มีผู้ใช้ระบบ Windows 2000 จำนวนมากที่อยู่ในอันดับต้นๆ ของระบบที่ถูกโจมตี อย่างไรก็ตาม นี่ไม่ได้หมายความว่าความปลอดภัยของ Windows 2000 ไม่ดีเลย ตราบใดที่มีการกำหนดค่าและจัดการอย่างเหมาะสม มันค่อนข้างปลอดภัย ฉันใช้ Windows 2000 มาเป็นเวลานานแล้ว และฉันก็ค่อยๆ ค้นพบวิธีการบางอย่างในการรักษาความปลอดภัย นี่คือความคิดเห็นส่วนตัวบางส่วน โปรดแก้ไขให้ฉันด้วย
การติดตั้งที่ปลอดภัยช่วยลดความกังวล
ความปลอดภัยของระบบ Windows 2000 ควรสะสมทีละน้อยนับจากเวลาติดตั้ง แต่มักถูกละเลย จำเป็นต้องสังเกตประเด็นต่อไปนี้เมื่อติดตั้ง Windows 2000:
1. อย่าเลือกติดตั้งจากอินเทอร์เน็ต
แม้ว่า Microsoft จะรองรับการติดตั้งออนไลน์ แต่ก็ไม่ปลอดภัยอย่างแน่นอน อย่าเชื่อมต่อกับเครือข่าย โดยเฉพาะอินเทอร์เน็ต ก่อนที่ระบบจะติดตั้งเสร็จสมบูรณ์ อย่าแม้แต่จะเชื่อมต่อฮาร์ดแวร์ทั้งหมดเพื่อการติดตั้ง เพราะเมื่อติดตั้ง Windows 2000 หลังจากป้อนรหัสผ่านของบัญชีผู้ดูแลระบบผู้ใช้ "ผู้ดูแลระบบ" แล้ว ระบบจะสร้างบัญชีที่ใช้ร่วมกันของ "$ADMIN" แต่จะไม่ได้รับการป้องกันด้วยรหัสผ่านที่เพิ่งป้อน สถานการณ์นี้จะดำเนินต่อไปจนกว่า คอมพิวเตอร์เริ่มทำงานอีกครั้ง ในช่วงนี้ใครๆ ก็สามารถเข้าสู่ระบบผ่าน "$ADMIN" ได้ ขณะเดียวกัน หลังจากการติดตั้งเสร็จสิ้น บริการต่างๆ จะทำงานโดยอัตโนมัติ ในเวลานี้ เซิร์ฟเวอร์ยังคงมีช่องโหว่อยู่มากมาย ทำให้ง่ายมาก บุกรุกจากภายนอก
2. เลือกรูปแบบ NTFS ที่จะแบ่งพาร์ติชัน
ทางที่ดีที่สุดคือพาร์ติชันทั้งหมดอยู่ในรูปแบบ NTFS เนื่องจากพาร์ติชันที่ฟอร์แมตเป็น NTFS มีความปลอดภัยมากกว่า แม้ว่าพาร์ติชั่นอื่นจะใช้รูปแบบอื่น (เช่น FAT32) อย่างน้อยพาร์ติชั่นที่ระบบตั้งอยู่ก็ควรอยู่ในรูปแบบ NTFS
นอกจากนี้ ไม่ควรวางแอปพลิเคชันไว้ในพาร์ติชันเดียวกับระบบ เพื่อป้องกันผู้โจมตีจากการใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชัน (เช่น ช่องโหว่ IIS ของ Microsoft ที่ทุกคนรู้ดี) ทำให้เกิดการรั่วไหลของไฟล์ระบบ และยังอนุญาตให้ผู้บุกรุกรับสิทธิ์จากสมาชิกการจัดการจากระยะไกล .
3. การเลือกเวอร์ชันของระบบ
โดยทั่วไปเราชอบใช้ซอฟต์แวร์ที่มีอินเทอร์เฟซภาษาจีน แต่สำหรับผลิตภัณฑ์ Microsoft เนื่องจากที่ตั้งทางภูมิศาสตร์และปัจจัยทางการตลาดจึงมีเวอร์ชันภาษาอังกฤษก่อนแล้วจึงเวอร์ชันในภาษาอื่นของประเทศต่างๆ กล่าวอีกนัยหนึ่งภาษาเคอร์เนลของระบบ Windows นั้นเป็นภาษาอังกฤษ ดังนั้นเวอร์ชันเคอร์เนลควรมีช่องโหว่น้อยกว่าเวอร์ชันที่คอมไพล์ไว้มาก นี่เป็นเรื่องจริงเช่นกัน ช่องโหว่ของวิธีการป้อนข้อมูลภาษาจีนของ Windows 2000 ทำให้เกิดความยุ่งยากครั้งใหญ่ ทุกคนจะได้เห็น
การติดตั้งอย่างปลอดภัยที่กล่าวมาข้างต้นสามารถลดความกังวลของคุณได้เท่านั้น อย่าคิดว่าจะทำได้เพียงครั้งเดียว ยังมีงานอีกมากรอให้คุณทำอยู่
·เคล็ดลับแปดประการเพื่อความปลอดภัยของ Windows 2000 (2)
จัดการระบบของคุณอย่างเหมาะสมเพื่อให้มีความปลอดภัยมากขึ้น
ระบบไม่ปลอดภัย อย่าบ่นเกี่ยวกับตัวซอฟต์แวร์เสมอไป คิดถึงปัจจัยมนุษย์มากขึ้น! เรามาพูดถึงบางประเด็นที่ต้องให้ความสนใจในระหว่างกระบวนการจัดการจากมุมมองของผู้ดูแลระบบ:
1. ให้ความสนใจกับช่องโหว่ล่าสุด ติดตั้งแพตช์และติดตั้งไฟร์วอลล์ให้ทันเวลา
ความรับผิดชอบของผู้ดูแลระบบคือการรักษาความปลอดภัยของระบบ ดูดซับข้อมูลช่องโหว่ล่าสุด และใช้โปรแกรมแก้ไขที่เกี่ยวข้องในเวลาที่เหมาะสม นี่เป็นวิธีที่ง่ายและมีประสิทธิภาพมากที่สุดในการรักษาความปลอดภัยของระบบ ผมอยากจะแนะนำเว็บไซต์รักษาความปลอดภัยที่ดีในต่างประเทศ: ttp://www.eeye.com. ในขณะเดียวกันก็จำเป็นต้องติดตั้งไฟร์วอลล์เวอร์ชันล่าสุดซึ่งสามารถช่วยคุณได้ แต่จำไว้ว่า: "สูงแค่ไหน ปีศาจก็สูงตามไปด้วย" ไม่มีการรักษาความปลอดภัยแบบสัมบูรณ์เสมอไป แพตช์ระบบและไฟร์วอลล์จะไม่น่าเชื่อถือเสมอไป
2. ห้ามมิให้สร้างการเชื่อมต่อที่ว่างเปล่าและกันผู้คนออกไป
แฮกเกอร์มักจะใช้การแชร์เพื่อโจมตี จริงๆ แล้ว มันไม่ใช่ช่องโหว่ของมัน เพียงแต่ว่าบัญชีและรหัสผ่านของผู้ดูแลระบบนั้นง่ายเกินไป หากคุณไม่กังวลเกี่ยวกับการรักษามันไว้ ก็เป็นการดีกว่าที่จะแบนพวกเขา!
ซึ่งทำได้โดยการแก้ไขรีจิสทรีเป็นหลัก คีย์หลักและค่าคีย์มีดังนี้:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]
จำกัดไม่ระบุชื่อ = DWORD:00000001
3. ห้ามแบ่งปันการจัดการ
นอกเหนือจากที่กล่าวมาข้างต้น เราก็แบนอันนี้ด้วย!
