Ada begitu banyak pengguna sistem Windows 2000 yang menempati peringkat teratas dalam daftar sistem yang diserang. Namun, ini tidak berarti bahwa keamanan Windows 2000 tidak baik selama dikonfigurasi dan dikelola dengan benar. itu relatif aman. Saya telah menggunakan Windows 2000 untuk waktu yang lama, dan secara bertahap saya menemukan beberapa cara untuk menjaga keamanannya. Berikut adalah beberapa pendapat pribadi. Mohon koreksi saya jika saya memiliki kekurangan.
Pemasangan yang aman meminimalkan kekhawatiran
Keamanan sistem Windows 2000 harus diakumulasikan sedikit demi sedikit sejak instalasi, namun hal ini sering diabaikan. Hal-hal berikut perlu diperhatikan ketika menginstal Windows 2000:
1. Jangan memilih untuk menginstal dari Internet
Meskipun Microsoft mendukung instalasi online, ini jelas tidak aman. Jangan sambungkan ke jaringan, terutama Internet, sebelum sistem terinstal sepenuhnya! Karena ketika Windows 2000 diinstal, setelah memasukkan kata sandi akun administrator pengguna "Administrator", sistem akan membuat akun bersama "$ADMIN", tetapi tidak akan dilindungi dengan kata sandi yang baru saja dimasukkan Komputer mulai lagi. Selama periode ini, siapa pun dapat masuk ke sistem melalui "$ADMIN"; pada saat yang sama, setelah instalasi selesai, berbagai layanan akan langsung berjalan secara otomatis. Saat ini, server masih penuh dengan kerentanan, sehingga sangat mudah untuk dilakukan mengganggu dari luar.
2. Pilih format NTFS untuk dipartisi
Sebaiknya semua partisi berformat NTFS, karena partisi berformat NTFS lebih aman. Sekalipun partisi lain menggunakan format lain (misalnya FAT32), setidaknya partisi tempat sistem berada harus dalam format NTFS.
Selain itu, aplikasi tidak boleh ditempatkan di partisi yang sama dengan sistem untuk mencegah penyerang mengeksploitasi kerentanan aplikasi (seperti kerentanan Microsoft IIS, semua orang tahu ini) yang menyebabkan kebocoran file sistem dan bahkan memungkinkan penyusup mendapatkan izin anggota manajemen dari jarak jauh .
3. Pemilihan versi sistem
Kami biasanya suka menggunakan perangkat lunak dengan antarmuka berbahasa Mandarin, tetapi untuk produk Microsoft, karena lokasi geografis dan faktor pasar, ada versi bahasa Inggris terlebih dahulu, kemudian versi dalam bahasa lain di berbagai negara. Dengan kata lain, bahasa kernel sistem Windows adalah bahasa Inggris, jadi secara relatif, versi kernelnya seharusnya memiliki kerentanan yang jauh lebih sedikit daripada versi kompilasinya. Hal ini juga berlaku. Kerentanan metode input Cina pada Windows 2000 telah menjadi perhatian besar semua orang untuk melihat.
Instalasi aman yang disebutkan di atas hanya dapat mengurangi kekhawatiran Anda. Jangan berpikir bahwa Anda dapat melakukannya untuk selamanya. Masih banyak pekerjaan yang menunggu untuk Anda lakukan.
·Delapan tips untuk memastikan keamanan Windows 2000 (2)
Kelola sistem Anda dengan benar agar lebih aman
Sistem tidak aman. Jangan selalu mengeluh tentang perangkat lunak itu sendiri. Mari kita bahas beberapa hal yang perlu diperhatikan dalam proses pengelolaan dari sudut pandang pengelola:
1. Perhatikan kerentanan terbaru, terapkan patch dan instal firewall tepat waktu
Tanggung jawab administrator adalah menjaga keamanan sistem, menyerap informasi kerentanan terbaru, dan menerapkan patch terkait secara tepat waktu. Ini adalah cara paling sederhana dan efektif untuk menjaga keamanan sistem. Saya ingin merekomendasikan situs keamanan yang bagus di luar negeri: ttp://www.eeye.com. Pada saat yang sama, Anda juga perlu menginstal firewall versi terbaru, yang dapat membantu Anda. Tapi ingat: "Setinggi apa pun jalannya, setinggi itu pula iblisnya." Tidak ada keamanan mutlak. Patch akan selalu mengikuti pengumuman kerentanan.
2. Dilarang membuat sambungan kosong dan menghalangi orang masuk.
Peretas sering menggunakan berbagi untuk melakukan serangan. Faktanya, ini bukan kerentanannya. Hanya saja akun administrator dan kata sandinya terlalu sederhana.
Hal ini terutama dicapai dengan memodifikasi registri. Kunci utama dan nilai kunci adalah sebagai berikut:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]
BatasiAnonim = DWORD:00000001
3. Melarang pembagian pengelolaan
Selain yang di atas, yuk kita larang yang ini juga!
