您的位置:數字人首頁 » 正文
讓Windows 2000更安全
發布時間:2005-2-28 23:12:22     來源:原創

根據美國國家計算機安全中心(NCSC)制定的可信任計算機系統評估標準(TCSEC),Win 2000屬于
C2級安全級別。但Win 2000如接默認安裝且不安裝補丁和進行安全配置時,則談不上是C2級。本文從安
裝Win 2000操作系統、賬號安全管理、網絡服務安全管理、數據文件安全管理等幾個方面對Win 2000的
安全管理進行描述,以使用戶的Win 2000系統達到規定的安全級別。 
 
一、 正確安裝Win 2000 
 
1.硬盤的分區 
 
在安裝Win 2000時,如條件許可,應至少建立兩個邏輯分區,一個用作系統分區,另一個用作應用程
序分區。盡量修改“我的文檔”及“Outlook Express”等應用程序的默認文件夾位置,使其位置不在系
統分區。對提供Web服務的機器,可按如下設置分區: 
 
分區1:系統分區,安裝系統和重要日志文件。 
 
分區2:提供給IIS使用。 
 
分區3:提供給FTP使用。 
 
分區4:放置其他一些資料文件。 
 
2.組件的定制 
 
不要按Win 2000的默認安裝組件,根據安全原則“最少的服務+最小的權限=最大的安全”,只選擇確實需要的服務安裝即可。 
 
典型Web服務器需要的最小組件是: 
 
公用文件、Internet 服務管理器、WWW服務器。 
 
3.接入網絡時間 
 
在安裝完成Win 2000操作系統時,不要立即把服務器接入網絡,因為這時的服務器還沒有打上各種補
丁,存在各種漏洞,非常容易感染病毒和被入侵。 
 
補丁的安裝應該在所有應用程序安裝完之后,因為補丁程序往往要替換或修改某些系統文件,如果先
安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果。IIS的HotFix要求每次更改IIS的配置時都
需要重新安裝。 
 
二、賬戶安全管理 
 
1.賬戶要盡可能少,并且要經常用一些掃描工具檢查系統賬戶、賬戶權限及密碼。刪除已經不再使用
的賬戶。 
 
2.停用Guest賬號,并給Guest 加一個復雜的密碼。 
 
3.把系統Administrator賬號改名,盡量把它偽裝成普通用戶,名稱不要帶有Admin字樣。 
 
4.不讓系統顯示上次登錄的用戶名,具體操作如下: 
 
修改注冊表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display
Last User Name”的鍵值,把REG_SZ 的鍵值改成1。 
 
三、網絡服務安全管理 
 
1.關閉不必要的服務 
 
關閉不必要的服務,一些服務可能會給系統帶來安全漏洞,如Win 2000的Terminal Services(終端
服務)、IIS和RAS(遠程訪問服務)等。 
 
2.關閉不必要的端口 
 
當服務器只提供較單一的功能時,可考慮只開放某些端口。 
 
具體方法為: 
按順序打開“網上鄰居→屬性→本地連接→屬性→internet 協議(tcp/ip)→屬性→高級→選項→tcp/ip
篩選→屬性”,打開Tcp/Ip篩選,添加需要的Tcp、Udp協議即可。 
 
3.禁止建立空連接 
 
默認情況下,任何用戶可通過空連接連上服務器,枚舉賬號并猜測密碼。可以通過以下兩種方法禁止
建立空連接。 
 
(1)修改注冊表 
 
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。 
 
(2)修改Win 2000的本地安全策略 
 
設置“本地安全策略→本地策略→選項”中的RestrictAnonymous(匿名連接的額外限制)為“不容
許枚舉SAM賬號和共享”。 
 
四、網絡服務安全配置 
 
1.終端服務 
 
(1)修改默認端口 
 
終端服務的默認端口為3389,可考慮修改為別的端口。修改方法為: 
 
服務器端: 
 
打開注冊表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”處
找到類似RDP-TCP的子鍵,修改PortNumber值。 
 
客戶端: 
 
按正常步驟建一個客戶端連接,選中這個連接,在“文件”菜單中選擇導出,在指定位置會生成一個
后綴為.cns的文件。打開該文件,修改“Server Port”值為與服務器端的PortNumber對應的值。然后再
導入該文件(方法:菜單→文件→導入),這樣客戶端就修改了端口。 
 
(2)安全審核 
 
在“管理工具→遠程控制服務配置→連接”處,右鍵點擊“RPD-TCP”連接,選擇“屬性”,在其窗
口選中“權限”,點擊右下角的“高級”,選擇“審核”,增加一個“everyone”組,審核它的“連接”、
“斷開”、“注銷”和“登錄”的成功和失敗。在“管理工具→日記查看→安全日記”可看到該審核記錄。 
 
2.Internet 服務管理器(IIS)安全配置 
 
對IIS服務安全配置如下: 
 
(1) 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”,將“本地路徑”
指向其他目錄。 
 
(2) 刪除原默認安裝的Inetpub目錄。 
 
(3) 刪除以下虛擬目錄: _vti_bin、IISSamples、s cripts、IIShelp、IISAdmin、IIShelp、MSADC。 
 
(4) 刪除不必要的IIS擴展名映射。方法是:右鍵單擊“默認Web站點→屬性→主目錄→配置”,打
開應用程序窗口,去掉不必要的應用程序映射。如不用到其他映射,只保留.asp、.asa即可。 
 
(5) 備份IIS配置。可使用IIS的備份功能,將設定好的IIS配置全部備份下來,這樣就可以隨時恢復
IIS的安全配置。 
 
五、數據文件安全管理 
 
1.備份 
 
要經常把重要數據備份到專用的備份服務器,備份完畢后,可將備份服務器與網絡隔離。 
 
2.設置文件共享權限 
 
設置共享文件時,要注意把共享文件的權限從“everyone”組改成“授權用戶”,包括打印共享。 

 
3.關閉默認共享 
 
Win 2000安裝好以后,系統會創建一些隱藏的共享,在cmd下可用net share命令查看它們。要禁止這
些共享。操作方法是:打開“管理工具→計算機管理→共享文件夾→共享”,在相應的共享文件夾上按右
鍵,點“停止共享”即可。不當過機器重新啟動后,這些共享又會重新開啟。 
 
4.防止文件名欺騙 
 
設置以下選項可防止文件名欺騙,如防止以.txt或.exe為后綴的惡意文件被顯示為.txt文件,從而使
人大意打開該文件: 雙擊“我的電腦→工具→文件夾選項→查看”,選擇“顯示所有文件和文件夾”屬性
設置,去掉“隱藏已知文件類型擴展名”屬性設置。  
琅琊榜APP 我想黄色片 昆明按摩价位 手机麻将赌博多大金额违法 南粤风采26选5开 日本三级片电影播放 天津快乐10分必出规律 2019日本最美下海新人 3d开奖多少号 股票配资风险专业杨方配资平台 森林龙江麻将外挂 股票涨跌跟什么有关系 atp网球比分直播 黑龙江p62开奖结 欧美av性交片用qvod播放 龙江麻将怎么玩 河北快3