三篇有關Windows 2000安全的文章,分享給大家。此文章是從大陸轉載過來,
原來是簡體的我已轉成繁體,並同時將部份大陸用語修改為我們常用的字。
同時,因為是轉載,不知是否有與版規不符之處,還請版主看看。
----------------------------------------------------------------------
[轉載自]綠盟科技論壇(bbs.nsfocus.com)、作者-高中秀
----------------------------------------------------------------------
前段時間,中美網路大戰,我看了一些被駭客攻擊的伺服器,發現絕大部分被
駭客攻擊的伺服器都是Nt/win2000的機器,真是慘不忍睹。Windows 2000真的
那麼不安全嗎?其實,Windows 2000含有很多的安全能和選項,如果你合理
的設定它們,那麼Windows 2000將會是一個很安全的操作系統。我抽空看了一
些網站,翻譯加湊數的整理了一篇checklist出來。希望對win2000管理員有些
幫助。本文並沒有什麼高深的東西,所謂的清單,也並不完善,很多東西要等
以後慢慢加了,希望能給管理員作一參考。
具體清單如下︰
初級安全篇
1.機器本身安全的管理
伺服器應該安放在安裝了監視器的隔離房間內,並且監視器要保留15天以上的
攝影記錄。另外,機箱、鍵盤、電腦桌抽屜要上鎖,以確保旁人即使進入房間
也無法使用電腦,鑰匙要放在另外安全的地方。
2.停掉Guest 帳號
在使用者帳號管理的用戶裡面把guest帳號停用掉,任何時候都不允貪uest
帳號登陸系統。為了保險起見,最好給 guest加一個複雜的密碼,你可以打
開記事本,在裡面輸入一串包含特殊符號、數字、字母的長字串,然後用複
製及貼上的能,將它貼到guest帳號的密碼中,作為guest帳號的密碼。
3.限制不必要的用戶數量
去掉所有的duplicate user帳號, 測試用帳號, 共享帳號,普通部門帳號等
等。而使用者群組策略需設定相對應之權限,並且經常檢查系統的帳號,刪
除已經不在使用的帳號。這些帳號很多時候都是駭客們入侵系統的突破口,
系統的帳號越多,駭客們得到合法用戶的權限可能性,一般也就越大。國內
的nt/2000 主機,如果系統帳號超過10個,一般都能找出一兩個弱口令帳號
。我曾經發現一台主機197個帳號中竟然有180個帳號都是弱口令帳號。
(弱口令帳號即帳號的密碼太簡單易猜,沒有什麼安全性。)
4.建立2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的
。創建一個一般權限帳號用來收信以及處理一些日常事物,另一個擁
有Administrators權限的帳號只在需要的時候使用。可以讓管理員使
用“ RunAS”命令來執行一些需要特權才能作的一些工作,以方便管
理。
5.把系統administrator帳號改名
大家都知道,windows 2000的administrator帳號是不能被停用的,這意味
著別人可以一遍又一邊的嘗試這個帳號的密碼。把Administrator帳戶改名
可以有效的防止這一點。當然,請不要使用Admin之類的名字,改了等於沒
改,盡量把它偽裝成一般用戶,比如改成︰guestone。
6.創建一個陷阱帳號
什麼是陷阱帳號?創建一個名為”Administrator” 的本地帳號,把它的權
限設置成最低,什麼事也干不了的那種,並且加上一個超過10位的超級複雜
密碼。這樣可以讓那些 Scripts忙上一段時間了,並且可以借此發現它們的
入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿,夠賊吧﹗
7.把共享的權限從“everyone”組改成“授權用戶”
“everyone”在win 2000中意味著任何有權進入你的網路的用戶都能夠獲得
這些共享資料。任何時候都不要把共享的使用者設置成”everyone”群組。
包括列印共享,預設的內容(properties)就是”everyone”群組的,一定不
要忘了改。
8.使用安全密碼
一個好的密碼對於一個網路是非常重要的,但是它是最容易被忽略的。前面
的所說的也酗w經可以說明這一點了。一些公司的管理員建立帳號的時候往
往用公司名,或者一些其他一猜就到的東西做帳戶名,然後又把這些帳號的
密碼設置得很簡單,比如"welcome"、空白、"letmein"、"iloveyou"、或者
和使用者名稱相同等等。這樣的帳號應該要求用戶首次登陸的時候更改成複
雜的密碼,還要注意經常更改密碼。前些天在IRC 和人討論這一問題的時候
,我們給好密碼下了個定義︰安全期內無法破解出來的密碼就是好密碼,也
就是說,如果人家得到了你的密碼檔,必須花43天或者更長的時間才能破解
出來,而你的密碼策略是42天必須改密碼。
9.設置營幕保護密碼
很簡單也很有必要,設置營幕保護密碼也是防止內部人員破壞伺服器的一個
屏障。注意不要使用OpenGL和一些複雜的營幕保護程序,浪費系統資源,讓
他 Black就可以了。還有一點,所有系統用戶使用的機器最好加上營幕保護
密碼。
10.使用NTFS格式
把伺服器的所有磁區都改成NTFS格式。NTFS檔案系統要比FAT、FAT32的檔案
系統安全得多。這點不必多說,想必大家的伺服器都已經是NTFS的了。
11.加裝防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到過無不安裝了防毒軟體的,其實這
一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能防止大
量木馬和後門程式。這樣的話,“駭客”們使用的那些有名的木馬就毫無用
武之地了。不要忘了經常更新病毒碼。
12.保障備份資料的安全
一旦系統資料被破壞,備份資料將是你恢複資料的唯一途徑。備份完資料後
,把備份資料放在安全的地方。千萬別把資料備份在同一台伺服器上,那樣
的話,還不如不要備份。
English
繁體中文
한국 사람
日本語
Deutsch
IP卡
狗仔卡
發表於 2001年12月13日 16:49:20
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
千斤頂
顯身卡
發表於 2002年3月15日 08:49:49
發表於 2002年6月20日 08:15:07
