
原因:
原因一 IIS匿名用户一般属于Guests组,而我们一般把存放网站的硬盘的权限只分配给administrators组,这时候按照继承原则,网站文件夹也只有administrators组的成员才能访问,导致IIS匿名用户访问该文件的NTFS权限不足,从而导致页面无法访问。
原因二 是在IIS 管理器中将网站的权限设置不可读(IIS匿名用户)。
解决方案:
给IIS匿名用户访问网站文件夹的权限.方法1:进入该文件夹的安全选项,添加IIS匿名用户,并赋予相应权限,一般是只读。
方法2: 右击站点,选择“权限”,打开权限设置窗口。并赋予IIS匿名用户只读权限。
敬告:“win2003 服务器设置 完全版” 一文如与您有版权冲突请联系站长处理,我们是公益免费论文网,不周之处,万请谅解!
--->返回到论文先生网首页<---
-第一步:
一、先关闭不需要的端口
我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改
了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
“PortNumber”=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在
进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在system32driversetcservices中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
二、关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在“网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用“Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
三、磁盘权限设置 1.系统盘权限设置 C:分区部分: c: administrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER 全部(只有子文件来及文件)system 全部(该文件夹,子文件夹及文件)IIS_WPG 创建文件/写入数据(只有该文件夹)IIS_WPG(该文件夹,子文件夹及文件)遍历文件夹/运行文件 列出文件夹/读取数据 读取属性
创建文件夹/附加数据 读取权限
c:Documents and Settings administrators 全部(该文件夹,子文件夹及文件)Power Users(该文件夹,子文件夹及文件)读取和运行 列出文件夹目录 读取
SYSTEM全部(该文件夹,子文件夹及文件)C:Program Files administrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER全部(只有子文件来及文件)IIS_WPG(该文件夹,子文件夹及文件)读取和运行 列出文件夹目录 读取
Power Users(该文件夹,子文件夹及文件)修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER(该文件夹,子文件夹及文件)修改权限
2.网站及虚拟机权限设置(比如网站在E盘)说明:我们假设网站全部在E盘www.xiexiebang.comfg.exe。回车,单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。
第二步:
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助!
堵住自动保存隐患
Windows 2003操作系统在调用应用程序出错时,系统中的Dr.Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr.Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:
1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。
堵住资源共享隐患
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤:
1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。
堵住远程访问隐患
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:
1、点击系统桌面上的“开始”按钮,打开开始菜单;
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;
3、在该界面中,用鼠标单击“远程”标签;
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。
堵住用户切换隐患
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。
堵住页面交换隐患
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少
重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:
1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”;
3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
更多专题:服务器安全防黑系列知识、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、安全之 scw Windows Server 2003是大家最常用的服务器操作系统之一。虽然它提供了强大的网络服务功能,并且简单易用,但它的安全性一直困扰着众多网管,如何在充分利用Windows Server 2003提供的各种服务的同时,保证服务器的安全稳定运行,最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版补丁包的发布,恰好解决这个问题,它不但提供了对系统漏洞的修复,还新增了很多易用的安全功能,如安全配置向导(SCW)功能。利用SCW功能的“安全策略”可以最大限度增强服务器的安全,并且配置过程非常简单,下面就一起来看吧!
厉兵秣马 先装“SCW”
大家都很清楚,Windows Server 2003系统为增强其安全性,默认情况下,很多服务组件是不被安装的,要想使用,必须手工安装。“SCW”功能也是一样,虽然你已经成功安装了补丁包SP1,但也需要手工安装“安全配置向导(SCW)”组件。
进入“控制面板”后,运行“添加或删除程序”,然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项,最后点击“下一步”按钮后,就能轻松完成“SCW”组件的安装。
