[轉貼]Windows 2000 安全檢查清單!初級篇
三篇有關Windows 2000安全的文章,分享給大家。此文章是從大陸轉載過來,
原來是簡體的我已轉成繁體,並同時將部份大陸用語修改為我們常用的字。 同時,因為是轉載,不知是否有與版規不符之處,還請版主看看。 ---------------------------------------------------------------------- [轉載自]綠盟科技論壇(bbs.nsfocus.com)、作者-高中秀 ---------------------------------------------------------------------- 前段時間,中美網路大戰,我看了一些被駭客攻擊的伺服器,發現絕大部分被 駭客攻擊的伺服器都是Nt/win2000的機器,真是慘不忍睹。Windows 2000真的 那麼不安全嗎?其實,Windows 2000含有很多的安全功能和選項,如果你合理 的設定它們,那麼Windows 2000將會是一個很安全的操作系統。我抽空看了一 些網站,翻譯加湊數的整理了一篇checklist出來。希望對win2000管理員有些 幫助。本文並沒有什麼高深的東西,所謂的清單,也並不完善,很多東西要等 以後慢慢加了,希望能給管理員作一參考。 具體清單如下] 初級安全篇 1.機器本身安全的管理 伺服器應該安放在安裝了監視器的隔離房間內,並且監視器要保留15天以上的 攝影記錄。另外,機箱、鍵盤、電腦桌抽屜要上鎖,以確保旁人即使進入房間 也無法使用電腦,鑰匙要放在另外安全的地方。 2.停掉Guest 帳號 在使用者帳號管理的用戶裡面把guest帳號停用掉,任何時候都不允許guest 帳號登陸系統。為了保險起見,最好給 guest加一個複雜的密碼,你可以打 開記事本,在裡面輸入一串包含特殊符號、數字、字母的長字串,然後用複 製及貼上的功能,將它貼到guest帳號的密碼中,作為guest帳號的密碼。 3.限制不必要的用戶數量 去掉所有的duplicate user帳號, 測試用帳號, 共享帳號,普通部門帳號等 等。而使用者群組策略需設定相對應之權限,並且經常檢查系統的帳號,刪 除已經不在使用的帳號。這些帳號很多時候都是駭客們入侵系統的突破口, 系統的帳號越多,駭客們得到合法用戶的權限可能性,一般也就越大。國內 的nt/2000 主機,如果系統帳號超過10個,一般都能找出一兩個弱口令帳號 。我曾經發現一台主機197個帳號中竟然有180個帳號都是弱口令帳號。 (弱口令帳號即帳號的密碼太簡單易猜,沒有什麼安全性。) 4.建立2個管理員用帳號 雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的 。創建一個一般權限帳號用來收信以及處理一些日常事物,另一個擁 有Administrators權限的帳號只在需要的時候使用。可以讓管理員使 用“ RunAS”命令來執行一些需要特權才能作的一些工作,以方便管 理。 5.把系統administrator帳號改名 大家都知道,windows 2000的administrator帳號是不能被停用的,這意味 著別人可以一遍又一邊的嘗試這個帳號的密碼。把Administrator帳戶改名 可以有效的防止這一點。當然,請不要使用Admin之類的名字,改了等於沒 改,盡量把它偽裝成一般用戶,比如改成]guestone。 6.創建一個陷阱帳號 什麼是陷阱帳號?創建一個名為”Administrator” 的本地帳號,把它的權 限設置成最低,什麼事也干不了的那種,並且加上一個超過10位的超級複雜 密碼。這樣可以讓那些 Scripts忙上一段時間了,並且可以借此發現它們的 入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿,夠賊吧﹗ 7.把共享的權限從“everyone”組改成“授權用戶” “everyone”在win 2000中意味著任何有權進入你的網路的用戶都能夠獲得 這些共享資料。任何時候都不要把共享的使用者設置成”everyone”群組。 包括列印共享,預設的內容(properties)就是”everyone”群組的,一定不 要忘了改。 8.使用安全密碼 一個好的密碼對於一個網路是非常重要的,但是它是最容易被忽略的。前面 的所說的也許已經可以說明這一點了。一些公司的管理員建立帳號的時候往 往用公司名,或者一些其他一猜就到的東西做帳戶名,然後又把這些帳號的 密碼設置得很簡單,比如"welcome"、空白、"letmein"、"iloveyou"、或者 和使用者名稱相同等等。這樣的帳號應該要求用戶首次登陸的時候更改成複 雜的密碼,還要注意經常更改密碼。前些天在IRC 和人討論這一問題的時候 ,我們給好密碼下了個定義]安全期內無法破解出來的密碼就是好密碼,也 就是說,如果人家得到了你的密碼檔,必須花43天或者更長的時間才能破解 出來,而你的密碼策略是42天必須改密碼。 9.設置營幕保護密碼 很簡單也很有必要,設置營幕保護密碼也是防止內部人員破壞伺服器的一個 屏障。注意不要使用OpenGL和一些複雜的營幕保護程序,浪費系統資源,讓 他 Black就可以了。還有一點,所有系統用戶使用的機器最好加上營幕保護 密碼。 10.使用NTFS格式 把伺服器的所有磁區都改成NTFS格式。NTFS檔案系統要比FAT、FAT32的檔案 系統安全得多。這點不必多說,想必大家的伺服器都已經是NTFS的了。 11.加裝防毒軟體 我見過的Win2000/Nt伺服器從來沒有見到過無不安裝了防毒軟體的,其實這 一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能防止大 量木馬和後門程式。這樣的話,“駭客”們使用的那些有名的木馬就毫無用 武之地了。不要忘了經常更新病毒碼。 12.保障備份資料的安全 一旦系統資料被破壞,備份資料將是你恢複資料的唯一途徑。備份完資料後 ,把備份資料放在安全的地方。千萬別把資料備份在同一台伺服器上,那樣 的話,還不如不要備份。 資料提供:漁家小舖 |
所有時間均為台北時間。現在的時間是 17:11。 |
Powered by vBulletin® 版本 3.8.3
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.
本網站內之文章,版權歸原作者所有,在此發言並無言論免責權,且與本站立場無關,並禁止未授權轉載。