史萊姆論壇 - 查看單個文章

psac · 2003-04-04, 11:02 AM

讓你的Windows 2000安全些再安全些
Windows 2000系統的使用者特別多，導致在受攻擊的系統中高居榜首，但這不是說Windows 2000的安全性一點兒不好，只要合理配置和管理有方，還是比較安全的。本人使用Windows 2000的時間也不算短了，對於維護它的安全，也漸漸摸出了一點兒門路，下面是一點兒個人見解，不足之處，還請各位指正。

　　安全安裝盡量減少後顧之憂

　　Windows 2000系統的安全應該是從安裝時就一點一滴積累起來的，但這往往被人忽視。下面幾點是在安裝Windows 2000時需要注意的：

　　1、不要選擇從網路上安裝

　　雖然微軟支持在線安裝，但這絕對不安全。在系統未全部安裝完之前不要連入網路，特別是Internet！甚至不要把一切硬體都連接好來安裝。因為Windows 2000安裝時，在輸入用戶管理員賬號「Administrator」的密碼後，系統會建立一個「ADMIN」的共享賬號，但是並沒有用剛輸入的密碼來保護它，這種情況一直會持續到電腦再次啟動。在此期間，任何人都可以通過「ADMIN」進入系統；同時，安裝完成，各種服務會馬上自動執行，而這時的伺服器還到處是漏洞，非常容易從外部侵入。

　　2、要選擇NTFS格式來分區

　　最好所有的分區都是NTFS格式，因為NTFS格式的分區在安全性方面更加有保障。就算其他分區採用別的格式(如FAT32)，但至少系統所在的分區中應是NTFS格式。

　　另外，應用程式不要和系統放在同一個分區中，以免攻擊者利用應用程式的漏洞(如微軟的IIS的漏洞，大家不會不知道吧)導致系統檔案的洩漏，甚至讓入侵者遠端獲取管理員權限。

　　3、系統版本的選擇

　　我們一般都喜歡使用中文界面的軟體，但對於微軟的東西，由於地理位置及市場因素，都是先有英文版，然後才有各國其他語言的版本。也就是說Windows系統的內核語言是英語，這樣相對來說它的內核版本理應比它的編譯版本中的漏洞少很多，事實也是如此，Windows 2000的中文輸入法漏洞鬧得沸沸揚揚大家是有目共睹的。

　　上面所說的安全安裝只能減少後顧之憂，千萬別以為只做到這些就可以一勞永逸了，還有很多工作等著你去做的，請繼續往下看：

　　妥善管理系統使它更安全

　　系統不安全，不要老埋怨軟體的本身，多想想人為的因素吧！下面從管理員的角度來談談在管理過程中需要注意的幾點：

　　1、關注最新漏洞，及時打上修正檔和安裝防火牆

　　管理員的職責是維護系統的安全，吸收最新的漏洞信息，及時打上相應的修正檔，這是維護系統安全最簡單也是最有效的方法。我給大家推薦國外的一個很好的安全站點：http://www.eeye.com。同時，安裝最新版的防火牆也是必須的，可以助你一臂之力。但是要記住：「道高一尺，魔高一丈」，沒有絕對的安全，修正檔永遠都是跟在漏洞公佈之後，完全相信系統修正檔和防火牆是不可行的！

　　2、禁止建立空連接，拒人於門外

　　黑客們經常採用共享進行攻擊，其實不是它的漏洞，只怪管理員的賬戶和密碼太簡單，留著不放心，還是禁止掉的好！

　　這主要是通過修改註冊表來實現，主鍵及鍵值如下：

　　[HKEY_LOCAL_MACHINE@SYSTEM@CurrentControlSet@Control@LSA]

　　RestrictAnonymous = DWORD:00000001

　　3、禁止管理共享

　　除了上面的，還有這個呢！一起禁止吧！

　　[HKEY_LOCAL_MACHINE@SYSTEM@CurrentControlSet@Services@LanmanServer@Parameters]

　　AutoShareServer = DWORD:00000000

　　4、精巧設計密碼，慎防入侵

　　呵呵，看了上面的第2點和第3點，有經驗的朋友自然會常想到這一點了。不錯，這是老生常談的事情了，很多伺服器被攻陷都是由於管理員密碼過於簡單而造成的。

　　對於密碼的設置，我建議：１長度超過8位為宜。２大小寫字母、數字、特殊符號的複雜組合，如：G12aLe^，避免「純單詞」或者「單詞加數字」型的密碼，如：gale、gale123等。

　　特別注意：MSSQL 7.0中的SA密碼千萬不能為空！預設情況下「SA」密碼是空的，而它的權限是「admin」，想想後果吧。

　　5、限制管理員組的用戶數量

　　嚴格限制管理員組的用戶，時時刻刻保證只有一個Administrator(也就是你自己)是該組的用戶。至少每天檢查一次該組的用戶，發現多增加的用戶一律刪除！毫無疑問，那新增的用戶一定是入侵者留下的後門！同時要注意Guest用戶，聰明的入侵者一般不會增加陌生用戶名，這樣容易被管理員發現行蹤，他們通常是先啟動Guest用戶，然後是更改它的密碼，再放到管理員組，但Guest無端跑到管理員組來幹嘛？停掉！

