Windows 2000系統的使用者特別多,導致在受攻擊的系統中高居榜首,但這不是說Windows 2000的安全性一點兒不好,只要合理配置和管理有方,還是比較安全的。本人使用Windows 2000的時間也不算短了,對於維護它的安全,也漸漸摸出了一點兒門路,下面是一點兒個人見解,不足之處,還請各位指正。
安全安裝盡量減少後顧之憂
Windows 2000系統的安全性應該是從安裝時就一點一滴累積起來的,但這往往被忽略。下面幾點是在安裝Windows 2000時需要注意的:
1.不要選擇從網路安裝
雖然微軟支援線上安裝,但這絕對不安全。在系統未全部安裝完之前不要連入網絡,特別是Internet!甚至不要把一切硬體都連接好來安裝。因為Windows 2000安裝時,在輸入使用者管理員帳號「Administrator」的密碼後,系統會建立一個「$ADMIN」的共用帳號,但是並沒有用剛輸入的密碼來保護它,這種情況一直會持續到計算機再次啟動。在此期間,任何人都可以透過「$ADMIN」進入系統;同時,安裝完成,各種服務會馬上自動運行,而這時的伺服器還到處是漏洞,非常容易從外部侵入。
2、要選擇NTFS格式來分割區
最好所有的分割區都是NTFS格式,因為NTFS格式的分割區在安全性方面更有保障。就算其他分割區採用別的格式(如FAT32),但至少系統所在的分割區中應是NTFS格式。
另外,應用程式不要跟系統放在同一個分割區中,以免攻擊者利用應用程式的漏洞(如微軟的IIS的漏洞,大家不會不知道吧)導致系統檔案的洩漏,甚至讓入侵者遠端取得管理員權限。
3.系統版本的選擇
我們通常喜歡使用中文介面的軟體,但對於微軟的東西,由於地理位置及市場因素,都是先有英文版,然後才有各國其他語言的版本。也就是說Windows系統的核心語言是英語,這樣相對來說它的核心版本理應比它的編譯版本中的漏洞少很多,事實也是如此,Windows 2000的中文輸入法漏洞鬧得沸沸揚揚大家是有目共睹的。
上面所說的安全安裝只能減少後顧之憂,千萬別以為只做到這些就可以一勞永逸了,還有很多工作等著你去做的,請繼續往下看:
·保證Windows 2000安全的八招好秘技(2)
妥善管理系統使它更安全
系統不安全,不要老埋怨軟體的本身,多想想人為的因素吧!以下從管理員的角度來談談管理過程中需要注意的幾點:
1.關注最新漏洞,及時打上修補程式及安裝防火牆
管理員的職責是維護系統的安全,吸收最新的漏洞信息,及時打上相應的補丁,這是維護系統安全最簡單也是最有效的方法。我推薦給大家國外的一個很好的安全網站:ttp://www.eeye.com 。同時,安裝最新版的防火牆也是必須的,可以助你一臂之力。但要記住:“道高一尺,魔高一丈”,沒有絕對的安全,補丁永遠都是跟在漏洞公佈之後,完全相信系統補丁和防火牆是不可行的!
2.禁止建立空連接,拒於門外
駭客經常採用共享進行攻擊,其實不是它的漏洞,只怪管理員的帳號和密碼太簡單,留著不放心,還是禁止掉的好!
這主要是透過修改註冊表來實現,主鍵及鍵值如下:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]
RestrictAnonymous = DWORD:00000001
3.禁止管理共享
除了上面的,還有這個一起禁止吧!
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]
AutoShareServer = DWORD:00000000
4.精巧設計密碼,小心入侵
呵呵,看了上面的第2點和第3點,有經驗的朋友自然會常常想到這一點了。不錯,這是老生常談的事情了,很多伺服器被攻陷都是因為管理員密碼過於簡單而造成的。
對於密碼的設置,我建議:①長度超過8位為宜。 ②大小寫字母、數字、特殊符號的複雜組合,如:G1aLe^ ,避免「純單字」或「單字加數字」型的密碼,如:gale、gale123等。
特別注意:MSSQL 7.0 中的SA密碼千萬不能為空!預設“SA”密碼是空的,而它的權限是“admin”,想想後果吧。
·保證Windows 2000安全的八招好秘技(3)
5.限制管理員群組的使用者數量
嚴格限制管理員群組的用戶,時時刻刻保證只有一個Administrator(也就是你自己)是該群組的用戶。至少每天檢查一次該組的用戶,發現多增加的用戶一律刪除!毫無疑問,那新增的用戶一定是入侵者留下的後門!同時要注意Guest用戶,聰明的入侵者一般不會添加陌生用戶名,這樣容易被管理員發現行踪,他們通常是先激活Guest用戶,然後是更改它的密碼,再放到管理員組,但Guest無端跑到管理員組來幹嘛?停掉!
6、停止不必要的服務
服務開的太多也不是好事,將沒有必要的服務通通關掉吧!特別是連管理員都不知道是做什麼的服務,還開著幹嘛!關掉!免得為系統帶來災難。
另外,管理員如果不外出,不需要遠端管理你的電腦的話,最好將一切的遠端網路登入功能都關掉。注意,除非特別需要,否則禁用“Task Scheduler”、“RunAs Service”服務!
關閉一項服務的方法很簡單,執行cmd.exe之後,直接net stop servername 即可。
7.管理員安分守己,不用公司的伺服器做私人用途
Windows 2000 Server 除了可以像伺服器之外,同時還可以做個人使用者的電腦一樣,上網瀏覽網頁、收發E-mail 等等。身為管理員,應該盡量少用伺服器的瀏覽器來瀏覽網頁,避免因瀏覽器的漏洞而造成木馬感染和公司的隱私資訊暴露。微軟IE漏洞多多,相信大家不會不知道吧?另外,也少在伺服器上使用Outlook等工具來收發E-mail,避免染上病毒,給企業帶來損失。
8.注意本地安全
防止遠端入侵很重要,但係統的本地安全也不容忽視,入侵者不一定在遠處,有可能就在身邊!
(1)及時打上最新版的補丁,防止輸入法漏洞,這是不用再說的了。輸入法漏洞不僅是導致本地入侵,如果開了終端服務的話,系統之門就會大開,一個裝了終端客戶端的機器就可以輕易闖進來!
(2)不顯示上次登入的用戶
如果你的機器是不得不多人共用的話(其實,真正的一台伺服器是不應該這樣的),那禁止顯示上次登入的使用者很重要,免得別人猜中密碼。設定方法是:在[開始]→[程式]→[管理工具]→[本機安全性原則],開啟“本機原則”的“安全性選項”,並在右邊雙擊“登入畫面上不要顯示上次登入的使用者名”,選取“已啟用”,再點擊[確定],這樣,下次登入的時候就不會在使用者名稱方塊上顯示上次登入過的使用者名稱了。