Windows2000安全設定完全手冊

2022-04-05 00:27:59 字數 3109 閱讀 8471

作者:王紀偉盧東祥

windows 2000 server是比較流行的伺服器作業系統,如何安全地配置這個作業系統呢?本文試圖從使用者安全設定、密碼安全設定、系統安全設定、服務安全設定四個方面進行初步的**。

使用者安全設定

1、禁用guest賬號

在計算機管理的使用者裡面把guest賬號禁用。為了保險起見,最好給guest加乙個複雜的密碼。你可以開啟記事本,在裡面輸入一串包含特殊字元、數字、字母的長字串,然後把它作為guest使用者的密碼拷進去。

2、限制不必要的使用者

去掉所有的duplicate user使用者、測試使用者、共享使用者等等。使用者組策略設定相應許可權,並且經常檢查系統的使用者,刪除已經不再使用的使用者。這些使用者很多時候都是黑客們入侵系統的突破口。

3、建立兩個管理員賬號

建立乙個一般許可權使用者用來收信以及處理一些日常事物,另乙個擁有administrators 許可權的使用者只在需要的時候使用。

4、把系統administrator賬號改名

大家都知道,windows 2000 的administrator使用者是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個使用者的密碼。盡量把它偽裝成普通使用者,比如改成guesycludx。

5、建立乙個陷阱使用者

什麼是陷阱使用者?即建立乙個名為「administrator」的本地使用者,把它的許可權設定成最低,什麼事也幹不了的那種,並且加上乙個超過10位的超級複雜密碼。這樣可以讓那些 hacker們忙上一段時間,藉此發現它們的入侵企圖。

6、把共享檔案的許可權從everyone組改成授權使用者

任何時候都不要把共享檔案的使用者設定成「everyone」組,包括列印共享,預設的屬性就是「everyone」組的,一定不要忘了改。

7、開啟使用者策略

使用使用者策略,分別設定復位使用者鎖定計數器時間為20分鐘,使用者鎖定時間為20分鐘,使用者鎖定閾值為3次。

8、不讓系統顯示上次登入的使用者名稱

預設情況下,登入對話方塊中會顯示上次登入的使用者名稱。這使得別人可以很容易地得到系統的一些使用者名稱,進而做密碼猜測。修改登錄檔可以不讓對話方塊裡顯示上次登入的使用者名稱。方法為:開啟登錄檔編輯器並找到登錄檔項「hklmsoftwaremicrosoftwindows tcurrentversionwinlogondont-displaylastusername」,把reg_sz的鍵值改成1。

密碼安全設定

1、使用安全密碼

一些公司的管理員建立賬號的時候往往用公司名、計算機名做使用者名稱,然後又把這些使用者的密碼設定得太簡單,比如「welcome」等等。因此,要注意密碼的複雜性,還要記住經常改密碼。

2、設定螢幕保護密碼

這是乙個很簡單也很有必要的操作。設定螢幕保護密碼也是防止內部人員破壞伺服器的乙個屏障。

3、開啟密碼策略

注意應用密碼策略,如啟用密碼複雜性要求,設定密碼長度最小值為6位 ,設定強制密碼歷史為5次,時間為42天。

4、考慮使用智慧卡來代替密碼

對於密碼,總是使安全管理員進退兩難,密碼設定簡單容易受到黑客的攻擊,密碼設定複雜又容易忘記。如果條件允許,用智慧卡來代替複雜的密碼是乙個很好的解決方法。

系統安全設定

1. 使用ntfs格式分割槽

最好把伺服器的所有分割槽都改成ntfs格式,ntfs檔案系統要比fat、fat32的檔案系統安全得多。

2. 執行防毒軟體

防毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程式,因此要注意經常執行程式並公升級病毒庫。

3. 到微軟****最新的補丁程式

很多網路管理員沒有訪問安全站點的習慣,以至於一些漏洞都出現很久了,還放著伺服器的漏洞不補給人家當靶子用。經常訪問微軟和一些安全站點,**最新的service pack和漏洞補丁,是保障伺服器長久安全的惟一方法。

