Windows2000安全

[psac]

　其實，Windows2000 含有很多的安全功能和選項，如果你合理的配置它們，那麼windows 2000將會是一個很安全的操作系統。

　　具體清單如下：

　　初級安全篇

　　1.物理安全

　　伺服器應該安放在安裝了監視器的隔離房間內，並且監視器要保留15天以上的攝像記錄。另外，機箱,鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在另外的安全的地方。

　　2.停掉Guest 帳號

　　在電腦管理的用戶裡面把guest帳號停用掉，任何時候都不允許guest帳號登入系統。為了保險起見，最好給guest 加一個複雜的密碼，你可以開啟記事本，在裡面輸入一串包含特殊字串,數字，字母的長字串串，然後把它作為guest帳號的密碼拷進去。

　　3．限制不必要的用戶數量

　　去掉所有的duplicate user 帳戶, 測試用帳戶, 共享帳號，普通部門帳號等等。用戶群組原則設定相應權限，並且經常檢查系統的帳戶，刪除已經不在使用的帳戶。這些帳戶很多時候都是黑客們入侵系統的突破口，系統的帳戶越多，黑客們得到合法用戶的權限可能性一般也就越大。國內的nt/2000主機，如果系統帳戶超過10個，一般都能找出一兩個弱密碼帳戶。我曾經發現一台主機197個帳戶中竟然有180個帳號都是弱密碼帳戶。

　　4．新增2個管理員用帳號

　　雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規則的。 新增一個一般權限帳號用來收信以及處理一些日常事物，另一個擁有Administrators 權限的帳戶只在需要的時候使用。可以讓管理員使用 「 RunAS」 指令來執行一些需要特權才能作的一些工作，以方便管理。


　　5．把系統administrator帳號改名

　　大家都知道，windows 2000 的administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。當然，請不要使用Admin之類的名字，改了等於沒改，盡量把它偽裝成普通用戶，比如改成：guestone 。

　　6．新增一個陷阱帳號

　　什麼是陷阱帳號? Look!>新增一個名為」 Administrator」的本機帳戶，把它的權限設定成最低，什麼事也幹不了的那種，並且加上一個超過10位的超級複雜密碼。這樣可以讓那些 Scripts s忙上一段時間了，並且可以借此發現它們的入侵企圖。或者在它的login scripts上面做點手腳。嘿嘿，夠損！

　　7.把共享文件的權限從」everyone」組改成「授權用戶」

　　「everyone」 在win2000中意味著任何有權進入你的網路的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設定成」everyone」組。包括列印共享，預設的屬性內容就是」everyone」組的，一定不要忘了改。

　　8.使用安全密碼

　　一個好的密碼對於一個網路是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經可以說明這一點了。一些公司的管理員新增帳號的時候往往用公司名，電腦名稱，或者一些別的一猜就到的東西做用戶名，然後又把這些帳戶的密碼設定得N簡單，比如 「welcome」 「iloveyou」 「letmein」或者和用戶名相同等等。這樣的帳戶應該要求用戶首此登陸的時候更改成複雜的密碼，還要注意經常更改密碼。前些天在IRC和人討論這一問題的時候，我們給好密碼下了個定義：安全期內無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼我的文件，必須花43天或者更長的時間才能破解出來，而你的密碼原則是42天必須改密碼。

　　9.設定螢幕保護密碼

　　很簡單也很有必要，設定螢幕保護密碼也是防止內部人員破壞伺服器的一個屏障。注意不要使用OpenGL和一些複雜的螢幕保護程序，浪費系統資源，讓他無顯示就可以了。還有一點，所有系統用戶所使用的機器也最好加上螢幕保護密碼。



　　10.使用NTFS格式分區

　　把伺服器的所有分區都改成NTFS格式。NTFS文件系統要比FAT,FAT32的文件系統安全得多。這點不必多說，想必大家得伺服器都已經是NTFS的了。

　　11.執行防毒軟體

　　我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的，其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒，還能查殺大量木馬和後門程序。這樣的話，「黑客」們使用的那些有名的木馬就毫無用武之地了。不要忘了經常昇級病毒庫

　　12.保障制作備份盤的安全

　　一旦系統資料被破壞，制作備份盤將是你恢復資料的唯一途徑。制作備份完資料後，把制作備份盤防在安全的地方。千萬別把資料制作備份在同一台伺服器上，那樣的話，還不如不要制作備份。

