Huit conseils pour la sécurité de Windows 2000

Auteur：Eve Cole Date de mise à jour：2009-06-05 23:12:49

Il y a tellement d'utilisateurs du système Windows 2000 qu'il se classe en tête de liste des systèmes attaqués. Cependant, cela ne signifie pas que la sécurité de Windows 2000 n'est pas bonne du tout, à condition qu'il soit correctement configuré et géré. c'est relativement sûr. J'utilise Windows 2000 depuis longtemps et j'ai progressivement trouvé des moyens de maintenir sa sécurité. Voici quelques opinions personnelles. Veuillez me corriger si j'ai des lacunes.

Une installation sûre minimise les soucis

La sécurité du système Windows 2000 doit être accumulée petit à petit à partir du moment de l'installation, mais cela est souvent ignoré. Les points suivants doivent être pris en compte lors de l'installation de Windows 2000 :

1. Ne choisissez pas d’installer depuis Internet

Bien que Microsoft prenne en charge l’installation en ligne, celle-ci n’est certainement pas sûre. Ne vous connectez pas au réseau, notamment à Internet, avant que le système ne soit complètement installé ! Ne connectez même pas tout le matériel pour l'installation. Parce que lorsque Windows 2000 est installé, après avoir saisi le mot de passe du compte administrateur de l'utilisateur "Administrateur", le système créera un compte partagé de "$ADMIN", mais il ne sera pas protégé avec le mot de passe que vous venez de saisir. Cette situation continuera jusqu'à. L'ordinateur redémarre. Pendant cette période, n'importe qui peut accéder au système via « $ADMIN » ; en même temps, une fois l'installation terminée, divers services s'exécuteront automatiquement immédiatement. À ce moment-là, le serveur est encore plein de vulnérabilités, ce qui le rend très facile. s'immiscer de l'extérieur.

2. Sélectionnez le format NTFS à partitionner

Il est préférable que toutes les partitions soient au format NTFS, car les partitions au format NTFS sont plus sécurisées. Même si d'autres partitions utilisent d'autres formats (comme FAT32), au moins la partition sur laquelle se trouve le système doit être au format NTFS.

De plus, les applications ne doivent pas être placées dans la même partition que le système pour empêcher les attaquants d'exploiter les vulnérabilités des applications (telles que les vulnérabilités IIS de Microsoft, tout le monde le sait) pour provoquer la fuite des fichiers système et même permettre aux intrus d'obtenir à distance les autorisations des membres de la direction. .

3. Sélection de la version du système

Nous aimons généralement utiliser des logiciels avec des interfaces chinoises, mais pour les produits Microsoft, en raison de la situation géographique et des facteurs du marché, il existe d'abord des versions anglaises, puis des versions dans d'autres langues de différents pays. En d'autres termes, la langue du noyau du système Windows est l'anglais, donc, relativement parlant, sa version du noyau devrait avoir beaucoup moins de vulnérabilités que sa version compilée. Cela est également vrai pour la vulnérabilité de la méthode de saisie chinoise de Windows 2000. tout le monde à voir.

L’installation sécurisée mentionnée ci-dessus ne peut que réduire vos soucis. Ne pensez pas que vous pouvez le faire une fois pour toutes. Il vous reste encore beaucoup de travail à faire.

·Huit conseils pour assurer la sécurité de Windows 2000 (2)

Gérez correctement votre système pour le rendre plus sécurisé

Le système n’est pas sûr. Ne vous plaignez pas toujours du logiciel lui-même. Pensez davantage aux facteurs humains ! Parlons de quelques points auxquels il faut prêter attention pendant le processus de gestion du point de vue des administrateurs :

1. Faites attention aux dernières vulnérabilités, appliquez les correctifs et installez les pare-feu à temps

La responsabilité de l'administrateur est de maintenir la sécurité du système, d'absorber les dernières informations sur les vulnérabilités et d'appliquer les correctifs correspondants en temps opportun. Il s'agit du moyen le plus simple et le plus efficace de maintenir la sécurité du système. Je voudrais recommander un bon site de sécurité à l'étranger : ttp://www.eeye.com. Parallèlement, il est également nécessaire d’installer la dernière version du pare-feu, qui pourra vous aider. Mais n'oubliez pas : « Aussi haut que soit la route, aussi haut est le diable. » Il n'y a pas de sécurité absolue. Les correctifs suivront toujours l'annonce des vulnérabilités. Il n'est pas possible de faire entièrement confiance aux correctifs système et aux pare-feu !

2. Il est interdit d'établir des connexions vides et d'empêcher les personnes d'entrer.

Les pirates utilisent souvent le partage pour mener des attaques. En fait, ce n'est pas sa vulnérabilité, c'est juste que le compte et le mot de passe de l'administrateur sont trop simples. Si vous ne vous souciez pas de les conserver, il vaut mieux les bannir !

Ceci est principalement réalisé en modifiant le registre. La clé primaire et la valeur de la clé sont les suivantes :

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]

RestreindreAnonyme = DWORD:00000001

3. Interdire le partage de gestion

En plus de ce qui précède, interdisons celui-ci aussi !