安装过程就这么简单,接下来就能根据自身需要,利用“SCW”配置安全策略,增强Windows Server 2003服务器安全。
配置“安全策略” 原来如此“简单”
在Windows Server 2003服务器中,点击“开始→运行”后,在运行对话框中执行“SCW.exe”命令,就会弹出“安全配置向导”对话框,开始你的安全策略配置过程。当然你也可以进入“控制面板→管理工具”窗口后,执行“安全配置向导”快捷方式来启用“SCW”。
1.新建第一个“安全策略”
如果你是第一次使用“SCW”功能,首先要为Windows Server 2003服务器新建一个安全策略,安全策略信息是被保存在格式为XML 的文件中的,并且它的默认存储位置是“C:WINDOWSsecuritymsscwPolicies”。因此一个Windows Server 2003系统可以根据不同需要,创建多个“安全策略”文件,并且还可以对安全策略文件进行修改,但一次只能应用其中一个安全策略。
在“欢迎使用安全配置向导”对话框中点击“下一步”按钮,进入到“配置操作”对话框,因为是第一次使用“SCW”,这里要选择“创建新的安全策略”单选项,点击“下一步”按钮,就开始配置安全策略。
2.轻松配置“角色”
首先进入“选择服务器”对话框,在“服务器”栏中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址,点击“下一步”按钮后,“安全配置向导”会处理安全配置数据库。
接着就进入到“基于角色的服务配置”对话框。在基于角色的服务配置中,可以对Windows Server 2003服务器角色、客户端角色、系统服务、应用程序,以及管理选项等内容进行配置。
所谓服务器“角色”,其实就是提供各种服务的Windows Server 2003服务器,如文件服务器、打印服务器、DNS服务器和DHCP服务器等,一个Windows Server 2003服务器可以只提供一种服务器“角色”,也可以扮演多种服务器角色。点击“下一步”按钮后,就进入到“选择服务器角色”配置对话框,这时需要在“服务器角色列表框”中勾选你的Windows Server 2003服务器所扮演的角色。
注意:为了保证服务器的安全,只勾选你所需要的服务器角色即可,选择多余的服务器角色选项,会增加Windows Server 2003系统的安全隐患。如笔者的Windows Server 2003服务器只是作为文件服务器使用,这时只要选择“文件服务器”选项即可。
进入“选择客户端功能”标签页,来配置Windows Server 2003服务器支持的“客户端功能”,其实Windows Server 2003服务器的客户端功能也很好理解,服务器在提供各种网络服务的同时,也需要一些客户端功能的支持才行,如Microsoft网络客户端、DHCP客户端和FTP客户端等。根据需要,在列表框中勾选你所需的客户端功能即可,同样,对于不需要的客户端功能选项,建议你一定要取消对它的选择。
接下来进入到“选择管理和其它选项”对话框,在这里选择你需要的一些Windows Server 2003系统提供的管理和服务功能,操作方法是一样的,只要在列表框中勾选你需要 的管理选项即可。点击“下一步”后,还要配置一些Windows Server 2003系统的额外服务,这些额外服务一般都是第三方软件提供的服务。
然后进入到“处理未指定的服务”对话框,这里“未指定服务”是指,如果此安全策略文件被应用到其它Windows Server 2003服务器中,而这个服务器中提供的一些服务没有在安全配置数据库中列出,那么这些没被列出的服务该在什么状态下运行呢?在这里就可以指定它们的运行状态,建议大家选中“不更改此服务的启用模式”单选项。最后进入到“确认服务更改”对话框,对你的配置进行最终确认后,就完成了基于角色的服务配置。
3.配置网络安全
以上完成了基于角色的服务配置。但Windows Server 2003服务器包含的各种服务,都是通过某个或某些端口来提供服务内容的,为了保证服务器的安全,Windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口,这种向导化配置过程与手工配置Windows防火墙相比,更加简单、方便和安全。
在“网络安全”对话框中,要开放选中的服务器角色,Windows Server 2003系统提供的管理功能以及第三方软件提供的服务所使用的端口。点击“下一步”按钮后,在“打开端口并允许应用程序”对话框中开放所需的端口,如FTP服务器所需的“20和21”端口,IIS服务所需的“80”端口等,这里要切记“最小化”原则,只要在列表框中选择要必须开放的端口选项即可,最后确认端口配置,这里要注意:其它不需要使用的端口,建议大家不要开放,以免给Windows Server 2003服务器造成安全隐患。
4.注册表设置
Windows Server 2003服务器在网络中为用户提供各种服务,但用户与服务器的通信中很有可能包含“不怀好意”的访问,如黑客和病毒攻击。如何保证服务器的安全,最大限度地限制非法用户访问,通过“注册表设置”向导就能轻松实现。
利用注册表设置向导,修改Windows Server 2003服务器注册表中某些特殊的键值,来严格限制用户的访问权限。用户只要根据设置向导提示,以及服务器的服务需要,分别对“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”进行严格设置,就能最大限度保证Windows Server 2003服务器的安全运行,并且免去手工修改注册表的麻烦。
5.启用“审核策略”
聪明的网管会利用日志功能来分析服务器的运行状况,因此适当的启用审核策略是非常重要的。SCW功能也充分的考虑到这些,利用向导化的操作就能轻松启用审核策略。
在“系统审核策略”配置对话框中要合理选择审核目标,毕竟日志记录过多的事件会影响服务器的性能,因此建议用户选择“审核成功的操作”选项。当然如果有特殊需要,也可以选择其它选项。如“不审核”或“审核成功或不成功的操作”选项。
6.增强IIS安全
IIS服务器是网络中最为广泛应用的一种服务,也是Windows系统中最易受攻击的服务。如何来保证IIS服务器的安全运行,最大限度免受黑客和病毒的攻击,这也是SCW功能要解决的一个问题。利用“安全配置向导”可以轻松的增强IIS服务器的安全,保证其稳定、安全运行。
在“Internet信息服务”配置对话框中,通过配置向导,来选择你要启用的Web服务扩展、要保持的虚拟目录,以及设置匿名用户对内容文件的写权限。这样IIS服务器的安全性就大大增强。
小提示:如果你的Windows Server 2003服务器没有安装、运行IIS服务,则在SCW配置过程中不会出现IIS安全配置部分。
完成以上几步配置后,进入到保存安全策略对话框,首先在“安全策略文件名”对话框中为你配置的安全策略起个名字,最后在“应用安全策略”对话框中选择“现在应用”选项,使配置的安全策略立即生效。
利用SCW增强Windows Server 2003服务器的安全性能就这么简单,所有的参数配置都是通过向导化对话框完成的,免去了手工繁琐的配置过程,SCW功能的确是安全性和易用性有效的结合点。如果你的Windows Server 2003系统已经安装了SP1补丁包,不妨试试SCW吧!