　中級安全篇

　　1、利用win2000的安全配置工具來配置原則

　　微軟提供了一套的關於MMC(管理控制台)安全配置和分析工具，利用他們你可以很方便的配置你的伺服器以滿足你的要求。具體內容請參考微軟主頁：

　　http://www.microsoft.com/windows2000.../sctoolset.asp

　　2、關閉不必要的服務

　　Windows 2000的Terminal Services（終端服務），IIS和RAS都可能給你的系統帶來安全漏洞。為了能夠在遠端方便的管理伺服器，很多機器的終端服務都是開著的，如果你的也開了，要驗證你已經正確的配置了終端服務。有些惡意的程序也能以服務方式悄悄的執行。要留意伺服器上面開啟的所有服務，中期性(每天)的檢查他們。下面是C2級別安裝的預設服務：

　　Computer Browser service TCP/IP NetBIOS Helper

　　Microsoft DNS server Spooler

　　NTLM SSP Server

　　RPC Locator WINS

　　RPC service Workstation

　　Netlogon Event log


3、關閉不必要的連接阜

　　關閉連接阜意味著減少功能，在安全和功能上面需要你作一點決策。如果伺服器安裝在防火牆的後面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用連接阜掃瞄器掃瞄系統所開放的連接阜，確定開放了哪些服務是黑客入侵你的系統的第一步。\system32\drivers\etc\services 文件中有知名連接阜和服務的對照表可供參考。具體方法為：

　　網路芳鄰>屬性內容>本機連接>屬性內容>internet 傳輸協定(tcp/ip)>屬性內容>進階>選項>tcp/ip篩選>屬性內容 開啟tcp/ip篩選，增加需要的tcp,udp,傳輸協定即可。

　　4、開啟稽核原則

　　開啟安全稽核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式（如嘗試用戶密碼,改變帳戶原則，未經許可的文件訪問等等）入侵的時候，都會被安全稽核記錄下來。很多的管理員在系統被入侵了幾個月都不知道，直到系統遭到破壞。下面的這些稽核是必須開啟的，其他的可以根據需要增加：

　　原則　設定

　　稽核系統登陸事件 成功，失敗

　　稽核帳戶管理 成功，失敗

　　稽核登陸事件 成功，失敗

　　稽核對像訪問 成功

　　稽核原則更改 成功，失敗

　　稽核特權使用 成功，失敗

　　稽核系統事件 成功，失敗


　　5、開啟密碼密碼原則

　　原則 設定

　　密碼複雜性要求 啟用

　　密碼長度最小值 6位

　　強制密碼歷史 5 次

　　強制密碼歷史 42 天

　　6、開啟帳戶原則

　　原則 設定

　　復位帳戶鎖定計數器 20分鐘

　　帳戶鎖定時間 20分鐘

　　帳戶鎖定閾值 3次

　　7、設定安全記錄的訪問權限

　　安全記錄在預設情況下是沒有保護的，把他設定成只有Administrator和系統帳戶才有權訪問。



　　8、把敏感文件存放在另外的文件伺服器中

　　雖然現在伺服器的硬碟容量都很大，但是你還是應該考慮是否有必要把一些重要的用戶資料(文件，資料表，項目文件等)存放在另外一個安全的伺服器中，並且經常制作備份它們。

　　9、不讓系統顯示上次登陸的用戶名

　　預設情況下，終端服務接入伺服器時，登陸對話視窗中會顯示上次登陸的帳戶明，本機的登陸對話視窗也是一樣。這使得別人可以很容易的得到系統的一些用戶名，進而作密碼猜測。修改註冊表可以不讓對話視窗裡顯示上次登陸的用戶名，具體是：

　　HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName

　　把REG_SZ 的鍵值改成1。

　　10、禁止建立空連接

　　預設情況下，任何用戶通過通過空連接連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改註冊表來禁止建立空連接：

　　Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成」1」即可。

　　10、到微軟網站下載最新的修正檔程序

　　很多網路管理員沒有訪問安全站點的習慣，以至於一些漏洞都出了很久了，還放著伺服器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上程式碼的2000不出一點安全漏洞，經常訪問微軟和一些安全站點，下載最新的service pack和漏洞修正檔，是保障伺服器長久安全的唯一方法。


進階安全篇

　　1.關閉DirectDraw

　　這是C2級安全標準對視瀕卡和記憶體的要求。關閉DirectDraw可能對一些需要用到DirectX的程序有影響，但是對於絕大多數的商業站點都應該是沒有影響的。 修改註冊表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)為0即可。

