第一篇:Windows组策略完善主机安全整改实战
Windows组策略完善主机安全整改实战
对于服务器主机系统的安全需要定期的进行整顿改革。在进行之中需要注意细节上面的问题。下面给大家分享一下如何利用组策略对Windows系统进行全面安全防护的全过程。
AD: 51CTO云计算架构师峰会 抢票进行中!
前段时间,客户的上级主管单位对客户单位的整个信息系统进行了一次全面的主机脆弱性分析。由于客户单位的信息安全性要求较高,这次脆弱性分析也做得非常彻底,找到了很多安全漏洞,尤其是对网络中的Windows主机更是提出了大量的整改意见。
在落实这些整改意见,修复主机漏洞的过程中,发现涉及到的计算机非常多,工作量很大,靠人力逐个计算机的去操作基本上是不可能的。这时想到了Windows系统中强大的管理工具——组策略。利用组策略批量更改配置的特性,配合计算机启动脚本的使用,整个安全修复工作仅用了1天就完成了。而如果靠人力逐个计算机的去操作可能要花费至少1个月的时间。下面给大家分享一下本次利用组策略对Windows系统进行全面安全防护的全过程。
一、主机脆弱性分析
本次评估中,Windows主机安全漏洞分析总共涉及到了Windows 2003服务器11台,Windows 2000服务器12台,以及抽样30台Windows XP客户端进行人工审计。发现的主要问题有:
(一)启用了多个不必要的服务和端口
多台Windows主机启用了多个不需要的服务。某些启动的服务可能与当前承载业务无关,例如:DHCP Client、Remote Registry、Task Scheduler、Telephony、Messenger。系统中开启了多个可能不必要且易受攻击的端口,如135、139、445、593、1025、2745、3127、6129等。
不需要的服务被启用,恶意用户可以通过尝试攻击不需要的服务来入侵系统,而管理员在管理维护过程通常会忽略不需要的服务,无法及时修补不需要服务中所存在的安全漏洞,给恶意用户留下更多的攻击途径。
不需要的端口被启用,非法者可以利用这些端口进行攻击,获得系统相关信息,控制计算机或传播病毒,对计算机造成危害。
(二)没有重命名或禁用默认帐户 Windows主机没有更改默认管理员用户名:Administrator。
默认帐户在带来方便的同时也严重危害系统安全。未更改Administrator帐号,恶意攻击者将轻易得知超级用户的名称,只需对密码进行猜测即可。
(三)未屏蔽之前登录的用户信息
操作系统登录时,显示上次登录用户名。
没有配置此项安全功能,用户启动主机系统时,登录界面显示上次登录用户名,只需输入密码。恶意攻击者只需对密码进行猜测,无需猜测用户名,为攻击提供方便。
(四)操作系统开启默认共享
主机开启了C$、D$、Admin$、IPC$等默认共享。
默认情况下开启了很多共享文件夹。如C$、D$、ADMIN$等,这样对系统安全带来很多隐患。另外IPC$共享的存在将允许任何用户通过空用户连接得到系统所有账号和共享列表。攻击者可能利用这项功能,查找用户列表,并使用字典工具,对服务器进行攻击。
(五)未采用屏保密码设置
多台Windows系统没有设置在屏保后进行锁屏。
很多时候管理员会在离开服务器时忘记锁定系统。系统默认会在一定时间之后开始屏保,如果在屏保中设置了密码保护。那么很大程度上可以保护主机系统不会被非法操作,减少安全风险。
(六)帐号口令长度和复杂度不满足安全要求
为了提高用户口令字典穷举的难度,需要配置口令策略,口令复杂性要求,为用户设置强壮的口令。
(七)用户鉴别未加固
为了防止非法用户对用户口令进行反复尝试,应配置操作系统用户鉴别失败策略,即帐户尝试登陆阀值及达到阀值所采取的措施。
(八)审核策略未加固 审核是追溯恶意操作的最有力工具。系统默认的审核范围比较单一,并不能为安全事故分析提供充分的信息。因此需要配置操作系统的安全审计功能,确保系统在发生安全事件时有日志可供分析。
二、安全整改方法
八条安全整改建议基本上覆盖了大部分最常见的Windows安全问题,下面我们利用强大的组策略工具,对所有建议提供点对点问答式解决方案。
(一)关闭不需要的服务和端口
1,在Windows服务中禁用以下服务。
打开“默认域策略”,依次展开“计算机配置”、“Windows设置”、“安全设置”,然后选中“系统服务”,在右边窗格中右键选择Remote Registry服务,点击“属性”。在弹出的属性窗口中,选择“定义这个策略设置”,并勾选“已禁用”,然后点击“确定”,关闭窗口。依次对以下服务完成以上操作。
(1)Remote Registry Service允许远程注册表操作,如果没有特殊的管理平台(例如SMS)需要远程修改计算机注册表的话,该服务也可以禁用。
(2)DHCP Client服务是用于DHCP客户端接收服务器分发的IP地址,还可实现客户机DNS动态注册。在本案例中,所有计算机均是固定IP地址,并无DHCP服务。所以该服务也可以关闭,这样可防止未经授权或恶意用户配置或操作该服务。
(3)Task scheduler服务允许程序在指定时间运行,如果没有设置计划任务的话,该服务也没有启动的必要。
(4)Print Spooler服务将文件加载到内存中以便以后打印。该服务非常容易遭到攻击,所以除打印服务器和其他需要打印功能的计算机外,计算机上的这个服务都必须禁用。
(5)Telephony服务为电话应用程序编程接口(TAPI)提供支持。TAPI主要是用来支持传统和 IP 电话服务,以提供声音、数据和视频通信。对于 Windows 2000 Server 和 Windows Server 2003 以及 Windows 2000 Professional 和 Windows XP 系统,如果尚未配置电话服务功能,Telephony服务将是一个本地特权提升漏洞。
(6)Messenger 服务负责传输客户端和服务器之间的 NET SEND 和 警报器服务消息,通常该服务可以关闭。在很多文章中还提到Computer Browser、TCP/IP NetBIOS Helper等服务也需要禁用,但事实这些服务只是在单机情况不起作用,在局域网环境中是十分重要的。例如如果TCP/IP NetBIOS Helper服务禁用的话,基于域的组策略将不再起作用,同时域用户也将无法登陆。
2.关闭不必要的端口。
默认情况下,Windows有很多端口是开放的,这些开放的端口会带来很大的安全隐患,端口主要包括:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,以及一些流行病毒的后门端口(TCP 2745、3127、6129 端口等)。我们可以利用IP安全策略中的IP筛选器来关闭这些网络端口,具体方法如下:
(1)打开“默认域策略”,依次展开“计算机配置”、“Windows设置”、“安全设置”,然后选中“IP 安全策略,在Acive Directory”。在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”。在向导中点击“下一步”按钮,为新的安全策略命名(端口屏蔽);再按“下一步”,则显示“安全通信请求”窗口,取消对“激活默认相应规则”的选择,点击“完成”按钮就创建了一个新的IP 安全策略。
(2)右击该IP安全策略,在“属性”对话框中,把“使用添加向导”选项去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”选项去掉,然后再点击右边的“添加”按钮添加新的筛选器(TCP)。
(3)进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器。
(4)点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器示。
(5)再重复以上步骤添加TCP 1025、2745、3127、6129端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。
(6)如6图所示,在“新规则属性”对话框中,选择“TCP筛选器列表”,激活它,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”选项去掉,点击“添加”按钮,在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。(7)进入“新规则属性”对话框,激活“新筛选器操作”,关闭对话框;最后回到“新IP安全策略属性”对话框,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略(端口屏蔽),然后选择“指派”。
(二)重命名默认帐户Administrator
1.打开“默认域策略”,依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“安全选项”。
2.在右窗格中,双击“帐户:重命名系统管理员帐户”。
3.单击以选中“定义这个策略设置”复选框,然后键入要用于管理员帐户的新名称。
4.单击“确定”。
(三)屏蔽之前登录的用户信息
1.打开“默认域策略”,依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“安全选项”。
2.在右窗格中,双击“交互式登陆:不显示上次的用户名”。
3.单击以选中“定义这个策略设置”复选框,然后选择“启用”。
(四)关闭默认共享
关闭C$、D$、Admin$、IPC$等默认共享需要使用组策略分发计算机启动脚本的方式来完成。计算机启动脚本如下:
1.for %%a in(C D E F G H I J K L M N O P Q R S T U V W X Y Z)do @(2.if exist %%a:nul(3.net share %%a$ /delete 4.)5.)