　　6、停止不必要的服務

　　服務開的太多也不是個好事，將沒有必要的服務通通關掉吧！特別是連管理員都不知道是幹什麼的服務，還開著幹什麼！關掉！免得給系統帶來災難。

　　另外，管理員如果不外出，不需要遠端管理你的電腦的話，最好將一切的遠端網路登錄功能都關掉。注意，除非特別需要，否則禁用「Task Scheduler」、「RunAs Service」服務！

　　關閉一項服務的方法很簡單，執行cmd.exe之後，直接net stop servername即可。

　　7、管理員安分守己，不用公司的伺服器做私人用途

　　Windows 2000 Server除了可以像伺服器之外，同時還可以做個人用戶的電腦一樣，上網瀏覽網頁、收發E-mail等等。作為管理員，應該盡量少用伺服器的瀏覽器來瀏覽網頁，避免因瀏覽器的漏洞造成木馬感染和公司的隱私信息暴露。微軟IE漏洞多多，相信大家不會不知道吧？另外，也少在伺服器上使用Outlook等工具來收發E-mail，避免染上病毒，給企業帶來損失。

　　8、注意本機安全

　　防止遠端入侵很重要，但系統的本機安全也不容忽視，入侵者不一定在遠處，有可能就在身邊！

　　(1)及時打上最新版的修正檔，防止輸入法漏洞，這是不用再說的了。輸入法漏洞不僅是導致本機入侵，如果開了終端服務的話，系統之門就會大開，一個裝了終端客戶端的機器就可以輕易闖進來！

　　(2)不顯示上次登錄的用戶

　　如果你的機器是不得不多人共用的話(其實，真正的一台伺服器是不應該這樣的)，那禁止顯示上次登錄的用戶很重要，免得別人猜中密碼。設置方法是：在〔開始〕→〔程序〕→〔管理工具〕→〔本機安全策略〕，開啟「本機策略」的「安全選項」，在右邊雙擊「登錄螢幕上不要顯示上次登錄的用戶名」，選「已啟用」，再點擊〔確定〕，這樣，下次登錄的時候就不會在用戶名框上顯示上次登錄過的用戶名了。

