返回   吉米丘上的海盜樂園 > ◎ 吉 米 丘 上 的 天 地 > 軟 體 討 論 區:::...

軟 體 討 論 區:::... 您在使用軟體上面有心得、疑問、或是建議嗎?

回覆
 
主題工具 顯示模式

[轉貼]Windows 2000 安全檢查清單!初級篇
舊 07-01-2002   #1
吉米丘
論壇管理員
領航員
 
吉米丘 的頭像
 
吉米丘 目前離線
註冊日期:
03-01-2002
住址:
吉米丘上的金銀島
文章:
6,123
吉米丘 的聲望功能已被禁用
預設 [轉貼]Windows 2000 安全檢查清單!初級篇

三篇有關Windows 2000安全的文章,分享給大家。此文章是從大陸轉載過來,
原來是簡體的我已轉成繁體,並同時將部份大陸用語修改為我們常用的字。
同時,因為是轉載,不知是否有與版規不符之處,還請版主看看。

----------------------------------------------------------------------

[轉載自]綠盟科技論壇(bbs.nsfocus.com)、作者-高中秀

----------------------------------------------------------------------

前段時間,中美網路大戰,我看了一些被駭客攻擊的伺服器,發現絕大部分被
駭客攻擊的伺服器都是Nt/win2000的機器,真是慘不忍睹。Windows 2000真的
那麼不安全嗎?其實,Windows 2000含有很多的安全功能和選項,如果你合理
的設定它們,那麼Windows 2000將會是一個很安全的操作系統。我抽空看了一
些網站,翻譯加湊數的整理了一篇checklist出來。希望對win2000管理員有些
幫助。本文並沒有什麼高深的東西,所謂的清單,也並不完善,很多東西要等
以後慢慢加了,希望能給管理員作一參考。

具體清單如下]
初級安全篇
1.機器本身安全的管理
伺服器應該安放在安裝了監視器的隔離房間內,並且監視器要保留15天以上的
攝影記錄。另外,機箱、鍵盤、電腦桌抽屜要上鎖,以確保旁人即使進入房間
也無法使用電腦,鑰匙要放在另外安全的地方。

2.停掉Guest 帳號
在使用者帳號管理的用戶裡面把guest帳號停用掉,任何時候都不允許guest
帳號登陸系統。為了保險起見,最好給 guest加一個複雜的密碼,你可以打
開記事本,在裡面輸入一串包含特殊符號、數字、字母的長字串,然後用複
製及貼上的功能,將它貼到guest帳號的密碼中,作為guest帳號的密碼。

3.限制不必要的用戶數量
去掉所有的duplicate user帳號, 測試用帳號, 共享帳號,普通部門帳號等
等。而使用者群組策略需設定相對應之權限,並且經常檢查系統的帳號,刪
除已經不在使用的帳號。這些帳號很多時候都是駭客們入侵系統的突破口,
系統的帳號越多,駭客們得到合法用戶的權限可能性,一般也就越大。國內
的nt/2000 主機,如果系統帳號超過10個,一般都能找出一兩個弱口令帳號
。我曾經發現一台主機197個帳號中竟然有180個帳號都是弱口令帳號。
(弱口令帳號即帳號的密碼太簡單易猜,沒有什麼安全性。)

4.建立2個管理員用帳號
雖然這點看上去和上面這點有些矛盾,但事實上是服從上面的規則的
。創建一個一般權限帳號用來收信以及處理一些日常事物,另一個擁
有Administrators權限的帳號只在需要的時候使用。可以讓管理員使
用“ RunAS”命令來執行一些需要特權才能作的一些工作,以方便管
理。

5.把系統administrator帳號改名
大家都知道,windows 2000的administrator帳號是不能被停用的,這意味
著別人可以一遍又一邊的嘗試這個帳號的密碼。把Administrator帳戶改名
可以有效的防止這一點。當然,請不要使用Admin之類的名字,改了等於沒
改,盡量把它偽裝成一般用戶,比如改成]guestone。

6.創建一個陷阱帳號
什麼是陷阱帳號?創建一個名為”Administrator” 的本地帳號,把它的權
限設置成最低,什麼事也干不了的那種,並且加上一個超過10位的超級複雜
密碼。這樣可以讓那些 Scripts忙上一段時間了,並且可以借此發現它們的
入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿,夠賊吧﹗

7.把共享的權限從“everyone”組改成“授權用戶”
“everyone”在win 2000中意味著任何有權進入你的網路的用戶都能夠獲得
這些共享資料。任何時候都不要把共享的使用者設置成”everyone”群組。
包括列印共享,預設的內容(properties)就是”everyone”群組的,一定不
要忘了改。

8.使用安全密碼
一個好的密碼對於一個網路是非常重要的,但是它是最容易被忽略的。前面
的所說的也許已經可以說明這一點了。一些公司的管理員建立帳號的時候往
往用公司名,或者一些其他一猜就到的東西做帳戶名,然後又把這些帳號的
密碼設置得很簡單,比如"welcome"、空白、"letmein"、"iloveyou"、或者
和使用者名稱相同等等。這樣的帳號應該要求用戶首次登陸的時候更改成複
雜的密碼,還要注意經常更改密碼。前些天在IRC 和人討論這一問題的時候
,我們給好密碼下了個定義]安全期內無法破解出來的密碼就是好密碼,也
就是說,如果人家得到了你的密碼檔,必須花43天或者更長的時間才能破解
出來,而你的密碼策略是42天必須改密碼。

9.設置營幕保護密碼
很簡單也很有必要,設置營幕保護密碼也是防止內部人員破壞伺服器的一個
屏障。注意不要使用OpenGL和一些複雜的營幕保護程序,浪費系統資源,讓
他 Black就可以了。還有一點,所有系統用戶使用的機器最好加上營幕保護
密碼。

10.使用NTFS格式
把伺服器的所有磁區都改成NTFS格式。NTFS檔案系統要比FAT、FAT32的檔案
系統安全得多。這點不必多說,想必大家的伺服器都已經是NTFS的了。

11.加裝防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到過無不安裝了防毒軟體的,其實這
一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒,還能防止大
量木馬和後門程式。這樣的話,“駭客”們使用的那些有名的木馬就毫無用
武之地了。不要忘了經常更新病毒碼。

12.保障備份資料的安全
一旦系統資料被破壞,備份資料將是你恢複資料的唯一途徑。備份完資料後
,把備份資料放在安全的地方。千萬別把資料備份在同一台伺服器上,那樣
的話,還不如不要備份。

資料提供:漁家小舖







  回覆時引用此篇文章
回覆

書籤



主題工具
顯示模式

發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼

論壇跳轉



所有時間均為台北時間。現在的時間是 19:20





vBulletin skin developed by: eXtremepixels, Powered By JCMS INTERNATIONAL Co.,Ltd.
Powered by vBulletin® 版本 3.8.3
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.
本網站內之文章,版權歸原作者所有,在此發言並無言論免責權,且與本站立場無關,並禁止未授權轉載。