当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Windows 2000 Server系统帐号安全设置技巧

Windows服务器
win2003系统服务备份与保护
在删除并重新安装 IIS 之后修复 IIS 映射
用rewrite实现IIS下图片文件防盗链的办法
iis创建用户隔离模式FTP站点的方法
isapi_rewrite多站点问题
IIS图片防盗链和下载的解决方案
urlscan.ini中文详解注释
URLScan工具配置方法
本人见过最好的服务器安全设置文章
服务器安全设置_系统端口安全配置
iis Win32状态数值(sc-win32-status)说明
跟后台打印程序系统服务通讯时出现错误解决方法
事件ID( 54 )的描述(在资源( HTTP )中)无法找到
Windows服务器安全配置小结
系统中多种隐藏超级用户添加方法
无人值守安装IIS 6.0的原理分析
IIS重定向使用图文教程
IIS启动失败"系统找不到指定的路径"的解决
windows 2008 装iis很简单 asp的
服务器监视 MyIIS.Monitor支持手机访问

Windows服务器 中的 Windows 2000 Server系统帐号安全设置技巧


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 42 ::
收藏到网摘: n/a

 

  Windows 2000 server含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000 server将会是一个很安全的操作系统。首先我们应将Windows 2000 server服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。我们可以停掉Guest 帐号、创建2个管理员用帐号、把系统administrator帐号改名、设置屏幕保护密码等确保安全,也可以利用win2000的安全配置工具来配置策略、关闭不必要的服务、关闭不必要的端口、禁止建立空连接和安装微软最新的补丁程序等措施来加强Windows 2000 Server安全。要攻击Windows 2000系统,首先需要知道帐号和密码,因此保障Windows 2000系统的安全中,保障其帐号和密码的安全是关键,但通常密码可以通过穷举法等方法破解,所以Windows 2000帐号的安全非常重要。

  下面几种方法可以有效保障Windows 2000系统中帐号的安全:

  方法一:禁止枚举帐号

  由于Windows 2000的默认安装允许任何用户通过空用户得到系统所有帐号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,任何一个远程用户通过同样的方法都能得到帐户列表,使用非法手段破解帐户密码后,对我们的电脑进行攻击,所以必须采用以下方法禁止这种行为。

  1、通过修改注册表禁用空用户连接,操作步骤如下:

  单击"开始"->"运行"打开"运行"对话框;输入"Regedit"并单击确定打开注册表编辑器;在注册表编辑器中逐层进入[HKEY_LOCAL_MACHINES\SYSTEM\CurentControlSet\control\Lsa];

  将RestrictAnonymous的值设置为1,这样可以禁止空用户连接,如图1所示。



图 1

 

  2、修改本地安全策略,操作步骤如下:

  进入Windows 2000的"控制面板";单击"管理工具",单击"本地安全策略",进入"本地安全设置"对话框,如图2所示。



图 2

  选择"安全设置"->"本地策略"->"安全选项";双击"对匿名连接的额外限制"项;并选择"本地策略设置"列表,列表中出现三个选项,如图3所示。



图 3

  (1)"无,依赖于默认许可权限"选项:这是系统默认值,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。

  (2)"不允许枚举SAM账号和共享"选项:这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项。

  (3)"没有显式匿名权限就无法访问"选项:这个值是最安全的一个,但是如果使用了这个值,就不能再共享资源了,所以还是推荐设为"不允许枚举SAM账号和共享"比较好。我们选择"不允许枚举SAM账号和共享"项,并确定。

  此时,我们就禁止了用户枚举帐号的操作。
  方法二:Administrator账号更名

  非法用户找不到用户列表,我们的系统就一定安全吗?不一定。有经验的用户知道,Windows 2000系统的Administrator账号是不能被停用的,也不能设置安全策略,这样非法用户可以一遍又一遍地尝试这个账户的密码,直到破解,所以我们可以在"计慊