分享
 
 
 

让win2000更安全

王朝system·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

根据美国国家计算机安全中心(NCSC)制定的可信任计算机系统评估标准(TCSEC),Win 2000属于C2级安全级别。但Win 2000如接默认安装且不安装补丁和进行安全配置时,则谈不上是C2级。本文从安装Win 2000操作系统、账号安全管理、网络服务安全管理、数据文件安全管理等几个方面对Win 2000的安全管理进行描述,以使用户的Win 2000系统达到规定的安全级别。

一、 正确安装Win 2000

1.硬盘的分区

在安装Win 2000时,如条件许可,应至少建立两个逻辑分区,一个用作系统分区,另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系统分区。对提供Web服务的机器,可按如下设置分区:

分区1:系统分区,安装系统和重要日志文件。

分区2:提供给IIS使用。

分区3:提供给FTP使用。

分区4:放置其他一些资料文件。

2.组件的定制

不要按Win 2000的默认安装组件,根据安全原则“最少的服务+最小的权限=最大的安全”,只选择确实需要的服务安装即可。

典型Web服务器需要的最小组件是:

公用文件、Internet 服务管理器、WWW服务器。

3.接入网络时间

在安装完成Win 2000操作系统时,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补丁,存在各种漏洞,非常容易感染病毒和被入侵。

补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。

二、账户安全管理

1.账户要尽可能少,并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用的账户。

2.停用Guest账号,并给Guest 加一个复杂的密码。

3.把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。

4.不让系统显示上次登录的用户名,具体操作如下:

修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display

Last User Name”的键值,把REG_SZ 的键值改成1。

三、网络服务安全管理

1.关闭不必要的服务

关闭不必要的服务,一些服务可能会给系统带来安全漏洞,如Win 2000的Terminal Services(终端服务)、IIS和RAS(远程访问服务)等。

2.关闭不必要的端口

当服务器只提供较单一的功能时,可考虑只开放某些端口。

具体方法为:

按顺序打开“网上邻居→属性→本地连接→属性→internet 协议(tcp/ip)→属性→高级→选项→tcp/ip

筛选→属性”,打开Tcp/Ip筛选,添加需要的Tcp、Udp协议即可。

3.禁止建立空连接

默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接。

(1)修改注册表

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。

(2)修改Win 2000的本地安全策略

设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。

四、网络服务安全配置

1.终端服务

(1)修改默认端口

终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为:

服务器端:

打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键,修改PortNumber值。

客户端:

按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。

(2)安全审核

在“管理工具→远程控制服务配置→连接”处,右键点击“RPD-TCP”连接,选择“属性”,在其窗口选中“权限”,点击右下角的“高级”,选择“审核”,增加一个“everyone”组,审核它的“连接”、“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。

2.Internet 服务管理器(IIS)安全配置

对IIS服务安全配置如下:

(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。

(2) 删除原默认安装的Inetpub目录。

(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

(4) 删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa即可。

(5) 备份IIS配置。可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复

IIS的安全配置。

五、数据文件安全管理

1.备份

要经常把重要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。

2.设置文件共享权限

设置共享文件时,要注意把共享文件的权限从“everyone”组改成“授权用户”,包括打印共享。

3.关闭默认共享

Win 2000安装好以后,系统会创建一些隐藏的共享,在cmd下可用net share命令查看它们。要禁止这些共享。操作方法是:打开“管理工具→计算机管理→共享文件夹→共享”,在相应的共享文件夹上按右键,点“停止共享”即可。不当过机器重新启动后,这些共享又会重新开启。

4.防止文件名欺骗

设置以下选项可防止文件名欺骗,如防止以.txt或.exe为后缀的恶意文件被显示为.txt文件,从而使人大意打开该文件: 双击“我的电脑→工具→文件夹选项→查看”,选择“显示所有文件和文件夹”属性设置,去掉“隐藏已知文件类型扩展名”属性设置。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有