当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Win 2000检测系统安全清单(3)

Windows服务器
用Win 2003架设邮件服务器
为Win 2003加装视频压缩
让DNS服务器支持泛域名解析
感受Windows 2003域更名工具
Win2003中搭建视频服务器
配置Windows 2000系统中的磁盘配额
Windows 2000操作系统启动菜单详解
Windows 2000 工具包中的 REG.EXE 中文说明
坚守阵地—Win 2000内置安全命令的威力
Windows 2000局域网的组策略管理
windows 2000虚拟主机基本权限的设置
巧妙设置Windows 2000启动项
Windows 2000操作系统光盘探秘
阿江的Windows 2000服务器安全设置教程
体验Windows 2000运行如飞的感觉
Windows 2000操作系统二十条超级应用技巧
Windows服务器安全设置经验详谈
Windows 2000虚拟主机最安全设置
在Windows 2000系统中预防Ping攻击
Windows 2000操作系统共享上网完全攻略

Windows服务器 中的 Win 2000检测系统安全清单(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 47 ::
收藏到网摘: n/a

4、打开审核策略

开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:

策略设置

审核系统登陆事件成功,失败

审核帐户管理成功,失败

审核登陆事件成功,失败

审核对象访问成功

审核策略更改成功,失败

审核特权使用成功,失败

审核系统事件成功,失败

5、开启密码密码策略

策略设置

密码复杂性要求启用

密码长度最小值6位

强制密码历史5次

强制密码历史42天

6、开启帐户策略

策略设置

复位帐户锁定计数器20分钟

帐户锁定时间20分钟

帐户锁定阈值3次

7、设定安全记录的访问权限

安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。

8、把敏感文件存放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。

9、不让系统显示上次登陆的用户名

默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把REG_SZ的键值改成1。

10、禁止建立空连接

默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成”1”即可。

11、到微软网站下载最新的补丁程序

很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的servicepack和漏洞补丁,是保障服务器长久安全的唯一方法。

高级安全篇

1、关闭DirectDraw

这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。修改注册表HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI的Timeout(REG_DWORD)为0即可。

2.关闭默认共享

win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打netshare查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享,打开管理工具>计算机管理>共享文件夹>共享在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。

默认共享目录路径和功能C$D$E$每个分区的根目录。Win2000Pro版中,只有Administrator和BackupOperators组成员才可连接,Win2000Server版本ServerOperatros组也可以连接到这些共享目录ADMIN$%SYSTEMROOT%远程管理用的共享目录。它的路径永远都指向Win2000的安装路径,比如c:\winntFAX$在Win2000Server中,FAX$在fax客户端发传真的时候会到。

IPC$空连接。IPC$共享提供了登录到系统的能力。

NetLogon这个共享在Windows2000服务器的NetLogin服务在处理登陆域请求时用到PRINT$%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS用户远程管理打印机具体操作可以参考:去掉win2000中的c$共享