6.net share admin$ /delete
7.echo Windows Registry Editor Version 5.00> c:delshare.reg 8.echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]>> c:delshare.reg
9.echo “AutoShareWks”=dword:00000000>> c:delshare.reg 10.echo “AutoShareServer”=dword:00000000>> c:delshare.reg
11.echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]>>
c:delshare.reg
12.echo “restrictanonymous”=dword:00000001>> c:delshare.reg 13.regedit /s c:delshare.reg 14.del c:delshare.reg
以上脚本利用net share命令删除所有磁盘共享和admin$共享。但是这些被删除的共享在计算机重新启动后,又会重新出现。为了永久删除共享,有些人会配置上述的net share delete 命令,让它们每次开机自动运行一次。其实完全可以通过修改目标计算机注册表来永久关闭这些共享。在注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters下修改或添加AutoShareWks和AutoShareServer键,并将其值设为0(DWORD)。其中,键AutoShareServer对应C$、D$一类的缺省共享,键AutoSharewks对应ADMIN$缺省共享。
IPC$共享则和前面的“默认共享”及“管理共享”是两个不同的概念。它是指IPC管道连接也就是平时说的空连接,也被称作匿名连接。空连接是指无需用户名和密码就能连接主机。利用这个空的连接,连接者可以得到目标主机上的用户列表,然后可以猜密码,或者穷举密码,从而获得更高,甚至管理员权限。所以空连接同样需要禁止。以IPC$只有0,1,2三种级别,而没有删除这个说法。空连接设置由注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa下的restrictanonymous键来确定。该值默认为0,即任何用户都可以通过空连接连上服务器,匿名列出帐户名称和共享资源,这样就能够利用这些信息尝试猜测密码或进行“社会工程学”攻击。如果设置为“1”,一个匿名用户仍然可以连接到IPC$共享,但限制通过这种连接列举SAM帐号和共享等信息;设置为“2”,将限制所有匿名访问除非特别授权,但这样可能会影响一些正常的管道通信,所以微软官方建议该键值设为“1”。
关于如何使用组策略分发计算机启动脚本,因为操作比较简单,这里不再赘述。
(五)屏保密码设置
针对整改建议,为了避免由于管理员疏忽,而导致他人滥用系统,我们采用如下方法统一配置屏保锁定功能。
打开“默认域策略”,依次展开“用户配置”、“管理模板”、“控制面板”,然后选中“显示”,在右边窗格中依次对“屏幕保护程序”,“可执行的屏幕保护程序名称”,“密码保护屏幕保护程序”和“屏幕保护程序超时”四项进行配置。在本案例中,配置策略如下:
1.屏幕保护程序:开启。2.可执行的屏幕保护程序名称:C:WINDOWSResourcesThemesWindows Classic.theme。
3.屏幕保护程序超时:8分钟。
4.密码保护屏幕保护程序:开启。
(六)配置帐号口令长度和复杂度要求
为了提高用户口令字典穷举的难度,需要设置口令策略,口令复杂性要求,即为用户设置强壮的口令。主要配置方法如下:
打开“默认域策略”,依次展开“计算机配置”、“Windows 设置”、“安全设置”、“帐户策略”,然后单击“密码策略”。依次对“ 密码必须符合复杂性要求”,“密码长度最小值”,“密码最长使用期限”,“密码最短使用期限”和“强制密码历史”进行配置。在本案例中,配置策略如下:
1.密码必须符合复杂性要求:开启。
2.密码长度最小值:8位。
3.密码最长使用期限:60天。
4.密码最短使用期限:1天。
5.强制密码历史:6个。
(八)加固用户鉴别策略
为了防止非法用户对用户口令进行多次猜测或字典式攻击,应配置操作系统用户鉴别失败策略,即配置帐户尝试登陆阀值及达到阀值所采取的措施。主要配置方法如下:
打开“默认域策略”,依次展开“计算机配置”、“Windows 设置”、“安全设置”、“帐户策略”,然后单击“账户锁定策略”。依次对“复位帐户锁定计数器”,“帐户锁定时间”和“帐户锁定阈值”进行配置。在本案例中,配置策略如下:
1.复位帐户锁定计数器 :30分钟。
2.帐户锁定时间:30分钟。3.帐户锁定阈值:5次。
(九)加固审核策略
安全审核是Windows最基本的入侵检测方法,当有人尝试对系统进行某种方式入侵的时候(如尝试用户密码,改变帐户策略和未经许可的文件访问等等),都会被安全审核记录下来。利用组策略开启的审核方法如下:
打开“默认域策略”,依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”,然后单击“审核策略”。依次对“审核策略更改”,“审核登陆事件”,“审核特权使用”,“审核系统事件”,“审核帐户管理”和“审核账户登陆事件”进行配置。在本案例中,配置策略如下:
1.审核策略更改:成功,失败。
2.审核登陆事件:成功,失败。
3.审核特权使用:成功。
4.审核系统事件:成功,失败。
5.审核帐户管理:成功。
6.审核用户登陆事件:成功,失败。
(十)对审核产生的数据分配合理的存储空间和存储时间
为了保证系统有足够的空间存储系统审核日志和安全审核日志,不会因为空间不足而覆盖了有用的日志信息。需要对审核产生的数据分配合理的存储空间和存储时间。具体方法如下:
打开“默认域策略”,依次展开“计算机配置”、“Windows 设置”,然后单击“事件日志”。依次对“安全日志保留天数”,“安全日志保留方法”,“安全日志最大值”和“系统日志保留天数”,“系统日志保留方法”,“系统日志最大值”进行配置。在本案例中,配置策略如下:
1.安全日志保留天数:14天。
2.安全日志保留方法:按天数。
3.安全日志最大值:40000KB。4.系统日志保留天数:14天。
5.系统日志保留方法:按天数。
6.系统日志最大值:40000KB。
束语
当然要想保证整个Windows主机的安全性,还有许多其他方面需要注意,例如补丁更新管理;以最小权限原则对操作系统用户、用户组进行权限设置;强化 TCP/IP 堆栈防止拒绝服务攻击和确保远程控制要有安全机制保证等等。但这些问题在本次主机脆弱性分析前均已进行了合理配置,因此并不在整改建议中,所以这里不再赘述。
另外本文中都是以“默认域策略”为例,实际操作过程中往往需要根据自己的需求对不同的组织单元的自定义策略分别进行配置,不过配置方法是一样的。
通过本次安全整改不但让我们了解到了更多的安全知识,同时也进一步认识到组策略工具的强大功能。希望本文能够为正在为信息安全忙碌的广大同仁提供一点帮助。
第二篇:Windows 7变得更加安全
Windows 7变得更加安全.txt