　　2.關閉預設共享

　　win2000安裝好以後，系統會新增一些隱藏的共享，你可以在cmd下打 net share 檢視他們。網上有很多關於IPC入侵的文章，相信大家一定對它不陌生。要禁止這些共享 ，開啟 管理工具>電腦管理>共用資料夾>共享 在相應的共用資料夾上按右鍵，點停止共享即可，不過機器重新啟動後，這些共享又會重新開啟的。

　　預設共享目錄 路徑和功能

　　C$ D$ E$ 每個分區的根目錄。Win2000 Pro版中，只有Administrator

　　和Backup Operators組成員才可連接，Win2000 Server版本

　　Server Operatros組也可以連線到這些共享目錄

　　ADMIN$ %SYSTEMROOT% 遠端管理用的共享目錄。它的路徑永遠都

　　指向Win2000的安裝路徑，比如 c:\winnt

　　FAX$ 在Win2000 Server中，FAX$在fax客戶端發傳真的時候會到。

　　IPC$ 空連接。IPC$共享提供了登錄到系統的能力。

　　NetLogon 這個共享在Windows 2000 伺服器的Net Login 服務在處

　　理登陸域請求時用到

　　PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS 用戶遠端管理列印機







　　3.禁止dump file的產生



　　dump文件在系統崩潰和顯示藍色的時候是一份很有用的搜尋問題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給黑客提供一些敏感信息比如一些應用程式的密碼等。要禁止它，開啟 控制台>系統屬性內容>進階>啟動和故障恢復 把 寫入偵錯信息 改成無。要用的時候，可以再重新開啟它。



　　4.使用文件加密系統EFS



　　Windows2000 強大的加密系統能夠給磁牒，資料夾，文件加上一層安全保護。這樣可以防止別人把你的硬碟掛到別的電腦上以讀出裡面的資料。記住要給資料夾也使用EFS,而不僅僅是單個的文件。 有關EFS的具體信息可以檢視http://www.microsoft.com/windows2000...ty/encrypt.asp



　　5.加密temp資料夾



　　一些應用程式在安裝和昇級的時候，會把一些東西拷貝到temp資料夾，但是當程序昇級完畢或關閉的時候，它們並不會自己清除temp資料夾的內容。所以，給temp資料夾加密可以給你的文件多一層保護。



　　6.鎖住註冊表



　　在windows2000中，只有administrators和Backup Operators才有從網路上訪問註冊表的權限。如果你覺得還不夠的話，可以進一步設定註冊表訪問權限，詳細資料請參考http://support.microsoft.com/support.../Q153/1/83.asp






　　7.關機時清除掉頁面文件



　　頁面文件也就是調度文件，是win2000用來存儲沒有裝入記憶體的程序和資料文件部分的隱藏文件。一些第三方的程序可以把一些沒有的加密的密碼存在記憶體中，頁面文件中也可能含有另外一些敏感的資料。 要在關機的時候清楚頁面文件，可以編輯註冊表 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management把ClearPageFileAtShutdown的值設定成1。



　　8.禁止從軟碟和CD Rom啟動系統



　　一些第三方的工具能通過啟始系統來繞過原有的安全機制。如果你的伺服器對安全要求非常高，可以考慮使用可移動軟碟和光碟。把機箱鎖起來扔不失為一個好方法。



　　9.考慮使用智能卡來替代密碼



　　對於密碼，總是使安全管理員進退兩難，容易受到10phtcrack 等工具的攻擊，如果密碼太複雜，用戶把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智能卡來替代複雜的密碼是一個很好的解決方法。



　　10.考慮使用IPSec



　　正如其名字的含義，IPSec 提供 IP 資料包的安全性。IPSec 提供身份驗證、完整性和可選項的機密性。傳送方電腦在傳輸之前加密資料，而接收方電腦在收到資料之後解密資料。利用IPSec可以使得系統的安全性能大大增強。有關IPSes的詳細資料可以參考http://www.microsoft.com/china/techn...y/ipsecloc.asp


利用Win2K安全工具包保持系統的最佳狀態
在以前的文章中，我們曾經討論過Windows NT下的微軟安全工具包，現在我們談談Windows 2000安全工具包中的資源和安全建議，利用它可以使Win2K系統保持在最佳安全狀態。