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]

Serveur AutoShare = DWORD : 00000000

4. Concevez soigneusement vos mots de passe pour éviter toute intrusion

Haha, après avoir lu les points 2 et 3 ci-dessus, les amis expérimentés y penseront naturellement. Oui, c'est un cliché. De nombreux serveurs sont compromis parce que le mot de passe administrateur est trop simple.

Concernant la configuration des mots de passe, je recommande : ① La longueur doit être supérieure à 8 caractères. ② Combinaisons complexes de lettres majuscules et minuscules, de chiffres et de symboles spéciaux, tels que : G1aLe^ Évitez les mots de passe de type « mots purs » ou « mots plus chiffres », tels que : gale, gale123, etc.

Particularité : Le mot de passe SA dans MSSQL 7.0 ne doit pas être vide ! Par défaut, le mot de passe "SA" est vide, et son autorisation est "admin", réfléchissez aux conséquences.

·Huit conseils pour assurer la sécurité de Windows 2000 (3)

5. Limitez le nombre d'utilisateurs dans le groupe administrateur

Limitez strictement le nombre d'utilisateurs du groupe Administrateur et assurez-vous qu'un seul administrateur (c'est-à-dire vous-même) est à tout moment un utilisateur de ce groupe. Vérifiez les utilisateurs de ce groupe au moins une fois par jour et supprimez tous les utilisateurs supplémentaires trouvés. Il ne fait aucun doute que les nouveaux utilisateurs doivent être des portes dérobées laissées par des intrus ! Dans le même temps, faites attention à l'utilisateur invité. Les intrus intelligents n'ajoutent généralement pas de noms d'utilisateur inconnus, qui peuvent facilement être découverts par les administrateurs. Ils activent généralement d'abord l'utilisateur invité, puis modifient son mot de passe, puis le mettent dans l'administrateur. groupe, mais l'utilisateur invité. Pourquoi venez-vous dans le groupe administrateur sans raison ? Arrêtez-le !

6. Arrêtez les services inutiles

Ce n'est pas une bonne chose d'avoir trop de services activés. Surtout si même l’administrateur ne sait pas ce qu’est le service, pourquoi continue-t-il à fonctionner ? Éteignez-le ! Pour éviter de provoquer un désastre dans le système.

De plus, si l'administrateur ne sort pas et n'a pas besoin de gérer votre ordinateur à distance, il est préférable de désactiver toutes les fonctions de connexion réseau à distance. Notez qu'à moins que cela ne soit spécifiquement nécessaire, désactivez les services « Task Scheduler » et « RunAs Service » !

La méthode pour arrêter un service est très simple. Après avoir exécuté cmd.exe, arrêtez directement le nom du serveur.

7. Les administrateurs doivent se comporter correctement et ne pas utiliser les serveurs de l'entreprise à des fins personnelles.

En plus d'être un serveur, Windows 2000 Server peut également servir d'ordinateur pour des utilisateurs individuels, naviguant sur Internet, envoyant et recevant des e-mails, etc. En tant qu'administrateur, vous devez essayer d'utiliser le moins possible le navigateur du serveur pour naviguer sur le Web afin d'éviter l'infection par un cheval de Troie et l'exposition des informations privées de l'entreprise en raison des vulnérabilités du navigateur. Microsoft IE présente de nombreuses vulnérabilités, je pense que tout le monde en est conscient, n'est-ce pas ? De plus, il est recommandé de ne pas utiliser Outlook et d'autres outils sur le serveur pour envoyer et recevoir des e-mails afin d'éviter de contracter des virus et de causer des pertes à l'entreprise.

8. Faites attention à la sécurité locale

Il est important de prévenir les intrusions à distance, mais la sécurité locale du système ne peut être ignorée. L'intrus n'est peut-être pas loin, mais il se peut qu'il se trouve juste autour de vous !

(1) Il va sans dire que vous devez appliquer le dernier correctif à temps pour éviter les vulnérabilités des méthodes de saisie. Les vulnérabilités des méthodes de saisie conduisent non seulement à des intrusions locales, mais si le service de terminal est activé, la porte du système sera grande ouverte et une machine sur laquelle un client terminal est installé peut facilement s'introduire par effraction !

(2) Ne pas afficher le dernier utilisateur connecté

Si votre machine doit être partagée par plusieurs personnes (en fait, un vrai serveur ne devrait pas être comme ça), alors il est important de désactiver l'affichage du dernier utilisateur connecté pour empêcher les autres de deviner le mot de passe. La méthode de paramétrage est la suivante : Allez dans [Démarrer] → [Programmes] → [Outils d'administration] → [Politique de sécurité locale], ouvrez les "Options de sécurité" de "Politique locale", double-cliquez à droite "Ne pas afficher le dernier nom d'utilisateur connecté sur l'écran de connexion." ", sélectionnez "Activé", puis cliquez sur [OK]. De cette façon, le nom d'utilisateur que vous avez connecté la dernière fois ne sera pas affiché dans la zone du nom d'utilisateur la prochaine fois que vous vous connecterez. dans.