分享
 
 
 

Windows2000安全常见问答FAQs

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

Windows 2000 安全常见问答FAQs

Q:[0001]如何禁止匿名用户连接你的IPC$共享?

A:

我们可以通过修改注册表来实现:

Key:HKLMSYSTEMCurrentControlSetControlLsa

Name: RestrictAnonymous

Type: REG_DWORD

value: 1 | 2

说明:把该值设为1时,匿名用户无法列举主机用户列表;

把该值设为2时,匿名用户无法连接你的IPS$共享,不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server...

Q:[0002]如何禁止显示上次登陆的用户名?

A:

我们可以通过修改注册表来实现:

Key: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon

Name: DontDisplayLastUserName

Type: REG_DWORD

value: 1

Q:[0006]如何删除管理共享(C$,D$...)?

A:

我们可以用Net Share命令来删除,但是机器重启后这个共享会自动出现,这时,我们可以修改注册表。

对于服务器而言:

Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters

Name: AutoShareServer

Type: DWORD

value: 0

对于工作站而言:

Key: HKLMSYSTEMCurrentControlSetServiceslanmanserverparameters

Name: AutoShareWks

Type: DWORD

value: 0

修改注册表后需要重启Server服务或重新启动机器。

注:这些键值在默认情况下在主机上是不存在的,需要自己手动添加。

Q:[0014]如何关闭Windows 2000下的445端口?

A:

关闭445端口的方法有很多,但是我比较推荐以下这种方法:

修改注册表,添加一个键值

Hive: HKEY_LOCAL_MACHINE

Key: SystemControlsetServicesNetBTParameters

Name: SMBDeviceEnabled

Type: REG_DWORD

value: 0

修改完后重启机器,运行“netstat -an”,你将会发现你的445端口已经不再Listening了。

Q:[0010]如何禁止Guest访问事件日志?

A:

在默认安装的Windows NT和Windows 2000中,Guest帐号和匿名用户可以查看系统的事件日志,可能导致许多重要信息的泄漏,建议修改注册表来禁止Guest访问事件日志。

应用日志:

Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication

Name: RestrictGuestAccess

Type: DWORD

value: 1

系统日志:

Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem

Name: RestrictGuestAccess

Type: DWORD

value: 1

安全日志:

Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity

Name: RestrictGuestAccess

Type: DWORD

value: 1

Q:[0011]如何更改Terminal Server的端口?

A:

该修改需要在服务器端和客户端同时修改,如果不知道该服务器的端口号,客户端将无法连接服务器。

服务器端的修改:

Key: HKLMSYSTEMCurrentControlSetControlTerminal ServerWds

dpwdTdscp

Name:PortNumber

Type:DWORD

Valus:任意值

Key: HKLMESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

Name:PortNumber

Type:DWORD

value:和上面值一致

注:需重启后生效。

然后我们修改客户端,打开Terminal Server Client的客户端管理器,导出连接文件(后缀名为cns),用记事本打开该cns文件,搜索"Server Port",修改该值,与服务器保持一致即可(注意进制的转换)。最后导入该cns文件至Terminal Server的客户端管理器。

Q:[0005]如何防止.printer ISAPI扩展远程溢出?

A:

微软windows 2000所带的IIS 5.0存在一个严重的远程安全漏洞。缺省安装情况下,攻击者可以利用这个漏洞远程入侵IIS 服务器,并以系统管理员(system)身份执行任意命令。

临时解决方法:

1. 打开Internet 服务管理器

2. 右击你的web服务器,在菜单中选择"属性"栏

3. 选择"主属性"

4. 选择 WWW 服务 | 编辑 | 主目录 | 配置

5. 在扩展名列表中删除".printer"项。

6. 保存设置,然后重启IIS服务。

注意:如果在上述设置完成后,发现".printer"映射又重新产生,这可能是由于您在组策略中打开了"基于web的打印"。您可以按照下列步骤进行处理:

1. 在"运行..."或者命令行窗口中执行下列命令:gpedit.msc

2. 这会弹出一个组策略的管理窗口,选择"打印机"

3. 检查"基于web的打印",如果它已经"启动",将其禁止。

您也可以直接修改注册表,将下面这项DWORD值设为0x1:

HKLMSoftwarePoliciesMicrosoftWindows NTPrintersDisableWebPrinting

微软已经为此发布了一个安全公告MS01-023:

http://www.microsoft.com/technet/security/bulletin/MS01-023.asp

Q:[0013]如何使用IPSec保护我的网络通信?

