论windows系统下校园网络的安全配置

侯晓磊

（郑州工业应用技术学院 信息工程学院，河南 新郑 451100）

在目前的校园网络当中，校园网在带给我们全体师生方便、快捷、高效的同时，也充斥着形形色色的安全威胁，因此，加强网络安全的配置就显得尤为重要.

1 校园网络安全中存在的威胁

如今的校园网络当中，充斥着各种各样的安全威胁，我们在这里大体总结如下：

（1）计算机病毒的威胁.由于计算机病毒具有强有力的破坏性、隐蔽性和强大的自我衍生能力，对校园网的威胁是非常大的，特别是网络病毒的攻击能力比单机病毒还要大.随着校园网与外部Internet网络逐渐的融为一体，也会为各类计算机病毒敞开大门，在校园网中下载信息、传递数据、收发电子邮件等都将受到威胁.

（2）有害信息的传播.在如今的网络当中，充斥着各种各样的信息，有对我们的教育教学起到帮助作用的，同时，也有许多不健康的、不符合国家法律法规的、甚至是违反社会道德的坏信息，如果安全管理不到位，有可能会在校园网中广泛传播，造成不好的影响.

（3）木马等恶意攻击和破坏行为.一些别有用心的人，会专门针对我们校园网中防护比较薄弱的地方，或者利用我们系统中软、硬件设施的漏洞，移植木马程序等实施远程控制；或者直接采取攻击行为，监视信息流、会话劫持、盗取我们网络中的有价值信息数据；或者产生一定的破坏行为.而我们的校园网也不能做到24小时全天候的专人监管，恶意攻击行为，有可能会导致网络的瘫痪，给我们造成无法想象的损失.

（4）不合法用户的非法访问.

（5）网络协议的缺陷.比较典型的就是如今在网络当中运用较多的TCP/IP协议本身所具有的安全缺陷问题.

（6）数字信息的间谍行为.例如对通信数据流量的分析、信息的直接盗取等.

（7）人为行为.例如黑客的入侵破坏、网络钓鱼，或者内部人员使用不当等.

（8）网络安全意识不强，管理制度不健全，法律法规不完善.

因此，校园网的安全威胁，有技术方面的，也有管理意识淡薄和制度缺失等因素.目前，我校几乎各个院系部办公室都配有电脑，连有网络，但是有很多的使用者安全防范意识比较差.学校的规章制度还不够完善，还不能够有效的规范和约束师生们的不良上网行为.

2 校园网安全技术和管理机制

校园网络的安全机制是保证校园网络信息安全的必要措施，这些安全机制大都是针对目前高校网络中潜在的安全威胁，但在具体实施过程中可以根据各高校的实际情况单独或组合使用.如何在有限的投资中，安全机制尽可能的合理，尽可能地降低安全风险，是一个值得探讨的问题.校园网络的安全体系的建设，我们应集中于两个方面：一是现代化选择机制；二是不断改进的管理机制.

之前我们已经介绍了在校园网中的各种潜在安全威胁，主要是通过硬件和软件，以及网络系统的缺陷和漏洞、技术不到位等，对我们的校园网络发动攻击.因此，为了有效防范这些威胁，我们首先需要在技术方面增强安全机制，进一步充实网络的检测能力，弥补系统漏洞，尽而实现校园网安全的目的.大体上应包括如下安全技术机制：

（1）加密和隐藏技术.一般情况下，加强计算机网络安全的最简单、也是最常规的一个方法就是加密技术.对重要信息进行加密，是保护网络安全的最基本的手段和方法.即使攻击者通过某种非法手段获取了相关内容，也无法直接了解到其核心信息从而达到一定的保护作用.而隐藏技术则是将重要信息以某种方式隐藏在其他信息当中，让黑客等攻击者很难发现.

（2）完整性、不可否认性的保证.利用密码学等一些安全技术可以很好地对付非法用户有意无意的篡改、窃取等恶意行为，很好的保护数据信息的完整性.当数据信息的完整性得以保证后，还可提供不可抵赖服务.

（3）权限和存取控制技术.针对网络系统中各种不同身份级别的用户，分别赋予不同的操作权限，限制其越级越权行为，达到不同的管理目的.并且在安全的校园网系统中,还可以采用存取控制机制来保护目标应用对象.

（4）安全审计和定位技术.通过在网络使用过程中，对一些重要的事件内容进行的记录、审计，从而在系统中可以跟踪入侵者的入侵行为、发现错误或受到攻击时能定位攻击目的地并找到切实有效的防范措施，为日后的事故调查取证等打下基础.

（5）安全认证和授权.校园网络设备之间为了进一步加强安全建设，应相互认证对方的身份和所授予的权力，以保证其以合法的身份，合理的使用校园网的权力；同时，校园网也必须对用户的身份进行认证，以确保由权威和法律授权的合法用户合理的操作.

（6）任务填充技术.在通信过程中，通过发送仿真性能好的随机数据和信息，通过对通信数据流量和获取信息的分析来增加攻击者的难度，进一步提高网络的安全性.

根据对当前校园网络安全现状的了解，校园网络的信息安全不仅是个技术问题，也是一个管理问题.正所谓“三分技术，七分管理”.要想真正的把校园网络建设的更加完善，必须首先从制度上制定出更加严格、规范的管理制度，设计出更加行之有效的技术方案，确定合理的资金分配，采用相应的管理措施和完善相关的法律法规制度.

