|
|
</div>- N7 ~; ?! z" Z* `+ S
<br />
9 p3 R" ^0 M3 b$ s% r < ><STRONG> 1.利用win2000的安全配置工具来配置策略</STRONG> </P>
: T* m* w& n& F& S2 X |9 Y2 P% y<>微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页:http://www.microsoft& ... toolset.asp </P>
# V( e, }0 h1 }) {<><STRONG> 2.关闭不必要的服务</STRONG> </P>
# y+ h$ n$ v5 o2 {5 k6 }<>windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务: </P>. X: c) ]4 ]' B+ N) e7 m& c6 f( @. g
<>Computer Browser service TCP/IP NetBIOS Helper </P>) q, S% V" Y) v7 {" m
<>Microsoft DNS server Spooler </P>
; X6 ^$ {( I, x: e4 \<>NTLM SSP Server </P>
9 e7 @# p$ v' ]- c. Z<>RPC Locator WINS </P>
/ m9 _5 ]* J" W0 \# C, C h# R<>RPC service Workstation </P>$ \# @9 D! [1 l9 B+ u1 F8 W6 X
<>Netlogon Event log </P>
. V8 d6 x# Z; a4 ]: W<P><STRONG> 3.关闭不必要的端口</STRONG> </P>
- \7 y; P0 ?' L+ d<P>关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为: </P>
" P3 {& v. i$ G' t2 P1 F- u% U) I<P>网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。 </P>
+ r7 X% k: v, Y. `/ ?7 _1 m3 p& c+ f<P><STRONG> 4.打开审核策略</STRONG> </P>! e- e5 C S. ~
<P>开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加: </P>
; m1 h& L B7 {" M# O9 B<P>策略 设置 </P>
5 H# k! j- a, Q7 B1 R<P>审核系统登陆事件 成功,失败 </P>
$ S: Q* H. `( E* x- X; P/ @+ g/ D<P>审核帐户管理 成功,失败 </P>1 G% [% W: m o: \. W
<P>审核登陆事件 成功,失败 </P>
& Z) B7 Q, \$ f' F& d. Z<P>审核对象访问 成功 </P>
) _# k- `* f* `' e6 K/ r8 T<P>审核策略更改 成功,失败 </P>2 V( b/ K, L8 a3 n! b6 {6 P* v
<P>审核特权使用 成功,失败 </P>- b1 p) t& ?8 T1 h
<P>审核系统事件 成功,失败 </P>2 ?3 C! A& N6 d2 m
<P> <STRONG> 5.开启密码密码策略</STRONG> </P>) B3 C* w5 P; j9 P
<P>策略 设置 </P>* ?; o& I. d! t
<P>密码复杂性要求 启用 </P>
( j6 t2 Q) V$ ]! [3 b2 ~8 N<P>密码长度最小值 6位 </P>
( e( y3 D, ]5 X! D/ f8 w3 g<P>强制密码历史 5 次 </P>3 a4 v- X4 o. O& e, ]
<P>强制密码历史 42 天 </P>
; ^5 i( a s' m I. u- b6 }; r<P><STRONG> 6.开启帐户策略</STRONG> </P>
# Y- d, L8 \ \* [; i<P>策略 设置 </P>
1 e, e* t# X" h1 ]0 ^<P>复位帐户锁定计数器 20分钟 </P>
8 `% a5 ?. m: [, P! ^( I; R/ O) f: n& e<P>帐户锁定时间 20分钟 </P>- r1 J/ H6 ~3 J1 U8 Z* S+ M% f4 z
<P>帐户锁定阈值 3次 </P>2 A4 R) ^: J8 W4 N
<P><STRONG> 7.设定安全记录的访问权限</STRONG> </P>
* U( a& d" h0 s f<P>安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。 </P>9 M6 q) r- I+ P0 P$ `
<P><STRONG> 8.把敏感文件存放在另外的文件服务器中</STRONG> </P>
|" N+ k @! K/ M( }# n3 B<P>虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。 </P>
N! O6 ?$ I. S7 i' c6 S }<P><STRONG> 9.不让系统显示上次登陆的用户名</STRONG> </P>
+ p6 d j( s4 G! G9 E0 K/ J<P>默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是: </P>
8 M, n2 P$ I, K8 Y) Z<P>HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName </P>1 _1 H) L. g$ B4 G2 D2 X! f/ }0 [
<P>把 REG_SZ 的键值改成 1 . </P>8 w* v+ X5 b' X1 B4 Q- V9 V, r* p
<P><STRONG> 10.禁止建立空连接</STRONG> </P>
, k7 y) n2 L/ i+ x% k<P>默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: </P>
4 u' ^+ j( H7 J; f<P>Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 </P>
1 X0 x% T* b/ q2 b<P> <STRONG> 11.到微软网站下载最新的补丁程序</STRONG> </P>
/ }6 Q; L0 o5 l. s* P<P>很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。</P> <br /> |
|
窥视卡
雷达卡
发表于 2007-1-7 14:27:44
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