当微软开始大刀阔斧的开展Windows 7计划时,外界对于这个新操作系统早已争论不一。毕竟Vista问世不久,而新操作系统真的会为用户带来更好的体验吗?对于长久以来关注Windows操作系统的用户来说,安全性能否提升则更值得关注。虽然苹果放出话来说“Windows 7不过是Vista加几款补丁而已”,但所有人都有理由相信微软,相信这次新版本的变革绝不会这么简单。
一、UAC变身
事实上,在Vista出现UAC功能时外界就争论不休,这种方式在安全性提高的同时却降低了用户体验。由此在Windows 7中,微软开始让用户选择UAC的通知等级,另外还改进了用户界面以提升体验。Windows 7中UAC最大的改进就是在控制面板中提供了更多的控制选项,用户能根据自己需要选择适当的UAC级别。
在开始菜单搜索框中输入“Secpol.msc”后回车,打开本地安全策略编辑器,选择“本地策略”→“安全选项”,然后在右侧列表中找到“用户帐户控制:管理员批准模式中管理员的提升提示行为属性”,用户可以看到“本地安全设置”中的下拉列表中共有六种选择,分别是:不提示,直接提升;在安全桌面上提示凭据;在安全桌面上同意提示;提示凭据;同意提示;非Windows二进制文件的同意提示。这里有必要提一下“非Windows二进制文件的同意提示”,该选项可以很好的将Windows系统性文件过滤掉而直接对应用程序使用UAC功能,这是Windows 7的亮点所在。
另外一种直观的修改方法为进入控制面板的用户账户更改界面,点击“更改用户账户控制设置”,Windows 7下的UAC设置提供了一个滑块允许用户设置通知的等级,可以选择4种方式,但显然没有上面的方法灵活。
二、行为中心
Windows 7去掉了最初随Windows XP SP2推出的安全中心(Security Center),改用行为中心(Action Center)。这里面包含安全中心;问题、报告与解决方;Windows Defender;Windows Update;Diagnostics;网络访问保护;备份与回复(BackupandRestore);复原(Recovery);以及上面提到的UAC。
在进入行为中心后,Windows 7支持用Windows Defender快速扫描本地电脑。我们在联想T61笔记本中扫描系统盘,耗时仅33秒,扫描资源达34931个,虽然不好界定Windows Defender对于系统本身安全性保障有多高,但作为系统内置与系统契合度很高的软件来说,如此的扫描速度已经非常不错了。
其实,Windows Defender在设置中心里的功能还可以让其表现的更加完美。实时保护功能可以对下载以及运行的程序进行扫描。对于特定的文件类型和路径也可以过滤,并且支持邮件以及移动存储的扫描等等。
在安全设置中,用户可以非常清晰的看到当前系统各项服务的启用情况,维护区域中也可以显示诸如检测问题报告或者备份方面的信息。
三、全新防火墙功能
Windows 7下的防火墙最大特点就是内外兼防,通过Home or work networks和Public networks来对内外网进行防护。
高级设置项目也更加全面,通过入站与出战规则可以清晰勾勒出当前网络流通的情况,并且针对配置文件的操作和策略的导入都有较大的提升。相信以后的更新升级中,Windows 7防火墙将有更大的用武之地。
四、安全部署细节问题&总结
和XP、Vista一样,Windows 7的安全部署也需要借鉴Windows系列的安全流程。这种近乎通用的方式可以为Windows 7的安全性提供更好的保证。
1.账户问题
绝大多数的黑客入侵,取得root权限后都将如入无人之境。账户的安全问题也就成为重中之重。大家都知道,Administrator级别账户可以有足够高的权限掌控Windows。所以为Administrator起一个不被注意的名字就显得十分必要,但请不要使用Admin之类的名字,因为很多黑客工具的字典里,Admin的猜解频繁度丝毫不比Administrator低。
另外在用户管理中把Guest账户停掉,任何时候都不允许其登录系统。当然这种方式对于个人PC比较适用,如果经常遇到多用户登录或者受限登录,最好为账户设置一个通用密码,以屏蔽外界网络的入侵。
2.共享问题
在CMD下输入“net share”查看共享资源。这里有IPC通道、文档以及打印机的共享,当然默认的系统中可能还会包含硬盘的共享等。禁止方法如下:
net share c$ /delete(删除C盘共享,其它盘符类似)
net share ipc$ /delete(删除IPC共享)
3.端口问题
系统中有一些端口是非常危险的,黑客们可以通过这些端口控制我们的计算机,比如3389端口,在关闭之前需要了解一下计算机中开放的端口,在CMD下输入“netstat-an”,看到开放了135、139等端口,需要将其禁止。这种方式最好通过专用防火墙来监听或者直接关闭,在管理上比系统过滤的方式更为方便快捷。
很明显,“Windows 7不过是Vista加几款补丁而已”的说法稍显偏颇,但Windows也绝非是无懈可击的。我们可以理解外界以及竞争对手对微软的一些抱怨和质疑,但毋庸置疑的是:Windows 7在安全方面的确有更好的表现。UAC漏洞也不过是被舆论放大的一个事件。
面对如此庞大的代码阵营,众多计算机专家搭建起来的Windows 7势必还会存在瑕疵,就像Windows 2000面对Windows 98,Windows XP面对Windows 2000,Windows Vista面对Windows XP一样,即便是仍有瑕疵,Windows 7也注定成为操作系统发展史上的推动机。
演讲稿
尊敬的老师们,同学们下午好:
我是来自10级经济学(2)班的学习委,我叫张盼盼,很荣幸有这次机会和大家一起交流担任学习委员这一职务的经验。
转眼间大学生活已经过了一年多,在这一年多的时间里,我一直担任着学习委员这一职务。回望这一年多,自己走过的路,留下的或深或浅的足迹,不仅充满了欢愉,也充满了淡淡的苦涩。一年多的工作,让我学到了很多很多,下面将自己的工作经验和大家一起分享。
学习委员是班上的一个重要职位,在我当初当上它的时候,我就在想一定不要辜负老师及同学们我的信任和支持,一定要把工作做好。要认真负责,态度踏实,要有一定的组织,领导,执行能力,并且做事情要公平,公正,公开,积极落实学校学院的具体工作。作为一名合格的学习委员,要收集学生对老师的意见和老师的教学动态。在很多情况下,老师无法和那么多学生直接打交道,很多老师也无暇顾及那么多的学生,特别是大家刚进入大学,很多人一时还不适应老师的教学模式。学习委员是老师与学生之间沟通的一个桥梁,学习委员要及时地向老师提出同学们的建议和疑问,熟悉老师对学生的基本要求。再次,学习委员在学习上要做好模范带头作用,要有优异的成绩,当同学们向我提出问题时,基本上给同学一个正确的回复。
总之,在一学年的工作之中,我懂得如何落实各项工作,如何和班委有效地分工合作,如何和同学沟通交流并且提高大家的学习积极性。当然,我的工作还存在着很多不足之处。比日:有的时候得不到同学们的响应,同学们不积极主动支持我的工作;在收集同学们对自己工作意见方面做得不够,有些事情做错了,没有周围同学的提醒,自己也没有发觉等等。最严重的一次是,我没有把英语四六级报名的时间,地点通知到位,导致我们班有4名同学错过报名的时间。这次事使我懂得了做事要脚踏实地,不能马虎。
在这次的交流会中,我希望大家可以从中吸取一些好的经验,带动本班级的学习风气,同时也相信大家在大学毕业后找到好的工作。谢谢大家!