分析你的系統

微軟安全工具包是一張光碟，可以從微軟Web站點免費獲取。該工具包的Windows 2000部分包括如下資料：


防護全新安裝的Windows 2000系統
防護已有的Windows 2000系統
安全性設定規則列表
微軟還提供一個非常方便的，名為網路安全修正檔檢測器(Hfnetchk.exe)的工具，它可以告訴你系統還需要安裝哪些修正檔程序。（參考「利用微軟網路安全修正檔檢測器跟蹤安全修正檔的最新發佈情況」這一章，可以學習如何使用這個工具。）

現在，將微軟安全工具包光碟插入光碟，如果光碟不能自動執行，用檔案總管瀏覽光碟，然後選項自動播放，接著就會出現一個歡迎頁面，該頁面還列出了工具包的內容。

在「保護當前系統」欄下面，點擊「現在安裝」選項，開始對系統進行分析。當然，在伺服器或工作站進行安裝之前，一定要更新系統的緊急修復盤和系統制作備份。

我用一個沒有安裝任何服務包（Service Pack）的Windows 2000伺服器進行試驗，該伺服器沒有直接聯入英特網，沒有執行其它套用。當我使用此工具測試系統時出現了如下提示，它提示我需要安裝Service Pack 2和其它多個昇級程序。

例如，該工具要求我安裝Windows 2000 重要昇級通告服務（Windows 2000 Critical Update Notification），當微軟推出新的重要昇級程序時它會提醒用戶。該工具還要求我安裝網際網路信息服務鎖定嚮導（Internet Information Services Lockdown Wizard）。本專題系列的第三部分，我們會討論IIS下的微軟安全工具包，還會介紹如何使用IIS鎖定嚮導。

可以看到，該工具告訴你安裝修正檔和套用昇級程序的次序。

下面，我們將介紹該工具包的所有細節，套用該工具包是確保Windows系統安全的第一步。

全新安裝Windows 2000系統

微軟提供了全新安裝Windows 2000系統的最佳步驟指南。為了更好地進行闡述，我們談到的最佳安裝步驟都是針對Win2K Server的，但也有一小部分是對安裝Win2K Pro的建議。

在安全工具包光碟中有一篇文章，題為「全新Windows 2000系統的安裝與防護」，微軟在這篇文章裡為系統管理員提出了一些成功地安裝無漏洞伺服器的建議，並給出了安裝Windows 2000的步驟。

在文章的概述中，微軟建議不要把即將安裝系統的新機器聯入網路，或者，一定要確保該機器聯入的網路沒有被「紅色程式碼」之類的病毒滲透。

接著，微軟建議下一步工作是安裝最新的服務包。寫這篇文章的時候，最新的服務包是Service Pack 2。我認為這一步不必過份強調。而且，微軟建議使用Internet Explorer 5.01 SP2，或者昇級到IE 5.5 SP2，或IE 6.0。給新的Win2K安裝Service Pack 2時系統預設使用IE 5.01 SP2。

如果你需要使用IIS，那麼應該安裝適當的安全套用包。如果不準備在這台電腦上執行IIS，那一定要確保已經從Win2K的預設安裝裡刪除了IIS。如果已經不小心裝上了IIS，要儘快使用「增加/刪除程式」功能將IIS刪除。

成功安裝系統之後，要對照微軟的安全性設定規則列表設定系統，要確保系統的使用程序是安全的。如果由於某種原因你不能完成某個安全性設定，那麼你應該回顧安全性設定規則列表，它可以說明 你找到系統的弱點。而且，這個安全性設定程序也是一種重要的實踐經驗。

已有系統的安全防護

防護已有系統的程序與設定新系統的程序類似。但是，在開始安裝修正檔前，我建議你一定要先在實驗環境下進行測試，並且實驗環境應使用相同或類似的硬體，這樣才有可能會出現相同的問題。

安全工具包光碟中有一篇文章，題為「已有Windows 2000系統的安裝與防護」，它詳細介紹了有關步驟，由於版面限制，這裡不能一一介紹，但我可以給出一些相關的基本要素。

防護已有系統的第一步是確定系統的當前狀態，執行Hfnetchk.exe可以完成這一步驟。開啟安全工具包光碟的\Combined\Hfnetcheck資料夾，執行Nshc32.exe就可安裝此工具，安裝程序依據螢幕提示完成。

