Win 2000检测系统安全清单(3)
来源:云南设计港 发布时间:2007-09-20 14:53:00
4、打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略设置
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
5、开启密码密码策略
策略设置
密码复杂性要求启用
密码长度最小值6位
强制密码历史5次
强制密码历史42天
6、开启帐户策略
策略设置
复位帐户锁定计数器20分钟
帐户锁定时间20分钟
帐户锁定阈值3次
7、设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8、把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9、不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把REG_SZ的键值改成1。
10、禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成”1”即可。
11、到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的servicepack和漏洞补丁,是保障服务器长久安全的唯一方法。
高级安全篇
1、关闭DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。修改注册表HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI的Timeout(REG_DWORD)为0即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打netshare查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享,打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录路径和功能C$D$E$每个分区的根目录。Win2000Pro版中,只有Administrator和BackupOperators组成员才可连接,Win2000Server版本ServerOperatros组也可以连接到这些共享目录ADMIN$%SYSTEMROOT%远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如c:\winntFAX$在Win2000Server中,FAX$在fax客户端发传真的时候会到。
IPC$空连接。IPC$共享提供了登录到系统的能力。
NetLogon这个共享在Windows2000服务器的NetLogin服务在处理登陆域请求时用到PRINT$%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS用户远程管理打印机具体操作可以参考:去掉win2000中的c$共享
猜你喜欢
- 大家知道,Microsoft为了更好地预防恶意用户和攻击者的攻击,在默认情况下,没有将 IIS6.0 安装到 Windows Server
- 自从2004年芙蓉姐姐横空出世,神话到处流传至今无人超越,又谣传芙蓉姐姐去韩国整容之后美貌值暴涨。小编好奇之下用美图秀秀图片处理软件,借用芙
- 首先说为什么要基于网易邮箱。网易自己号称他的网易邮箱(@163.com @126.com @yeah.net)是3亿用户的选择。其实也没有夸
- 为了更好的实现对社区热点信息的聚焦,Discuz! 7.1新增了“主题热度与主题评价”功能,成为强化社区信息聚焦重要应用手段。重视细节改进是
- Alexa 排名对于每个建站的朋友来说都不陌生了,它是目前常用来评价某一网站访问量的一个重要指标。虽然人们对他的算法颇有责疑(它只对安装了&
- 什么是网站设计中最重要的一个环节?很多人会回答是网站的可读性,怎么样才能使你的内容更容易阅读。读者来到你的网站是在阅读他们关心的内容,如果文
- 信息技术和创新基金会(ITIF)近日公布了一份统计图,列举了全球20大国家互联网的接入情况,包括平均网速和网费两个指标。日本、韩国均处于遥遥
- 已经习惯每天到这个网站来看一看,就像习惯于每天上新浪看新闻一样!有不少愤青说,新浪的新闻尽是歌舞升平,报喜的多报忧的少,站长网似乎有点反过来
- 建站的朋友在Godaddy上注册了域名,绑定免费空间,进行测试程序,现在购买了新空间,要取消免费空间与域名的绑定,该如何删除Godaddy免
- 关于Google对站群等态度,这个你得发邮件去问一下Google。我们可以看到这些类型的站群:知道CBS Interactive么,其旗下的
- 今天到中国银行去取托收回来的Google$666.11美金时(比较吉利的数字^_^),银行MM小心的问到:“7.4,确定兑?”我愣了一下,马
- 路由器设置实现DDoS防御的操作是什么呢?首先我们要认识到做好DDoS防御之前我们要明白DDoS攻击的原理是什么,然后我们针对原因逐一分析并
- 安装篇2003默认安装不带IIS的,要安装,请点击开始->管理工具->配置您的服务器向导然后一步步的下一步。到了列表选择项目的时
- 据官方消息,Discuz!X1.5视频发布会将于9月20日下午1点30分举行,目前已进入倒计时阶段。本次发布会将采用视频互动的方式,通过官方
- 在Windows 2000下,动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的。在Windows 2000的域下有三种实现DN
- 随着六一国际儿童节的临近,越来越多的互联网从业人员开始怀念童年,更有好事者提出了九条建议。希望广大站长在闲暇之余博得一乐。以下为网友提供的九
- 发布日期:2007-09-19更新日期:2007-09-19受影响系统:Dibbler Dibbler 0.6不受影响系统:Dibbler
- 硬件系统的安全防护硬件的安全问题也可以分为两种,一种是物理安全,一种是设置安全。1、物理安全物理安全是指防止意外事件或人为破坏具体的物理设备
- 网络冲浪者对Google情有独钟,是由于Google所提供的快速搜索速度及高命中率搜索结果。这些都是基于Google的复杂文本匹配运算法则及
- C.对表的内容的一些说明 mysql> use po