Win 2000检测系统安全清单(3)
来源:云南设计港 发布时间:2007-09-20 14:53:00
4、打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略设置
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
5、开启密码密码策略
策略设置
密码复杂性要求启用
密码长度最小值6位
强制密码历史5次
强制密码历史42天
6、开启帐户策略
策略设置
复位帐户锁定计数器20分钟
帐户锁定时间20分钟
帐户锁定阈值3次
7、设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8、把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9、不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把REG_SZ的键值改成1。
10、禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成”1”即可。
11、到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的servicepack和漏洞补丁,是保障服务器长久安全的唯一方法。
高级安全篇
1、关闭DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。修改注册表HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI的Timeout(REG_DWORD)为0即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打netshare查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享,打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录路径和功能C$D$E$每个分区的根目录。Win2000Pro版中,只有Administrator和BackupOperators组成员才可连接,Win2000Server版本ServerOperatros组也可以连接到这些共享目录ADMIN$%SYSTEMROOT%远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如c:\winntFAX$在Win2000Server中,FAX$在fax客户端发传真的时候会到。
IPC$空连接。IPC$共享提供了登录到系统的能力。
NetLogon这个共享在Windows2000服务器的NetLogin服务在处理登陆域请求时用到PRINT$%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS用户远程管理打印机具体操作可以参考:去掉win2000中的c$共享
猜你喜欢
- CentOS 开机启动自定义脚本有些时候我们需要在服务器里设置一个脚本,让他一开机就自己启动。方法如下:cd /etc/init.d vi
- 安装Server CoreServer Core的安装本身很简单,你只要插入光盘,点击"Setup",跟随屏幕向导就能完
- 解决以下常见问题:1. 我怎样对IIS设置进行备份? 2. 什么工具能帮助我施加一个负载并进行应用程序的强度测试? 3
- 谷歌中文网管理员博客今日发表博文,针对重负内容网页的URL选择做了相关解析。即谷歌发现一组重复内容网页时,Google算法会选出一个有代表性
- 随着阿里妈妈淘宝客推广的发展,以及官方的各类宣传活动,淘宝客推广已经被越来越多的人们知道。因为听说能赚钱,很多的新手加入到这个队伍中来。其实
- DNS MX记录一定要放在A记录之前,否则和邮件后缀相匹配的域名没有指向邮件服务器,很有可能邮件服务器收不到邮件。DNS MX记录一定要放在
- 网站建立起来了,却无人问津。每天看着竞争对手的网站红红火火,自己的网站却门庭冷落。你企业的网站就这样被架空了。我想目前很多的企业网站都处于这
- 昨日在微博,有站长发布了一张“QQ群”新功能测试图,引发了众多站长关注,图片显示QQ群可以展示论坛的信息,推广论坛内容。据了解,这是康盛公司
- Fearless有一个英站,但是目前根本没有精力和时间去维护,所以也一直搁置在那里,希望今年能有所作为。在这个英文站刚建完成的第一天,Goo
- 现象大家在使用 Apache Spark 2.x 的时候可能会遇到这种现象:虽然我们的 Spark
- 一、WSUS 安装要求1、硬件要求:对于多达 500 个客户端的服务器,建议使用以下硬件:* 1 GHz 的处理器* 1 GB 的 RAM2
- 本人经过几次的测试,就用DEDECMS系统进行了几次的测试,发现百度对DEDECMS系统改版痛下杀手。我用的是DEDECMS系统,第一次是修
- VMware Workstation Pro下如何安装CentOS 7 64位服务器,本文为大家一步步讲解。CentOS 最小化安装1. 在
- 四、修改pam[root@localhostpam_mysql]#cd/etc/pam.d[root@localhostpam.d]#cp/
- 自从做卖站以来,遇到的形形色色的人,真是林子大了,什么鸟都有,现在我列出以下几种人,希望卖站新人能从中吸收到一些经验:1)没看清楚卖站的说明
- 实践证明,基于Windows NT 的Exchange Server并不是企业级电子邮件系统的最佳选择。由于对稳定性等性能要求非常高,因此大
- 在类 Unix 系统中,你可能知道一个命令或进程开始执行的时间,以及一个进程运行了多久。 但是,你如何知道这个命令或进程何时结束或者它完成运
- 不说话的站长租一间房子,拉一条网线,借钱买一台电脑,很多个人站长就这样开始了自己的站长生涯。站长是没有早晨的,当早市上人潮汹涌的时候,他们才
- 本文实例讲述了Linux环境ActiveMQ部署方法。分享给大家供大家参考,具体如下:ActiveMQ环境部署下载地址:http://act
- 1 各种搜索引擎的基本原理目录式搜索引擎是以人工方式或半自动方式搜集信息,由编辑员查看信息之后,人工形成信息摘要,并将信息置于事先确定的分类