|
|
1.利用win2000的安全配置工具来配置策略 2 T. l2 h$ t3 ^8 ?8 [
8 w' `9 l7 n% o5 S+ N7 C' v微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:http://www.microsoft.com/windows2000/techi...y/sctoolset.asp
5 W1 w9 s; k$ J: B, X
% u- \1 S: g4 n1 F& A" _: z 2.关闭不必要的服务 / O8 I9 H- {* W) L( r
: W9 @1 e/ ~5 q* E
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务: & Z; \- {0 }8 n! Z X! `3 e
9 T- @8 R& z G& Y, \
Computer Browser service TCP/IP NetBIOS Helper
$ i9 w) U) W7 ?3 ]. B6 c f* K9 [, x2 g/ r C
Microsoft DNS server Spooler
0 l" M- q* m( `- |5 V. p
; z- j# s9 p7 aNTLM SSP Server
& Q2 I, T1 g2 q/ t, S
& z* U1 e% L% J- p& {RPC Locator WINS 2 d) Y! K" M3 R* `+ D
g; A! {) _9 Y' t+ @1 T- ]RPC service Workstation 4 \4 n. g, `1 A1 e
! n# |: W; v5 t
Netlogon Event log
& T6 i1 [) y6 k9 z4 ?) l) [/ @: S/ R, E- m5 k* O
3.关闭不必要的端口 1 t& n4 T+ ~& p! K
3 Y& ^7 Y% W, D6 P4 w! l8 F% x( W# A6 d关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为:
) L2 ^, _$ e6 r9 a( \
" H0 L% G: b+ d2 N网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。 , ?3 {. r$ ?! o
! z3 o B7 X+ R5 h 4.打开审核策略
4 v, Y; y" K7 D" \0 X0 \5 R" d& F9 E) k1 y' @0 x1 G
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
# r$ h8 m9 q; j5 `8 V7 r7 ?- J) |$ l. D7 T0 p
策略 设置
- m) i9 d) o' D( S v" N5 T
7 p) e" @9 n- }4 s审核系统登陆事件 成功,失败 7 N" f6 S" t3 V
: K8 `0 U3 S% A; u/ a审核帐户管理 成功,失败 ' O- a; z4 \& d; `1 m/ U/ ]! t
1 ?+ V6 I, {4 U ?
审核登陆事件 成功,失败 : k3 |( B: x, N/ Z, ~ N
2 Z$ q* \) C2 B7 y2 S
审核对象访问 成功 1 I0 `* g4 S. h- E3 @
! m" K% e f; R8 D审核策略更改 成功,失败
$ a) O1 a9 W, Z/ J* A( x% { D+ ]9 H! w& s6 O
审核特权使用 成功,失败 : H7 q# [7 u; X& k" V0 J
& S) a6 R2 [. y B+ G审核系统事件 成功,失败
5 `1 n0 w% G9 g" K
7 P# A9 s% }9 {( U% K 5.开启密码密码策略 / c* E1 \" e; g" _
# Z) E$ s6 I2 H$ b+ U
策略 设置 ; ~& _9 Z X& H. T6 z- [0 H
. A0 Y8 T1 ?- z2 C- K# t密码复杂性要求 启用 " @9 w: F- O, r/ g, a0 m
1 L$ d; |4 ?8 ~+ C( b% f- u6 A, b密码长度最小值 6位 * m& J/ ]% c% {6 j) @! i& `' s
) L- {; o$ E; B' H
强制密码历史 5 次 : H" J5 a# L& m- o8 v
8 a$ r; F, \1 v5 D( o( f强制密码历史 42 天 ( A; g3 {; C1 I, X+ o* P7 b ]
, |% {4 m8 y! L/ L3 K Q$ I2 H9 s 6.开启帐户策略
b5 `) g o$ g5 x/ U1 u. ]( A; G7 n2 X) G7 c4 k
策略 设置 / t9 S- H- B: A3 w
5 B( X8 X1 ]% b* D复位帐户锁定计数器 20分钟
5 b, ^# I8 ^- M3 R m. z+ \
6 n9 P; z: k. T t( z H8 U) @: a8 i帐户锁定时间 20分钟
1 D7 g$ ^! u& g; B/ ^, V* [/ d. P4 s1 H
帐户锁定阈值 3次 ! W' `9 y( v9 z
4 p' U8 q+ E0 Y) f6 G C. R 7.设定安全记录的访问权限
, {/ R; k: ^& m% b8 f8 H. o3 y [0 n& ?/ w
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
3 P& M. c8 P* g- U6 V1 H
! Z! D$ O5 e) [% W% M6 W, E 8.把敏感文件存放在另外的文件服务器中
4 L9 h" \% k% t3 y; e+ d3 }) O
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。 * ^* z( {! u" [" \. z( W0 u! c
$ K4 \1 ] N4 N* k, l
9.不让系统显示上次登陆的用户名 7 `2 \9 t$ A# }/ f2 M `* h
6 x2 x4 A- W8 q& a5 u7 W
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是: 4 L+ |! _) F* ?3 e2 W4 I% R
9 y% h7 L$ F1 @6 L5 h; w6 y' H
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName ) f1 ?( E/ X/ h+ M
' \; R7 I1 J4 h: ]; S: a2 p把 REG_SZ 的键值改成 1 . 7 @7 e$ m, A2 h3 O5 a/ h8 P4 ?7 ?1 Z
6 K) k+ J2 Q+ M+ K1 t7 ^+ T" a; o3 k
10.禁止建立空连接
# P4 J1 j, Y, ]1 V/ P7 q: Z: i U/ I2 V5 w! C- i
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
3 u8 \7 H4 A q
. V' X) t; L' ?# b/ l4 O# sLocal_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
9 Q. {+ @/ Y" @4 C# u9 F; y' P/ X. x5 l1 \- O7 r; n
11.到微软网站下载最新的补丁程序
* {6 L- ^3 S6 G* ~5 n
& m( _3 s! F# W! t( U- Z' A- @/ a很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。 |
|
窥视卡
雷达卡
发表于 2006-11-22 02:23:14
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