总结六大条 Windows Server 2003 Web 服务器安全策略
上个工作是做网站服务器维护,在网上搜索了好多教程,感觉乱的很。干脆自己总结了一套Windows Server 2003服务器安全策略。绝非是网上转载的。都是经过测试的。自己感觉还行吧!欢迎大家测试,也希望与我一起交流服务器的安全问题。希望对大家有帮助!q+ k& W _“ X& V
策略一:关闭windows2003不必要的服务 0 N+ ?2 W3 T(u% A
·Computer Browser 维护网络上计算机的最新列表以及提供这个列表 * `9 h' q2 `' [& _6 T!Q, t
·Task scheduler 允许程序在指定时间运行* L-i: p3 J2 T9 X& k6 O” b* L4 {
·Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 / b% d2 e* “ r!Y _
·Removable storage 管理可移动媒体、驱动程序和库6 t& b;n)|)]8 K' l0 e8 r 0 K2 @/ x” y: b)}
·Remote Registry Service 允许远程注册表操作
·Print Spooler 将文件加载到内存中以便以后打印。
·IPSEC Policy Agent 管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序2 s2 @+ r' q2 ^5 b
·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知$ x2 * y5 s)T(g
·Com+ Event System 提供事件的自动发布到订阅COM组件* ~7 m!Q/ r& K: E* U p)u3 e' W;{9 r# G: Y5 m% O, a
·Alerter 通知选定的用户和计算机管理警报
·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 % k;j“ q% j;l)e$ ~4 L5 _# S
·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
·Telnet 允许远程用户登录到此计算机并运行程序
策略二:磁盘权限设置6 g4 ?: u(d6 G% L!@(r 6 F% z' t2 m, V, ~
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。1 V(K)r$ F+ k# E0 g1 S0 ^
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
# b, k+ O4 o!{.W5 n, ~
策略三:禁止 Windows 系统进行空连接7 S7 V% M” R.S x, n1 F7 q1 V: Y5 n
在注册表中找到相应的键HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORDRestrictAnonymous的键值改为1 “ ^: E* ~, R0 N, N& W4 [)?
策略四:关闭不需要的端口
本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。(如:3389、21、1433、3306、80)([3 ^& {& c.{+ Q$ Z
更改远程连接端口方法+ L* Z4 k% j0 E9 @!P* T6 h
开始-->运行-->输入regedit' G+.T;N9 m: q0 a8 q `
查找3389:0 B, _8 L0 {5 R% d4 f
请按以下步骤查找:7 v' {5 {7 a& N 6 j: E(p!_& l
1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal
值
值
ServerWdsrdpwdTdstcp下的PortNumber=3389改为自宝义的端口号
;w1 v8 j2 J4 H+ Y!N
2、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumber=3389改为自宝义的端口号# t3 s% E.x, T5 C
修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。
M1 W0 M# @* R0 M” n, `
这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还是修改不了的!重起后下次就可以用新端口进入了!% S3 G(a4 ].E3 i7 P2 q3 w0 M: Y
禁用TCP/IP上的NETBIOS4 H;q: T5 2 e1 n
本地连接--属性--Internet协议(TCP/IP)--高级—WINS--禁用TCP/IP上的NETBIOS!}2 J!{ k-a4 i8 y
策略五:关闭默认共享的空连接$ C, P$ W.A3 ^;c* S
首先编写如下内容的批处理文件:
@echo off
net share C$ /delete% }9 ^$ l/ E/ N-z;Y
net share D$ /delete
net share E$ /delete “ N# ^!R, k, p0 @' }
net share F$ /delete+ y-M)W {){
net share admin$ /delete6 ]-k3 ]5 X8 s)Z1 m4 B & }% j/ B* d& J4 A5 i J
以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。然后在开始菜单→运行中输入gpedit.msc,回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录..w6 X6 a6 X& W
在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。3 |1 Y/ ]3 j# X3 J
策略五:IIS安全设置(y' D* T2 I(y: h)d
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。# D* Q1 X([4 P4 L-Q# : m7 B: o' R
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。, v/ n8 _+ x' W/ P% n/ a
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。B” B8 G% I4 c.@0 y“ f” |
