Windows 2000服务器安全配置精华教程(3)
来源:asp之家 发布时间:2010-04-02 18:30:00
高级篇:
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
每个分区的根目录。Win2000 Pro版中,只有Administrator 和Backup Operators组成员才可连接,Win2000 Server版本 Server Operatros组也可以连接到这些共享目录ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如 c:winnt 在Win2000 Server中,FAX 空连接。共享提供了登录到系统的能力。 NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处 理登陆域请求时用到 PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机 解决办法: 打开注册表编辑器。REGEDIT HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiCESlanmanserverparameters 在右边建立一个名为AutoShareServer的DWORD键。值为0
3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表 HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management 把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
猜你喜欢
- IIS(InternetInformationServer)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服
- 先来看一段引文:谷歌、雅虎和live search 宣布支持Link的一个新属性Canonical,为网页指定权威链(authoritati
- “企业的成功在于其创造力、想象力、大胆的尝试及富于幻想的激情”,这是吉姆·柯林
- 中国电信最近对于Google若干服务(Google工具栏、Google拼音、Google Picasa等)的屏蔽是一个很特别的屏蔽,因为这些
- 今年开始到未来的3年,是我国电子商务进入高速发展期的核心时期,电子商务低成本、高效率、信息对称这些优势会迅速地爆发出来,并被大家所接受。电子
- 最近,一直想在腾讯进行视频认证,结果呢?老跳出,你未设置允许使用你的摄像头,我用了右键设置了的,可是还是没有用。后来到网上看了相关的东西,找
- Discuz由于其易用,免费而成为现在站长们使用最多的论坛,本站的小站http://www.kaixin0018.com(开心网001)也运
- 综述本文将讨论UNIX平台下,Apache WEB服务器安装和配置的安全问题。我们假定阅读本文的系统管理员已经针对自己站点的情况选择了相关的
- 应部分GoDaddy用户要求,整理了解决GoDaddyLinux空间Java和Jsp常见的一些问题及解答,希望可以给GoDaddy用户带来更
- 目前,就我所知道的对于301重定向的方法,有两个:1.利用apache支持的.htaccess进行改写,实现重定向2.利用程序进行域名的30
- 百度C2C推出之际屏蔽门等风波不断,这将对新平台带来严峻的考验;百度应该快速的平息这场风波,用协商对话的方式来应对,中国互联网需要和谐竞争,
- SEO服务中,与客户罪有应得争议的就是具体排名是否可以保证。有时你可能会看到一些SEOer的广告,说可以保证排名,保证排在第一,或者第二。我
- 12月2日消息,巨人网络2010年全国校园招聘昨日到达杭州,在浙江大学和中国美术学院召开专场招聘宣讲。巨人网络战略投资总监许怡然和美术中心副
- 1、简介说明在安装Procmail及Sanitizer后,系统都只能处理寄进服务器内的信件,无法处理利用邮件服务器来寄出病毒信,因此在安装P
- 5、配置作用域接着要为新建的应用程序IIS6URL授权配置作用域。右键点击“IIS6URL授权”选项
- Flv文件不能播放的原因有种种,最近遇到了“Flv文件在本地能显示,上传到服务器上不能播放”,解决流程如下:首先是检查网页中FLV相关文件上
- 企业管理工具开发商BeyondTrust近日表示,微软在Windows 7中对颇受争议的UAC(用户账户控制)所做的改进只是表面功夫,根本没
- 最近看到一些文章关于站内搜索和用户体验的文章,一般都说的是第三方提供的,其实织梦就有一个很好的站内搜索,我们完全可以利用这一功能,提高用户体
- FTP(文件传输协议)诞生之后,便迅速地得到了推广和应用,而依据此协议提供服务的ftp服务器在运行时,用户可以通过Internet连接到服务
- Windows远程接入服务器允许VPN客户进行身份识别并且透明地连接到内部网络,就像直接连接到网络一样。这能够使用户以安全的方式进行远程工作