第三篇:EMI整改经验(实战精炼)
我们经常接触用电的东西大概分 ITE,音视频,家用电器,和灯具,当然还有其他的。这些东西 的一般都需要测试传导,空间辐射/骚扰功率,谐波,电压闪烁。根据标准不同而不同。
传导主要是通过导线传播的。所以我们整改时主要在滤波方面入手。和辐射一样针对不同频率,所用的方法有一定差异。很多东西涉及到 PCB 设计,排版。这方面我就不讲了,我也不是很懂 啊。现在我们就讲成品的整改好了。
以我接触的产品看来,开关电源类产品的频率大概分四段:150K-400K-4M-20M-30M,这样 分的好处是找问题迅速,一般前一段的主要问题在于滤波元器件上。小功率开关电源用一个合适 的 X 电容和一个共模电感可消除,从增加的元件对测试结果来看,一般电感对 AV 值有效,电容 对 QP 值有效。当然,这只是一般规律。电容越大,滤除的频率越低。电感越大(适可而止),滤除的频率越高。400K-4M 这一段主要是开关管,变压器等的干扰。可以在管与散热片之间加 屏蔽层(云母片),或者在引脚上套磁珠。吸收电路上套磁珠有时也很有效。变压器初次级之间 的 Y 电容也是不容忽视的。次级对初级高压端合适还是低压端有时候对这段频率影响很大。除 此之外,调整滤波器也可以抑制其骚扰。4M-20M 这段主要是变压器等高频干扰,在没有找到根 源前,大概通过调整滤波,接地,加磁珠等手段解除,有时也可能是输出端的问题。20M 以后 主要针对齐纳二级管,输出端电源输入端整改。一般是用到磁珠,接地等。值得注意的是,滤波 器件因该远离变压器,散热器,否则容易耦合。
镇流器整改原理和开关电源类似,但是前部分超标并非调整滤波器件就都可以解除,最有效的 办法是 Y 电容金属外壳,外壳再连接地线。磁珠对高频抑制效果不错。其他的大同小异。
家电类很多都涉及到马达,好的马达,一般一个 X 电容就可以通过传导。频率高一点可以考虑 加磁环。很多马达是需要用到 Y 电容的,通常是电刷对机壳。机壳接地或不接根据情况来。
下面说说空间辐射吧,想必大家也参加过不少培训,从原理到设计到走线。。后悔没专心。现在我讲点实用的,拿大家熟悉的 PC 来举例吧。我也是分几部分来查原因。30-300-600-1000M,这些都不是一个准确的频率。前一段主要是通过引线传播,解决问题先得找到问题。所以你就找 个超标点,把 EUT 调到超标最严重的位置,一个一个拔。频率降了,就说明这个有问题。频率 再高点,拨光所有周边虽然频率有点改善还是超标,你不妨用手去挡或者接触机壳。或者打开机 壳摆弄一下走线,只到找到最有影响的原因。最后一段自然就是空隙的原因了。如果不在 PCB 上找解决的方法,只有加吸收材料,接地和屏蔽这几种方法,不过这也是几种比较适用有效的方 法。所以我们手里通常要有以下材料:导电泡棉(塞缝的),铜/铝箔,扣式磁环,弹片等等。辐射就象个水塔,哪里有口就往哪里跑,有时候这边好了,那边又不行。所以要注意内部的走线 等防止耦合等。
对于家电和音视频,功率辐射超标现象也很常见。回说到功率辐射,今天恰好改了一个吹风机,就拿这个样品做例子吧,这玩意 120V,功率辐射在 114M 以 上突然一路狂飚,到 300M 的时候基本在 70dbu/W,观察其机构:电源线进来套一磁环,跨一 X 电容,然 后就发热丝,分压后整流给 24V 直流马达供电。象这种结构按理说不会有太大干扰,看到突然增高的频率,马上想到可能是某个元件失效,或者某个元件工作频率。于是做了一部分整改,比如电极端加电容,加磁珠等,结果还是余量不足。因为问题很明显出在电机,为了不增加成本,让整改变得有意义,所以让客户 提供了两款小马达,和新样品。测试结果很低很理想。以上废话的心得是:在无法接受成本的时候,就换核心部件。马达类产品最好备不同厂家的样品,如果 是测试马达,就多备用几个。交流马达的碳刷产生的干扰比较常见,可以整改电感和电容。磁环在这类产 品中优势比较明显。
第四篇:windows 2003 server web配置和安全
输入此网站的网页文件所在目录。设置网站访问的权限,一般不需要“写入”权限。点击下一步,完成新网站的创建。
配置不同IP地址的站点方法
具体方法:
在“IIS服务管理器”中,右击新建的网站(电影服务),选择属性,并在“网站选项卡”下更改IP地址。
配置不同端口的站点方法
具体方法:
在“IIS服务管理器”中,右击新建的网站(电影服务),选择属性,并在“网站选项卡”下更改端口为不同的值,如81。
配置不同主机头
具体方法:
在“IIS服务管理器”中,右击新建的网站(电影服务),选择属性,在“网站选项卡”下点击ip地址后的“高级”,并在弹出的“高级网络标识”窗口中点击“编辑”按钮。
接着在弹出的“添加/编辑网络标识”窗口中“主机头值”。
设置完主机头后还需要配置DNS服务器,添加主机头值的主机记录,是客户端能够解析出主机头的IP地址,就可以使用“http://主机头”访问网站。
二、WEB站点的排错
·客户机访问WEB站点的过程
1>当客户机访问网站时,服务器先检查客户机IP地址是否授权
2>然后检查用户和密码是否正确(匿名用户不需要密码)
3>接着检查主目录是否设置了“读取权限”
4>最后检查网站文件的NTFS权限
·常见错误
1、错误号403.6
分析:
由于客户机的IP地址被WEB网站中设置为阻止。
解决方案:
打开站点属性->“目录安全性选项卡”->“IP地址和域名限制”->点击“编辑”按钮,并将拒绝的IP段删除。
2、错误号401.1
分析:
由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用,或者没有权限访问计算机,将造成用户无法访问。
解决方案:
(1)查看IIS管理器中站点安全设置的匿名帐户是否被禁用,如果是,请尝试用以下办法启用:
控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用。如果还没有解决,请继续下一步。
(2)查看本地安全策略中,IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限,如果没有尝试用以下步骤赋予权限:
开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配,双击“从网络访问此计算机”,添加IIS默认用户或者其所属的组。
注意:一般自定义 IIS默认匿名访问帐号都属于组,为了安全,没有特殊需要,请
遵循此规则。
3、错误号401.2
原因:关闭了匿名身份验证
解决方案:
打开站点属性->目录安全性->身份验证和访问控制->选中“启用匿名访问”,输入用户名,或者点击“浏览”选择合法的用户,并两次输入密码后确定。
4、错误号:401.3
原因:
原因一 IIS匿名用户一般属于Guests组,而我们一般把存放网站的硬盘的权限只分配给administrators组,这时候按照继承原则,网站文件夹也只有administrators组的成员才能访问,导致IIS匿名用户访问该文件的NTFS权限不足,从而导致页面无法访问。
原因二 是在IIS 管理器中将网站的权限设置不可读(IIS匿名用户)。
解决方案:
给IIS匿名用户访问网站文件夹的权限.方法1:进入该文件夹的安全选项,添加IIS匿名用户,并赋予相应权限,一般是只读。
方法2: 右击站点,选择“权限”,打开权限设置窗口。并赋予IIS匿名用户只读权限。
敬告:“win2003 服务器设置 完全版” 一文如与您有版权冲突请联系站长处理,我们是公益免费论文网,不周之处,万请谅解!
--->返回到论文先生网首页<---
-第一步:
一、先关闭不需要的端口
我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改
了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
“PortNumber”=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在
进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在system32driversetcservices中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
二、关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在“网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用“Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
三、磁盘权限设置 1.系统盘权限设置 C:分区部分: c: administrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER 全部(只有子文件来及文件)system 全部(该文件夹,子文件夹及文件)IIS_WPG 创建文件/写入数据(只有该文件夹)IIS_WPG(该文件夹,子文件夹及文件)遍历文件夹/运行文件 列出文件夹/读取数据 读取属性
创建文件夹/附加数据 读取权限
c:Documents and Settings administrators 全部(该文件夹,子文件夹及文件)Power Users(该文件夹,子文件夹及文件)读取和运行 列出文件夹目录 读取
SYSTEM全部(该文件夹,子文件夹及文件)C:Program Files administrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER全部(只有子文件来及文件)IIS_WPG(该文件夹,子文件夹及文件)读取和运行 列出文件夹目录 读取
Power Users(该文件夹,子文件夹及文件)修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER(该文件夹,子文件夹及文件)修改权限
2.网站及虚拟机权限设置(比如网站在E盘)说明:我们假设网站全部在E盘www.xiexiebang.comfg.exe。回车,单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。
第二步:
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助!