A:

IPSec 术语

在执行以下指导步骤之前,确保您知道以下术语的含义:

身份验证:确定计算机的身份是否合法的过程。Windows 2000 IPSec 支持三种身份验证:Kerberos、证书和预共享密钥。只有当两个终结点(计算机)都位于同一个 Windows 2000 域时,Kerberos 身份验证才有效。这种类型的身份验证是首选方法。如果计算机位于不同的域中,或者至少有一台计算机不在某个域中,则必须使用证书或预共享密钥。只有当每个终结点中包含一个由另一个终结点信任的颁发机构签署的证书时,证书才有效。预共享密钥与密码有着相同的问题。它们不会在很长的时间段内保持机密性。如果终结点不在同一个域中,并且无法获得证书,则预共享密钥是唯一的身份验证选择。

加密:使准备在两个终结点之间传输的数据难以辨认的过程。通过使用充分测试的算法,每个终结点都创建和交换密钥。该过程确保只有这些终结点知道密钥,而且如果任何密钥交换序列被拦截,拦截者不会得到任何有价值的内容。

筛选器:对 Internet 协议 (IP) 地址和协议的描述,可触发 IPSec 安全关联的建立。

筛选器操作:安全要求,可在通信与筛选器列表中的筛选器相匹配时启用。

筛选器列表:筛选器的集合。

Internet 协议安全策略:规则集合,描述计算机之间的通讯是如何得到保护的。

规则:筛选器列表和筛选器操作之间的链接。当通信与筛选器列表匹配时,可触发相应的筛选器操作。IPSec 策略可包含多个规则。

安全关联:终结点为建立安全会话而协商的身份验证与加密方法的集合。

在 Microsoft 管理控制台中查找 IPSec

通过使用 Microsoft 管理控制台 (MMC) 配置 IPSec。Windows 2000 在安装过程中创建一个带有 IPSec 管理单元的 MMC。若要查找 IPSec,请单击开始,指向程序,单击管理工具,然后单击本地安全策略。在打开的 MMC 中的左窗格中,单击本地计算机上的 IP 安全策略。MMC 将在右窗格中显示现有的默认策略。

更改 IP 地址、计算机名和用户名

为了此示例的目的,假设 Alice 是一个计算机用户,该计算机名为"Alicepc"、IP 地址为 172.16.98.231,Bob 的计算机名为"Bobslap",IP 地址为 172.31.67.244。他们使用 Abczz 程序连接他们的计算机。

通过使用 Abczz 程序互相连接时,Alice 和 Bob 必须确保通信是被加密的。当 Abczz 建立其连接时,启动程序使用其本身上的随机高端口并连接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目标(其中,TCP 是"传输控制协议"的缩写)。通常,这些端口用作 Internet 多线交谈 (IRC)。因为 Alice 或 Bob 均可发起连接,所以该策略必须存在于两端。

创建筛选器列表

通过在 MMC 控制台中右键单击 IP 安全策略,可访问用于创建 IPSec 策略的菜单。第一个菜单项是"创建 IP 安全策略"。尽管此菜单似乎是要开始的位置,但却不应从此位置开始。在可创建策略及其相关规则之前,您需要定义筛选器列表和筛选器操作,它们是任何 IPSec 策略的必需组件。单击管理 IP 筛选器表和筛选器操作开始工作。

将显示带有两个选项卡的对话框:一个用于筛选器列表,另一个用于筛选器操作。首先,打开管理 IP 筛选器列表选项卡。已经有两个预先定义的筛选器列表,您不会使用它们。相反,您可以创建一个特定的筛选器列表,使其与要连接到的其他计算机对应。

假设您在 Alice 的计算机上创建策略:

单击添加创建新的筛选器列表。将该列表命名为"Abczz to Bob's PC"。

单击添加添加新筛选器。将启动一个向导。

单击我的 IP 地址作为源地址。

单击一个特定的 IP 地址作为目标地址,然后输入 Bob 的计算机的 IP 地址 (172.31.67.244)。或者,如果 Bob 的计算机已在域名系统 (DNS) 或 Windows Internet 名称服务 (WINS) 中注册,则可选择特定的 DNS 名,然后输入 Bob 的计算机名,Bobslap。

Abczz 使用 TCP 进行通讯,因此单击 TCP 作为协议类型。

对于 IP 协议端口,单击从任意端口。单击到此端口,键入:6667,然后单

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有