返回   吉米丘上的海盜樂園 > ◎ 吉 米 丘 上 的 天 地 > 軟 體 討 論 區:::...

軟 體 討 論 區:::... 您在使用軟體上面有心得、疑問、或是建議嗎?

回覆
 
主題工具 顯示模式

[轉貼]Windows 2000 安全檢查清單!高級篇
舊 07-01-2002   #1
吉米丘
論壇管理員
領航員
 
吉米丘 的頭像
 
吉米丘 目前離線
註冊日期:
03-01-2002
住址:
吉米丘上的金銀島
文章:
6,123
吉米丘 的聲望功能已被禁用
預設 [轉貼]Windows 2000 安全檢查清單!高級篇

三篇有關Windows 2000安全的文章,分享給大家。此文章是從大陸轉載過來,
原來是簡體的我已轉成繁體,並同時將部份大陸用語修改為我們常用的字。
同時,因為是轉載,不知是否有與版規不符之處,還請版主看看。

----------------------------------------------------------------------

[轉載自]綠盟科技論壇(bbs.nsfocus.com)、作者-高中秀

----------------------------------------------------------------------

1. 關閉 DirectDraw
這是C2級安全標準對顯示卡和記憶體的要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響、比如游戲,但是對於絕大多數的商業網站都應該是沒有影響的。修改注冊表:
HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的 Timeout(REG_DWORD)為 0 即可。
(即Server對顯示卡要求不是很高的情形下,基於安全性,建議Disable DirectDraw)

2.關閉預設共享
win2000安裝好以後,系統會創建一些隱藏的共享,你可以在cmd下打 net share 查看他們。網上有很多關于IPC入侵的文章,相信大家一定對它不陌生。要禁止這些共享,打開管理工具-電腦管理>共享文件夾>共享,在相應的共享文件夾上按右鍵,點停止共享即可,不過機器重新 啟動後,這些共享又會重新開啟的。預設共享目錄、路徑和功能: C$ D$ E$ 每個磁區的根目錄。
Win2000Pro版中,只有Administrator和Backup Operators群組才可連接,Win2000 Server版本中Server Operatros組也可以連接到這些共享目錄如:
ADMIN$ %SYSTEMROOT% 遠程管理用的共享目錄。
它的路徑永遠都指向Win2000的安裝路徑,比如 c:winnt
FAX$ 在Win2000 Server中,FAX$在fax客戶端發傳真的時候會到。
IPC$ 空連接。IPC$共享提供了登錄到系統的能力。
NetLogon 這個共享在Windows 2000 伺服器的Net Login 服務在處理登陸域請求時用到
PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用戶遠程管理打印機

3.禁止dump file的產生
dump文件在系統崩潰和藍色死亡畫面出現的時候是一份很有用的查找問題的資料
。然而,它也能夠給駭客提供一些敏感信息比如一些應用程序的密碼等。要禁止它,打開控制台-系統-進階-啟動及修復-把" 事件寫入系統記錄檔中 "Enable改掉。要用的時候,可以再重新打開它。 (PS:此項我實作的過程中,目前是被鎖住的,無法更改設定值。)

4.使用文件加密系統EFS
Windows2000 強大的加密系統能夠給磁區,文件夾,文件加上一層安全保護。這樣可以防止別人把你的硬碟掛到別的機器上以讀出裡面的數據。記住要給文件夾也使用EFS,而不僅僅是單個的文件。 有關EFS的具體信息可以查看 http://www.microsoft.com/windows200...ity/encrypt.asp

5.加密temp文件夾
一些應用程式在安裝和升級的時候,會把一些東西拷貝到temp文件夾,但是當程序升級完畢或關閉的時候,它們並不會自己清除temp文件夾的內容。所以,給temp文件夾加密可以給你的文件多一層保護。

6.鎖住注冊表
在windows2000中,只有administrators和Backup Operators才有從網路上訪問注冊表的權限。如果你覺得還不夠的話,可以進一步設定注冊表訪問權限,詳細信息請參考] http://support.microsoft.com/suppor...s/Q153/1/83.asp
(大陸所說的"訪問",這個我就真的有點不點懂它的意思了。)

7.關機時清除掉分頁檔
分頁檔就是虛擬記憶體,是win 2000用來儲存沒有放入實體記憶體的程序和資料文件部分的隱藏檔案。一些程式可以把一些沒有加密的密碼存放入記憶體中,而分頁檔中也可能含有另外一些敏感的資料。要在關機的時候清除分頁檔的所有 資料,可以透過編輯注冊表來達成:
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management
把 ClearPageFileAtShutdown 的數值設置成1。

8.禁止從軟碟和CD-Rom啟動系統
除硬碟啟動外的其他開機方式都能通過引導系統來繞過原有的安全機制。如果你的伺服器對安全要求非常高,可以考慮使用可移動軟碟和光碟機。把Case鎖起來仍不失為一個好方法。


9.考慮使用智能卡來代替密碼
對於密碼,總是使安全管理員進退兩難,容易受到10phtcrack等工具的攻擊,如果密碼太複雜,用戶把為了記住密碼,會把密碼到處亂寫。如果條件允許,用智能卡來代替複雜的密碼是一個很好的解決方法。

10.考慮使用IPSec
正如其名字的含義,IPSec提供IP數據封包的安全性。IPSec提供身份驗証、完整性和可選擇的機密性。Client端在傳輸之前加密數據,而Server端在收到數據之後解密數據。利用IPSec可以使得系統的安全性能大大增強。有關IPSes的詳細信息可以參考] http://www.microsoft.com/china/tech...ty/ipsecloc.asp

資料提供:漁家小舖







  回覆時引用此篇文章
回覆

書籤



主題工具
顯示模式

發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼

論壇跳轉



所有時間均為台北時間。現在的時間是 20:23





vBulletin skin developed by: eXtremepixels, Powered By JCMS INTERNATIONAL Co.,Ltd.
Powered by vBulletin® 版本 3.8.3
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.
本網站內之文章,版權歸原作者所有,在此發言並無言論免責權,且與本站立場無關,並禁止未授權轉載。