| 联系我们 |
 |
合作经济与科技杂志社
地址:石家庄市建设南大街21号
邮编:050011
电话:0311-86049879 |
|
|
| 经济/产业 |
信息安全对今天的网络系统来说,是一个非常重要又非常严重的问题,它涉及到从硬件到软件、从单机到网络的各个方面的安全性机制。Windows2000是目前比较流行的操作系统,也成为了病毒和黑客攻击的目标,比如日前出现的“冲击波”病毒就是例子。下面我从几个方面介绍一下如何利用Windows2000自身的功能实现对系统的安全控制。
用户安全设置
1、禁用Guest账号。在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户。去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
3、创建两个管理员账号。创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators权限的用户只在需要的时候使用。可以让管理使用“runas”命令来执行一些需要特权才能做的工作。
4、把系统Administrator账号改名。大家都知道,Windows 2000的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。把Administrator账户改名可以有效地防止这一点,当然不要使用Admin之类的名子,尽量把它伪装成普通用户。
5、创建一个陷阱用户。什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间,借此发现它们的入侵企图。
6、把共享文件的权限从“Everyone”组改成“授权用户”。“Everyone”在Windows2000中意味着任何进入你网络的用户都能够获得这些共享资料。包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
7、不让系统显示上次登录的用户名。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。
在密码安全设置方面
在给账号设置密码时,不是密码位数越多越好,在符合密码复杂性原则的基础上,7位和14位的密码是最好的。
有一点大家需注意:屏幕保护存在一个安全漏洞,即他人可以在不进入系统的情况下,利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后,只要这个“屏幕保护程序”一运行,Cmd窗口就会弹出且以系统身份运行,默认是最大权限。因此,采用设置屏幕保护密码的做法并不安全,正确的做法应是网管员离开工位时要锁定计算机(Windows2000下,按Ctrl+Alt+Del,在弹出的“关机”菜单中选择“锁定计算机”即可)。
在系统安全设置方面
1、使用NTFS格式分区。Windows2000自带了转换NTFS分区的工具Convert。在命令提示符下执行Convert x/FSNTFS(x为所要转换的盘符),执行时如果转换的是非操作系统所在分区,则立即执行分区转换;如果转换的是操作系统所在分区,则重启后执行分区转换。注意:此转换过程是单向不可逆的,即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换,但这样做不能保证绝对安全,在某些情况下会导致分区不可用。
2、及时到微软网站下载最新的补丁程序。“冲击波”是利用DCOM RPC缓冲区漏洞攻击该系统,如果你及时地下载更新就能防止受到攻击。所以,经常访问微软的一些安全站点,下载最新的Service Pack漏洞补丁,是保障操作系统的唯一方法。
3、关闭默认共享。Windows2000安装以后,系统会创建一些隐藏共享,你可以在Cmd下打Net Share查看,这里必须要修改注册表,否则每次重启之后默认共享还会出现。在注册表“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/urrentVersion/Run”下,在右栏空白位置点击鼠标右键,选择“新建”,再选“字符串值”,名称中输入:“delipc$”,这里的名字可以随便取,然后双击它就会弹出一个窗口来,输入:“net share ipc$/del”,下次开机就可自动删掉默认共享。
4、锁住注册表。Windows2000提供了一个叫Regedt32.exe的工具,它也是一个注册表编辑器。它有一个“安全”选项,可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权,例如设置成只有Administrator才能读取和修改,不给其他人可乘之机。
在服务安全设置方面`
1、关闭不必要的端口。可关闭端口意味着减少功能,在安全和功能上面需要你做一点决策。如果服务器安装在防火墙的后面,冒险就会少些。但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统已开放的端口,确定系统开放的哪些服务可能引起黑客入侵。
2、设置好安全记录的访问。Windows2000操作系统自带了审核工具,默认不开启。如果一旦开启了审核策略,用户可以在事件日志里查看安全日志,里面会有详细的审核记录,审核通常为成功和失败两种。不过,建议平时不要常开安全审核,因为审核量很大,通常一个错误的密码输入就可以在日志中记录一页多的条目,非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。
3、把敏感文件存放在另外的文件服务器中。出于对性能和安全的双重考虑,建议有条件的用户将域控制器与Web服务器、数据库服务器等其他重要服务器分开,即不要用同一台服务器运行多种服务。同时,一定要进行及时、有效的备份。
4、禁止建立空连接。默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。我们可以通过修改注册表来禁止建立空连接。
当然,还有其他比如禁用Dump File的产生、加密Temp文件夹等,在此不一一列举了,总之通过上述设置你的操作系统就会安全多了。(□文/纪海江) |
|
|
|