安裝完畢後即可執行它。該工具從微軟站點下載系統需要安裝的修正檔程序。表A是我在試驗程序中該工具下載的修正檔列表。

這是從微軟站點下載的安全修正檔完整列表，能使我的系統保持安全狀態。要注意的一點是，並不是所有修正檔都必須安裝，安裝修正檔前應該仔細閱讀相關我的文件。

下一步就是一個一個安裝修正檔程序。如果需要安裝伺服器包，可以遵照微軟我的文件中的建議完成安裝。

經常檢查

微軟的安全性設定規則列表是確保Windows 2000系統安全的重要工具。下面是其中一些最重要的安全性設定規則：

使用NTFS文件系統。因為FAT和FAT32文件系統沒有對文件的訪問權限加以任何限制，而NTFS卻做到了這一點，所以它對確保系統安全來說非常重要。

停止不必要的服務。應該停止一些如IIS之類的服務，不是每個伺服器都需要提供這些服務，也不是每個客戶端都需要個人Web服務，如果不能停用這些服務，最大的可能就是安裝修正檔時漏掉了它們，將來它們可能最容易遭到攻擊。

使用強大的密碼機制和良好的用戶管理規則。這兩條完全由管理員來控制。一定要設定強大的系統密碼原則，要定期檢查用戶資料庫，刪除過期用戶，停止使用guest用戶，等等。

設定適當的訪問控制列表。預設情況下，Windows系統下的文件和共享對所有用戶開放。一定要改正這一點，並非所有用戶都需要這種級別的訪問權限，對所有用戶開放文件和共享只會使系統暴露在黑客的攻擊之下。

以上工作都完成後，下一步該怎麼做？

系統安全的防護工作永無止境。按照微軟推薦的步驟進行安裝和配置，遵守安全性設定規則只是防護系統安全的開始。為Windows 2000系統提供安全的執行環境需要不斷地努力，我建議你至少應該做到以下幾條：


經常訪問微軟昇級程序站點，瞭解修正檔的最新發佈情況。
訂閱微軟安全公告，及時瞭解最新發現的Windows 2000系統漏洞。
安裝重要昇級通告服務，這樣才能儘快獲取最新的重要昇級程序。
定期執行Hfnetchk.exe工具，確保系統沒有遺漏任何修正檔程序。與Qchain一起聯合使用Hfnetchk，這樣多次安裝昇級程序只需重啟系統一次。
總結

微軟希望這些指導方針，工具和安全性設定規則列表能簡化防護Windows 2000系統安全的程序。現在，微軟已經開始提供這些資源，我們要做到的是遵從他們的建議。

讓你的Windows 2000安全些 再安全些
　　Windows 2000系統的使用者特別多，導致在受攻擊的系統中高居榜首，但這不是說Windows 2000的安全性一點兒不好，只要合理配置和管理有方，還是比較安全的。本人使用Windows 2000的時間也不算短了，對於維護它的安全，也漸漸摸出了一點兒門路，下面是一點兒個人見解，不足之處，還請各位指正。


　　安全安裝盡量減少後顧之憂


　　Windows 2000系統的安全應該是從安裝時就一點一滴積累起來的，但這往往被人忽視。下面幾點是在安裝Windows 2000時需要注意的：

　　1、不要選項從網路上安裝

　　雖然微軟支持在線安裝，但這絕對不安全。在系統未全部安裝完之前不要連入網路，特別是Internet！甚至不要把一切硬體都連接好來安裝。因為Windows 2000安裝時，在輸入用戶管理員帳號「Administrator」的密碼後，系統會建立一個「$ADMIN」的共享帳號，但是並沒有用剛輸入的密碼來保護它，這種情況一直會持續到電腦再次啟動。在此期間，任何人都可以通過「$ADMIN」進入系統；同時，安裝完成，各種服務會馬上自動執行，而這時的伺服器還到處是漏洞，非常容易從外部侵入。

　　2、要選項NTFS格式來分區

　　最好所有的分區都是NTFS格式，因為NTFS格式的分區在安全性方面更加有保障。就算其他分區採用別的格式（如FAT32），但至少系統所在的分區中應是NTFS格式。

　　另外，應用程式不要和系統放在同一個分區中，以免攻擊者利用應用程式的漏洞（如微軟的IIS的漏洞，大家不會不知道吧）導致系統檔案的洩漏，甚至讓入侵者遠端獲取管理員權限。

　　3、系統版本的選項

　　我們一般都喜歡使用中文界面的軟體，但對於微軟的東西，由於地理位置及市場因素，都是先有英文版，然後才有各國其他語言的版本。也就是說Windows系統的內核語言是英語，這樣相對來說它的內核版本理應比它的編譯版本中的漏洞少很多，事實也是如此，Windows 2000的中文輸入法漏洞鬧得沸沸揚揚大家是有目共睹的。