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]
AutoShareServer = DWORD:00000000
4. ออกแบบรหัสผ่านอย่างระมัดระวังเพื่อป้องกันการบุกรุก
ฮ่าฮ่า หลังจากอ่านข้อ 2 และ 3 ข้างต้นแล้ว เพื่อน ๆ ที่มีประสบการณ์ก็จะคิดถึงเรื่องนี้โดยธรรมชาติ ใช่ นี่เป็นความคิดโบราณ
เกี่ยวกับการตั้งรหัสผ่าน ฉันขอแนะนำ: 1 ความยาวควรมากกว่า 8 ตัวอักษร 2 การรวมกันที่ซับซ้อนของตัวอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์พิเศษ เช่น: G1aLe^ หลีกเลี่ยงรหัสผ่านประเภท "คำล้วน" หรือ "คำบวกตัวเลข" เช่น gale, gale123 เป็นต้น
หมายเหตุพิเศษ: รหัสผ่าน SA ใน MSSQL 7.0 ต้องไม่เว้นว่าง! ตามค่าเริ่มต้น รหัสผ่าน "SA" จะว่างเปล่า และการอนุญาตคือ "ผู้ดูแลระบบ" ลองคิดถึงผลที่ตามมา
·เคล็ดลับแปดประการเพื่อความปลอดภัยของ Windows 2000 (3)
5. จำกัดจำนวนผู้ใช้ในกลุ่มผู้ดูแลระบบ
จำกัดผู้ใช้ของกลุ่มผู้ดูแลระบบอย่างเคร่งครัด และตรวจสอบให้แน่ใจว่ามีผู้ดูแลระบบเพียงคนเดียว (นั่นคือตัวคุณเอง) เท่านั้นที่เป็นผู้ใช้ของกลุ่มนี้ตลอดเวลา ตรวจสอบผู้ใช้ของกลุ่มนี้อย่างน้อยวันละครั้ง และลบผู้ใช้เพิ่มเติมที่พบ ไม่ต้องสงสัยเลยว่าผู้ใช้ใหม่จะต้องถูกทิ้งไว้โดยผู้บุกรุก! ในขณะเดียวกัน ให้ใส่ใจกับผู้ใช้ Guest โดยทั่วไปแล้วผู้บุกรุกที่ชาญฉลาดจะไม่เพิ่มชื่อผู้ใช้ที่ไม่คุ้นเคย ซึ่งผู้ดูแลระบบสามารถค้นพบได้ง่ายก่อน จากนั้นจึงเปลี่ยนรหัสผ่าน จากนั้นจึงใส่ไว้ในผู้ดูแลระบบ แต่ผู้ใช้ทั่วไป ทำไมคุณถึงมาที่กลุ่มผู้ดูแลระบบโดยไม่มีเหตุผล หยุดเถอะ!
6. หยุดบริการที่ไม่จำเป็น
การเปิดใช้บริการต่างๆ มากเกินไปไม่ใช่เรื่องดี โดยเฉพาะอย่างยิ่งหากแม้แต่ผู้ดูแลระบบไม่รู้ว่าบริการคืออะไร ทำไมมันถึงยังทำงานอยู่? ปิดมัน! เพื่อไม่ให้เกิดความเสียหายต่อระบบ
นอกจากนี้ หากผู้ดูแลระบบไม่ออกไปข้างนอกและไม่จำเป็นต้องจัดการคอมพิวเตอร์ของคุณจากระยะไกล วิธีที่ดีที่สุดคือปิดฟังก์ชันการเข้าสู่ระบบเครือข่ายระยะไกลทั้งหมด โปรดทราบว่าเว้นแต่จำเป็นเป็นพิเศษ ให้ปิดการใช้งานบริการ "Task Scheduler" และ "RunAs Service"!
