Win 2000检测系统安全清单(3)
作者 佚名技术
来源 服务器技术
浏览
发布时间 2012-07-06
|
4.打开审核策略 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加: 策略 设置 审核系统登陆事件 成功,失败 审核帐户管理 成功,失败 审核登陆事件 成功,失败 审核对象访问 成功 审核策略更改 成功,失败 审核特权使用 成功,失败 审核系统事件 成功,失败 5.开启密码密码策略 策略 设置 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天 6.开启帐户策略 策略 设置 复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次 7.设定安全记录的访问权限 安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。 8.把敏感文件存放在另外的文件服务器中 虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。 9.不让系统显示上次登陆的用户名 默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是: HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLOGOn\DontDisplayLastUserName 把 REG_SZ 的键值改成 1 . 10.禁止建立空连接 默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 11.到微软网站下载最新的补丁程序 很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。 高级安全篇 1.关闭 DirectDraw 这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_Dword)为 0 即可。 2.关闭默认共享 win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。 默认共享目录 路径和功能 C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator 和Backup Operators组成员才可连接,Win2000 Server版本 Server Operatros组也可以连接到这些共享目录 ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都 指向Win2000的安装路径,比如 c:\winnt FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。 IPC$ 空连接。IPC$共享提供了登录到系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处 理登陆域请求时用到 PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机 具体操作可以参考:去掉win2000中的c$共享 关键词: |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: 对文件进行EFS加密和解密下一篇: Win 2000的五则超酷技巧(1)
关于Win 2000检测系统安全清单(3)的所有评论
