Oito dicas para segurança do Windows 2000

Autor：Eve Cole Data da Última Atualização：2009-06-05 23:12:49

Existem tantos usuários do sistema Windows 2000 que ele está no topo da lista de sistemas atacados. No entanto, isso não significa que a segurança do Windows 2000 não seja boa, desde que seja configurado e gerenciado corretamente. é relativamente seguro. Eu uso o Windows 2000 há muito tempo e gradualmente descobri algumas maneiras de manter sua segurança. Aqui estão algumas opiniões pessoais.

A instalação segura minimiza preocupações

A segurança do sistema Windows 2000 deve ser acumulada aos poucos desde o momento da instalação, mas isso geralmente é ignorado. Os seguintes pontos precisam ser observados ao instalar o Windows 2000:

1. Não opte por instalar pela Internet

Embora a Microsoft ofereça suporte à instalação online, definitivamente não é seguro. Não se conecte à rede, principalmente à Internet, antes que o sistema esteja totalmente instalado! Pois quando o Windows 2000 for instalado, após inserir a senha da conta de administrador do usuário “Administrador”, o sistema criará uma conta compartilhada de “$ADMIN”, mas não estará protegida com a senha que acabamos de inserir. O computador inicia novamente. Durante este período, qualquer pessoa pode entrar no sistema através de “$ADMIN” ao mesmo tempo, após a conclusão da instalação, vários serviços serão executados automaticamente. Neste momento, o servidor ainda está cheio de vulnerabilidades, tornando-o muito fácil. intrometer-se de fora.

2. Selecione o formato NTFS para particionar

É melhor que todas as partições estejam no formato NTFS, porque as partições formatadas em NTFS são mais seguras. Mesmo que outras partições utilizem outros formatos (como FAT32), pelo menos a partição onde o sistema está localizado deve estar no formato NTFS.

Além disso, os aplicativos não devem ser colocados na mesma partição do sistema para evitar que invasores explorem vulnerabilidades de aplicativos (como as vulnerabilidades do IIS da Microsoft, todos sabem disso) para causar o vazamento de arquivos do sistema e até mesmo permitir que invasores obtenham remotamente permissões de membros de gerenciamento .

3. Seleção da versão do sistema

Geralmente gostamos de usar software com interfaces chinesas, mas para produtos Microsoft, devido à localização geográfica e fatores de mercado, existem primeiro versões em inglês e depois versões em outros idiomas de vários países. Em outras palavras, o idioma do kernel do sistema Windows é o inglês, portanto, relativamente falando, sua versão do kernel deve ter muito menos vulnerabilidades do que sua versão compilada. Isso também é verdade. todo mundo para ver.

A instalação segura mencionada acima só pode reduzir suas preocupações. Não pense que você pode fazer isso de uma vez por todas. Ainda há muito trabalho esperando por você.

·Oito dicas para garantir a segurança do Windows 2000 (2)

Gerencie seu sistema adequadamente para torná-lo mais seguro

O sistema não é seguro. Nem sempre reclame do software em si. Vamos falar sobre alguns pontos que precisam ter atenção durante o processo de gestão na perspectiva dos administradores:

1. Preste atenção às vulnerabilidades mais recentes, aplique patches e instale firewalls a tempo

A responsabilidade do administrador é manter a segurança do sistema, absorver as informações mais recentes sobre vulnerabilidades e aplicar os patches correspondentes em tempo hábil. Esta é a maneira mais simples e eficaz de manter a segurança do sistema. Gostaria de recomendar um bom site de segurança no exterior: ttp://www.eeye.com. Ao mesmo tempo, também é necessário instalar a versão mais recente do firewall, que pode ajudá-lo. Mas lembre-se: "Por mais alto que seja o caminho, tão alto é o diabo." Não há segurança absoluta sempre após o anúncio de vulnerabilidades. Não é viável confiar totalmente em patches e firewalls do sistema.

2. É proibido estabelecer conexões vazias e manter pessoas afastadas.

Os hackers costumam usar o compartilhamento para realizar ataques. Na verdade, não é sua vulnerabilidade, apenas a conta e a senha do administrador são muito simples.

Isto é conseguido principalmente modificando o registro. A chave primária e o valor da chave são os seguintes:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]

RestritoAnônimo = DWORD:00000001

3. Proibir compartilhamento de gestão

Além do acima, vamos proibir este também!