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]
Server Berbagi Otomatis = DWORD:00000000
4. Rancang kata sandi dengan hati-hati untuk mencegah intrusi
Haha, setelah membaca poin 2 dan 3 di atas, pasti sobat yang sudah berpengalaman akan memikirkan hal ini. Ya, ini klise. Banyak server yang disusupi karena kata sandi administrator terlalu sederhana.
Mengenai pengaturan kata sandi, saya merekomendasikan: ① Panjangnya harus lebih dari 8 karakter. ② Kombinasi rumit huruf besar dan kecil, angka, dan simbol khusus, seperti: G1aLe^. Hindari kata sandi jenis "kata murni" atau "kata plus angka", seperti: gale, gale123, dll.
Catatan khusus: Kata sandi SA di MSSQL 7.0 wajib diisi! Secara default, kata sandi "SA" kosong, dan izinnya adalah "admin", pikirkan konsekuensinya.
·Delapan tips untuk memastikan keamanan Windows 2000 (3)
5. Batasi jumlah pengguna dalam grup administrator
Batasi secara ketat pengguna grup Administrator, dan pastikan hanya satu Administrator (yaitu Anda sendiri) yang menjadi pengguna grup ini sepanjang waktu. Periksa pengguna grup ini setidaknya sekali sehari, dan hapus pengguna tambahan yang ditemukan! Tidak ada keraguan bahwa pengguna baru pasti merupakan pintu belakang yang ditinggalkan oleh penyusup! Pada saat yang sama, perhatikan pengguna Tamu. Penyusup yang cerdas umumnya tidak menambahkan nama pengguna yang tidak dikenal, yang dapat dengan mudah ditemukan oleh administrator. Mereka biasanya mengaktifkan pengguna Tamu terlebih dahulu, kemudian mengubah kata sandinya, dan kemudian memasukkannya ke dalam administrator grup, tetapi pengguna Tamu Mengapa Anda datang ke grup administrator tanpa alasan Hentikan!
6. Hentikan layanan yang tidak perlu
Bukan hal yang baik untuk mengaktifkan terlalu banyak layanan. Apalagi kalau administratornya pun tidak tahu apa layanannya, kenapa masih berjalan? Matikan! Untuk menghindari terjadinya bencana pada sistem.
Selain itu, jika administrator tidak keluar dan tidak perlu mengelola komputer Anda dari jarak jauh, sebaiknya nonaktifkan semua fungsi login jaringan jarak jauh. Perhatikan bahwa kecuali diperlukan secara khusus, nonaktifkan layanan "Penjadwal Tugas" dan "Layanan RunAs"!
Cara mematikan layanan sangat sederhana. Setelah menjalankan cmd.exe, langsung net stop nama server.
7. Administrator harus berperilaku baik dan tidak menggunakan server perusahaan untuk penggunaan pribadi.
Selain sebagai server, Windows 2000 Server juga dapat berperan sebagai komputer untuk pengguna individu, browsing Internet, mengirim dan menerima E-mail, dan lain sebagainya. Sebagai administrator, Anda harus mencoba menggunakan browser server sesedikit mungkin untuk menjelajahi web untuk menghindari infeksi Trojan dan paparan informasi pribadi perusahaan karena kerentanan browser. Microsoft IE memiliki banyak kerentanan, saya yakin semua orang menyadarinya, bukan? Selain itu, disarankan untuk tidak menggunakan Outlook dan alat lain di server untuk mengirim dan menerima email untuk menghindari tertular virus dan menyebabkan kerugian pada perusahaan.
8. Perhatikan keamanan setempat
Mencegah intrusi jarak jauh itu penting, namun keamanan lokal sistem tidak dapat diabaikan. Penyusup mungkin tidak jauh, tetapi mungkin ada di sekitar Anda!
(1) Sudah jelas bahwa Anda harus menerapkan patch terbaru tepat waktu untuk mencegah kerentanan metode input. Kerentanan metode input tidak hanya menyebabkan intrusi lokal, tetapi jika layanan terminal diaktifkan, pintu sistem akan terbuka lebar, dan mesin dengan klien terminal terpasang dapat dengan mudah masuk!
(2) Jangan tampilkan pengguna yang terakhir masuk
Jika mesin Anda harus digunakan bersama oleh banyak orang (pada kenyataannya, server sebenarnya tidak boleh seperti ini), maka penting untuk menonaktifkan tampilan pengguna yang terakhir masuk untuk mencegah orang lain menebak kata sandinya. Cara pengaturannya adalah: Masuk ke [Mulai] → [Program] → [Alat Administratif] → [Kebijakan Keamanan Lokal], buka "Opsi Keamanan" dari "Kebijakan Lokal", klik dua kali di sebelah kanan "Jangan tampilkan yang terakhir nama pengguna yang masuk pada layar masuk." ", pilih "Diaktifkan", lalu klik [OK]. Dengan cara ini, nama pengguna yang Anda masuk terakhir kali tidak akan ditampilkan di kotak nama pengguna saat Anda masuk lagi di dalam.