特此总结出以下几点校园网络安全管理机制：

（1）为了使安全设备和制度更加丰富完善，可以采用一致的网络监控设备，包括对网络接口的配置问题，就有可能预防相当一部分的网络攻击和入侵行为.一般常见的方法有：在内外网之间安装正版的主流杀毒软件、软件防火墙、入侵检测及漏洞扫描设备等.对我们的校园网络进行较为系统、完整的检测、防护和预警，防止非法用户的不正常访问和越权使用等.

（2）进一步完善校园网络管理制度，建立健全网络的整体架构.对一个合理的校园网络进出口进行有效管理，并提供最基本的安全保证.

（3）为教师和学生尽快解决互联网身份问题，提高统一身份认证系统的安全级别.校园网络必须首先解决好所有教师和学生的在线身份问题，而身份认证系统是整个校园网络安全系统的最基本的组成部分.所以，必须要引起学校相关部门的重视.

（4）集中监控和管理学校机房等公共上网场所.所有上网师生不但要通过学校统一的校级身份认证系统的认证，其上网的安全日志，安全记录也要集中保存在中心服务器上，以便及时备份今后查验.

（5）根据学校相关部门的要求，配备专门的安全管理人员，建立健全网络安全管理制度和体系.

3 安全策略的相关配置

为了进一步加强校园网络的安全，我们需要从各个方面入手，这里我们主要针对windows服务器运行的程序和服务以及本地计算机两方面出发，制定相关的安全策略.现大体总结如下：

（1）安装比较流行的杀毒软件.如果从安全角度去考虑的话，最好是去购买比较流行的、正版的专业杀毒软件，并且最好可以实现在线实时升级.这样，就可以有效的防治计算机病毒、木马的入侵和其他恶意攻击行为的出现.

（2）及时下载安装并更新系统补丁.一般我们认为，几乎任何的计算机互联网软件和硬件都是有漏洞的，而我们所广泛使用的操作系统也不例外，因此，就需要我们所有用户，特别是经常上网的用户，及时的下载并更新系统补丁程序，进一步完善软硬件功能特性的同时，也能很好的弥补系统漏洞，尽可能的规避各种各样的风险.

（3）相关账户管理.对系统默认的管理员帐户进行重新命名并加以密码，密码的长度也应该至少8位以上，可以使用字母、数字、特殊符号等来增加密码复杂度.另外，最好禁用不经常使用的来宾帐户，减少相关账户的数量，增加非法用户尝试破解的难度和成本.

（4）禁用无用或暂时不用的服务.比如说，无线服务、远程协助服务、远程注册表操作等这些服务要么不用，要么不经常使用，最好将其关闭，避免我们不用，却留下来成为他人攻击我们电脑或网络的跳板.

（5）删除系统默认的共享.在校园网中共享文件的同时，给我们提供了方便，但同时也是一个很大的安全风险.因此，最好用的时候开通，不用的时候将其关闭或删除.可以通过编辑注册表的操作，找到Hkey_local_machine系统currentcontrolset服务lanmanserver参数，将REG_DWORD的AutoShareServer值修改成0即可.

（6）禁止IPC空连接.可以通过打开注册表，在HKEY_LOCAL_MACHINE根键中，找到LSA-RestrictAnonymous选项，把它的值改为1即可.

（7）运用组策略进行安全配置.通过相关的Gpedit.msc命令打开组策略，找到计算机配置中的本地策略，然后可以按照下面操作进行相关的安全配置.

·试着将Power Users和Backup Operators两个不常用的选项，在用户权限的分配下删除；

·启动不允许匿名访问系统帐号和局域网共享；

·在文件共享目录中删除允许匿名登录的两个选项；

·启用在下一次密码变更时不存储LANMAN哈希值；

·尽量设置不显示上次登录的用户名；

·禁止IIS匿名用户在本地登录；

·限制尝试登录的次数和规定锁定账户的时间；

·设置密码策略要求，如所需要的最小密码长度，复杂性等.

（8）本地安全策略设置.在开始菜单管理工具中，对本地安全策略中的9个审核策略，都可以将其成功、失败的都进行审核，这样就可以在事件查看器中进行定期不定期的查看.还可以在其中对用户权限分配、安全选项、软件限制策略等进行自定义设置.

（9）重命名或卸载不安全的部分.现在很多程序或软件都捆绑了不少相关的组件，而有些组件对我们的校园网根本就是没用的，留下来就有可能成为安全隐患，因此，完全可以将其卸载掉.

因此，通过上述对服务器和本地计算机系统进行的相关设置和策略的制定，可以有效的防止计算机病毒、黑客的攻击，增加服务器和本地计算机的有效自身防御能力，让我们的校园网络环境得到进一步的净化，为全体师生营造良好的学习氛围.

〔1〕周海刚，肖军模.一种基于移动代理的入侵检测系统框架[J].电子科技大学学报，2003，12.

〔2〕贺也平.恶意代码在计算机取证中的应用[R].首届全国计算机取证技术研讨会，2004，11.

〔3〕陈建，张亚萍，李艳.基于流量分析的入侵检测系统研究[J].天津理工学院学报，2008，9.

〔4〕单国栋,戴英侠,王航.计算机漏洞分类研究[J].计算机工程，2002,28(10):3-6.