用了win2000做服務器的人不少吧,我談談我的經驗,希望還有誰能夠補充 1、不要選擇從網絡上安裝 雖然微軟支持在線安裝,但這是絕對不安全的。在系統未全部安裝完之前不要連入網絡,特別是Internet!甚至不要把一切硬件都連接好來安裝。因為Win2000在安裝時,在輸入用戶管理員賬號“Administrator”的密碼後,系統會建立一個“$ADMIN”的共享賬號碼,但是並沒有用剛輸入的密碼來保護它,這種情況一直會持續到計算機再次啟動。在此期間,任何人都可以通過“$ADMIN”進入系統;同時,安裝完成,各種服務會馬上自動運行,而這時的服務器還到處是漏洞,非常容易從外部侵入。所以,千萬不能從網絡上安裝或者安裝時不能將你的機器接入internet! 2、要選擇ntfs格式來分區 最好所有的分區都是NTFS格式,因為ntfs格式的分區在安全性方面更加有保障。就算別的分區采用別的格式(如FAT32),但至少系統所在的分區中應是ntfs格式。 另外,應用程序不要和系統放在同一個分區中,以免攻擊者利用應用程序的漏洞(如微軟的IIS的漏洞,大家不會不知道吧)導致系統文件的洩漏,甚至讓入侵者遠程獲取管理員權限。 3、系統版本的選擇 我們中國人一般都喜歡使用中文界面的軟件,當然不強求一定要使用英文版的軟件。但對於微軟的東西,由於地理位置及市場因素,都是先有英文版,然後才有各國其它語言的版本。也就是說Windows系統的內核語言是英語,這樣相對來說它的內核版本理應比它的編譯版本中的漏洞少很多,事實也是如此,win2000的中文輸入法漏洞鬧得沸沸揚揚大家是有目共睹的。 上面所說的安全安裝只能減少後顧之憂,千萬別以為只做到這些就可以一勞永逸了,還有很多工作等著你去做的,請繼續往下看: 二、如何管理系統,使它更安全 有關系統的不安全,不要老埋怨軟件的本身,多想想人為的因素吧!下面從管理員本身來談談在管理過程中需要注意的幾點: 1、關注最新漏洞,及時打上補丁和安裝防火牆 管理員的職責是維護系統的安全,平時應該多轉轉有漏洞公布的站點,吸收最新的漏洞信息,及時打上相應的補丁。這是維護系統安全最簡單也是最有效的方法,我給大家推薦國外的一個很好的安全站點: .同時,安裝最新版的防火牆也是必須的,可以助你一臂之力。但是要記住:“道高一尺,魔高一丈”,沒有絕對的安全,補丁永遠都是跟在漏洞公布之後,完全相信系統補丁和防火牆是不足取的! 2、禁止建立空連接,拒人於門外 北約空炸我國駐南斯拉夫大使館的黑客大戰,大家還記得吧?黑客們就是采用這個共享進行攻擊的,其實不是它的漏洞,只怪管理員的帳戶和密碼太簡單,但留著實在是不放心,誰知道那些老黑們又會耍出什麼花招來呢?還是禁止掉的好! 這主要是通過修改注冊表來實現,主鍵及鍵值如下: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] RestrictAnonymous = DWORD:00000001 3、禁止管理共享 除了上面的,還有這個呢!一起禁止吧! [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] AutoShareServer = DWORD:00000000 4、精巧設計密碼,慎防傻瓜小偷入屋 呵呵,看了上面的第2點和第3點,有經驗的朋友自然會想到這一點了。不錯,這是老生長談的事情了,很多服務器被攻陷都是由於管理員密碼過於簡單而造成的,很多掃描器都沖著這個來的哦。大家知道,用小榕的流光,只要探測ipc連接的管理員帳戶和密碼成功,那該主機已經落在黑客手裡了。