堵住自动保存隐患
Windows 2003操作系统在调用应用程序出错时,系统中的Dr.Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr.Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:
1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。
堵住资源共享隐患
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤:
1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。
堵住远程访问隐患
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:
1、点击系统桌面上的“开始”按钮,打开开始菜单;
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;
3、在该界面中,用鼠标单击“远程”标签;
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。
堵住用户切换隐患
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。
堵住页面交换隐患
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少
重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:
1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”;
3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
更多专题:服务器安全防黑系列知识、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、安全之 scw Windows Server 2003是大家最常用的服务器操作系统之一。虽然它提供了强大的网络服务功能,并且简单易用,但它的安全性一直困扰着众多网管,如何在充分利用Windows Server 2003提供的各种服务的同时,保证服务器的安全稳定运行,最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版补丁包的发布,恰好解决这个问题,它不但提供了对系统漏洞的修复,还新增了很多易用的安全功能,如安全配置向导(SCW)功能。利用SCW功能的“安全策略”可以最大限度增强服务器的安全,并且配置过程非常简单,下面就一起来看吧!
厉兵秣马 先装“SCW”
大家都很清楚,Windows Server 2003系统为增强其安全性,默认情况下,很多服务组件是不被安装的,要想使用,必须手工安装。“SCW”功能也是一样,虽然你已经成功安装了补丁包SP1,但也需要手工安装“安全配置向导(SCW)”组件。
进入“控制面板”后,运行“添加或删除程序”,然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项,最后点击“下一步”按钮后,就能轻松完成“SCW”组件的安装。
安装过程就这么简单,接下来就能根据自身需要,利用“SCW”配置安全策略,增强Windows Server 2003服务器安全。
配置“安全策略” 原来如此“简单”
在Windows Server 2003服务器中,点击“开始→运行”后,在运行对话框中执行“SCW.exe”命令,就会弹出“安全配置向导”对话框,开始你的安全策略配置过程。当然你也可以进入“控制面板→管理工具”窗口后,执行“安全配置向导”快捷方式来启用“SCW”。
1.新建第一个“安全策略”
如果你是第一次使用“SCW”功能,首先要为Windows Server 2003服务器新建一个安全策略,安全策略信息是被保存在格式为XML 的文件中的,并且它的默认存储位置是“C:WINDOWSsecuritymsscwPolicies”。因此一个Windows Server 2003系统可以根据不同需要,创建多个“安全策略”文件,并且还可以对安全策略文件进行修改,但一次只能应用其中一个安全策略。
在“欢迎使用安全配置向导”对话框中点击“下一步”按钮,进入到“配置操作”对话框,因为是第一次使用“SCW”,这里要选择“创建新的安全策略”单选项,点击“下一步”按钮,就开始配置安全策略。
2.轻松配置“角色”
首先进入“选择服务器”对话框,在“服务器”栏中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址,点击“下一步”按钮后,“安全配置向导”会处理安全配置数据库。
接着就进入到“基于角色的服务配置”对话框。在基于角色的服务配置中,可以对Windows Server 2003服务器角色、客户端角色、系统服务、应用程序,以及管理选项等内容进行配置。
所谓服务器“角色”,其实就是提供各种服务的Windows Server 2003服务器,如文件服务器、打印服务器、DNS服务器和DHCP服务器等,一个Windows Server 2003服务器可以只提供一种服务器“角色”,也可以扮演多种服务器角色。点击“下一步”按钮后,就进入到“选择服务器角色”配置对话框,这时需要在“服务器角色列表框”中勾选你的Windows Server 2003服务器所扮演的角色。
注意:为了保证服务器的安全,只勾选你所需要的服务器角色即可,选择多余的服务器角色选项,会增加Windows Server 2003系统的安全隐患。如笔者的Windows Server 2003服务器只是作为文件服务器使用,这时只要选择“文件服务器”选项即可。
进入“选择客户端功能”标签页,来配置Windows Server 2003服务器支持的“客户端功能”,其实Windows Server 2003服务器的客户端功能也很好理解,服务器在提供各种网络服务的同时,也需要一些客户端功能的支持才行,如Microsoft网络客户端、DHCP客户端和FTP客户端等。根据需要,在列表框中勾选你所需的客户端功能即可,同样,对于不需要的客户端功能选项,建议你一定要取消对它的选择。
接下来进入到“选择管理和其它选项”对话框,在这里选择你需要的一些Windows Server 2003系统提供的管理和服务功能,操作方法是一样的,只要在列表框中勾选你需要 的管理选项即可。点击“下一步”后,还要配置一些Windows Server 2003系统的额外服务,这些额外服务一般都是第三方软件提供的服务。
然后进入到“处理未指定的服务”对话框,这里“未指定服务”是指,如果此安全策略文件被应用到其它Windows Server 2003服务器中,而这个服务器中提供的一些服务没有在安全配置数据库中列出,那么这些没被列出的服务该在什么状态下运行呢?在这里就可以指定它们的运行状态,建议大家选中“不更改此服务的启用模式”单选项。最后进入到“确认服务更改”对话框,对你的配置进行最终确认后,就完成了基于角色的服务配置。
3.配置网络安全
以上完成了基于角色的服务配置。但Windows Server 2003服务器包含的各种服务,都是通过某个或某些端口来提供服务内容的,为了保证服务器的安全,Windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口,这种向导化配置过程与手工配置Windows防火墙相比,更加简单、方便和安全。
在“网络安全”对话框中,要开放选中的服务器角色,Windows Server 2003系统提供的管理功能以及第三方软件提供的服务所使用的端口。点击“下一步”按钮后,在“打开端口并允许应用程序”对话框中开放所需的端口,如FTP服务器所需的“20和21”端口,IIS服务所需的“80”端口等,这里要切记“最小化”原则,只要在列表框中选择要必须开放的端口选项即可,最后确认端口配置,这里要注意:其它不需要使用的端口,建议大家不要开放,以免给Windows Server 2003服务器造成安全隐患。
4.注册表设置
Windows Server 2003服务器在网络中为用户提供各种服务,但用户与服务器的通信中很有可能包含“不怀好意”的访问,如黑客和病毒攻击。如何保证服务器的安全,最大限度地限制非法用户访问,通过“注册表设置”向导就能轻松实现。
利用注册表设置向导,修改Windows Server 2003服务器注册表中某些特殊的键值,来严格限制用户的访问权限。用户只要根据设置向导提示,以及服务器的服务需要,分别对“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”进行严格设置,就能最大限度保证Windows Server 2003服务器的安全运行,并且免去手工修改注册表的麻烦。
5.启用“审核策略”
聪明的网管会利用日志功能来分析服务器的运行状况,因此适当的启用审核策略是非常重要的。SCW功能也充分的考虑到这些,利用向导化的操作就能轻松启用审核策略。
在“系统审核策略”配置对话框中要合理选择审核目标,毕竟日志记录过多的事件会影响服务器的性能,因此建议用户选择“审核成功的操作”选项。当然如果有特殊需要,也可以选择其它选项。如“不审核”或“审核成功或不成功的操作”选项。
6.增强IIS安全
IIS服务器是网络中最为广泛应用的一种服务,也是Windows系统中最易受攻击的服务。如何来保证IIS服务器的安全运行,最大限度免受黑客和病毒的攻击,这也是SCW功能要解决的一个问题。利用“安全配置向导”可以轻松的增强IIS服务器的安全,保证其稳定、安全运行。
在“Internet信息服务”配置对话框中,通过配置向导,来选择你要启用的Web服务扩展、要保持的虚拟目录,以及设置匿名用户对内容文件的写权限。这样IIS服务器的安全性就大大增强。
小提示:如果你的Windows Server 2003服务器没有安装、运行IIS服务,则在SCW配置过程中不会出现IIS安全配置部分。
完成以上几步配置后,进入到保存安全策略对话框,首先在“安全策略文件名”对话框中为你配置的安全策略起个名字,最后在“应用安全策略”对话框中选择“现在应用”选项,使配置的安全策略立即生效。
利用SCW增强Windows Server 2003服务器的安全性能就这么简单,所有的参数配置都是通过向导化对话框完成的,免去了手工繁琐的配置过程,SCW功能的确是安全性和易用性有效的结合点。如果你的Windows Server 2003系统已经安装了SP1补丁包,不妨试试SCW吧!
