Windows 2000 Server是比較流行的服務(wù)器操作系統(tǒng)��,如何安全地配置這個(gè)操作系統(tǒng)呢�?本文試圖從用戶(hù)安全設(shè)置、密碼安全設(shè)置�、系統(tǒng)安全設(shè)置、服務(wù)安全設(shè)置四個(gè)方面進(jìn)行初步的探討��。
用戶(hù)安全設(shè)置
1、禁用Guest賬號(hào)
在計(jì)算機(jī)管理的用戶(hù)里面把Guest賬號(hào)禁用��。為了保險(xiǎn)起見(jiàn)��,最好給Guest加一個(gè)復(fù)雜的密碼�。你可以打開(kāi)記事本,在里面輸入一串包含特殊字符����、數(shù)字、字母的長(zhǎng)字符串���,然后把它作為Guest用戶(hù)的密碼拷進(jìn)去�����。
2�、限制不必要的用戶(hù)
去掉所有的Duplicate User用戶(hù)�、測(cè)試用戶(hù)、共享用戶(hù)等等��。用戶(hù)組策略設(shè)置相應(yīng)權(quán)限����,并且經(jīng)常檢查系統(tǒng)的用戶(hù)��,刪除已經(jīng)不再使用的用戶(hù)����。這些用戶(hù)很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口����。
3、創(chuàng)建兩個(gè)管理員賬號(hào)
創(chuàng)建一個(gè)一般權(quán)限用戶(hù)用來(lái)收信以及處理一些日常事物�����,另一個(gè)擁有Administrators 權(quán)限的用戶(hù)只在需要的時(shí)候使用���。
4���、把系統(tǒng)Administrator賬號(hào)改名
大家都知道,Windows 2000 的Administrator用戶(hù)是不能被停用的��,這意味著別人可以一遍又一遍地嘗試這個(gè)用戶(hù)的密碼�����。盡量把它偽裝成普通用戶(hù)�,比如改成Guesycludx。
5�����、創(chuàng)建一個(gè)陷阱用戶(hù)
什么是陷阱用戶(hù)?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶(hù)���,把它的權(quán)限設(shè)置成最低��,什么事也干不了的那種�,并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼���。這樣可以讓那些 Hacker們忙上一段時(shí)間�����,借此發(fā)現(xiàn)它們的入侵企圖��。
6����、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶(hù)
任何時(shí)候都不要把共享文件的用戶(hù)設(shè)置成“Everyone”組����,包括打印共享���,默認(rèn)的屬性就是“Everyone”組的,一定不要忘了改�。
7、開(kāi)啟用戶(hù)策略
使用用戶(hù)策略��,分別設(shè)置復(fù)位用戶(hù)鎖定計(jì)數(shù)器時(shí)間為20分鐘�,用戶(hù)鎖定時(shí)間為20分鐘,用戶(hù)鎖定閾值為3次����。
8、不讓系統(tǒng)顯示上次登錄的用戶(hù)名
默認(rèn)情況下��,登錄對(duì)話框中會(huì)顯示上次登錄的用戶(hù)名�����。這使得別人可以很容易地得到系統(tǒng)的一些用戶(hù)名��,進(jìn)而做密碼猜測(cè)����。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶(hù)名����。方法為:打開(kāi)注冊(cè)表編輯器并找到注冊(cè)表項(xiàng)“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”��,把REG_SZ的鍵值改成1����。
密碼安全設(shè)置
1��、使用安全密碼
一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名��、計(jì)算機(jī)名做用戶(hù)名�����,然后又把這些用戶(hù)的密碼設(shè)置得太簡(jiǎn)單���,比如“welcome”等等��。因此���,要注意密碼的復(fù)雜性,還要記住經(jīng)常改密碼��。
2、設(shè)置屏幕保護(hù)密碼
這是一個(gè)很簡(jiǎn)單也很有必要的操作�����。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障�。
3、開(kāi)啟密碼策略
注意應(yīng)用密碼策略���,如啟用密碼復(fù)雜性要求�����,設(shè)置密碼長(zhǎng)度最小值為6位 �,設(shè)置強(qiáng)制密碼歷史為5次�,時(shí)間為42天。
4�����、考慮使用智能卡來(lái)代替密碼
對(duì)于密碼��,總是使安全管理員進(jìn)退兩難��,密碼設(shè)置簡(jiǎn)單容易受到黑客的攻擊�����,密碼設(shè)置復(fù)雜又容易忘記。如果條件允許�����,用智能卡來(lái)代替復(fù)雜的密碼是一個(gè)很好的解決方法���。(待續(xù))