可是用流光隨便掃一段ip段都可以抓到一大堆管理員帳戶、密碼為Administrator:1234之類的主機,更有甚者,有的管理員密碼居然為空!不知道這是管理員高手們精心設下的陷阱還是頭腦沒有半點安全意識,反正我是能進去,並將其做成跳板跳到別的機器上去。 對於密碼的設置,我建議:①長度超過8位為宜。②大小寫字母、數字、特殊符號的復雜組合,如:G1$2aLe^ ,避免“純單詞”或者“單詞加數字”型的密碼,如:gale、gale123等。 特別注意:MSSQL7.0 中的SA密碼千萬不能為空!默認情況下SA密碼是空的,而他的權限是admin ,這點大家都清楚的,具體怎麼做,大家都知道,不用我多說。 5、限制管理員組的用戶數量 嚴格限制管理員組的用戶,時時刻刻保證只有一個Administrator(也就是你自己)是該組的用戶,這樣好管理,至少每天檢查一次該組的用戶,發現多增加的用戶一律刪除!或者實施反攻擊行動。毫無疑問,那新增的用戶一定是入侵者留下的後門!同時要注意Guest用戶,聰明的入侵者一般不會添加陌生用戶名,這樣容易被管理員發現行蹤,他們通常是先激活Guest用戶,然後是更改它的密碼,再放到管理員組,但Guest無端端地跑到管理員組來干嘛?停掉! 6、停止不必要的服務 服務開的太多也不是個好事,將沒有必要的服務通通關掉吧!特別是連管理員都不知道有的服務是干什麼的,還開著干什麼!關掉!免得給系統帶來災難。 另外,管理員如果不外出,不需要遠程管理你的計算機的話,最好將一切的遠程網絡登陸功能都關掉。注意,除非特別需要,否則禁用“Task Scheduler”、“RunAs Service”服務! 關閉一項服務的方法很簡單,運行cmd.exe之後,直接 net stop servername 即可。 7、管理員安分守己,不使用公司的服務器做私人用途 Win2000 server 除了可以做服務器之外,同時還可以作個人用戶的計算機機一樣,,上網浏覽網頁、收發E-mail等等,作為管理員,應該盡量少用服務器的浏覽器來浏覽網頁,避免因浏覽器的漏洞造成木馬感染和公司的隱私信息暴露。微軟IE漏洞多多,相信大家不會不知道吧?另外,也少在服務器上使用Outlook等工具來收發E-mail,避免染上病毒,給企業帶來損失。 8、入侵自己,跟自己較量,提高防黑技能 常常在網絡外部以入侵者的身份掃描自己,入侵自己,發現漏洞及時修補,或者研究防范措施,提高系統的安全性。比較好的漏洞掃描器就是小榕的流光。另外還要虛心接受入侵者好意相勸,我經常掃描國內的主機,發現了漏洞馬上發email通知管理員,遺憾的是很多管理員不理不睬,幾個月過去了,漏洞依然存在,管理員總是如此的不負責任!
9、注意本地安全 防止遠程入侵很重要,但系統的本地安全也不容忽視,入侵者不一定在遠處,有可能就在身邊! ①、及時打上最新版的補丁,防止漏洞,現在都SP3了 ②、不顯示上次登陸的用戶 如果你的機器是不得不多人共用的話(其實,真正的一台服務器是不應該這樣的),那禁止顯示上次登陸的用戶很重要,免得別人猜中密碼。設置方法是:在“開始”-“程序”-“管理工具”-“本地安全策略”,打開“本地策略”的“安全選項”,在右邊雙擊“登陸屏幕上不要顯示上次登陸的用戶名”,選中“已啟用”,再點“確定”,這樣,下次登陸的時候就不會在用戶名框上顯示上次登陸過的用戶名了。 以上是我的一點個人意見,希望對大家有幫助! 另:IDQ.DLL IDA.DLL printer遠程溢出都是一些常見的漏洞。大家最好用流光查查看