总结六大条 Windows Server 2003 Web 服务器安全策略
上个工作是做网站服务器维护,在网上搜索了好多教程,感觉乱的很。干脆自己总结了一套Windows Server 2003服务器安全策略。绝非是网上转载的。都是经过测试的。自己感觉还行吧!欢迎大家测试,也希望与我一起交流服务器的安全问题。希望对大家有帮助!q+ k& W _“ X& V
策略一:关闭windows2003不必要的服务 0 N+ ?2 W3 T(u% A
·Computer Browser 维护网络上计算机的最新列表以及提供这个列表 * `9 h' q2 `' [& _6 T!Q, t
·Task scheduler 允许程序在指定时间运行* L-i: p3 J2 T9 X& k6 O” b* L4 {
·Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 / b% d2 e* “ r!Y _
·Removable storage 管理可移动媒体、驱动程序和库6 t& b;n)|)]8 K' l0 e8 r 0 K2 @/ x” y: b)}
·Remote Registry Service 允许远程注册表操作
·Print Spooler 将文件加载到内存中以便以后打印。
·IPSEC Policy Agent 管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序2 s2 @+ r' q2 ^5 b
·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知$ x2 * y5 s)T(g
·Com+ Event System 提供事件的自动发布到订阅COM组件* ~7 m!Q/ r& K: E* U p)u3 e' W;{9 r# G: Y5 m% O, a
·Alerter 通知选定的用户和计算机管理警报
·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 % k;j“ q% j;l)e$ ~4 L5 _# S
·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
·Telnet 允许远程用户登录到此计算机并运行程序
策略二:磁盘权限设置6 g4 ?: u(d6 G% L!@(r 6 F% z' t2 m, V, ~
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。1 V(K)r$ F+ k# E0 g1 S0 ^
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
# b, k+ O4 o!{.W5 n, ~
策略三:禁止 Windows 系统进行空连接7 S7 V% M” R.S x, n1 F7 q1 V: Y5 n
在注册表中找到相应的键HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORDRestrictAnonymous的键值改为1 “ ^: E* ~, R0 N, N& W4 [)?
策略四:关闭不需要的端口
本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。(如:3389、21、1433、3306、80)([3 ^& {& c.{+ Q$ Z
更改远程连接端口方法+ L* Z4 k% j0 E9 @!P* T6 h
开始-->运行-->输入regedit' G+.T;N9 m: q0 a8 q `
查找3389:0 B, _8 L0 {5 R% d4 f
请按以下步骤查找:7 v' {5 {7 a& N 6 j: E(p!_& l
1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal
值
值
ServerWdsrdpwdTdstcp下的PortNumber=3389改为自宝义的端口号
;w1 v8 j2 J4 H+ Y!N
2、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumber=3389改为自宝义的端口号# t3 s% E.x, T5 C
修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。
M1 W0 M# @* R0 M” n, `
这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还是修改不了的!重起后下次就可以用新端口进入了!% S3 G(a4 ].E3 i7 P2 q3 w0 M: Y
禁用TCP/IP上的NETBIOS4 H;q: T5 2 e1 n
本地连接--属性--Internet协议(TCP/IP)--高级—WINS--禁用TCP/IP上的NETBIOS!}2 J!{ k-a4 i8 y
策略五:关闭默认共享的空连接$ C, P$ W.A3 ^;c* S
首先编写如下内容的批处理文件:
@echo off
net share C$ /delete% }9 ^$ l/ E/ N-z;Y
net share D$ /delete
net share E$ /delete “ N# ^!R, k, p0 @' }
net share F$ /delete+ y-M)W {){
net share admin$ /delete6 ]-k3 ]5 X8 s)Z1 m4 B & }% j/ B* d& J4 A5 i J
以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。然后在开始菜单→运行中输入gpedit.msc,回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录..w6 X6 a6 X& W
在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。3 |1 Y/ ]3 j# X3 J
策略五:IIS安全设置(y' D* T2 I(y: h)d
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。# D* Q1 X([4 P4 L-Q# : m7 B: o' R
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。, v/ n8 _+ x' W/ P% n/ a
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。B” B8 G% I4 c.@0 y“ f” |
4、删除不必要的IIS扩展名映射。6 w9 k% T# M“ s/ j
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、shtm、stm。7 t!$ X!x0 p!R# [0 m4 b & x.`8 N” r-f5 z* W* b6 K$ @.X
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
策略六:注册表相关安全设置 & R$ _6 A* P“ }6 J(^* f
1、隐藏重要文件/目录
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL” {!a: G# g;a4 K b” A-z
鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。$ ^, V/ o0 n1 `, s(H$ R8 l$ v X+ Q3 l
2、防止SYN洪水攻击' o9 |)q4 i# e& O!X
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为21 W0 |: K1 ?9 v0 S(x* k;i8 w
3、禁止响应ICMP路由通告报文8 q6 T$ p2 # N e1 f0 P1 k
O* i6 p: R-P i5 Q-w
HKEY_LOCAL_MACHINESYSTEM ServicesTcpipParametersInterfacesinterface % G# k/ v* Q)n(I2 e4 m!n e
新建DWORD值,名为PerformRouterDiscovery 值为0。
4、防止ICMP重定向报文的攻击 3 S0 S1 t' e/ V& g& a
CurrentControlSet
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects 值设为0 # 3 & k: ](j
5、不支持IGMP协议4 i4 {* Z& u' ^
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters ' e: _0 C-?$ C# Y
新建DWORD值,名为IGMPLevel 值为0。
策略七:组件安全设置篇
A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)!G5 c!~)C;V: `$ V/ [
windows2000.bat7 y)Z, [4 o-g4 F* r4 R
regsvr32/u C:WINNTSystem32wshom.ocx0 N1 M1 ?7 p)U: y)_/ `& J
del C:WINNTSystem32wshom.ocx/ C(R-s!|(N 7 E0 e& q+ M+ h5 Q# `
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll5 a6 x7 @% T, l.r r
windows2003.bat' g9 X;?.Y: |;Z : i.], y(i7 c8 R B1 Z2 E
regsvr32/u C:WINDOWSSystem32wshom.ocx2 x9 A8 o+ U+ n# D1 t!@9 Y4 S+ v O8 I* D
del C:WINDOWSSystem32wshom.ocx : r1 _& ~;t1 R9 E$ ]8 G
regsvr32/u C:WINDOWSsystem32shell32.dll / [9 L!m# T+ F
del C:WINDOWSsystem32shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit→回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application→查找下一个】 $ b* _+ ~;O!e$ V“ r$ q;q
用这个方法能找到两个注册表项:)g4 r+ _3 C5 a# I
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application。% M, Y7 V$ P4 `2 C6 y
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 13709620-C279-11CE-A49E-444553540001$ t!w/ w6 g/ N* @
改名为
Shell.application 改名为 Shell.application_nohack)J(E!E8 P, t8 i(F$ _
第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
” c6 e3 A-G u6 B6 G& E+ r
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,, h8 K4 F% K.m# n$ ?% d
改好的例子
% X“ m;y' K+ h(W9 d7 T” t
建议自己改(p7 e' Y“ F5 j E# i;k 8 z9 C }6 X.p7 ~
应该可一次成功2 I3 ` x: H$ b+ n1 r& B!X+ V, q
Windows Registry Editor Version 5.004 G3 l/ c5 f0 K!m3 a& Z E” g 4 X“ r* Y6 ]' U;D2 P-Y
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]!L” I!T4 K& O-u-k.a% R# m
@=“Shell Automation Service”
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]' c9 R2 B' n: w9 e& c9 t4 ~5 k0 h
@=“C:WINNTsystem32shell32.dll” “.T1 l* N& |7 O3 k
”ThreadingModel“=”Apartment“9 m.~/ p* H8 � ]&.v' ]
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID] 9 |2 V3 d0 w6 N Q3 [9 }
@=”Shell.Application_nohack.1“/ M5 W& t: `.h/ w
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}“% t7 J/ Y& G' V(t
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]& D$ {7 ]/ K# B!w: I3 c1 v2 E 9 c1 S+ d2 E* B!`8 q8 D2 d
@=”1.1“ 4 r$ M(r0 i1 K3 J)^
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID].p0 Q)c0 k1 b# f(H2 }9 M.z
@=”Shell.Application_nohack“
[HKEY_CLASSES_ROOTShell.Application_nohack] % E# }& i$ G ~;T9 t: S7 a
@=”Shell Automation Service“ ” v2 b0 x4 ?1 L;b-X
[HKEY_CLASSES_ROOTShell.Application_nohackCLSID], [/ G$ `“ f' l-j8 Z
@=”{13709620-C279-11CE-A49E-444553540001}“
[HKEY_CLASSES_ROOTShell.Application_nohackCurVer]
@=”Shell.Application_nohack.1“(x.i$ Z1 s!p
评论:+ S6 x3 n: C” f9 C' W7 H3 X , x0 p;S-c# M/ N0 N2 U“ N.`
WScript.Shell 和 Shell.application 组件是脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。0 z5 ^-b' ~” l$ n/ q: u' H
C、禁止使用FileSystemObject组件 # S.{/ F;|$ c$ J' W)h/ w, i
FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。1 ^% N4 W& L1 U)S6 p!l
HKEY_CLASSES_ROOTScripting.FileSystemObject$ `!L.G& I.m& _-K' E# { _ 3 F4 O3 g0 b9 q: {.C0 V% C+ F5 e0 g)k
改名为其它的名字,如:改为 FileSystemObject_ChangeName;B2 U: ]“ z;? ?
