1.給系統打補丁 Windows 2000 Server一定要安裝最新的補丁 Server Pack3,主要是為了修補Windows 2000 Server的安全漏洞。 2.設置系統格式為NTFS 選擇Windows 2000文件系統時,應選擇 NTFS文件系統,充分利用NTFS文件系統的安全性。NTFS文件系統可以將每個用戶允許讀寫的文件限制在磁盤目錄下的任何一個文件夾內,而且 Windows 2000新增的磁盤限額服務還可以控制每個用戶允許使用的磁盤空間大小。因此,要將所有的磁盤分區轉換成NTFS。 3.去掉不必要的協議和服務 安裝Windows 2000時,應選擇自定義安裝,僅選擇個人或單位必需的系統組件和服務,取消不用的網絡服務和協議,因為協議和服務安裝越多,入侵者入侵的途徑越多,潛在的系統安全隱患也越大。 除非特別需要,否則禁用“T a s k Scheduler”、“RunAs Service”服務!關閉服務的方法很簡單,運行cmd.exe之後,直接net stop servername即可。 4.加密文件或文件夾 為了防別人偷看系統中的文件,我們可以利用 Windows 2000系統提供的加密工具,來保護文件和文件夾。其具體操作步驟是,在“Windows資源管理器”中,用鼠標右鍵單擊想要加密的文件或文件夾,然後單擊“屬性”。單擊“常規”選項卡上的“高級”,然後選定“加密內容以保證數據安全”復選框。 5.取消共享目錄的Everyone組 在默認情況下,Windows 2000中新增一個共享目錄時,操作系統會自動將Everyone這個用戶組添加到權限模塊當中,由於這個組的默認權限是完全控制,使得任何人都可以對共享目錄進行讀寫。因此,在新建共享目錄之後,要立刻刪除 Everyone組或者將該組的權限調整為讀取。 6.禁止建立空連接 黑客們經常采用共享進行攻擊,其實不是它的漏洞,只怪管理員的賬戶和密碼太簡單,留著不放心,還是禁止掉的好!這一步可以通過修改注冊表來實現,主鍵及鍵值如下: [HKEY_LOCAL MACHINE\System\ CurrentControlSet\Control\LSA] RestrictAnonymous=DWORD:00000001 7.禁止管理共享 除了上面的,還有這個呢!一起禁止吧! [HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Servioes\LanmanServer\Parameters] AutoShareServer=DWORD:00000000 8.通過用戶和口令保安全有局限性 通過用戶名和口令實現安全有一定局限性。經過仔細挑選的口令是有效果的,用戶經常挑選非常淺顯的口令,如他們的名字、生日、電話號碼,或是寵物的名字。這些口令容易被猜測出來,在 WWW服務器上,不像UNIX,在多次未成功猜測後並不會發出警告。一個頑固的黑客能通過一個口令猜測程的方式闖進系統。人們應該對用戶共用他們的名字和口令而發出警告。運用IP地址和口令限制的組合比單純運用二者要安全得多。 另一個問題是,口令從浏覽器向服務器傳送時容易被截取。以任何有意義的方式都無法對其加密,所以具有一定軟件和硬件經驗的黑客,當口令通過Internet傳輸時可以截獲它。此外,一個口令在此進程只能通過Internet進行一次登錄,而浏覽器每送一個口令,就獲取一個被保護的文檔。當它流過Internet時,一個黑客能容易的竊取所傳送的數據。為避免這種情況,必須對口令等數據加密。 9.改進登錄服務器 將系統的登錄服務器移到一個單獨的機器中會增加系統的安全級別,使用一個更安全的登錄服務器來取代Windows 2000自身的登錄工具也可以進一步提高安全。在大的Windows 2000網絡中,最好使用一個單獨的登錄服務器用於登錄服務。它必須是一個能夠滿足所有系統登錄需求並且擁有足夠的磁盤空間的服務器系統,在這個系統上應該沒有其它的服務運行。更安全的登錄服務器會大大削弱入侵者透過登錄系統竄改日志文件的能力。 10.