Win2000安全检查清单
作者 佚名技术
来源 服务器技术
浏览
发布时间 2012-07-05
| 服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏就可以了。还有一点,所有系统用户所使用的机器也最好加上屏幕保护密码。
10. 使用NTFS格式分区 把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。 11.运行防毒软件 我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库 12.保障备份盘的安全 一旦系统资料被破坏,备份盘将是你恢复资料的唯一途径。备份完资料后,把备份盘防在安全的地方。千万别把资料备份在同一台服务器上,那样的话,还不如不要备份。 [1]?[2]?[3]?下一页?? 微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页: http://www.microsoft.com/windows2000/techinfo/ howitworks/security/sctoolset.ASP 2.关闭不必要的服务 windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务: Computer Browser service TCP/IP NetBIOS Helper Microsoft DNS server Spooler NTLM SSP Server RPC Locator WINS RPC service Workstation NetLOGOn Event log 3.关闭不必要的端口 关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为: 网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。 4.打开审核策略 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加: 策略 设置 审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败 5.开启密码密码策略 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 6.开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 7.设定安全记录的访问权限 安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。 8.把敏感文件存放在另外的文件服务器中 虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。 9.不让系统显示上次登陆的用户名 默认情况 |
|
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: 扼杀IIS服务器性能的十条规则下一篇: IIS:微软操作系统集成的Web服务器
关于Win2000安全检查清单的所有评论
