当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Win 2000检测系统安全清单(3)

Windows服务器
Windows2000磁盘扫描功能
Win 2000中也用Msconfig
Windows服务调用机制
改造Win2000“位置条”
Win 2000操作中Hosts文件
Windows 2000常用的十则超级技巧
共享Win 2000系统网络打印机
电脑重启故障解析
微软新Windows文件系统WinFS
Win 2000访问网上邻居加速秘籍
修改注册表停用Windows徽标键
重装操作系统20条军规
彻底放弃快速启动功能
让Win2000系统达到最佳性能
Win 2000系统中ADSL的共享办法
妙!USB移动盘也建“回收站”
轻松设置让Win2000达到最佳性能
菜鸟必看 揭开系统资源的神秘面纱
Windows 2000启动菜单详解
解决Windows 2000/XP的蓝屏陷阱

Windows服务器 中的 Win 2000检测系统安全清单(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 74 ::
收藏到网摘: n/a

4、打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:

策略设置

审核系统登陆事件成功,失败

审核帐户管理成功,失败

审核登陆事件成功,失败

审核对象访问成功

审核策略更改成功,失败

审核特权使用成功,失败

审核系统事件成功,失败

5、开启密码密码策略

策略设置

密码复杂性要求启用

密码长度最小值6位

强制密码历史5次

强制密码历史42天

6、开启帐户策略

策略设置

复位帐户锁定计数器20分钟

帐户锁定时间20分钟

帐户锁定阈值3次

7、设定安全记录的访问权限

安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。

8、把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。

9、不让系统显示上次登陆的用户名

默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把REG_SZ的键值改成1。

10、禁止建立空连接

默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成”1”即可。

11、到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的servicepack和漏洞补丁,是保障服务器长久安全的唯一方法。

高级安全篇

1、关闭DirectDraw

这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。修改注册表HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI的Timeout(REG_DWORD)为0即可。

2.关闭默认共享

win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打netshare查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享,打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。

默认共享目录路径和功能C$D$E$每个分区的根目录。Win2000Pro版中,只有Administrator和BackupOperators组成员才可连接,Win2000Server版本ServerOperatros组也可以连接到这些共享目录ADMIN$%SYSTEMROOT%远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如c:\winntFAX$在Win2000Server中,FAX$在fax客户端发传真的时候会到。

IPC$空连接。IPC$共享提供了登录到系统的能力。

NetLogon这个共享在Windows2000服务器的NetLogin服务在处理登陆域请求时用到PRINT$%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS用户远程管理打印机具体操作可以参考:去掉win2000中的c$共享