Windows 2000安全小窍门

Windows 2000安全小窍门 - 电脑安全 - 电脑教程网

Windows 2000安全小窍门

日期:2007-05-20   荐:
   1.给系统打补丁    Windows 2000 Server一定要安装最新的补丁 Server Pack3,主要是为了修补Windows 2000 Server的安全漏洞。    2.设置系统格式为NTFS    选择Windows 2000文件系统时,应选择 NTFS文件系统,充分利用NTFS文件系统的安全性。NTFS文件系统可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内,而且 Windows 2000新增的磁盘限额服务还可以控制每个用户允许使用的磁盘空间大小。因此,要将所有的磁盘分区转换成NTFS。    3.去掉不必要的协议和服务    安装Windows 2000时,应选择自定义安装,仅选择个人或单位必需的系统组件和服务,取消不用的网络服务和协议,因为协议和服务安装越多,入侵者入侵的途径越多,潜在的系统安全隐患也越大。 除非特别需要,否则禁用“T a s k Scheduler”、“RunAs Service”服务!关闭服务的方法很简单,运行cmd.exe之后,直接net stop servername即可。    4.加密文件或文件夹    为了防别人偷看系统中的文件,我们可以利用 Windows 2000系统提供的加密工具,来保护文件和文件夹。其具体操作步骤是,在“Windows资源管理器”中,用鼠标右键单击想要加密的文件或文件夹,然后单击“属性”。单击“常规”选项卡上的“高级”,然后选定“加密内容以保证数据安全”复选框。    5.取消共享目录的Everyone组    在默认情况下,Windows 2000中新增一个共享目录时,操作系统会自动将Everyone这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除 Everyone组或者将该组的权限调整为读取。    6.禁止建立空连接    黑客们经常采用共享进行攻击,其实不是它的漏洞,只怪管理员的账户和密码太简单,留着不放心,还是禁止掉的好!这一步可以通过修改注册表来实现,主键及键值如下:    [HKEY_LOCAL MACHINE\System\ CurrentControlSet\Control\LSA]    RestrictAnonymous=DWORD:00000001    7.禁止管理共享    除了上面的,还有这个呢!一起禁止吧!    [HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Servioes\LanmanServer\Parameters]    AutoShareServer=DWORD:00000000    8.通过用户和口令保安全有局限性    通过用户名和口令实现安全有一定局限性。经过仔细挑选的口令是有效果的,用户经常挑选非常浅显的口令,如他们的名字、生日、电话号码,或是宠物的名字。这些口令容易被猜测出来,在 WWW服务器上,不像UNIX,在多次未成功猜测后并不会发出警告。一个顽固的黑客能通过一个口令猜测程的方式闯进系统。人们应该对用户共用他们的名字和口令而发出警告。运用IP地址和口令限制的组合比单纯运用二者要安全得多。    另一个问题是,口令从浏览器向服务器传送时容易被截取。以任何有意义的方式都无法对其加密,所以具有一定软件和硬件经验的黑客,当口令通过Internet传输时可以截获它。此外,一个口令在此进程只能通过Internet进行一次登录,而浏览器每送一个口令,就获取一个被保护的文档。当它流过Internet时,一个黑客能容易的窃取所传送的数据。为避免这种情况,必须对口令等数据加密。    9.改进登录服务器    将系统的登录服务器移到一个单独的机器中会增加系统的安全级别,使用一个更安全的登录服务器来取代Windows 2000自身的登录工具也可以进一步提高安全。在大的Windows 2000网络中,最好使用一个单独的登录服务器用于登录服务。它必须是一个能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统,在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。    10.使用好安全机制    严格设计管理好Windows 2000系统的安全规则,其内容主要包括“密码规则”、“账号锁定规则”、“用户权限分配规则”、“审核规则”以及“IP安全规则”。对全部用户都应按工作需要进行分组,合理对用户分组是进行系统安全设计的最重要的基矗利用安全规则可以限定用户口令的有效期、口令长度。设置登录多少次失败后锁定工作站,并对用户备份文件和目录、关机、网络访问等各项行为进行有效控制。    11.对系统进行跟踪记录    为了能密切地监视黑客的攻击活动,我们应该启动Windows 2000的日志文件,来记录系统的运行情况,当黑客在攻击系统时,它的蛛丝马迹都会被记录在日志文件中的,因此有许多黑客在开始攻击系统时,往往首先通过修改系统的日志文件,来隐藏自己的行踪,为此我们必须限制对日志文件的访问,禁止一般权限的用户去查看日志文件。当然,系统中内置的日志管理程序功能可能不是太强,我们应该采用专门的日志程序,来观察那些可疑的多次连接尝试。另外,我们还要小心保护好具有根权限的密码和用户,因为黑客一旦知道了这些具有根权限的账号后,他们就可以修改日志文件来隐藏其踪迹了。    12.使用好登录脚本    制定系统策略和用户登录脚本,对网络用户的行为进行适当的限制。我们可以利用系统策略编辑器和用户登录脚本为用户设定工作环境,控制用户在桌面上进行的操作,控制用户执行的程序,控制用户登录的时间和地点(如只允许用户在上班时间、在自己办公室的机器上登录,除此以外一律禁止访问),采取以上措施可以进一步增强系统的安全性。    13.经常检查系统信息    如果在工作的过程中突然觉得计算机工作不对劲时,仿佛感觉有人在遥远的地方遥控你。这时,你必须及时停止手中的工作,立即按 Ctrl Alt Del复合键来查看一下系统是否运行了什么其他的程序,一旦发现有莫名其妙的程序在运行,你马上停止它,以免对整个计算机系统有更大的威胁。但是并不是所有的程序运行时出现在程序列表中,有些程序例如Back Orifice(—种黑客的后门程序)并不显示在Ctrl Alt Del复合键的进程列表中,最好运行“附件”→“系统工具”→“系统信息”,然后双击“软件环境”,选择“正在运行任务”,在任务列表中寻找自己不熟悉的或者自己并没有运行的程序,一旦找到程序后应立即终止它,以防后患。    14.使用安全策略    安全策略是用于配置本地计算机的安全设置。这些设置包括密码策略、账户锁定策略、审核策略、IP安全策略、用户权限指派、加密数据的恢复代理以及其他安全选项。由于本地安全策略主要是针对本地用户设置的,因此只有在不是域控制器的Windows 2000计算机上才可用。    15.设置好系统的安全参数    充分利用NTFS文件系统的本地安全性能,设计好NTFS文件系统中文件和目录的读写、访问权限,对用户进行分组。对不同组的用户分别授予拒绝访问、读取和更改权限,一般只赋予所需要的最小的目录和文件的权限。值得注意的是对完全控制权限的授予应特别小心。对于网络资源共享,更要设计好文件系统的网络共享权限,对不应共享的文件和目录决不能授予共享权限。对能够共享的文件和目录,应对不同的组和用户分别授予拒绝访问、读、更改和完全控制等权限。    16.使用审核机制    审核机制是Windows 2000用来跟踪访问文件,其他对象的用户账户,登录尝试,系统关闭、重新启动以及类似事件的一种安全特性。所以,应对所有需要审核的用户使用审核机制。目前,对于磁盘访问的审核机制,还只能应用在 NTFS文件系统之上。    17.及时备份系统    为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Windows 2000完好的系统进行备份,最好是在—完成Windows 2000系统的安装任务后就对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修改过。如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高,那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动,就说明系统尚未被破坏过
标签: