Пользователей системы Windows 2000 так много, что она занимает первое место в списке атакованных систем. Однако это не означает, что безопасность Windows 2000 совсем плоха, если она правильно настроена и управляется. это относительно безопасно. Я использую Windows 2000 в течение длительного времени и постепенно нашел некоторые способы обеспечения ее безопасности. Вот несколько личных мнений. Пожалуйста, поправьте меня, если у меня есть какие-либо недостатки.
Безопасная установка сводит к минимуму беспокойство
Безопасность системы Windows 2000 должна накапливаться постепенно с момента установки, но это часто игнорируется. При установке Windows 2000 необходимо учитывать следующие моменты:
1. Не выбирайте установку из Интернета.
Хотя Microsoft поддерживает установку через Интернет, это определенно небезопасно. Не подключайтесь к сети, особенно к Интернету, до полной установки системы. Даже не подключайте все оборудование для установки! Потому что при установке Windows 2000 после ввода пароля учетной записи администратора пользователя «Администратор» система создаст общую учетную запись «$ADMIN», но она не будет защищена только что введенным паролем. Такая ситуация будет продолжаться до тех пор, пока. Компьютер снова запускается. В этот период любой желающий может войти в систему через «$ADMIN»; при этом после завершения установки сразу автоматически запустятся различные службы. В это время сервер все еще полон уязвимостей, что делает его очень простым. вторгаться извне.
2. Выберите формат NTFS для разделения.
Лучше всего, чтобы все разделы были в формате NTFS, поскольку разделы в формате NTFS более безопасны. Даже если другие разделы используют другие форматы (например, FAT32), по крайней мере раздел, на котором расположена система, должен быть в формате NTFS.
Кроме того, приложения не следует размещать в том же разделе, что и система, чтобы злоумышленники не могли использовать уязвимости приложений (такие как уязвимости Microsoft IIS, все это знают), чтобы вызвать утечку системных файлов и даже позволить злоумышленникам удаленно получать разрешения членов управления. .
3. Выбор версии системы
Обычно нам нравится использовать программное обеспечение с китайским интерфейсом, но для продуктов Microsoft из-за географического положения и рыночных факторов сначала существуют английские версии, а затем версии на других языках разных стран. Другими словами, язык ядра системы Windows — английский, поэтому, условно говоря, ее версия ядра должна иметь гораздо меньше уязвимостей, чем ее скомпилированная версия. Это также верно. Уязвимость китайского метода ввода в Windows 2000 вызвала большой ажиотаж. всем увидеть.
Упомянутая выше безопасная установка может только уменьшить ваше беспокойство. Не думайте, что вы сможете сделать это раз и навсегда. Вам предстоит еще много работы. Продолжайте читать:
·Восемь советов по обеспечению безопасности Windows 2000 (2)
Управляйте своей системой правильно, чтобы сделать ее более безопасной
Система небезопасна. Не всегда жалуйтесь на само программное обеспечение. Думайте больше о человеческом факторе! Давайте поговорим о некоторых моментах, на которые необходимо обратить внимание в процессе управления с точки зрения администраторов:
1. Обращайте внимание на последние уязвимости, вовремя применяйте патчи и устанавливайте межсетевые экраны.
В обязанности администратора входит поддержание безопасности системы, сбор новейшей информации об уязвимостях и своевременное применение соответствующих исправлений. Это самый простой и эффективный способ поддержания безопасности системы. Я хотел бы порекомендовать хороший сайт по безопасности за рубежом: ttp://www.eeye.com. При этом также необходимо установить последнюю версию брандмауэра, которая может вам помочь. Но помните: «Как высока дорога, так высок и дьявол». Абсолютной безопасности не бывает. Патчи всегда будут следовать за объявлением об уязвимостях. Невозможно полностью доверять системным патчам и межсетевым экранам!
2. Запрещено устанавливать пустые соединения и не пускать людей.
Хакеры часто используют общий доступ для проведения атак. На самом деле это не его уязвимость. Просто учетная запись и пароль администратора слишком просты. Если вы не беспокоитесь о их сохранении, лучше их забанить!
В основном это достигается путем изменения реестра. Первичный ключ и значение ключа следующие:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]
Ограничить анонимный = DWORD:00000001
3. Запретить совместное использование руководством
В дополнение к вышесказанному, давайте запретим и это!
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]
AutoShareServer = DWORD:00000000
4. Тщательно разрабатывайте пароли, чтобы предотвратить вторжение.
Ха-ха, прочитав пункты 2 и 3 выше, опытные друзья естественно подумают об этом. Да, это клише. Многие серверы взломаны из-за слишком простого пароля администратора.
По поводу установки паролей рекомендую: ① Длина должна быть более 8 символов. ② Сложные комбинации прописных и строчных букв, цифр и специальных символов, например: G1aLe^. Избегайте паролей типа «простые слова» или «слова плюс цифры», например: Gale, Gale123 и т. д.
Особое примечание: пароль SA в MSSQL 7.0 не должен быть пустым! По умолчанию пароль «SA» пустой, а его права — «admin», подумайте о последствиях.
·Восемь советов по обеспечению безопасности Windows 2000 (3)
5. Ограничьте количество пользователей в группе администраторов.
Строго ограничьте количество пользователей группы «Администраторы» и убедитесь, что только один администратор (то есть вы сами) всегда является пользователем этой группы. Проверяйте пользователей этой группы хотя бы раз в день и удаляйте всех найденных дополнительных пользователей. Нет никаких сомнений в том, что новые пользователи - это бэкдоры, оставленные злоумышленниками! При этом обратите внимание на пользователя «Гость» Умные злоумышленники обычно не добавляют незнакомые имена пользователей, которые легко могут обнаружить администраторы. Обычно они сначала активируют пользователя «Гость», затем меняют его пароль, а затем ставят его в админ. группа, а пользователь Гость Почему вы без причины приходите в группу администраторов?
6. Остановите ненужные службы
Нехорошо включать слишком много служб. Отключите все ненужные службы! Особенно если даже администратор не знает, что это за сервис, почему он все еще работает? Выключите его! Чтобы не вызвать катастрофу в системе.
Кроме того, если администратор не выходит на улицу и ему не нужно удаленно управлять вашим компьютером, лучше всего отключить все функции удаленного входа в сеть. Обратите внимание: если в этом нет особой необходимости, отключите службы «Планировщик заданий» и «Служба запуска от имени»!
Способ отключения службы очень прост. После запуска cmd.exe напрямую остановите имя_сервера.
7. Администраторам следует вести себя прилично и не использовать серверы компании в личных целях.
Windows 2000 Server не только является сервером, но и может выступать в качестве компьютера для отдельных пользователей, просматривая Интернет, отправляя и получая электронную почту и так далее. Как администратор, вы должны стараться как можно меньше использовать браузер сервера для просмотра веб-страниц, чтобы избежать заражения троянами и раскрытия личной информации компании из-за уязвимостей браузера. Microsoft IE имеет множество уязвимостей, я думаю, все об этом знают, не так ли? Кроме того, рекомендуется не использовать Outlook и другие инструменты на сервере для отправки и получения электронной почты, чтобы избежать заражения вирусами и нанесения ущерба предприятию.
8. Обратите внимание на местную безопасность
Предотвращение удаленного вторжения важно, но нельзя игнорировать локальную безопасность системы. Злоумышленник может быть недалеко, но может быть прямо вокруг вас!
(1) Само собой разумеется, что вы должны вовремя применить последний патч, чтобы предотвратить уязвимости метода ввода. Уязвимости метода ввода не только приводят к локальным вторжениям, но если служба терминала включена, дверь системы будет широко открыта, и машина с установленным терминальным клиентом может легко проникнуть внутрь!
(2) Не отображать последнего вошедшего в систему пользователя.
Если вашей машиной должны пользоваться несколько человек (на самом деле настоящий сервер не должен быть таким), то важно отключить отображение последнего вошедшего в систему пользователя, чтобы другие не могли подобрать пароль. Способ настройки: перейдите в [Пуск] → [Программы] → [Администрирование] → [Локальная политика безопасности], откройте «Параметры безопасности» «Локальной политики», дважды щелкните справа «Не отображать последнюю имя пользователя, вошедшего в систему, на экране входа в систему." ", выберите «Включено», а затем нажмите [ОК]. Таким образом, имя пользователя, которое вы вошли в систему в последний раз, не будет отображаться в поле имени пользователя при следующем входе в систему. в.