Windows 2000 安全检查清单-中级篇
来源:asp之家 发布时间:2009-12-02 18:49:00
1、利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:
http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp
2、关闭不必要的服务
Windows 2000的Terminal Services(终端服务),IIS和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3、关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4、打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5、开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6、开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7、设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
8、把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9、不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName
把REG_SZ 的键值改成1。
10、禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
10、到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
猜你喜欢
- 不算前言的前言前两天小韩简单写了写关于在网站编程中跨站漏洞的一些知识,如果你还没有看到,那么为什么不现在就去看看呢:跨站漏洞解析-小韩网站编
- 一、前言:因朋友想学习一些系统的知识,且用的是苹果本,而自己的笔记本是Windows系统,所以只能安装虚拟机软件VMWare,再在虚拟机里安
- Linux已受到越来越多的用户喜爱,为什么它能发展如此之快,而且还广受欢迎呢?安全、方便维护、易使用、免费......这些都是证明Linux
- 最近一段时间整个cms行业算是比较骚动,Phpcms创始人淡淡风离职,dedecms的其中一位投资人撤资,风讯拖欠员工工资估计马上也要打官司
- 您对Godaddy的VDS了解多少呢?把我的一点经验之谈跟大家分享一下,希望会对您有所帮助哦~上次我们说了SSH远程操作命令,今天我们来说S
- 老谢说下软文的写作要点,希望对自己写软文的站长们一些帮助。一、标题新鲜标题新鲜,必须能吸引人的兴趣,使浏览者看了你这个标题之后仍有欲望看你的
- 这个我只是简单的做下修改,没有对程序文件进行较大的变动。整合原理:dede5.5会员的mid值是一个自增的字段,也就是每添加一行会员记录这个
- 项目发展到一定程度,因为功能的增多,就会变得越来越臃肿,原来的架构,就会不能满足现有的需求,因为我们有很多最初规划的时候没有想到的事情,比如
- 完美站长站立足于草根站长和个人企业,很多人问我们一些常见的CMS的优劣区别,今天抽个时间写一下供大家参考自己做站长很多年了,对国内的CMS也
- 1、概述电子邮件是最常用的网络应用之一,已经成为网络交流沟通的重要途径。但是,垃圾邮件(spam)烦恼着大多数人,近来的调查显示,93%的被
- 概述云平台客户的服务器可能会随着业务量的不断增长造成磁盘空间不足的情况,比如:共享文件服务器硬盘空间不足,在这个时候就需要增加磁盘空间,来满
- 很大意义上的传统社区指的论坛,论坛是伴着一些老网虫们共同成长起来的,泡论坛成了网虫们的爱好之一,从个人主页的时代到现在SNS满天飞的世界,论
- 关于做网站,我其实不算高手,只是经验相对来说可能多一些。2003年开始做网站,当时在中学,对电脑的爱好完全是疯狂痴迷,和站长网一起成长,看着
- 1 背景知识1.1 什么是XSS攻击XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascadin
- CentOS 开机启动自定义脚本有些时候我们需要在服务器里设置一个脚本,让他一开机就自己启动。方法如下:cd /etc/init.d vi
- 近日酷6网研发部一名罗姓员工不幸猝死,酷6网昨日发表正式声明,对该员工死因进行了澄清,并对事件的处理进展予以通告。随后,酷6网又向全体员工发
- 一般而言,由于互联网用户在刚登录某网站时,会看到各种各样的广告。这些广告杂乱无章,因此,大多数的标语用户很容易看过就忘。行为追踪就是防止这种
- 禁止IIS缓存静态文件(png,js,html等)背景:IIS为了提高性能,默认情况下会对静态文件js,html,gif,png等做内部缓存
- 2009年9月8日,专业的博客软件提供商北京傲博致远软件隆重推出Oblog.NET2.0版。至此,饱含数万OBLOG站长热切期盼和支持的.N