自己以后调用的时候使用这个就可以正常调用此组件了-^' W9 R2 ?' M.Q-X# s7 b% o)e!d/ o' p
也要将clsid值也改一下3 h/ B5 Y;q1 o)K5 d(?& p2 S
f, s;t1 [2 ^7 A
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值3 w7 w)d+ l/ M: i9 g 7 C$ @.F.]+ [# t(G8 |(I
也可以将其删除,来防止此类木马的危害。-^/ H+ U7 O& }# v4 a;B
2000注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll!y+ j5 [4 n+ T8 i
2003注销此组件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll3 S)d5 A)+ W* [%-e2 W 5 D!P F1 U: R+ h5 O1 L
如何禁止Guest用户使用scrrun.dll来防止调用此组件?* H$ x N4 x8 W(X4 N1 g
使用这个命令:cacls C:WINNTsystem32scrrun.dll /e /d guests3 O% l.{# y# F# [* P, Q” N;t;o7 O.m4 ~0 Z:
D、禁止使用WScript.Shell组件5 l;k1 l& e' Z' A
WScript.Shell可以调用系统内核运行DOS基本命令5 z Z' v(]# G3 ^(_& B-U
可以通过修改注册表,将此组件改名,来防止此类木马的危害。“ }& x/ u b: C% y
HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1;z” C8 a* G5 y% y$ y* L7 r.y1 J5 B“ J8 X
改名为其它的名字,如:改为WScript.Shell.1_ChangeName 4 m8 m!U, L-P
WScript.Shell_ChangeName 或
自己以后调用的时候使用这个就可以正常调用此组件了 * b3 l# o# , {$ z0 }
也要将clsid值也改一下 & ^' ^: v6 w!{(v1 {# c
HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值 : D1 E” P1 W0 V& };_1 o
HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值;d' _7 ].~7 X& I7 k
也可以将其删除,来防止此类木马的危害。+ Z+ A# V* i% r-K% ~
E、禁止使用Shell.Application组件“ `!R-E t2 g3 L / B& e# c3 Y* x+ i
Shell.Application可以调用系统内核运行DOS基本命令.W% |8 ?5 ]9 q 2 J' J.k;d4 I& B6 g+ x$ |7 G
可以通过修改注册表,将此组件改名,来防止此类木马的危害。” G3 x.F;b!_# })@+ e' z
HKEY_CLASSES_ROOTShell.Application及
HKEY_CLASSES_ROOTShell.Application.1 , T!m!{1 Z“ r: m# V
改名为其它的名字,如:改为Shell.Application.1_ChangeName 8 T# A.W, k;B([(};K
Shell.Application_ChangeName 或
自己以后调用的时候使用这个就可以正常调用此组件了& t* `$ D/ F.C% ^
也要将clsid值也改一下
^5 n;S6 V/ T* T3 C” Z4 V
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 8 f5 M5 t ~& u* R!j
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值)o3 l1 q% B' S7 ~8 X+ x: z/ U!1 m9 @!U9 m2 S: e7 r
也可以将其删除,来防止此类木马的危害。)v/ V8 F(k D-F $ J!a;F& I c1 v;S8 a
禁止Guest用户使用shell32.dll来防止调用此组件。!C3 ^: j y' O8 S3 S* x
2000使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests2 l(N8 D% d5 J/ f$ w3 }
2003使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests% f5 T!Y0 C!G* L“ O(E” l X6 @$ K# E)y$ J-P
注:操作均需要重新启动WEB服务后才会生效。
F、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:WINNTsystem32Cmd.exe /e /d guests4 # q0 a# w' i6 ?1 Z
2003使用命令:cacls C:WINDOWSsystem32Cmd.exe /e /d guests)t N9 x* ^-S“ [3 r(E n” U4 q, F 7 G5 c* R8 o# Y)B: g
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。3
第五篇:审计整改问题及制度完善(范文)
审计整改问题及制度完善
程燕玉
▲摘要随着审计工作的深化,除审计发现的问题外,审计意见的整改情况也逐渐引起重视,重审计轻整改的现象有所改善,但仍普遍存在审计整改相关制度建设问题。本文从审计整改的必要性出发,提出当前审计整改工作中存在的难点问题,并分析其形成的原因,提出进一步完善审计整改制度建设的对策建议。
关键词 审计 整改 问题对策
作者程燕玉,宁波市江北区审计局,注册会计师,国际注册内部审计师。(浙江宁波315020)
审计整改工作足指被审计单位针对审计查出的问题,采取措施改进工作,提高管理水平的过程。审计整改检查则是指审计机关对被审计单位的审计整改工作进行督检查的过程。温家宝总理曾经在听取审计署工作汇报后指出:“审计工作最重要的目的,就是通过审计,发现问题,纠正错误,改进工作,特别是通过深化改革和制度建设,提高政府部门依法行政水平和企业的经营管理水平"。审汁工作要取得好的工作成效,不仅要提高审计实施过程质量,能够发现问题,还要提高审计整改检查工作水平,促进被审计单位改正问题,其中,制度建设尤为重要。
一、审计整改的必要性(一)审计整改检查是国家审计的重要内容
2010年实施的国家审计准则将审计整改检查的内容和方式等进行了规范,审计整改检查已成为国家审计的重要内容之一。如果只有审汁查处而没有审计整改,审计工作则是不完整的,没有发挥出其应有的作用。如果查出的问题没有相应的跟踪整改,不能依法追究相关部门和责任人的行政过失,就不能很好地落实履职为民的宗旨。审计整改检查可以促进被审计对象改进管理,从而提升审计工作成效。