4. 關閉預設共享

windows 2000安裝好以後,系統會建立一些隱藏的共享,你可以在cmd下打「 net share」 檢視他們。網上有很多關於ipc入侵的文章,都利用了預設共享連線。要禁止這些共享 ,開啟「管理工具計算機管理\共享資料夾共享」在相應的共享資料夾上按右鍵,點[停止共享]即可。  

5. 鎖住登錄檔

在windows 2000中,只有administrators和backu

p operators才有從網路上訪問登錄檔的許可權。如果你覺得還不夠的話,可以進一步設定登錄檔訪問許可權。

詳細資訊請參考:

6. 禁止使用者從軟盤和光碟機啟動系統

一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的伺服器對安全要求非常高,可以考慮使用可移動軟盤和光碟機。當然,把機箱鎖起來仍不失為乙個好方法。

7. 利用windows 2000的安全配置工具來配置安全策略

微軟提供了一套基於mmc(管理控制台)安全配置和分析工具,利用它們你可以很方便地配置你的伺服器以滿足你的要求。具體內容請參考微軟主

howitworks/security/sctoolset.asp

服務安全設定

1. 關閉不必要的埠

關閉埠意味著減少功能,在安全和功能上面需要你做一點決策。如果伺服器安裝在防火牆的後面,冒險就會少些。但是,永遠不要認為你可以高枕無憂了。用埠掃瞄器掃瞄系統已開放的埠,確定系統開放的哪些服務可能引起黑客入侵。在系統目錄中的system32driversetcservices 檔案中有知名埠和服務的對照表可供參考。具體方法為:開啟「 網路上的芳鄰/屬性/本地連線/屬性/internet 協議(tcp/ip)/屬性/高階/選項/tcp/ip篩選/屬性」 開啟「tcp/ip篩選」,新增需要的tcp、udp協議即可。

2. 設定好安全記錄的訪問許可權

安全記錄在預設情況下是沒有保護的,把它設定成只有administrators和系統賬戶才有權訪問。

3. 把敏感檔案存放在另外的檔案伺服器中

雖然現在伺服器的硬碟容量都很大,但是你還是應該考慮是否有必要把一些重要的使用者資料(檔案、資料表、專案檔案等)存放在另外乙個安全的伺服器中,並且經常備份它們。

4. 禁止建立空連線

預設情況下,任何使用者都可通過空連線連上伺服器,進而列舉出賬號,猜測密碼。我們可以通過修改登錄檔來禁止建立空連線:即把「 local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous」 的值改成「1」即可。

此外,安全和應用在很多時候是矛盾的。因此,你需要在其中找到平衡點,如果安全原則妨礙了系統應用,那麼這個安全原則也不是乙個好的原則

清空密碼進入WINDOWS2000

windows200所在的winnt system32 config下有乙個sam檔案 即賬號密碼資料庫檔案 它儲存了windows2000中所有的使用者名稱和密碼,當你登入時,系統就會把你輸入 的使用者名稱和密碼與sam檔案中的加密資料進行校對,如果兩者完全相符,則會順利進入系統,否則將無法的登入...

Windows 2000下許可權特性

許可權是具有繼承性 累加性 優先性 交叉性的。繼承性是說下級的目錄在沒有經過重新設定之前,是擁有上一級目錄許可權設定的。這裡還有一種情況要說明一下,在分區內複製目錄或檔案的時候,複製過去的目錄和檔案將擁有它現在所處位置的上一級目錄許可權設定。但在分區內移動目錄或檔案的時候,移動過去的目錄和檔案將擁有...

關於如何註冊Windows2000服務

想讓乙個程式在啟動系統的時候自動執行,你有什麼好辦法?新增到啟動組?那如果別人刪除掉就不管用了。如果你使用了windows nt 2000 xp,就可以試試把這個程式新增為乙個服務,這樣只有擁有許可權的人才可以更改服務,只要你設定好許可權,就不用擔心會被別人刪除了。把這兩個程式儲存在乙個方便的位置,...