|
|
1. 关闭 DirectDraw 7 E7 P9 N1 f/ R D5 b7 @+ C; Q
: U7 z( T$ Y! Q5 O$ L* g
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。 4 i' @1 Z$ v) h- M
3 U7 X1 m; V: t9 e5 y$ W2.关闭默认共享 ( J$ ]* T) V! u
% W3 Y1 I$ p7 Q: H- b: _/ f6 k! M! {
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。 - ]6 b4 R( H( Q; L9 ?9 j# p5 i3 o0 l8 o
2 D: l5 B) g7 Y: Z' I) X默认共享目录 路径和功能 ! Q1 T/ I: Q* Z n* [4 [
. Q6 w; l* G, jC$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator
3 \& j. s; ]; _9 Q% Z
/ V1 B% W0 K- E# G; W5 S和Backup Operators组成员才可连接,Win2000 Server版本 % J# x7 f4 Z) F/ s8 g- V% S' v
% k' E; Y8 f, s) RServer Operatros组也可以连接到这些共享目录 , P8 W1 q) D6 A' f
- a p; l, J$ u
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都 3 D6 T" t' h I
/ }- A5 S& M [! c0 i指向Win2000的安装路径,比如 c:\winnt 9 b1 K) o1 `% D
7 l$ H c- `$ x3 I+ A7 w0 ~
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
" ~4 W$ O0 j- ~
* T2 X8 u) ]: f% N0 IIPC$ 空连接。IPC$共享提供了登录到系统的能力。
+ m, s8 \& O3 a# n6 W4 X- v4 S: R, V: V T4 S
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
9 z! r& X( \: W) l- J
) u( r) }7 h2 b& \理登陆域请求时用到 9 R2 Q( a: J; G! F% \' {
) K) h) @7 }* \: A& K- NPRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用户远程管理打印机
" d, k$ n3 X7 o
7 U$ j- x; M) J: h0 x! f# ^解决办法: + u; J- T, C! }* b+ J- C
/ c+ S; T: G; J$ D6 ^
打开注册表编辑器。REGEDIT
, V5 e" M, T: W* \5 p; k1 r- R: d- N% s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters % y. q. a" t8 @ w0 T# Q9 P& c7 t
( `+ P g9 x# s: M& [! E+ E
在右边建立一个名为AutoShareServer的DWORD键。值为0 ) I& f8 \% a6 Y1 s1 r
' R- j$ ^$ |' Y( Y. k7 U3 I3.禁止dump file的产生 G0 B {* R; m* H |, P8 x0 h& j6 }
$ H. ?5 s/ i2 s4 d' y- o/ ldump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。 $ K6 W" O" Z6 `, f) E8 h. z7 ~$ n
8 k4 }$ |5 G* h! P
4.使用文件加密系统EFS % f/ v$ F, Q- i4 R# y
) @. A. {; |2 B3 R, {( H; Y; t/ G
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 http://www.microsoft.com/windows2000/techi...ity/encrypt.asp 5 ?2 h9 T- _8 w7 P
, O2 ~7 u5 g/ l; r/ U7 Y
5.加密temp文件夹 ( C* @# V j: z8 J* z! U }
1 z/ S/ p3 X- O$ E! C e一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
% X G- J% Y3 e: W! N1 Q" U9 N( v) `
6.锁住注册表
% }2 p/ ^" g: l. c$ ], n4 C( J* o n
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限。) g: g1 K2 s* X( B2 R3 B2 n! ^
) G0 [% ~5 a. g7 ` P
7.关机时清除掉页面文件 2 z. I7 G8 F+ `5 _( x, J
5 q- Q# I6 _9 i5 u$ h7 C' p& @" w+ u/ R页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表 0 w& Z+ D z/ B' r0 I
, h8 Q2 L) S1 w
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management ' k4 C. c2 Q: |3 b0 ?9 J! P3 M
- y1 E3 z. H1 l
把ClearPageFileAtShutdown的值设置成1。 ( ]0 M# B" E* ^& _. p; U0 Y! v/ ]
; y3 k, R; n5 c4 ^" v- @* I, `8.禁止从软盘和CD Rom启动系统 6 e+ Y$ w- d& Y! j0 D& S0 }) v
- x/ Q9 c) l4 A0 K6 x7 i! @
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。 , @ g/ L7 r1 O0 T+ L/ R7 ]& J8 K3 c! ~, g8 \
- U2 K9 ]; C, m6 h/ L8 x6 O
9.考虑使用智能卡来代替密码
1 W7 {! ?4 }/ S$ g. _
* o: h) a5 h( I# L5 v. ~7 p对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
% `; o6 w% ]; E. s! B* v: K; l7 P. w; _4 D* f4 e
10.考虑使用IPSec
- o6 p( f3 k, |
5 D0 a0 t, @& y0 C4 E: D正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。 |
|
窥视卡
雷达卡
发表于 2006-11-22 02:23:10
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