Windows 2000 安全检查清单-中级篇
来源:asp之家 发布时间:2009-12-02 18:49:00
1、利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp
2、关闭不必要的服务
Windows 2000的Terminal Services(终端服务),IIS和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3、关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4、打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5、开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6、开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7、设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8、把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9、不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName
把REG_SZ 的键值改成1。
10、禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
10、到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
猜你喜欢
- 6月4日至6月10日,短短5个交易日内,腾讯控股累积重挫15%,放量击穿年线,而同期香港恒生指数基本保持持平。拥有同时在线人数超过 1亿的Q
- 有10年历史的网游“包月制”收费模式,突然被“包日制”撞了一下腰。昨日,国产网游企业金山软件每天2.5元的付费模式悄然上线。这是国内网游企业
- 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当
- “Microsoft Security Essentials”(微软安全必备)可以防御运行Windo
- 几个月前我问网友:对于网赚联盟营销,他们最希望了解什么。经过筛选,我挑出了15个问题。然后找到了三个朋友,让他们来回答这15个关于网赚联盟
- 上周,据国外媒体报道,英特尔再遭遇指控利用“贿赂和胁迫”手段垄断市场,而且这次是向全球第三大电脑生产
- 很多朋友都用虚拟主机来做网站,将网页文件存放在虚拟空间上,但是页面内容一多,网站打开的速度就显得特别慢,如果您碰到这种情况,与其寻求更好的空
- 各位站长朋友们,你们是否长期做在电脑前,对着电脑忙碌着呢?下面介绍几种消除疲劳以及保护眼睛的方法,或者会有些帮助。菊花茶是保护眼睛的好饮料!
- IIS(Internet Information Server,互联网信息服务)是Windows提供的一个Web服务组件,笔者一直Windo
- 相信大家都受过病毒煎熬,下面是我从自学编程网转载过来,看了,觉得不错,所以特来献给站长朋友,入侵检测既是一项非常重要的服务器日常管理工作,也
- 在Discuz!7.0中,有些站长在设置用户组时,可能不小心误删了其他用户组,这样会导致原本属于该用户组的用户无法正常访问论坛。下面笔者详细
- Discuz与UCenter同步删除用户的问题,一直得不到解决。由于论坛采用的是注册审核制,每天都要删除大量的恶意注册用户,不能在UCent
- 各位新老站长朋友们大家好,我是芭芭啦音乐论坛的站长,这个论坛是我最近和一个朋友一起做的,因为我们都比较爱好音乐,所以做了这样一个对自己兴趣的
- 随着我国经济的发展,汽车类大型消费品也开始走入寻常千家万户,与此同时,各种围绕车型建立的车迷社区也在各地纷纷建立。北京飞度车友会(www.b
- 大家都知道,让百度和google收录的方法不仅仅是向她提交自己的站点,这种方法在几年前经常使用,可是目前,大家所使用的恐怕都不这样做了,现在
- google adsense的搜索广告,有二种形式,一是传统的搜索框,二是不久前推出的“搜索联盟”。这二种有何区别呢?下面做一下介绍。一、搜
- 在上次写完《史上最牛GOOGLE收录单页面时间记录:60秒》之后对WordPress的优化更有感触,于是这里总结下WordPress创建CM
- 英文帐号@vip.qq.com是QQ邮箱全新提供的vip邮件地址(免费),连同@qq.com地址,QQ邮箱真正实现了一个邮箱两个域名。vip
- 本文收集总结了几点保护DNS服务器的有效方法。1.使用DNS转发器DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转
- 在寂寞天涯老师滴提点下,自己加了一个函数。现分享一下:本人只会ASP,不懂PHP,只能用举一反三的方法加自己想要的功能了。。。修改/incl