(二)审计整改是审计质量的重要体现
审计工作质量不仪足包括审计工作实施本身及审计问题查处的客观、真实、正确,也应包括审计成效,如揭示问题是否最终得到落实与纠正。因此,审计问题的整改是审计工作质量的重要标志与体现。在高质量的审计报告作保证的基础上,进…‘步把审计整改检查工作做好,促进被审计单位更加切合实际地解决问题,从根本上杜绝类似违纪违规问题的再次发生,可以使审计质量体现出良好的客观效果。
二、审计整改存在的主要问题
尽管近年来审计整改检查工作不断受到重视,但是在基层审计机关,审计整改检查工作是整个审计工作中的一个薄弱环节,重审计而轻整改仍是普遍存在的问题。另一方面,对于审计发现的问题,被审计单位的反应各异,有的避实就虚、有的轻描淡写、有的归咎于客观原因、有的甚至玩文字游戏敷衍应付。这些情况使审计整改成为当前我国审计监督工作中的难点问题。
(一)追回违规资金难
审计多为事后监督,对于已经发生的违法违规行为,尤其是已经花出去的钱,追回比较困难。例如较为常见的挪用专项资金弥补公用经费不足问题,当审计发现时,支出行为已经发生,要求整改单位收回已经不可能。即使被审计单位为了应付审计,采取其他财政资金归还被挪用的专项资金,实质上也是拆东墙补西墙。因此,对于这种已经成为“既定事实”的情况,单靠追缴资金是无法整改到位的。
(二)问责相关责任人难
审计整改不仅要注重追缴违法违规资金,而且要注重追究相关责任。审计发现的绝大多数问题都是在主管领导等相关责任人的授意或故意操纵下发生的。但从实际情况来看,除了审计发现的问题涉及重大违法违纪行为、要追究当事人法律责任外,很少有人因为审汁发现问题而被问责,因为审计整改不到位而受到处罚的当事人更是少见。
(三)审计整改成果运用难
由于缺乏有效的沟通机制,许多审计建议仍停留在审计报告上。例如审计部门受组织部门委托负责组织实施审计,审计结束后将审计报告报送组织部门。对于审计建议落实好的领导干部,组织部门不给予表彰,对于不积极落实审汁建议的领导干部也未能纳入领导干部考核内容。同级人大、政府及相关部门未能充分运用好审计整改成果,难以实现审计整改效果的最大化。
三、审计整改难的原因分析
(一)审计整改缺乏法律和制度约束力
审计整改工作没有真正纳入法制轨道,审汁法及其实施条例中没有有关审计整改工作的具体条款规定,审计机关审计执法手段单一。对某些能够整改而又拒不整改的问题缺乏强制性的法律手段,只能对其处罚而无法促使其整改到位。这是审计建议落实不力的根本原因。
(二)相关人员审计整改意识不强
被审计单位领导干部对审计建议的作用理解不够,对落实审计建议的重要性缺乏足够的认识。落实审计建议需要花费较长时间、较多精力去建章立制,或需要与其他单位协调整改,使一些部门单位对落实审计建议有畏难情绪,不愿意花费精力去组织落实审计建议。对于一些前任遗留的问题,与现任领导无直接关系,…‘些领导干部认为与已无关,对落实审计建议有不满情绪。另一方面,一些审计机关和审计人员自身对整改工作也不够重视,一审了之、一罚了之的现象还比较普遍,以罚代改并不能触动被审计单位下定整改的决心,一些审计人员即使意识到审计整改的意义,也因为审计整改到位的难度太大望而却步。
(三)审计建议的内容缺乏建设性、针对性和可操作性 审计人员受知识结构和业务水平等素质限制,对存在问题产生的原因未进行分析,难以使人透视产生问题的根源;有的虽分析了问题成因,但对上作实际研究不够深入,综合分析不全面,分析力度、深度不够,不能从根本上剖析问题产生的症结,造成报告提出的审计建议或者缺乏针对性,不能解决关键问题;或者缺乏可操作性和建设性,不符合被审计单位工作实际,无法引起被审计单位和责任人的重视并得到采纳。
四、加强审计整改的对策建议
(一)从法律层而修订完善法律法规,使审计整改有法可依在审计法及其实施条例和其它相关法律法规中补充明确有关审计整改工作的条款,特别是对屡审屡犯的情况要明确处罚和处分的措施,以利于审计工作人员开展审计整改检查工作。
(二)从组织领导层面建立机制,落实审计整改责任 一是成立专职审计整改工作机构。要从根本上解决审计建议落实难的老问题,单靠审计部门是不够的,要使审计建议落实,整改工作得到领导支持,取得相关部门配合,应探索成立专职审计整改工作机构。针对整改工作中的重点和难点,由专职机构出面协调,听取被审计单位和责任人对审计工作的意见和建议,在交流、沟通的过程中,积极协助他们制定整改措施、规范内部管理,跟踪检查被审计单位整改情况,并督促其及时整改,从而提升审计整改效力。
二是建立审计建议落实责任制。要使审计建议切实发挥作用,必须建立审计建议落实责任制,使审汁建议的落实工作走向规范化、制度化。审计报告报出具后,要求被审计单位按时报送审计建议落实、整改的书面材料。相关部门应将审计建议的落实、整改情况纳入责任人考核指标;对及时落实审计建议的,予以表彰;对确因客观原因暂时不能落实的要作出书面说明,并提出以后落实的措施、时限。
(三)从审计机关自身建设层面,加强审计整改认识,提高审计建议的可操作性,加大宣传,采取多种措施促进审计整改
一要正确认识审计整改的重要性。审计法第一条即对审计工作的职能作了明确的阐述,促进被审计单位加强整改,是促进整个经济社会健康发展的基础,审计的终极目的之一就是要加强整改,加强审计整改工作是审计职能的本质要求。
二要切实提高审计建议质量。审计人员要认真学习党和国家的方针、政策和法律法规,有效提高自身的政策水平,对被审计单位要进行深入细致的调查研究和审查,摸清真实情况,抓住主要问题和主要矛盾,找出问题症结所在,提出具有建设性、针对性和可操作性的建议,便于被审计单位改正。三要加强与被审计单位的沟通、协调能力。良好的沟通是审计整改顺利进行的有效保障,要建立有效的沟通机制。在沟通、协调中要坚持原则,在严格依法办事的前提下,充分考虑被审计对象实际情况,妥善处理与被审计对象的关系,充分听取被审计对象的意见,做到相互支持、相互促进。
四要重视审计案件的移交。对符合移交条件的审计线索一定要坚决移交司法、纪检、检察机关,加强配合,提高审计工作的权威,加大对违法乱纪行为的威慑力,从而促进被审计单位加强整改。
五要加强审计人员的责任意识。要制定和健全审计整改工作的相关制度,使其正规化、制度化,用具体可行的制度强化审计人员埘审计整改的责任。六是要增强审计工作的透明度。要加大对外宣传力度,积极争取各级领导、各有关部门的支持、配合,用审计情况通报、审计公告等形式公开审计结果,用社会舆论监督的力量来促使被审计单位加强整改。
[注释]廖红川:《关于加强审计整改工作的几点思考》,中国新技术与新产品,2011(17)。
[参考文献] [1]温家宝总理听取审计工作汇报,并作重要指示,http://unit.xjtu.edu.cn/sjc319/sjxw/sjxw007.html。
[2]施向群:《审计整改落实是谨防屡查屡犯的重要措施》,新会计,2(I)11(9)。[3]张皓洁:《落实审计建议、抓好审计整改难点与对策》,现代经济信息,2010(10)。
[4]吕春仁:《创新审计问题整改机制的思考和探索》,金融经济,2011(14)。
[5]郭美艳:《从基层政府审计谈整改》,财经界,2014 [6]骆勇、朱长伟:《关于审计整改工作的几点思考》,西部财会,2011(4)。
点击咨询 