声带小结的症状,win2000安全性的小结

win2000安全性的小结 - 电脑安全 - 电脑教程网

win2000安全性的小结

日期:2007-09-14   荐:
  用了win2000做服务器的人不少吧,我谈谈我的经验,希望还有谁能够补充    1、不要选择从网络上安装     虽然微软支持在线安装,但这是绝对不安全的。在系统未全部安装完之前不要连入网络,特别是Internet!甚至不要把一切硬件都连接好来安装。因为Win2000在安装时,在输入用户管理员账号“Administrator”的密码后,系统会建立一个“$ADMIN”的共享账号码,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“$ADMIN”进入系统;同时,安装完成,各种服务会马上自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。所以,千万不能从网络上安装或者安装时不能将你的机器接入internet!     2、要选择ntfs格式来分区     最好所有的分区都是NTFS格式,因为ntfs格式的分区在安全性方面更加有保障。就算别的分区采用别的格式(如FAT32),但至少系统所在的分区中应是ntfs格式。     另外,应用程序不要和系统放在同一个分区中,以免攻击者利用应用程序的漏洞(如微软的IIS的漏洞,大家不会不知道吧)导致系统文件的泄漏,甚至让入侵者远程获取管理员权限。     3、系统版本的选择     我们中国人一般都喜欢使用中文界面的软件,当然不强求一定要使用英文版的软件。但对于微软的东西,由于地理位置及市场因素,都是先有英文版,然后才有各国其它语言的版本。也就是说Windows系统的内核语言是英语,这样相对来说它的内核版本理应比它的编译版本中的漏洞少很多,事实也是如此,win2000的中文输入法漏洞闹得沸沸扬扬大家是有目共睹的。          上面所说的安全安装只能减少后顾之忧,千万别以为只做到这些就可以一劳永逸了,还有很多工作等着你去做的,请继续往下看:   二、如何管理系统,使它更安全     有关系统的不安全,不要老埋怨软件的本身,多想想人为的因素吧!下面从管理员本身来谈谈在管理过程中需要注意的几点:   1、关注最新漏洞,及时打上补丁和安装防火墙     管理员的职责是维护系统的安全,平时应该多转转有漏洞公布的站点,吸收最新的漏洞信息,及时打上相应的补丁。这是维护系统安全最简单也是最有效的方法,我给大家推荐国外的一个很好的安全站点:http://www.eeye.com .同时,安装最新版的防火墙也是必须的,可以助你一臂之力。但是要记住:“道高一尺,魔高一丈”,没有绝对的安全,补丁永远都是跟在漏洞公布之后,完全相信系统补丁和防火墙是不足取的!   2、禁止建立空连接,拒人于门外     北约空炸我国驻南斯拉夫大使馆的黑客大战,大家还记得吧?黑客们就是采用这个共享进行攻击的,其实不是它的漏洞,只怪管理员的帐户和密码太简单,但留着实在是不放心,谁知道那些老黑们又会耍出什么花招来呢?还是禁止掉的好!   这主要是通过修改注册表来实现,主键及键值如下:   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]   RestrictAnonymous = DWORD:00000001     3、禁止管理共享   除了上面的,还有这个呢!一起禁止吧!   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]   AutoShareServer = DWORD:00000000   4、精巧设计密码,慎防傻瓜小偷入屋     呵呵,看了上面的第2点和第3点,有经验的朋友自然会想到这一点了。不错,这是老生长谈的事情了,很多服务器被攻陷都是由于管理员密码过于简单而造成的,很多扫描器都冲着这个来的哦。大家知道,用小榕的流光,只要探测ipc连接的管理员帐户和密码成功,那该主机已经落在黑客手里了。可是用流光随便扫一段ip段都可以抓到一大堆管理员帐户、密码为Administrator:1234之类的主机,更有甚者,有的管理员密码居然为空!不知道这是管理员高手们精心设下的陷阱还是头脑没有半点安全意识,反正我是能进去,并将其做成跳板跳到别的机器上去。     对于密码的设置,我建议:①长度超过8位为宜。②大小写字母、数字、特殊符号的复杂组合,如:G1$2aLe^ ,避免“纯单词”或者“单词加数字”型的密码,如:gale、gale123等。     特别注意:MSSQL7.0 中的SA密码千万不能为空!默认情况下SA密码是空的,而他的权限是admin ,这点大家都清楚的,具体怎么做,大家都知道,不用我多说。   5、限制管理员组的用户数量     严格限制管理员组的用户,时时刻刻保证只有一个Administrator(也就是你自己)是该组的用户,这样好管理,至少每天检查一次该组的用户,发现多增加的用户一律删除!或者实施反攻击行动。毫无疑问,那新增的用户一定是入侵者留下的后门!同时要注意Guest用户,聪明的入侵者一般不会添加陌生用户名,这样容易被管理员发现行踪,他们通常是先激活Guest用户,然后是更改它的密码,再放到管理员组,但Guest无端端地跑到管理员组来干嘛?停掉!   6、停止不必要的服务     服务开的太多也不是个好事,将没有必要的服务通通关掉吧!特别是连管理员都不知道有的服务是干什么的,还开着干什么!关掉!免得给系统带来灾难。     另外,管理员如果不外出,不需要远程管理你的计算机的话,最好将一切的远程网络登陆功能都关掉。注意,除非特别需要,否则禁用“Task Scheduler”、“RunAs Service”服务!     关闭一项服务的方法很简单,运行cmd.exe之后,直接 net stop servername 即可。   7、管理员安分守己,不使用公司的服务器做私人用途     Win2000 server 除了可以做服务器之外,同时还可以作个人用户的计算机机一样,上网浏览网页、收发E-mail等等,作为管理员,应该尽量少用服务器的浏览器来浏览网页,避免因浏览器的漏洞造成木马感染和公司的隐私信息暴露。微软IE漏洞多多,相信大家不会不知道吧?另外,也少在服务器上使用Outlook等工具来收发E-mail,避免染上病毒,给企业带来损失。   8、入侵自己,跟自己较量,提高防黑技能     常常在网络外部以入侵者的身份扫描自己,入侵自己,发现漏洞及时修补,或者研究防范措施,提高系统的安全性。比较好的漏洞扫描器就是小榕的流光。另外还要虚心接受入侵者好意相劝,我经常扫描国内的主机,发现了漏洞马上发email通知管理员,遗憾的是很多管理员不理不睬,几个月过去了,漏洞依然存在,管理员总是如此的不负责任!   9、注意本地安全     防止远程入侵很重要,但系统的本地安全也不容忽视,入侵者不一定在远处,有可能就在身边!     ①、及时打上最新版的补丁,防止漏洞,现在都SP3了    ②、不显示上次登陆的用户     如果你的机器是不得不多人共用的话(其实,真正的一台服务器是不应该这样的),那禁止显示上次登陆的用户很重要,免得别人猜中密码。设置方法是:在“开始”-“程序”-“管理工具”-“本地安全策略”,打开“本地策略”的“安全选项”,在右边双击“登陆屏幕上不要显示上次登陆的用户名”,选中“已启用”,再点“确定”,这样,下次登陆的时候就不会在用户名框上显示上次登陆过的用户名了。     以上是我的一点个人意见,希望对大家有帮助!   另:IDQ.DLL IDA.DLL printer远程溢出都是一些常见的漏洞。大家最好用流光查查看
标签: