当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > Windows 2000安全实战

安全防护
为Windows 2003安全—层层设防(3)
为Windows 2003安全—层层设防(4)
修改IIS的Banner隐藏操作系统版本
以毒攻毒!IIS Banner巧伪装
四招加强Windows 2003安全性
深入剖析EFS(2)
设置Active Directory域(1)
设置Active Directory域(2)
Rootkit分析(1)
Rootkit分析(2)
Rootkit分析(3)
Windows域信任关系建立全攻略
关于网站木马的解释(1)
关于网站木马的解释(2)
hdsi2.0 sql注入部分抓包(1)
hdsi2.0 sql注入部分抓包(2)
hdsi2.0 sql注入部分抓包(3)
hdsi2.0 sql注入部分抓包(4)
建造永不被杀的80端口后门(1)
建造永不被杀的80端口后门(2)

安全防护 中的 Windows 2000安全实战


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 39 ::
收藏到网摘: n/a

停止默认共享

    可以有多种方法停止默认共享:

1、使用NET SHARE命令
    在命令提示行输入:NET SHARE X$ /DELETE,可以停止共享。其中X$表示系统默认共享,如C$、D$、ADMIN$、IPC$等,/DELETE前必须要有空格。可以使用NET SHARE ADMIN$或NET SHARE IPC$建立ADMIN$或NET SHARE IPC$共享(如果共享存在,则为显示共享),其它共享不能按此法建立。
2、在计算机管理中直接停止共享
    右击我的电脑→管理→共享文件夹→共享→右击需要停止的共享→停止共享。
3、 编辑注册表
    使用前面两种方法停止系统默认共享,在系统重新启动后,又恢复了共享,可以通过修改注册表的方法,永久停止系统默认共享。
    在注册表中找到如下组键:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,新建DWORD类型的键,键名AutoShareServer,键值设为0。
    但IPC$共享不受此影响,要想停止IPC$共享,可建立一个批处理文件stopipc.bat,内容包括net share ipc$ /delete一行,然后在启动组中建立一个快捷方式。当以Administrator组中用户登录时,可停止IPC$共享,当以其它用户登录时,因不能执行NET命令,不能停止IPC$共享。

防止ICMP数据包攻击

    PING 是基于ICMP协议的,为了防止洪水式的ICMP数据包攻击,可以进行以下设置:

    1、 开始→运行→mmc→控制台→添加/删除管理单元→添加→选定“IP安全策略管理”→添加→选“本地计算机”选项→单击完成→关闭→确定→右击左边选项“IP策略在本地机器”→创建IP策略→下一步→输入策略名称,为“STOPPING”→下一步→出现身份认证的方式,选“此字串用来密码保护密钥交换”,输入验证密钥“20021206”→下一步→完成。
    2、 然后出现STOPPING属性→点击添加→下一步→下一步→网络类型为“所有网络连接”→下一步→选“此字串用来保护密钥交换”,这里输入20021206→下一步→出现IP筛选器列表→添加→出现对话框再点击“添加”→出现筛选器向导,点击下一步→出现IP通信源,选择源地址为“我的IP地址”→下一步→目标地址为“所有IP地址”→下一步→选择协议类别为“ICMP”→下一步→完成→关闭→选择刚建立的“新IP筛选器列表”→下一步→选择“要求安全设置”→下一步→完成→关闭。
    3、右击刚建立的IP安全策略名称(STOPPING)→指派,即可让规则生效。

    通过以上设置,从其它机器PING本机,就无法返回数据包,这样就可防止ICMP数据包攻击。
    另外,也可以在本地安全策略中进行设置,开始→程序→管理工具→本地安全策略→右击“IP安全策略,在本地机器”→创建IP安全策略,后续操作与在MMC中操作相同。

禁止匿名枚举账户

    默认情况下,任何用户可通过空连接连上服务器,枚举账号并通过字典工具或穷举破解口令。可以通过以下三种方法禁止匿名枚举账户:
    1、停止IPC$共享,参见停止默认共享
    2、修改注册表将LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA-RESTRICTANONYMOUS的值改为2。一般的资料中,都是说要改为1。事实上,经过测试,如果改为1,仍然可以利用一些扫描工具如CNIPC建立空连接(前提是没有停止IPC$共享),枚举域控制器上的账户、口令。
    3、修改Windows 2000的本地安全策略。将“本地安全策略→本地策略→安全选项→对匿名连接的额外限制”策略设置为“没有显式匿名权无法访问”,而不是“不容许枚举SAM账号和共享”。

    注意:2、3达到的效果是一样的,通过2或3设置后,如果工作站(Windows 98)不是登录到域而是登录到工作组,且组名与域控制器的NETBIOS域名相同,则不能浏览网上邻居里的任何机器。解决的办法有两个:
    ◆ Windows 98工作站登录到域;
    ◆ 工作站登录到工作组,所在工作组名改成与域控制器的NETBIOS域名不同即可。

在网上邻居隐藏计算机名

    如果要想让自己的机器名不在网上邻居上显示,可以修改注册表:
在HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\LANMANSERVER\PARAMETERS中增加DWORD型子键HIDDEN ,值为1,可在网上邻居上隐藏计算机。但\\机器名,可访问。

禁用NETBIOS协议

   &nbs