Win2000SecurityChecklist
前一段时间,在中美网络战争期间,我看到一些服务器是黑色的。我发现大多数被黑的服务器是NT / Win2000的机器。真可怕。是Windows2000真的如此不安全吗事实上,Windows2000含有很多的安全功能和选项,如果你有一个合理的配置,那么Windows 2000将是一个非常安全的操作系统。我接手一个网站的数量,和被翻译的清单整理。我希望能在win2000管理员有所帮助。文章没有什么深刻的。所谓的名单并不完美。以后还有很多东西需要补充,希望能为管理员提供参考。
详细清单如下:
主要的安全第
1。物理安全
服务器应放在装有监视器的隔离室中,监视器应保持15天以上的摄像记录。此外,机柜、键盘和电脑桌抽屉都应该上锁,以确保即使进入房间,也没有人能使用计算机,钥匙应放在另一个安全的地方。
2。停止客人帐户
客户帐户在计算机管理的用户中停止,客户帐户不允许随时登录到系统。为了保险起见,最好向客人添加一个复杂的密码。您可以打开记事本,输入包含特殊字符、数字和字母的长字符字符串,然后将其复制到来宾帐户的密码中。
三.限制不必要用户的数量
删除所有重复的用户帐户、测试帐户、共享帐户、普通部门帐户等。用户组策略设置适当的权限,并经常检查系统帐户以删除不使用的帐户。这些帐户常常是黑客入侵系统的突破口。系统帐户越多,黑客获得合法用户权限的可能性就越大。国内NT/2000主机,如果系统占10以上,一般可以找到一两个弱密码帐户。我发现197个帐户中有180个帐户是弱密码帐户。
4。用帐号创建2个管理员
虽然这似乎与上述有点矛盾,但事实上是遵从上述规则的。另一个帐户具有管理员权限仅在需要时使用。管理员使用runas命令来执行一些需要权限便于管理的工作是有可能的。
5。重命名系统管理员帐户
大家都知道,Windows 2000的管理员帐户不禁用,这意味着其他人可以尝试帐户的密码,一遍又一遍。重命名管理员帐户,可以有效地防止这一点。当然,请不要使用管理员的名称,而不是改变它,尽量把它伪装成一个普通用户,例如,改变:guestone。
6。创建陷阱帐户
什么是陷阱账户!>创建一个本地帐户名为管理员,设置其权限最低,别的什么也不干,再加上一个超级复杂的密码超过10位。这可以使脚本的忙上一段时间,可以发现他们的入侵企图。或者做一些手脚上的登录脚本。嘿嘿,足够的伤害!
7。将共享文件的特权从每个用户组更改为授权用户
在win2000意味着谁有权进入你的网络,可以把这些共享数据的任何用户都不设置共享文件的用户为每个组在任何时间,包括打印共享,默认的属性是每个组,和不要忘记去改变它。
8。使用安全密码
一个好的密码是一个网络非常重要,但它是最容易被人忽视的。上面所说的可能是解释说,当一些公司的管理员创建帐户经常使用公司的名称,该计算机的名称,或一些其他的事情要做的是想一个用户名,然后设置这些账户的密码,如欢迎我爱你或我去和相同的用户名等。这样一个账户,应该要求用户改变成一个复杂的密码,当第一次登录,并定期更换密码。前几天在IRC和人讨论这个问题,我们给一个好的密码的定义:安全期无法破解的密码是密码,也就是说,如果有人有你的参数D文件,破解必须花43天或更长时间,而你的密码政策42天内更改密码。
9。设置屏幕保护密码
这很容易和必要设置屏幕保护密码以及防止内部人员破坏服务器的一个屏障。注意不要使用OpenGL和一些复杂的屏幕保护程序,浪费系统资源,让他黑屏。另一点是,所有的系统用户使用的机器也最好加屏幕保护密码。
10。使用NTFS格式分区
改变所有的分区的服务器转换为NTFS格式,NTFS文件系统更安全比FAT,FAT32文件系统,这是毋庸置疑的,我们当然有服务器已经是NTFS。
11。运行杀毒软件