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParâmetros]

AutoShareServer = DWORD:00000000

4. Projete senhas com cuidado para evitar invasões

Haha, depois de ler os pontos 2 e 3 acima, amigos experientes naturalmente pensarão nisso. Sim, isso é um clichê. Muitos servidores estão comprometidos porque a senha do administrador é muito simples.

Em relação à configuração de senhas, recomendo: ① O comprimento deve ser superior a 8 caracteres. ② Combinações complexas de letras maiúsculas e minúsculas, números e símbolos especiais, como: G1aLe^ Evite senhas do tipo "palavras puras" ou "palavras mais números", como: gale, gale123, etc.

Nota especial: A senha SA no MSSQL 7.0 não deve estar vazia! Por padrão, a senha “SA” está vazia e sua permissão é “admin”, pense nas consequências.

·Oito dicas para garantir a segurança do Windows 2000 (3)

5. Limite o número de usuários no grupo de administradores

Limite estritamente os usuários do grupo Administradores e certifique-se de que apenas um Administrador (ou seja, você mesmo) seja usuário desse grupo o tempo todo. Verifique os usuários deste grupo pelo menos uma vez por dia e exclua quaisquer usuários adicionais encontrados. Não há dúvida de que os novos usuários devem ser backdoors deixados por intrusos! Ao mesmo tempo, preste atenção ao usuário Convidado. Intrusos inteligentes geralmente não adicionam nomes de usuário desconhecidos, que podem ser facilmente descobertos pelos administradores. Eles geralmente ativam o usuário Convidado primeiro, depois alteram sua senha e depois a colocam no administrador. grupo, mas o usuário Convidado Por que você está vindo para o grupo de administradores sem motivo Pare com isso?

6. Interrompa serviços desnecessários

Não é bom ter muitos serviços ativados. Desligue todos os serviços desnecessários! Principalmente se nem mesmo o administrador sabe o que é o serviço, por que ele ainda está em execução? Desligue isso! Para evitar causar desastre ao sistema.

Além disso, se o administrador não sair e não precisar gerenciar remotamente o seu computador, é melhor desligar todas as funções de login remoto na rede. Observe que, a menos que seja especificamente necessário, desative os serviços "Agendador de tarefas" e "Serviço RunAs"!

O método para encerrar um serviço é muito simples. Depois de executar cmd.exe, pare diretamente o nome do servidor.

7. Os administradores devem comportar-se e não utilizar os servidores da empresa para uso pessoal.

Além de ser um servidor, o Windows 2000 Server também pode funcionar como um computador para usuários individuais, navegando na Internet, enviando e recebendo e-mails e assim por diante. Como administrador, você deve tentar usar o navegador do servidor o mínimo possível para navegar na web para evitar infecção por Trojan e exposição de informações privadas da empresa devido a vulnerabilidades do navegador. O Microsoft IE tem muitas vulnerabilidades, acredito que todos estão cientes disso, certo? Além disso, é recomendado não utilizar o Outlook e outras ferramentas do servidor para enviar e receber e-mails para evitar contrair vírus e causar prejuízos à empresa.

8. Preste atenção à segurança local

Prevenir a intrusão remota é importante, mas a segurança local do sistema não pode ser ignorada. O intruso pode não estar longe, mas pode estar perto de você!

(1) Nem é preciso dizer que você deve aplicar o patch mais recente a tempo de evitar vulnerabilidades nos métodos de entrada. As vulnerabilidades do método de entrada não apenas levam a invasões locais, mas se o serviço de terminal estiver ativado, a porta do sistema ficará totalmente aberta e uma máquina com um cliente de terminal instalado poderá facilmente invadir!

(2)Não exibir o último usuário logado

Se sua máquina tiver que ser compartilhada por várias pessoas (na verdade, um servidor real não deveria ser assim), então é importante desabilitar a exibição do último usuário logado para evitar que outros adivinhem a senha. O método de configuração é: Vá para [Iniciar] → [Programas] → [Ferramentas Administrativas] → [Política de Segurança Local], abra as "Opções de Segurança" de "Política Local", clique duas vezes à direita "Não exibir o último nome de usuário conectado na tela de login." ", selecione "Ativado" e clique em [OK]. Dessa forma, o nome de usuário que você efetuou login da última vez não será exibido na caixa de nome de usuário na próxima vez que você fizer login. em.