2003-04-04, 11:02 AM	#11 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	讓你的Windows 2000安全些再安全些 Windows 2000系統的使用者特別多，導致在受攻擊的系統中高居榜首，但這不是說Windows 2000的安全性一點兒不好，只要合理配置和管理有方，還是比較安全的。本人使用Windows 2000的時間也不算短了，對於維護它的安全，也漸漸摸出了一點兒門路，下面是一點兒個人見解，不足之處，還請各位指正。　　安全安裝盡量減少後顧之憂　　Windows 2000系統的安全應該是從安裝時就一點一滴積累起來的，但這往往被人忽視。下面幾點是在安裝Windows 2000時需要注意的：　　1、不要選擇從網路上安裝　　雖然微軟支持在線安裝，但這絕對不安全。在系統未全部安裝完之前不要連入網路，特別是Internet！甚至不要把一切硬體都連接好來安裝。因為Windows 2000安裝時，在輸入用戶管理員賬號「Administrator」的密碼後，系統會建立一個「ADMIN」的共享賬號，但是並沒有用剛輸入的密碼來保護它，這種情況一直會持續到電腦再次啟動。在此期間，任何人都可以通過「ADMIN」進入系統；同時，安裝完成，各種服務會馬上自動執行，而這時的伺服器還到處是漏洞，非常容易從外部侵入。　　2、要選擇NTFS格式來分區　　最好所有的分區都是NTFS格式，因為NTFS格式的分區在安全性方面更加有保障。就算其他分區採用別的格式(如FAT32)，但至少系統所在的分區中應是NTFS格式。　　另外，應用程式不要和系統放在同一個分區中，以免攻擊者利用應用程式的漏洞(如微軟的IIS的漏洞，大家不會不知道吧)導致系統檔案的洩漏，甚至讓入侵者遠端獲取管理員權限。　　3、系統版本的選擇　　我們一般都喜歡使用中文界面的軟體，但對於微軟的東西，由於地理位置及市場因素，都是先有英文版，然後才有各國其他語言的版本。也就是說Windows系統的內核語言是英語，這樣相對來說它的內核版本理應比它的編譯版本中的漏洞少很多，事實也是如此，Windows 2000的中文輸入法漏洞鬧得沸沸揚揚大家是有目共睹的。　　上面所說的安全安裝只能減少後顧之憂，千萬別以為只做到這些就可以一勞永逸了，還有很多工作等著你去做的，請繼續往下看：　　妥善管理系統使它更安全　　系統不安全，不要老埋怨軟體的本身，多想想人為的因素吧！下面從管理員的角度來談談在管理過程中需要注意的幾點：　　1、關注最新漏洞，及時打上修正檔和安裝防火牆　　管理員的職責是維護系統的安全，吸收最新的漏洞信息，及時打上相應的修正檔，這是維護系統安全最簡單也是最有效的方法。我給大家推薦國外的一個很好的安全站點：http://www.eeye.com。同時，安裝最新版的防火牆也是必須的，可以助你一臂之力。但是要記住：「道高一尺，魔高一丈」，沒有絕對的安全，修正檔永遠都是跟在漏洞公佈之後，完全相信系統修正檔和防火牆是不可行的！　　2、禁止建立空連接，拒人於門外　　黑客們經常採用共享進行攻擊，其實不是它的漏洞，只怪管理員的賬戶和密碼太簡單，留著不放心，還是禁止掉的好！　　這主要是通過修改註冊表來實現，主鍵及鍵值如下：　　[HKEY_LOCAL_MACHINE@SYSTEM@CurrentControlSet@Control@LSA] 　　RestrictAnonymous = DWORD:00000001 　　3、禁止管理共享　　除了上面的，還有這個呢！一起禁止吧！　　[HKEY_LOCAL_MACHINE@SYSTEM@CurrentControlSet@Services@LanmanServer@Parameters] 　　AutoShareServer = DWORD:00000000 　　4、精巧設計密碼，慎防入侵　　呵呵，看了上面的第2點和第3點，有經驗的朋友自然會常想到這一點了。不錯，這是老生常談的事情了，很多伺服器被攻陷都是由於管理員密碼過於簡單而造成的。　　對於密碼的設置，我建議：１長度超過8位為宜。２大小寫字母、數字、特殊符號的複雜組合，如：G12aLe^，避免「純單詞」或者「單詞加數字」型的密碼，如：gale、gale123等。　　特別注意：MSSQL 7.0中的SA密碼千萬不能為空！預設情況下「SA」密碼是空的，而它的權限是「admin」，想想後果吧。　　5、限制管理員組的用戶數量　　嚴格限制管理員組的用戶，時時刻刻保證只有一個Administrator(也就是你自己)是該組的用戶。至少每天檢查一次該組的用戶，發現多增加的用戶一律刪除！毫無疑問，那新增的用戶一定是入侵者留下的後門！同時要注意Guest用戶，聰明的入侵者一般不會增加陌生用戶名，這樣容易被管理員發現行蹤，他們通常是先啟動Guest用戶，然後是更改它的密碼，再放到管理員組，但Guest無端跑到管理員組來幹嘛？停掉！　　6、停止不必要的服務　　服務開的太多也不是個好事，將沒有必要的服務通通關掉吧！特別是連管理員都不知道是幹什麼的服務，還開著幹什麼！關掉！免得給系統帶來災難。　　另外，管理員如果不外出，不需要遠端管理你的電腦的話，最好將一切的遠端網路登錄功能都關掉。注意，除非特別需要，否則禁用「Task Scheduler」、「RunAs Service」服務！　　關閉一項服務的方法很簡單，執行cmd.exe之後，直接net stop servername即可。　　7、管理員安分守己，不用公司的伺服器做私人用途　　Windows 2000 Server除了可以像伺服器之外，同時還可以做個人用戶的電腦一樣，上網瀏覽網頁、收發E-mail等等。作為管理員，應該盡量少用伺服器的瀏覽器來瀏覽網頁，避免因瀏覽器的漏洞造成木馬感染和公司的隱私信息暴露。微軟IE漏洞多多，相信大家不會不知道吧？另外，也少在伺服器上使用Outlook等工具來收發E-mail，避免染上病毒，給企業帶來損失。　　8、注意本機安全　　防止遠端入侵很重要，但系統的本機安全也不容忽視，入侵者不一定在遠處，有可能就在身邊！　　(1)及時打上最新版的修正檔，防止輸入法漏洞，這是不用再說的了。輸入法漏洞不僅是導致本機入侵，如果開了終端服務的話，系統之門就會大開，一個裝了終端客戶端的機器就可以輕易闖進來！　　(2)不顯示上次登錄的用戶　　如果你的機器是不得不多人共用的話(其實，真正的一台伺服器是不應該這樣的)，那禁止顯示上次登錄的用戶很重要，免得別人猜中密碼。設置方法是：在〔開始〕→〔程序〕→〔管理工具〕→〔本機安全策略〕，開啟「本機策略」的「安全選項」，在右邊雙擊「登錄螢幕上不要顯示上次登錄的用戶名」，選「已啟用」，再點擊〔確定〕，這樣，下次登錄的時候就不會在用戶名框上顯示上次登錄過的用戶名了。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次