　　上面所說的安全安裝只能減少後顧之憂，千萬別以為只做到這些就可以一勞永逸了，還有很多工作等著你去做的，請繼續往下看：


　　妥善管理系統使它更安全


　　系統不安全，不要老埋怨軟體的本身，多想想人為的因素吧！下面從管理員的角度來談談在管理程序中需要注意的幾點：

　　1、關注最新漏洞，及時打上修正檔和安裝防火牆

　　管理員的職責是維護系統的安全，吸收最新的漏洞信息，及時打上相應的修正檔，這是維護系統安全最簡單也是最有效的方法。我給大家推薦國外的一個很好的安全站點：http://www.eeye.com。同時，安裝最新版的防火牆也是必須的，可以助你一臂之力。但是要記住：「道高一尺，魔高一丈」，沒有絕對的安全，修正檔永遠都是跟在漏洞公佈之後，完全相信系統修正檔和防火牆是不可行的！

　　2、禁止建立空連接，拒人於門外

　　黑客們經常採用共享進行攻擊，其實不是它的漏洞，只怪管理員的賬戶和密碼太簡單，留著不放心，還是禁止掉的好！

　　這主要是通過修改註冊表來實現，主鍵及鍵值如下：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]

　　RestrictAnonymous = DWORD:00000001

　　3、禁止管理共享

　　除了上面的，還有這個呢！一起禁止吧！

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

　　AutoShareServer = DWORD:00000000

　　4、精巧設計密碼，慎防入侵

　　呵呵，看了上面的第2點和第3點，有經驗的朋友自然會常想到這一點了。不錯，這是老生常談的事情了，很多伺服器被攻陷都是由於管理員密碼過於簡單而造成的。

　　對於密碼的設定，我建議：１長度超過8位為宜。２大小寫字母、數字、特殊符號的複雜組合，如：G1$2aLe^ ，避免「純單詞」或者「單詞加數字」型的密碼，如：gale、gale123等。

　　特別注意：MSSQL 7.0 中的SA密碼千萬不能為空！預設情況下「SA」密碼是空的，而它的權限是「admin」，想想後果吧。

　　5、限制管理員組的用戶數量

　　嚴格限制管理員組的用戶，時時刻刻保證只有一個Administrator（也就是你自己）是該組的用戶。至少每天檢查一次該組的用戶，發現多增加的用戶一律刪除！毫無疑問，那新增的用戶一定是入侵者留下的後門！同時要注意Guest用戶，聰明的入侵者一般不會增加陌生用戶名，這樣容易被管理員發現行蹤，他們通常是先啟動Guest用戶，然後是更改它的密碼，再放到管理員組，但Guest無端跑到管理員組來幹嘛？停掉！

　　6、停止不必要的服務

　　服務開的太多也不是個好事，將沒有必要的服務通通關掉吧！特別是連管理員都不知道是幹什麼的服務，還開著幹什麼！關掉！免得給系統帶來災難。

　　另外，管理員如果不外出，不需要遠端管理你的電腦的話，最好將一切的遠端網路登錄功能都關掉。注意，除非特別需要，否則禁用「Task Scheduler」、「RunAs Service」服務！

　　關閉一項服務的方法很簡單，執行cmd.exe之後，直接 net stop servername 即可。

　　7、管理員安分守己，不用公司的伺服器做私人用途

　　Windows 2000 Server 除了可以像伺服器之外，同時還可以做個人用戶的電腦一樣，上網瀏覽網頁、收發E-mail等等。作為管理員，應該盡量少用伺服器的瀏覽器來瀏覽網頁，避免因瀏覽器的漏洞造成木馬感染和公司的隱私信息暴露。微軟IE漏洞多多，相信大家不會不知道吧？另外，也少在伺服器上使用Outlook等工具來收發E-mail，避免染上病毒，給企業帶來損失。

　　8、注意本機安全

　　防止遠端入侵很重要，但系統的本機安全也不容忽視，入侵者不一定在遠處，有可能就在身邊！

　　（1）及時打上最新版的修正檔，防止輸入法漏洞，這是不用再說的了。輸入法漏洞不僅是導致本機入侵，如果開了終端服務的話，系統之門就會大開，一個裝了終端客戶端的機器就可以輕易闖進來！

　　（2）不顯示上次登錄的用戶

　　如果你的機器是不得不多人共用的話（其實，真正的一台伺服器是不應該這樣的），那禁止顯示上次登錄的用戶很重要，免得別人猜中密碼。設定方法是：在〔開始〕→〔程序〕→〔管理工具〕→〔本機安全原則〕，開啟「本機原則」的「安全性選項」，在右邊雙按「登錄螢幕上不要顯示上次登錄的用戶名」，選「已啟用」，再點擊〔確定〕，這樣，下次登錄的時候就不會在用戶名框上顯示上次登錄過的用戶名了。

　　以上是我的一點兒個人意見，希望對大家有說明 ！

　　夏天來了，忽然有一天，小米下樓一看，樹都綠了，花都開了。Deep說：小米，打起精神來！賽迪杯足球賽要開賽了！可是我聽說，練習的時候，市場部的Kitty小姐就負了傷，而她不過是去看球的！算了吧，我還是不去的好！：P

　　言歸正傳，還是讓我們來看看近期有什麼讓人精神振奮的好消息吧：

　　1、「趨勢百萬程序競賽」開始報名了！截止日期是5月31日。不但能拿到高額的獎金，而且可能有機會進入一流公司工作呦！

　　2、一向低調、沉穩，不善宣傳的江民公司，以全新的面貌示人，向世人宣告：我們要做中國最大的信息安全廠商！

　　3、瑞星公司啟動「火線大救援」，已成功救助600萬用戶！

　　4、交大銘泰的《東方衛士》千呼萬喚始出來！

　　還有，還有……

　　火熱的夏天來了！

在Win2000中妙用系統稽核
　　系統稽核（Audit），對於系統管理員是非常重要的。下面，我們就來看看如何設定稽核。


　　稽核的設定


　　1．稽核原則的設定

　　為執行Windows 2000 Professional的電腦設定稽核原則，需要執行管理工具中的本機安全原則工具進行設定。具體設定步驟如下：

　　在「開始」表單上選項「程序」→「管理工具」→「本機安全原則」。如果在「開始」表單中找不到「管理工具」程序組，則進入「控制台」，開啟「管理工具」程序組，選項「本機安全原則」。（如果在「開始」表單的設定中沒有選項「顯示管理工具」。則「管理工具」不會出現在「開始」表單中）；

　　在「本機安全原則」視窗的控制台目錄樹中，按擊「本機原則」，然後選項「稽核原則」；

　　選要稽核的事件，在操作表單中選項「安全性」，或是雙按所選項的稽核事件；

　　在原則設定視窗中，選項「成功」複選框或「失敗」複選框，或是將二者全部選。

　　稽核原則設定完成後，需要重新啟動電腦才能生效。

　　2．對文件和資料夾訪問的稽核

　　對文件和資料夾訪問的稽核，首先要求稽核的對象必須位於NTFS分區之上，其次必須為對像訪問事件設定稽核原則。符合以上條件，就可以對特定的文件或資料夾進行稽核，並且對哪些用戶或組指定哪些類型的訪問進行稽核。

　　設定的步驟如下：

　　在所選項的文件或資料夾的屬性內容視窗的「安全」頁面上，點擊「進階」按鈕；

　　在「稽核」頁面上，點擊「增加」按鈕，選項想對文件或資料夾訪問進行稽核的用戶，按擊「確定」；

　　在「稽核項目」對話視窗中，為想要稽核的事件選項「成功」或是「失敗」複選框，選項完成後確定。

　　返回到「訪問控制設定」對話視窗。預設情況下，對父資料夾所做的稽核更改將套用於其所包含子資料夾和文件。如果不想將父資料夾所進行的稽核更改套用到當前所選項的文件或資料夾，清空檢查框「允許將來自父系的可繼承稽核項目傳播給該對像」即可。

　　驗證並返回。

　　3．對列印機訪問的稽核。

　　對列印機訪問進行稽核，要求必須為對像訪問事件設定稽核原則。滿足這個條件就能夠對特定的列印機進行稽核，並能夠稽核指定的訪問類型以及稽核擁有訪問權限的用戶。

　　稽核步驟如下：

　　在選項的列印機的屬性內容視窗，選項「安全」頁面，點擊「進階」按鈕。

　　在「稽核」頁面，點擊「增加」按鈕，選項想對列印機訪問進行稽核的用戶或組，點擊「確定」。

　　在項目稽核視窗中，在「套用到」下拉列表中選項稽核套用的目標；在「訪問」列表中為稽核的事件選項「成功」或「失敗」檢查框。設定完成後，點擊「確定」。。


　　稽核結果的檢視和維護


　　設定了稽核原則和稽核事件後，稽核所產生的結果都被記錄到安全日誌中，安全日誌記錄了稽核原則監控的事件成功或失敗執行的信息。使用事件檢視器可以檢視安全日誌的內容或是在日誌中搜尋指定事件的詳細資料。