วิธีการปิดบริการนั้นง่ายมาก หลังจากรัน cmd.exe แล้ว ให้ระบุชื่อเซิร์ฟเวอร์ net stop โดยตรง
7. ผู้ดูแลระบบควรประพฤติตนและไม่ใช้เซิร์ฟเวอร์ของบริษัทเพื่อการใช้งานส่วนตัว
นอกเหนือจากการเป็นเซิร์ฟเวอร์แล้ว Windows 2000 Server ยังทำหน้าที่เป็นคอมพิวเตอร์สำหรับผู้ใช้แต่ละราย การท่องอินเทอร์เน็ต การส่งและรับอีเมล และอื่นๆ ในฐานะผู้ดูแลระบบ คุณควรพยายามใช้เบราว์เซอร์ของเซิร์ฟเวอร์ให้น้อยที่สุดเท่าที่จะเป็นไปได้ในการท่องเว็บ เพื่อหลีกเลี่ยงการติดเชื้อโทรจันและการเปิดเผยข้อมูลส่วนตัวของบริษัทเนื่องจากช่องโหว่ของเบราว์เซอร์ Microsoft IE มีช่องโหว่มากมาย ผมเชื่อว่าทุกคนทราบดีอยู่แล้วใช่ไหม นอกจากนี้ แนะนำว่าอย่าใช้ Outlook และเครื่องมืออื่นๆ บนเซิร์ฟเวอร์ในการส่งและรับอีเมลเพื่อหลีกเลี่ยงการติดไวรัสและทำให้องค์กรเสียหาย
8. ใส่ใจกับความปลอดภัยในท้องถิ่น
การป้องกันการบุกรุกจากระยะไกลเป็นสิ่งสำคัญ แต่ความปลอดภัยในพื้นที่ของระบบไม่สามารถละเลยได้ ผู้บุกรุกอาจอยู่ไม่ไกล แต่อาจอยู่รอบตัวคุณ!
(1) ดำเนินไปโดยไม่ได้บอกว่าคุณควรใช้แพตช์ล่าสุดให้ทันเวลาเพื่อป้องกันช่องโหว่ของวิธีการป้อนข้อมูล ช่องโหว่ของวิธีการป้อนข้อมูลไม่เพียงแต่นำไปสู่การบุกรุกในพื้นที่เท่านั้น แต่หากบริการเทอร์มินัลเปิดอยู่ ประตูระบบจะเปิดกว้าง และเครื่องที่ติดตั้งเทอร์มินัลไคลเอ็นต์สามารถเจาะเข้าไปได้อย่างง่ายดาย!
(2) อย่าแสดงผู้ใช้ที่เข้าสู่ระบบครั้งล่าสุด
หากเครื่องของคุณต้องแชร์โดยคนหลายคน (อันที่จริงแล้ว เซิร์ฟเวอร์จริงไม่ควรเป็นแบบนี้) สิ่งสำคัญคือต้องปิดการใช้งานการแสดงผลของผู้ใช้ที่เข้าสู่ระบบครั้งล่าสุด เพื่อป้องกันไม่ให้ผู้อื่นเดารหัสผ่าน วิธีการตั้งค่าคือ: ไปที่ [Start] → [Programs] → [Administrative Tools] → [Local Security Policy] เปิด "Security Options" ของ "Local Policy" ดับเบิลคลิกทางด้านขวา "Do not display the Last ชื่อผู้ใช้ที่เข้าสู่ระบบบนหน้าจอเข้าสู่ระบบ" " เลือก "เปิดใช้งาน" จากนั้นคลิก [ตกลง] ด้วยวิธีนี้ ชื่อผู้ใช้ที่คุณเข้าสู่ระบบครั้งล่าสุดจะไม่ปรากฏในช่องชื่อผู้ใช้ในครั้งต่อไปที่คุณเข้าสู่ระบบ ใน.