使用好安全機制 嚴格設計管理好Windows 2000系統的安全規則,,其內容主要包括“密碼規則”、“賬號鎖定規則”、“用戶權限分配規則”、“審核規則”以及“IP安全規則”。對全部用戶都應按工作需要進行分組,合理對用戶分組是進行系統安全設計的最重要的基矗利用安全規則可以限定用戶口令的有效期、口令長度。設置登錄多少次失敗後鎖定工作站,並對用戶備份文件和目錄、關機、網絡訪問等各項行為進行有效控制。 11.對系統進行跟蹤記錄 為了能密切地監視黑客的攻擊活動,我們應該啟動Windows 2000的日志文件,來記錄系統的運行情況,當黑客在攻擊系統時,它的蛛絲馬跡都會被記錄在日志文件中的,因此有許多黑客在開始攻擊系統時,往往首先通過修改系統的日志文件,來隱藏自己的行蹤,為此我們必須限制對日志文件的訪問,禁止一般權限的用戶去查看日志文件。當然,系統中內置的日志管理程序功能可能不是太強,我們應該采用專門的日志程序,來觀察那些可疑的多次連接嘗試。另外,我們還要小心保護好具有根權限的密碼和用戶,因為黑客一旦知道了這些具有根權限的賬號後,他們就可以修改日志文件來隱藏其蹤跡了。 12.使用好登錄腳本 制定系統策略和用戶登錄腳本,對網絡用戶的行為進行適當的限制。我們可以利用系統策略編輯器和用戶登錄腳本為用戶設定工作環境,控制用戶在桌面上進行的操作,控制用戶執行的程序,控制用戶登錄的時間和地點(如只允許用戶在上班時間、在自己辦公室的機器上登錄,除此以外一律禁止訪問),采取以上措施可以進一步增強系統的安全性。 13.經常檢查系統信息 如果在工作的過程中突然覺得計算機工作不對勁時,仿佛感覺有人在遙遠的地方遙控你。這時,你必須及時停止手中的工作,立即按 Ctrl Alt Del復合鍵來查看一下系統是否運行了什麼其他的程序,一旦發現有莫名其妙的程序在運行,你馬上停止它,以免對整個計算機系統有更大的威脅。但是並不是所有的程序運行時出現在程序列表中,有些程序例如Back Orifice(—種黑客的後門程序)並不顯示在Ctrl Alt Del復合鍵的進程列表中,最好運行“附件”→“系統工具”→“系統信息”,然後雙擊“軟件環境”,選擇“正在運行任務”,在任務列表中尋找自己不熟悉的或者自己並沒有運行的程序,一旦找到程序後應立即終止它,以防後患。
14.使用安全策略 安全策略是用於配置本地計算機的安全設置。這些設置包括密碼策略、賬戶鎖定策略、審核策略、IP安全策略、用戶權限指派、加密數據的恢復代理以及其他安全選項。由於本地安全策略主要是針對本地用戶設置的,因此只有在不是域控制器的Windows 2000計算機上才可用。 15.設置好系統的安全參數 充分利用NTFS文件系統的本地安全性能,設計好NTFS文件系統中文件和目錄的讀寫、訪問權限,對用戶進行分組。對不同組的用戶分別授予拒絕訪問、讀取和更改權限,一般只賦予所需要的最小的目錄和文件的權限。值得注意的是對完全控制權限的授予應特別小心。對於網絡資源共享,更要設計好文件系統的網絡共享權限,對不應共享的文件和目錄決不能授予共享權限。對能夠共享的文件和目錄,應對不同的組和用戶分別授予拒絕訪問、讀、更改和完全控制等權限。 16.使用審核機制 審核機制是Windows 2000用來跟蹤訪問文件,其他對象的用戶賬戶,登錄嘗試,系統關閉、重新啟動以及類似事件的一種安全特性。所以,應對所有需要審核的用戶使用審核機制。目前,對於磁盤訪問的審核機制,還只能應用在 NTFS文件系統之上。 17.及時備份系統 為了防止系統在使用的過程中發生以外情況而難以正常運行,我們應該對Windows 2000完好的系統進行備份,最好是在—完成Windows 2000系統的安裝任務後就對整個系統進行備份,以後可以根據這個備份來驗證系統的完整性,這樣就可以發現系統文件是否被非法修改過。如果發生系統文件已經被破壞的情況,也可以使用系統備份來恢復到正常的狀態。備份信息時,我們可以把完好的系統信息備份在CD-ROM光盤上,以後可以定期將系統與光盤內容進行比較以驗證系統的完整性是否遭到破壞。如果對安全級別的要求特別高,那麼可以將光盤設置為可啟動的並且將驗證工作作為系統啟動過程的一部分。這樣只要可以通過光盤啟動,就說明系統尚未被破壞過