4、删除不必要的IIS扩展名映射。6 w9 k% T# M“ s/ j
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、shtm、stm。7 t!$ X!x0 p!R# [0 m4 b & x.`8 N” r-f5 z* W* b6 K$ @.X
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
策略六:注册表相关安全设置 & R$ _6 A* P“ }6 J(^* f
1、隐藏重要文件/目录
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL” {!a: G# g;a4 K b” A-z
鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。$ ^, V/ o0 n1 `, s(H$ R8 l$ v X+ Q3 l
2、防止SYN洪水攻击' o9 |)q4 i# e& O!X
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为21 W0 |: K1 ?9 v0 S(x* k;i8 w
3、禁止响应ICMP路由通告报文8 q6 T$ p2 # N e1 f0 P1 k
O* i6 p: R-P i5 Q-w
HKEY_LOCAL_MACHINESYSTEM ServicesTcpipParametersInterfacesinterface % G# k/ v* Q)n(I2 e4 m!n e
新建DWORD值,名为PerformRouterDiscovery 值为0。
4、防止ICMP重定向报文的攻击 3 S0 S1 t' e/ V& g& a
CurrentControlSet
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects 值设为0 # 3 & k: ](j
5、不支持IGMP协议4 i4 {* Z& u' ^
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters ' e: _0 C-?$ C# Y
新建DWORD值,名为IGMPLevel 值为0。
策略七:组件安全设置篇
A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)!G5 c!~)C;V: `$ V/ [
windows2000.bat7 y)Z, [4 o-g4 F* r4 R
regsvr32/u C:WINNTSystem32wshom.ocx0 N1 M1 ?7 p)U: y)_/ `& J
del C:WINNTSystem32wshom.ocx/ C(R-s!|(N 7 E0 e& q+ M+ h5 Q# `
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll5 a6 x7 @% T, l.r r
windows2003.bat' g9 X;?.Y: |;Z : i.], y(i7 c8 R B1 Z2 E
regsvr32/u C:WINDOWSSystem32wshom.ocx2 x9 A8 o+ U+ n# D1 t!@9 Y4 S+ v O8 I* D
del C:WINDOWSSystem32wshom.ocx : r1 _& ~;t1 R9 E$ ]8 G
regsvr32/u C:WINDOWSsystem32shell32.dll / [9 L!m# T+ F
del C:WINDOWSsystem32shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit→回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application→查找下一个】 $ b* _+ ~;O!e$ V“ r$ q;q
用这个方法能找到两个注册表项:)g4 r+ _3 C5 a# I
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application。% M, Y7 V$ P4 `2 C6 y
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 13709620-C279-11CE-A49E-444553540001$ t!w/ w6 g/ N* @
改名为
Shell.application 改名为 Shell.application_nohack)J(E!E8 P, t8 i(F$ _
第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
” c6 e3 A-G u6 B6 G& E+ r
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,, h8 K4 F% K.m# n$ ?% d
改好的例子
% X“ m;y' K+ h(W9 d7 T” t
建议自己改(p7 e' Y“ F5 j E# i;k 8 z9 C }6 X.p7 ~
应该可一次成功2 I3 ` x: H$ b+ n1 r& B!X+ V, q
Windows Registry Editor Version 5.004 G3 l/ c5 f0 K!m3 a& Z E” g 4 X“ r* Y6 ]' U;D2 P-Y
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]!L” I!T4 K& O-u-k.a% R# m
@=“Shell Automation Service”
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]' c9 R2 B' n: w9 e& c9 t4 ~5 k0 h
@=“C:WINNTsystem32shell32.dll” “.T1 l* N& |7 O3 k
”ThreadingModel“=”Apartment“9 m.~/ p* H8 � ]&.v' ]
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID] 9 |2 V3 d0 w6 N Q3 [9 }
@=”Shell.Application_nohack.1“/ M5 W& t: `.h/ w
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}“% t7 J/ Y& G' V(t