Win2000 / NT服务器我看到从未见过的杀毒软件的安装,这是非常重要的。一些好的杀毒软件不仅杀死了一些著名的病毒,还杀了一大批木马和后门程序,黑客利用著名的木马是没用的。别忘了经常升级病毒库
12。保证备份磁盘的安全
一旦系统数据被破坏,备份磁盘将是您恢复数据的唯一方法。备份数据后,将备份磁盘放在一个安全的地方。不要备份同一服务器上的数据,这样最好不要备份。
中级安全条款:
1。在win2000的安全配置工具配置政策
微软提供了一套基于MMC(管理控制台)的安全配置和分析工具,使用它们,您可以轻松地配置服务器以满足您的需求。具体内容请参阅微软主页。
2。关闭不必要的服务
Windows 2000的终端服务(终端服务)、IIS和RAS都会给系统带来安全漏洞,为了能够以远程和方便的方式管理服务器,许多机器的终端服务都是开放的。如果您是打开的,请确保您正确地配置了终端服务。一些恶意程序也可以以服务的方式悄悄地运行。请注意服务器上打开的所有服务,并在中期(每日)基础上检查它们:
计算机浏览器服务的TCP / IP协议的帮手
微软DNS服务器后台处理程序
NTLM SSP服务器
RPC定位器胜
RPC服务工作站
Netlogon事件日志
三.关闭不必要的端口
关闭端口意味着减少功能和需要进行的安全和功能点的决定。如果服务器安装在防火墙的后面,风险会少一些,但不要认为你可以放松。使用端口扫描器扫描系统所开放的端口,确定哪些服务是开放给黑客的侵入你的系统的第一步,在 System32 司机等服务文件众所周知的端口和服务控制表可供参考。具体方法如下:
网络邻居>属性>本地连接>属性>互联网协议(TCP / IP)>属性>高级>选项>。
4。打开审计策略
打开安全审计是在win2000的入侵检测的最基本的方法。当有人试图入侵你的系统,在某些方面,比如尝试用户密码,更改帐户策略,未经授权的文件访问,等等,这将通过安全审计记录。很多管理者并没有意识到系统好几个月,直到系统损坏。下列审计必须打开,和其他人可根据需要增加:
策略设置
审核系统登陆事件成功且失败。
审核帐户管理成功、失败
成功地检查着陆事件并失败
审核对象访问成功
审核策略更改已成功并失败。
审计权限已成功使用并失败。
审核系统事件成功、失败
5。开启密码策略
策略设置
需要启用密码复杂性。
最小码长6位
5倍强密码的历史
强制性密码历史42天
6。开户政策
策略设置
重置帐户锁定计数器20分钟
帐户锁定时间为20分钟
帐户锁定阈值3次
7。设置安全记录的访问权限
默认情况下,安全记录是无保护的,将其设置为只有管理员和系统帐户才能访问。
8。敏感文件存储在另一个文件服务器中。
虽然服务器的硬盘容量现在很大,但您应该考虑是否有必要在另一个安全服务器中存储一些重要的用户数据(文件、数据表、项目文件等),并经常备份它们。
9。不要让系统显示上次登陆的用户名。
默认情况下,当终端服务连接到服务器,登录对话框显示上次登录的帐户,和当地的对话框是一样的。这很容易让别人得到一些系统的用户名,然后做出猜测密码。修改注册表不允许在对话框显示上次登录的用户名。具体来说,HKLM 软件微软 Windows currentversion 程序 dontdisplaylastusername改变reg_sz关键值1。
10。禁止建立空连接
默认情况下,任何用户通过空连接到服务器,然后考虑提高猜密码。我们可以通过修改注册表来禁止空连接的建立:对local_machine 系统 CurrentControlSet 控制 LSA restrictanonymous值改为1。
11。下载最新补丁到微软
许多网络管理员没有访问安全站点的习惯,所以一些漏洞已经存在很长时间了,而且服务器中存在漏洞,不能以人为目标,没有人能保证数以百万计的代码中有2000个没有任何安全漏洞。经常访问微软和一些安全站点,下载最新的服务包和漏洞补丁是确保服务器长期安全的唯一途径。