　　事件檢視器的使用。

　　1．開啟「開始」表單，指向「程序」→「管理工具」→「事件檢視器」。如果「開始」表單中沒有「管理工具」，則進入控制台，開啟「管理工具」，執行「事件檢視器」。

　　2．在事件檢視器視窗的控制台樹選項「安全日誌」。在右邊的視窗顯示日誌條目的列表，以及每一條目的摘要信息，包括日期、事件、來源、分類、事件、用戶和電腦名稱。成功的事件前顯示一鑰匙圖示，而失敗的事件則顯示鎖的圖示。。

　　3．如果想檢視某一條目的詳細資料，雙按選項的條目；或是選項一條目後，點擊「操作」表單的「屬性內容」項。

　　4．搜尋事件。

　　如果要檢視某一指定類型的事件，或某一時間段發生的事件，或某一用戶的事件，就需要運用事件檢視器的搜尋功能。具體操作如下：

　　驗證控制樹中當前選定的項目是「安全日誌」，點擊檢視表單的「搜尋」項。

　　在搜尋視窗中，選項或輸入相應的條件，點擊「搜尋下一個」按鈕，符合條件的事件就會在事件檢視器的事件列表視窗中反顯出來。

　　5．篩選事件。

　　如果想在事件檢視器的事件列表視窗中只列出符合相應條件的事件，這時要用到篩選功能。具體操作如下：

　　驗證控制樹中當前選定的項目是「安全日誌」，點擊「檢視」→「篩選」。

　　在「篩選器」頁面中，選項或輸入相應的條件後，點擊「確定」按鈕，符合條件的事件就會在事件檢視器的事件列表視窗中顯示出來。

　　6．安全日誌文件的管理。

　　隨著稽核事件的不斷增加，安全日誌文件的大小也不斷增加。日誌文件的大小可以從64KB到4GB，預設情況下是512KB。如何更改日誌文件的大小，或當日誌文件達到了所設定的大小時，自動進行那些操作呢？所有這些都可以通過更改日誌文件的屬性內容來實現。在事件檢視器的控制樹選「安全日誌」項，點擊「操作」表單的「屬性內容」項，進入安全日誌的屬性內容視窗，在「一般」標籤頁面上，可以對日誌文件的大小進行設定；對於日誌文件達到最大尺寸時，用戶根據需要可以有以下三種選項：改寫事件；改寫久於設定天數的事件和不改寫事件。

　　在Win2000系統中使用稽核原則，雖然不能對用戶的訪問進行控制，但是管理員根據稽核結果及時檢視安全日誌，可以瞭解系統在哪些方面存在安全隱患以及系統資源的使用情況，從而採取相應的措施將系統的不安全因素減到最低限度，從而營造一個更加安全可靠的Windows 2000系統平台。




--------------------------------------------------------------------------------


　　稽核概述


　　稽核，是Win2000中本機安全原則的一部分，它是一個維護系統安全性的工具，允許你跟蹤用戶的活動和Win2000系統的活動，這些活動稱為事件。在執行Windows 2000 Professional的電腦設定了稽核原則，就可以監控成功或失敗的事件。根據監控結果，管理員就可以將電腦資源的非法使用消除或減到最小。設定稽核的事件發生時，Win2000將事件執行的情況記錄到安全日誌中。安全日誌中的每一個稽核條目都包含三個方面的內容：執行的動作；執行動作的用戶；事件發生的時間及成功與否。安全日誌的檢視和管理通過Win2000的管理工具——「事件檢視器」來完成。

　　我們在使用電腦的程序中，都希望系統能夠將以下信息記錄下來：

　　哪些用戶企圖登錄到系統中，或從系統中註銷、登錄或註銷的日期和時間是否成功等；哪些用戶對指定的文件、資料夾或列印機進行哪種類型的訪問；系統的安全性選項進行了哪些更改；用戶帳戶進行了哪些更改，是否增加或刪除了用戶等等。通過檢視這些信息，我們就能夠及時發現系統存在的安全隱患，通過瞭解指定資源的使用情況來指定資源使用計劃。

　　現在這些願望都已成為可能，這就是利用Win2000的稽核功能，套用Win2000的稽核功能會使你感到：系統的安全程度提高了。