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]& D$ {7 ]/ K# B!w: I3 c1 v2 E 9 c1 S+ d2 E* B!`8 q8 D2 d
@=”1.1“ 4 r$ M(r0 i1 K3 J)^
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID].p0 Q)c0 k1 b# f(H2 }9 M.z
@=”Shell.Application_nohack“
[HKEY_CLASSES_ROOTShell.Application_nohack] % E# }& i$ G ~;T9 t: S7 a
@=”Shell Automation Service“ ” v2 b0 x4 ?1 L;b-X
[HKEY_CLASSES_ROOTShell.Application_nohackCLSID], [/ G$ `“ f' l-j8 Z
@=”{13709620-C279-11CE-A49E-444553540001}“
[HKEY_CLASSES_ROOTShell.Application_nohackCurVer]
@=”Shell.Application_nohack.1“(x.i$ Z1 s!p
评论:+ S6 x3 n: C” f9 C' W7 H3 X , x0 p;S-c# M/ N0 N2 U“ N.`
WScript.Shell 和 Shell.application 组件是脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。0 z5 ^-b' ~” l$ n/ q: u' H
C、禁止使用FileSystemObject组件 # S.{/ F;|$ c$ J' W)h/ w, i
FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。1 ^% N4 W& L1 U)S6 p!l
HKEY_CLASSES_ROOTScripting.FileSystemObject$ `!L.G& I.m& _-K' E# { _ 3 F4 O3 g0 b9 q: {.C0 V% C+ F5 e0 g)k
改名为其它的名字,如:改为 FileSystemObject_ChangeName;B2 U: ]“ z;? ?
自己以后调用的时候使用这个就可以正常调用此组件了-^' W9 R2 ?' M.Q-X# s7 b% o)e!d/ o' p
也要将clsid值也改一下3 h/ B5 Y;q1 o)K5 d(?& p2 S
f, s;t1 [2 ^7 A
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值3 w7 w)d+ l/ M: i9 g 7 C$ @.F.]+ [# t(G8 |(I
也可以将其删除,来防止此类木马的危害。-^/ H+ U7 O& }# v4 a;B
2000注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll!y+ j5 [4 n+ T8 i
2003注销此组件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll3 S)d5 A)+ W* [%-e2 W 5 D!P F1 U: R+ h5 O1 L
如何禁止Guest用户使用scrrun.dll来防止调用此组件?* H$ x N4 x8 W(X4 N1 g
使用这个命令:cacls C:WINNTsystem32scrrun.dll /e /d guests3 O% l.{# y# F# [* P, Q” N;t;o7 O.m4 ~0 Z:
D、禁止使用WScript.Shell组件5 l;k1 l& e' Z' A
WScript.Shell可以调用系统内核运行DOS基本命令5 z Z' v(]# G3 ^(_& B-U
可以通过修改注册表,将此组件改名,来防止此类木马的危害。“ }& x/ u b: C% y
HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1;z” C8 a* G5 y% y$ y* L7 r.y1 J5 B“ J8 X
改名为其它的名字,如:改为WScript.Shell.1_ChangeName 4 m8 m!U, L-P
WScript.Shell_ChangeName 或
自己以后调用的时候使用这个就可以正常调用此组件了 * b3 l# o# , {$ z0 }
也要将clsid值也改一下 & ^' ^: v6 w!{(v1 {# c
HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值 : D1 E” P1 W0 V& };_1 o
HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值;d' _7 ].~7 X& I7 k
也可以将其删除,来防止此类木马的危害。+ Z+ A# V* i% r-K% ~
E、禁止使用Shell.Application组件“ `!R-E t2 g3 L / B& e# c3 Y* x+ i
Shell.Application可以调用系统内核运行DOS基本命令.W% |8 ?5 ]9 q 2 J' J.k;d4 I& B6 g+ x$ |7 G
可以通过修改注册表,将此组件改名,来防止此类木马的危害。” G3 x.F;b!_# })@+ e' z
HKEY_CLASSES_ROOTShell.Application及
HKEY_CLASSES_ROOTShell.Application.1 , T!m!{1 Z“ r: m# V
改名为其它的名字,如:改为Shell.Application.1_ChangeName 8 T# A.W, k;B([(};K
Shell.Application_ChangeName 或
自己以后调用的时候使用这个就可以正常调用此组件了& t* `$ D/ F.C% ^
也要将clsid值也改一下
^5 n;S6 V/ T* T3 C” Z4 V
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 8 f5 M5 t ~& u* R!j
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值)o3 l1 q% B' S7 ~8 X+ x: z/ U!1 m9 @!U9 m2 S: e7 r
也可以将其删除,来防止此类木马的危害。)v/ V8 F(k D-F $ J!a;F& I c1 v;S8 a
禁止Guest用户使用shell32.dll来防止调用此组件。!C3 ^: j y' O8 S3 S* x
2000使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests2 l(N8 D% d5 J/ f$ w3 }
2003使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests% f5 T!Y0 C!G* L“ O(E” l X6 @$ K# E)y$ J-P
注:操作均需要重新启动WEB服务后才会生效。
F、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:WINNTsystem32Cmd.exe /e /d guests4 # q0 a# w' i6 ?1 Z
2003使用命令:cacls C:WINDOWSsystem32Cmd.exe /e /d guests)t N9 x* ^-S“ [3 r(E n” U4 q, F 7 G5 c* R8 o# Y)B: g
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。3
第二篇:安全管理人员配置规定
企业安全生产管理人员配备要求
一、中华人民共和国安全生产法(中华人民共和国主席令第70号)第二章第十九条规定:矿山、建筑施工单位和危险物品的生产、经营、储存单位,应当设置安全生产管理机构或者配备专职安全生产管理人员。
前款规定以外的其他生产经营单位,从业人员超过300人的,应当设置安全生产管理机构或者配置专职安全生产管理人员,从业人员在300人以下的,应当配置专职或者兼职的安全生产管理人员,或委托具有国家规定的相关专业技术资格的工程技术人员提供安全生产管理服务。生产经营单位依照前款规定委托工程技术人员提供安全生产管理服务的,保证安全生产的责任仍由本单位负责。
二、国家安全监管总局工业和信息化部关于危险化学品企业贯彻落实《国务院关于进一步加强企业安全生产工作的通知》的实施意见(安监总管三〔2010〕186号)20101103 3.加强安全生产管理机构建设。企业要设置安全生产管理机构或配备专职安全生产管理人员。安全生产管理机构要具备相对独立职能。专职安全生产管理人员应不少于企业员工总数的2%(不足50人的企业至少配备1人),要具备化工或安全管理相关专业中专以上学历,有从事化工生产相关工作2年以上经历,取得安全管理人员资格证书。
三、安监总局令11号第六条规定:从业人员300人以上的煤矿、非煤矿山、建筑施工单位和危险物品生产、经营单位,应当按照不少于安全生产管理人员15%的比例配备注册安全工程师,安全生产管理人员在7人以下的,至少配1名。
四、国家安全监管总局关于冶金有色建材机械轻工纺织烟草商贸等行业企业贯彻落实国务院《通知》的指导意见(安监总管四〔2010〕169号)20101011 3.健全安全生产管理机构和配备人员。企业要设置配备与企业发展相适应的安全管理机构和人员。从业人员超过300人的企业,要设置安全生产管理机构,并按照冶金、有色、建材企业不少于从业人员3‰、其他企业不少于2‰的比例配备专职安全生产管理人员;从业人员在300人以下的企业,要配备专职或者兼职安全生产管理人员。安全生产管理人员要具备胜任本企业安全生产工作的能力,取得安全培训资格证书,同时享受相当类别管理岗位的待遇。
安全培训规定
依据的国家法律法规
1、安全生产法第二十条规定:生产经营单位的主要负责人和安全生产管理人员必须具备与本单位所从事的生产经营活动相应的安全生产知识和管理能力。
危险物品的生产、经营、储存单位以及矿山、建筑施工单位的主要负责人和安全生产管理人员,应当由有关主管部门对其安全生产知识和管理能力考核合格后方可任职。考核不得收费。
2、总局3号令(2006年)第六条规定:生产经营单位主要负责人和安全生产管理人员应当接受安全培训,具备与所从事的生产经营活动相适应的安全生产管理知识和管理能力。
煤矿、非煤矿、危险化学品、烟花爆竹等生产经营单位主要负责人和安全生产管理人员必须接受专门的安全培训,经安全生产监管监察部门对其安全生产知识和管理能力考核合格,取得安全资格证书后,方可任职。第九条生产经营单位主要负责人和安全生产管理人员初次安全培训时间不得少于32学时。每年再培训时间不得少于12学时。
煤矿、非煤矿、危险化学品、烟花爆竹等生产经营单位主要负责人和安全生产管理人员安全资格培训时间不得少于48学时;每年再培训时间不得少于16学时。第十五条生产经营单位新上岗的从业人员,岗前培训时间不得少于24学时。
煤矿、非煤矿山、危险化学品、烟花爆竹等生产经营单位新上岗的从业人员安全培训时间不得少于72学时,每年接受再培训的时间不得少于20学时。第十九条从业人员在本生产经营单位内调整工作岗位或离岗一年以上重新上岗时,应当重新接受车间(工段、区、队)和班组级的安全培训。
第三篇:汽车安全操控配置
汽车安全操控配置
ABS防抱死
“ABS”中文译为“防锁死刹车系统”.它是一种具有防滑、防锁死等优点的汽车安全控制系统。ABS是常规刹车装置基础上的改进型技术,可分机械式和电子式两种。现代汽车上大量安装防抱死制动系统,ABS既有普通制动系统的制动功能,又能防止车轮锁死,使汽车在制动状态下仍能转向,保证汽车的制动方向稳定性,防止产生侧滑和跑偏。
制动力分配(EBD/CBC等)
在刹车的时候,车辆四个车轮的刹车卡钳均会动作,以将车辆停下。但由于路面状况会有变异,加上减速时车辆重心的转移,四个车轮与地面间的抓地力将有所不同。传统的刹车系统会平均将刹车总泵的力量分配至四个车轮。从上述可知,这样的分配并不符合刹车力的使用效益。EBD系统便被发明以将刹车力做出最佳的应用。
EBD的功能就是在汽车制动的瞬间,高速计算出四个轮胎由于附着不同而导致的摩擦力数值,然后调整制动装置,使其按照设定的程序在运动中高速调整,达到制动力与摩擦力(牵引力)的匹配,以保证车辆的平稳和安全。当紧急刹车车轮抱死的情况下,EBD在ABS动作之前就已经平衡了每一个轮的有效地面抓地力,可以防止出现甩尾和侧移,并缩短汽车制动距离。刹车辅助(EBA/BAS/BA等)
刹车辅助一般称为EBA或BAS,它的工作原理是传感器通过分辨驾驶员踩踏板的情况,识别并判断是否引入紧急刹车程序。由此该系统能立刻激发最大的刹车压力,以达到可能的最高的刹车效果,达到理想的制动效果以制止交通事故的发生。
ABS能缩短刹车距离,并能防止车辆在刹车时失控,从而减少了事故发生的可能性。但是在紧急制动的情况下驾驶员往往由于制动不够果断或踩踏力不足而无法快速触发ABS浪费了制动时间,从而达不到预期的效果。为此,汽车工程师们设计了刹车辅助,即让现有的ABS具有一定的智能,当踩刹车时动作快、力量大时,BAS就判断驾驶者在紧急刹车并让ABS工作,迅速增大制动力。刹车辅助分机械式和电子控制式两种。机械式刹车辅助实际上是在普通刹车加力器的基础上稍加修改而成,在刹车力量不大时,它起到加力器的作用,随着刹车力量的增加,加力器压力室的压力增大,启动ABS。电子控制式刹车辅助的刹车加力器上有一个传感器,向ABS控制器输送有关踏板行程和移动速度的信息,如果ABS控制器判断是紧急刹车,它就让加力器内螺线阀门开启,加大压力室内的气压,以提供足够的助力。
牵引力控制(ASR/TCS/TRC等)
牵引力控制系统Traction Control System,简称TCS,也称为ASR或TRC。它的作用是使汽车在各种行驶状况下都能获得最佳的牵引力。牵引力控制系统的控制装置是一台计算机,利用计算机检测4个车轮的速度和方向盘转向角,当汽车加速时,如果检测到驱动轮和非驱动轮转速差过大,计算机立即判断驱动力过大,发出指令信号减少发动机的供油量,降低驱动力,从而减小驱动轮的滑转率。计算机通过方向盘转角传感器掌握司机的转向意图,然后利用左右车轮速度传感器检测左右车轮速度差;从而判断汽车转向程度是否和司机的转向意图一样。如果检测出汽车转向不足(或过度转向),计算机立即判断驱动轮的驱动力过大,发出指令降低驱动力,以便实现司机的转向意图。
牵引力控制系统能防止车辆的雪地等湿滑路面上行驶时驱动轮的空转,使车辆能平稳地起步、加速。尤其在雪地或泥泞的路面,牵引力控制系统均能保证流畅的加速性能,防止车辆因驱动轮打滑而发生横移或甩尾。
车身稳定控制(ESC/ESP/DSC等)
汽车电子稳定控制系统是车辆新型的主动安全系统,是汽车防抱死制动系统(ABS)和牵引力控制系统(TCS)功能的进一步扩展,并在此基础上,增加了车辆转向行驶时横摆率传感器、测向加速度传感器和方向盘转角传感器,通过ECU 控制前后、左右车轮的驱动力和制动力,确保车辆行驶的侧向稳定性。
这套系统主要对车辆纵向和横向稳定性进行控制,保证车辆按照驾驶员的意识行驶。电子稳定控制系统的基础是ABS制动防抱死功能,该系统在汽车制动情况下轮胎即将抱死时,一秒内连续制动上百次,有点类似于机械式“点刹”。如此一来,在车辆全力制动时,轮胎依然可以保证滚动,滚动摩擦的效果比抱死后的滑动摩擦效果好,且可以控制车辆行驶方向。
另一方面该系统会与发动机ECU协同工作,当驱动轮打滑时通过对比各个车轮的转速,电子系统判断出驱动轮是否打滑,立刻自动减少节气门进气量,降低发动机转速从而减少动力输出,对打滑的驱动轮进行制动。这样便可以减少打滑并保持轮胎与地面抓地力之间最合适的动力输出,此时无论怎么给油,驱动轮都不会发生打滑现象。
第四篇:注册表与安全有关的配置
1、设置对注册表工具(Regedit.exe)的运行限制
保护注册表不受未经授权访问的做好办法之一是让恶意用户根本无法访问注册表。对于服务器来说,这意味着要严格控制服务器的物理安全,只允许管理员本地登录。对于其他系统,或者无法防止用户本地登录到服务器的情况下,则可以针对Regedit.exe和Reg.exe配置访问权限,使其更安全。另外,我们也可以尝试从系统中删除注册表编辑器以及Reg命令,但这会导致其他问题,造成管理员系统管理的麻烦,尤其是当管理员需要从远程访问注册表的时候,这样的做法有些自断后路。
我们可以采取一个比较折中的方法,就是修改注册表编辑器的访问权限,以限制其它非授权用户对其进行访问。访问%SystemRoot%文件夹,找到注册表编辑器程序Regedit.exe,右键单击该工具选择“属性”。在属性对话框中打开“安全”选项卡,可以看到如图所示的界面。在该界面中我们根据需要添加或者删除用户或者组,然后设置其必要的访问权限。这里的权限设置和对文件(文件夹)的权限设置是一样的,我们可以选择一个对象,然后允许或者拒绝特定的权限。除了Regedit.exe的设置外,我们还需要对命令行下的注册表访问工具Reg.exe进权限设置。打开%SystemRoot%System32文件夹,用鼠标右键单击该程序,选择“属性”。同样在属性对话框中打开“安全”选项卡,默认情况下该命令可以被一般用户管理员使用,我们可以根据需要在该界面中进行用户授权和权限设置。以笔者的经验,大家不要通过组统一授权,因为这样该组中的所有用户都具有相应的权限。我们可以删除组,只为具体的用户授权,这样攻击者通过添加到组实施对注册表的控制就行不通了 需要说明的是,Windows系统中还有一个名为Regedit32的注册表工具,其实这个工具只是一个到Regedit.exe的链接。如果我们设置了Regedit.exe的权限后,并不需要对Retdit32.exe也进行类似的权限设置。
2、设置对注册表键的访问权限
对于注册表的权限控制,我们还可以具体到对注册表键的访问控制。对于注册表键的权限设置,我们除了可以直接进行权限的编辑外,还可以使用安全模板进配置。使用恰当的安全模板不仅可以锁定对注册表的访问,而且不要担心错误的设置会导致系统无法启动或应用程序无法运行。
不过,通常情况下我们只是针对特定的注册表键进行权限控制,这时候只能通过直接进行权限的编辑。具体方法是:运行注册表编辑器,找到要设置的键,用鼠标右键单击选择“权限”,或者也可以首先选中该键然后从注册表编辑器的“编辑”菜单中选择“权限”也可,随后会打开“SAM的权限”对话框。和文件权限的设置一样,我们可安装需要添加或删除组和用户,选中某个对象,设置拒绝或者允许某个权限。
需要说明的是,很多权限是从更高级别的键继承的,无法直接进行修改。要编辑其权限,需要单击“高级”按钮打开如图所示的“SAM的高级安全设置”对话框。在此有4个选项卡:其中“权限”选项卡上的“继承于”一栏显示了这个权限是从哪里继承来的,一般来说这些权限都是从目标键的根键继承下来的。我们在单击“确定”应该更改前,要考虑清楚是否应该选择“包括可以从该对象的父项继承的权限”复选框。如果选择,那么所选键以及其下级是所有子键的权限都好发生变化。“审核”选项卡下可对所选键配置审核。“所有者”选项卡下显示所选键的当前所有者,并且可以分配所有权。默认情况下,只有所选键会受到影响,但如果希望针对当前键的所有子键都有效,需要勾选“替换子容器和对象的所有者”选项。“有效权限”选项卡下,可用于判断当前设置会对特定用户或组应用怎样的权限,这个功能非常有用,而且在“权限”选项卡下对权限的修改在单击“确定”或“应用”之前会不会被应用。
3、安全设置控制对注册表的远程访问Windows的注册表不仅可本地访问,还可远程访问。因此,攻击者或者未经授权的用户可能会像管理员一样尝试远程访问系统的注册表,这无疑会带来极大的安全风险。通常情况下,对于个人系统我们不会远程访问注册表,那么就可以禁止注册表的远程访问。
“开始”菜单中的“运行”,输入services.msc打开服务管理器,找到“Remote Registry”服务项,双击该项“停止”服务,并设置启动类型为“禁止”即可。不过,上述设置后,就完全禁止了远程对注册表的访问。但有的时候,我们需要允许可远程访问注册表的某些键,该怎么办呢?其实,我们还可通过修改注册表键值的方法来控制对注册表的远程访问。这个
注
册
表
键