高级篇
1。关闭DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能有一些程序需要使用DirectX的影响(如游戏,玩星际争霸的服务器我^ % $ % $ ^),但对于绝大多数的商业网站应该没有影响。修改超时(reg_dword)注册表的HKLM 系统 CurrentControlSet 控制 graphicsdrivers DCI是0。
2。关闭默认共享
当Win2000安装,系统会创建一些隐藏的共享,你可以与他们分享下命令检查网络。有很多关于IPC入侵互联网上的文章,我相信你一定熟悉它。我们必须禁止这些共享,打开管理工具->计算机管理->共享文件夹->共享相应的共享文件夹,按右键停止共享,但在机器重新启动后,这些股票将重新开放。
默认共享目录路径和函数
每个分区C D E为根目录。在Win2000 Pro版本,只有管理员
的备份操作员组的成员可以连接,Win2000服务器版
服务器operatros组也可以连接到这些共享目录
共享目录的ADMIN$ %SystemRoot%远程管理。它的路径永远是
在Win2000安装路径,如C: WINNT
在Win2000 Server传真传真美元,美元将到达时传真客户端发送传真。
IPC空$连接提供了登录到系统的能力。
这是在网上共享Netlogon服务在Windows 2000服务器登录
土地域请求的使用
打印$ %systemroot%system32 阀芯用户远程管理打印机驱动程序
具体操作可以参考:删除C $共享程序
三.禁止转储文件的生成
转储文件是一个非常有用的信息,发现问题时,系统死机和蓝屏(否则我将它翻译成一个垃圾文件)。然而,它也可以为黑客提供一些敏感信息,比如一些应用程序的密码。禁止它,打开控制面板>系统属性>高级>启动和故障恢复更改写入调试信息当你想使用它,你可以打开它了。
4。使用EFS文件加密系统
Windows2000强大的加密系统,可以添加一层安全的磁盘、文件夹和文件。这样可以防止别人从你的硬盘挂在其他机器上读取里面的数据。记得使用EFS文件夹,不只是一个单一的文件,EFS的具体信息可以查看
5。加密Temp文件夹
有些应用程序在安装和升级时会将一些东西复制到临时文件夹中,但当程序完成或关闭时,它们不会清除临时文件夹本身的内容。因此,对临时文件夹进行加密可以为您的文件提供一层保护。
6。锁定注册表
在Windows2000中,只有管理员和备份操作员必须从网络访问注册表的权限。如果你觉得这还不够,你还可以设置注册表的访问权限。详情请参阅。
清除页面文件时7。关机
页面文件是一个调度文件,隐藏文件,系统采用存储部分程序和数据文件不被加载到内存中。一些第三方程序可以让一些未加密的密码在内存中,并也有可能在页面文件的其他一些敏感数据在关机。清晰的页面文件,可以编辑注册表
HKLM 系统 CurrentControlSet 控制会话管理器内存管理
套clearpagefileatshutdown值1。
8。禁止从软盘和CD-ROM启动系统。
一些第三方工具可以绕过引导系统的原始安全机制。如果您的服务器在安全性要求上非常高,您可以考虑使用可移动软盘和CD-ROM驱动器。这是锁定机箱的好方法。
9。考虑使用智能卡代替密码
为安全管理员密码,始终处于一种进退两难的工具如10phtcrack,容易受到攻击,如果密码为用户记住密码太复杂,密码到处乱画。如果条件允许,它是使用智能卡代替复杂的密码,一个好的解决方案。
10。考虑使用IPSec
顾名思义,它提供的IP packet.ipsec安全提供认证、完整性、保密性和可选择。发件人的计算机加密数据在传输、和接收计算机对数据进行解密后得到的数据。使用IPsec可以大大提高系统的安全性能,IPSES详细信息可以被称为: