Top
首页 > 网络和信息安全 > 系统与数据安全 > 正文

合理配置让Win2000更安全

使用Win2000的人特别多,因此它在系统遭攻击率中高居榜首,这不是说Win2000的安全性不好,只要合理配置和管理有方,Win2000还是很安全的。  
发布时间:2002-09-26 15:26        来源:        作者:
使用Win2000的人特别多,因此它在系统遭攻击率中高居榜首,这不是说Win2000的安全性不好,只要合理配置和管理有方,Win2000还是很安全的。 安全安装尽量减少后顾之忧 Win2000系统的安全应该是从安装时就一点一滴积累起来的,但这往往被人忽视。下面几点是在安装Win2000时需要注意的: 1.不要选择从网络上安装 虽然微软支持在线安装,但这绝对不安全。在系统未全部安装完之前不要连入网络,特别是Internet,甚至不要把一切硬件都连接好才来安装。因为Win2000安装时,在输入用户管理员账号“Administrator”的密码后,系统会建立一个“$ADMIN”的共享账号,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。同时,安装完成后,各种服务会马上自动运行,而这时的服务器还到处是漏洞,非常容易遭到外部侵入。 2.要选择NTFS格式来分区 最好所有的分区都是NTFS格式,因为NTFS格式的分区在安全性方面更加有保障。另外,应用程序不要和系统放在同一个分区中,以免攻击者利用应用程序的漏洞而导致系统文件的泄漏,甚至让入侵者远程获取管理员权限。 3.系统版本的选择 我们一般都喜欢使用中文界面的软件,但Windows系统的内核语言是英语,相对来说它的内核版本理应比它的编译版本中的漏洞少很多。事实也是如此,例如对Win2000的中文输入法漏洞就闹得沸沸扬扬。   妥善管理系统使它更安全 下面从管理员的角度来谈谈管理过程中需要注意的几点: 1.关注最新漏洞,及时打上补丁和安装防火墙 管理员的职责是维护系统的安全,吸收最新的漏洞信息,及时打上相应的补丁,这是维护系统安全最简单也是最有效的方法。同时,安装最新版的防火墙也是必须的。 2.禁止建立空连接,拒人于门外 黑客们经常采用共享进行攻击,其实不是它的漏洞,只怪管理员的账户和密码太简单,留着不放心,还是禁止掉的好! 这主要是通过修改注册表来实现。主键及键值如下:[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\LSA] RestrictAnonymous = DWORD:00000001 3.禁止管理共享 除了上面的,还有这个呢!一起禁止吧![HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Services\LanmanServer\Parameters] AutoShareServer = DWORD:00000000 4.精巧设计密码,慎防入侵 很多服务器被攻陷,都是由于管理员密码过于简单而造成的。对于密码的设置,建议用长度超过8位,大小写字母、数字、特殊符号的复杂组合。 特别注意:MSSQL 7.0 中的SA密码千万不能为空!默认情况下“SA”密码是空的,而它的权限是“admin”,想想后果吧。 5.限制管理员组的用户数量 严格限制管理员组的用户,时时刻刻保证只有一个Administrator是该组的用户,发现多增加的用户一律删除!同时要注意Guest用户。聪明的入侵者一般不会添加陌生用户名,他们通常是先激活Guest用户,然后是更改它的密码,再放到管理员组。但Guest无端跑到管理员组来干嘛?停掉! 6.停止不必要的服务 服务开得太多也不是件好事。将没有必要的服务通通关掉吧,免得给系统带来灾难。另外,管理员如果不外出,不需要远程管理你的计算机的话,最好将一切的远程网络登录功能都关掉。注意,除非特别需要,否则禁用“Task Scheduler”、“RunAs Service”服务! 关闭一项服务的方法很简单,运行cmd.exe之后,直接“net stop servername”即可。 7.不用服务器做私人用途 Win2000 Server 除了可以像服务器之外,还可以上网浏览网页、收发E-mail等等。作为管理员,应该尽量少用服务器的浏览器来浏览网页,避免因浏览器的漏洞造成木马感染和公司的隐私信息暴露。另外,也少在服务器上使用Outlook等工具来收发E-mail,避免染上病毒,给企业带来损失。 8.注意本地安全 防止远程入侵很重要,但系统的本地安全也不容忽视,入侵者不一定在远处,有可能就在身边! (1)及时打上最新版的补丁,防止输入法漏洞,这是不用再说的了。输入法漏洞不仅会导致本地入侵,而且,如果开了终端服务的话,系统之门就会大开,一个装了终端客户端的机器就可以轻易闯进来! (2)不显示上次登录的用户 如果你的机器是不得不多人共用的话(其实,真正的一台服务器是不应该这样的),那么禁止显示上次登录的用户很重要。设置方法是:在“开始”→“程序”→“管理工具”→“本地安全策略”,打开“本地策略”的“安全选项”,在右边双击“登录屏幕上不要显示上次登录的用户名”,选中“已启用”,再点击“确定”,这样,下次登录的时候就不会在用户名框上显示上次登录过的用户名了。 关注更多Windows安全,请查阅Windows安全专题 (责任编辑 郁单曰)  
加载更多

专题访谈

合作站点
stat