是“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”。在开启了“Remote Registry”服务的Windows系统中就有该注册表键,Windows使用该键的权限设置判断哪些用户可以远程访问注册表,而默认情况下,通过验证的用户都可以。事实上,通过验证的用户对该键具有查询数值、枚举子键、通知和读取的控制权限。因此,我们需要排除某些敏感的注册表目录,以防止被远程恶意访问。在“HKLMSYSTEMCurrentControlSetControlSecurePipeServersWinreg”键先有个“AllowedPaths”键,其右侧有个字符串注册表键值“Machine”,双击该键值可以看到可远程访问的注册表键值路径,在此我们可以根据需要添加或者删除注册表路径,以实现对远程访问注册表路径的控制下面做一些补充,笔者看到某些管理员基于安全需要关闭了注册表的远程访问功能,却莫名其妙地造成了某些系统故障,这里做一说明。这时因为,Windwos系统中的某些服务为了实现特殊的功能可能需要远程访问注册表,例如Directory Replicator服务已经Spooler服务,这样在关闭了对注册表的远程访问会造成这些服务的运行错误。这样我们一定要在限制对注册表的远程访问时,必须要绕过这些服务对远程注册表访问的限制。其做法是,将需要远程访问注册表的服务的账户名添加到Winreg键的访问列表中,或者将需要远程访问的注册表键的路径添加到AllowedPath值中。在Machine键下的Paths值可以让计算机访问列出的位置,Users键下的Paths值可以让用户访问列出的位置。只要对这些键没有明确的访问限制,那么就可以进行远程访问。在修改完毕后,需要重新启动计算机这样对注册表的修改才可生效此外,对于Windows Vista和Windows Server 2008系统来说,我们可以通过“本地安全策略”控制台启用或者禁用注册表的远程访问,同时也可以设置用户或组是否列在Winreg注册表键的访问控制列表(ACL)中。这里设置了很多默认路径,笔者建议不要轻易修改它们,除非你非常清楚你要进行的操作。其操作方法是:依次单击“开始”→“管理工具”→“本地安全策略”,打开本地安全策略控制台。展开左窗格中的“本地策略”节点,然后选择“安全选项”,在主窗格中可以看到列出了很多策略设置。在此,我们可以拖动滚动条,根据需要双击“网络访问:可远程访问的注册表路径”或“网络访问:可远程访问的注册表路径和子路径”选项。在属性对话的“本地策略设置”选项卡上,可以看到允许远程访问的注册表路径以及子路径列表。在此我们可按照需要添加或删除路径或者子路径
4、部署审核监视用户对注册表的操作
审核是Windows系统的一项重要功能,就像对文件等其他系统项进行审核一样,我们也可注册表的访问进行审核。据此我们可了解到哪些用户访问了注册表,以及他对注册表进行了哪些操作。不过,启用对注册表的审核后会耗费一定的系统性能。笔者建议,我们只选择自己最关心的、必要的审核对象,以减少被写入安全日志中的数据流,以此减少对系统性能带来的负担。
要启用对在注册表的审核,先要启用系统审核。为此,需要通过系统的本地安全策略或相应的组策略对象进行。cmd+secpol.m运行“本地计算机策略”控制台,定位到“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”节点下设置启用系统审核策略。对系统启用了审核后,即可配置希望对注册表进行审核的方式。我们可以设置对需要的注册表键进行监控,此时我们可以利用继承功能,这样我们就不需要对注册表中的每一个键进行设置审核了。当然,如果只需要对一个指定的根键或者子键作为开始的审核的起点,我们可以首先取消上面的继承重新设置。比如,我们要对事关系统账户安全的HKLMSAM注册表键进行审核,可进行如此操作。(图6)图6依次点击“开始”→“运行”,输入regedit.exe打开注册表编辑器。定位到HKLMSAM注册表键,右键单击该键选择“权限”打开“SAM的权限”对话框。带该对话框中单击“高级”按钮,打开“SAM的高级安全设置”对话框,在对话框中打开“审核”选项卡,单击“添加”按钮进入对话框,在此选择要审核的用户或组。审核的用户或者组添加完毕后,单击“确定”进入“SAM的审核项目”对话框。在此,我们可以针对每个权限选择要进行的审核类型。如果希望跟踪权限的成功使用,就选择相应的“成功”选项;如果希望更正权限的失败使用,则选择相应的“失败”选项。设置完毕后单击“确定”关闭该对话框。对于其他用户或者组的审核设置,方法类似。需要说明的是,如果希望将审核应用于所有子键,需选中“包括可以从该对象的父项继承的审核项目”选项。总结:上面从4个方面和大家分享了自己在Windows注册表安全管理方面的一些经验,应该说囊括了注册表管理的主要方面。另外,不少管理员采用的通过组策略禁用注册表,也不失为一项安全措施
第五篇:安全管理机构设置及人员配置制度
安全管理机构设置及人员配置制度
1目的
根据《安全生产法》的规定和合肥市有关规定, 企业应设置安全生产管理机构或配备足够的专职安全生产管理人员, 专门负责安全生产监督管理工作, 为规范公司安全生产管理机构设置与人员任命工作, 特制定本制度。
2适用范围
本制度适用本公司安全管理机构设置及人员配备。职责
3.1公司总经理负责公司安全管理协调机构和安全管理机构设置及人员配备 3.2人力资源部门负责安全管理人员的选用考核。
4管理内容
4.1安全生产委员会的设置
a)公司成立安全生产委员会, 成员包括总经理、分管副总、总经理助理、各部门经理和安全主管, 安委会主任由企业主要负责人担任。
b)安全生产委员会人员中应有员工代表, 员工应清楚员工代表的选择标准和职责, 员工代表的职责应工作场所中展示, 员工代表应熟悉职责范围内的各种危险源及其风险。
C)安全生产委员会要每季度召开一次安全专题会议, 审查安全工作进展和确定方案, 协调解决存在的安全问题。
D)安全生产委员会会议内容全部形成会议纪要, 其中必须包括工作项目清单, 并由安全生产委员会主任签发。
E)安委会办公室设在安全部, 安全部为安委会日常管理机构, 安全部主任为安委会办公室主任。
4.2安全生产管理部门的设置
a)安全生产管理部门必须是相对独立的部门, 其工作人员为专职安全管理人员, 专门从事安全生产管理工作。b)安全管理机构的职责是落实国家有关安全生产法律法规, 组织公司内部各种安全检查活动, 主动发现事故隐患, 监督安全责任制的落实等, 专门从事安全生产工作的计划与布置、监督与检查、总结与考核。
c)安全管理机构是公司安全生产的重要保障组织, 除安全生产管理外, 不兼做其他工作。
d)公司安全管理部为公司安全监督管理部门,专职安全管理人员须取得相应的安全管理资质证书。4.3人员的任命
a)公司依据特点应书面任命安全管理人员。
b)被任命的人员必须理解并履行其职责与义务, 并有任命书。c)被任命的人员必须接受安全生产培训, 并考核合格。
点击咨询 