当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > 保障Windows2000的账号安全

Windows服务器
Windows Server 2003 R2 Beta 2将公测
Windows 2003组策略和安全模板的应用
Windows 2003 64位正式版抢先体验
微软发布WinServer2003 R2 Beta2
Windows Server 2003 安全配置实战演习
快速关闭Windows 2003的三种方法
windows 2003服务器防止海洋木马的安全设置
制作无盘Windows 2003之无忧Ghost文件
为Windows 2003加装视频压缩
安全配置向导为Win2003打造“铜墙铁壁”
用Win 2003 SP1向导功能打造安全服务器
在Win 2003系统中挖掘免费刻录软件
Windows 2003优化系列之系统服务的开关
发扬DIY精神 为Windows 2003移植系统还原
活学活用Win2003分区增容功能
轻松管理Win 2003的“远程桌面”
自动管理Windows 2003好用的“远程桌面”
活学活用Windows Server 2003分区增容功能
使用Web接口远程维护Win2003服务器
教你一招:Windows2003系统优化大有玄机

Windows服务器 中的 保障Windows2000的账号安全


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 50 ::
收藏到网摘: n/a


说起网络安全,大家会不由得想起Hacker,想到某处的主页被更改,某网络遭到入侵等等,不一而足。其实黑客要攻击Windows 2000,必须要知道账号和密码。而账号更为关键,因为密码可以通过穷举法等方法破解。笔者使用Windows 2000多年,对于账号的安全总结了几点经验,写出来与大家共享,希望能对大家有所帮助。 ★禁止枚举账号由于Windows 2000的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,任何一个远程用户通过同样的方法都能得到账户列表,使用暴力法破解账户密码后,对我们的电脑进行攻击,所以必须采用以下方法禁止这种行为。首先,可以通过修改注册表禁用空用户连接。打开注册表,将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA的RestrictAnonymous 设置为1,禁止空用户连接。另外,Windows 2000的本地安全策略( [控制面板]→[管理工具] →[本地安全策略])里,可对本地策略进行设置(如图1),它有三个选项:
“无,依赖于默认许可权限”" :这是系统默认值,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。“不允许枚举SAM账号和共享”:这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项。“没有显式匿名权限就无法访问”:这个值是最安全的一个,但是如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“不允许枚举SAM账号和共享”比较好。★Administrator账号更名如果黑客找不到用户列表,我们就安全了吗?那你就错了。 Windows 2000 的Administrator账号是不能被停用的,也不能设置安全策略,这样黑客可以一遍又一遍地尝试这个账户的密码,直到破解,所以要在“计算机管理”中把Administrator账户更名来防止这一点。鼠标右键单击Administrator,在右键菜单中选择“重命名”,重新输入一个名称。最好不要使用Admin、Root之类的名字,改了等于没改。尽量把它伪装成普通用户,比如改成:Guestone,别人怎么也想不到这个账户是超级用户。然后另建一个“Administrator”的陷阱账号,不赋予任何权限,加上一个超过10位的超级复杂密码,并对该账户启用审核。这样那些黑客忙了半天也可能进不来,或是即便进来了也什么都得不到,还留下我们跟踪的线索。黑客一般都很聪明,还会从本地或者Terminal Service的登录界面看到用户名,然后去猜密码。所以要禁止显示登录的用户名。设置方法是:选择[控制面板]→[管理工具]→[本地安全策略]→[本地策略]→[安全选项],在右侧双击“登录屏幕上不要显示上次登录的用户名”一项,选中“已启用”,另外我们也可以修改注册表来实现,找到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT \CurrentVersion\Winlogon项中的Don't Display Last User Name串,将其数据修改为1。★禁用Guest账号Guest账号是一个非常危险的漏洞,因为黑客可以使用这个账号登录你的机器。选择[控制面板]→[管理工具]→[计算机管理],在计算机管理的“本地用户和组”项,选择“用户”,用鼠标右键单击右侧列表里的“Guest”账号,在右键菜单中选择“属性”或是双击“Guest”账号,在属性对话框中,在“账户已停用”一项前打勾(如图2),这样就无法用Guest账号登录你的系统了。

如果还需要提供共享打印等服务时,则需要在“本地安全策略”的“用户权利指派”中的“在本地登录”项里设置Guest账号不能登录本机(去掉Guest项后面的勾,如图3)。另外本机不能提供终端服务,否则,别人不能从本地登录,那从远端登录还不行吗?
我们还需要注意的是:经常检查本地用户和组,删除无用的账户,不要给黑客留下可乘之机。经过以上的步骤,终于又还了我一片宁静的天空,哇,世界清静多了。
"