Windows 2000 server含有很多的安全功能和選項,如果你合理的配置它們,那么windows 2000 server將會是一個很安全的操作系統。首先我們應將Windows 2000 server服務器應該安放在安裝了監視器的隔離房間內,并且監視器要保留15天以上的攝像記錄。另外,機箱,鍵盤,電腦桌抽屜要上鎖,以確保旁人即使進入房間也無法使用電腦,鑰匙要放在另外的安全的地方。我們可以停掉Guest 帳號、創建2個管理員用帳號、把系統administrator帳號改名、設置屏幕保護密碼等確保安全,也可以利用win2000的安全配置工具來配置策略、關閉不必要的服務、關閉不必要的端口、禁止建立空連接和安裝微軟最新的補丁程序等措施來加強Windows 2000 Server安全。要攻擊Windows 2000系統,首先需要知道帳號和密碼,因此保障Windows 2000系統的安全中,保障其帳號和密碼的安全是關鍵,但通常密碼可以通過窮舉法等方法破解,所以Windows 2000帳號的安全非常重要。
下面幾種方法可以有效保障Windows 2000系統中帳號的安全:
方法一:禁止枚舉帳號
由于Windows 2000的默認安裝允許任何用戶通過空用戶得到系統所有帳號和共享列表,這本來是為了方便局域網用戶共享資源和文件的,但是,任何一個遠程用戶通過同樣的方法都能得到帳戶列表,使用非法手段破解帳戶密碼后,對我們的電腦進行攻擊,所以必須采用以下方法禁止這種行為。
1、通過修改注冊表禁用空用戶連接,操作步驟如下:
單擊"開始"->"運行"打開"運行"對話框;輸入"Regedit"并單擊確定打開注冊表編輯器;在注冊表編輯器中逐層進入[HKEY_LOCAL_MACHINES/SYSTEM/CurentControlSet/control/Lsa];
將RestrictAnonymous的值設置為1,這樣可以禁止空用戶連接,如圖1所示。
圖 1
2、修改本地安全策略,操作步驟如下:
進入Windows 2000的"控制面板";單擊"管理工具",單擊"本地安全策略",進入"本地安全設置"對話框,如圖2所示。
圖 2
選擇"安全設置"->"本地策略"->"安全選項";雙擊"對匿名連接的額外限制"項;并選擇"本地策略設置"列表,列表中出現三個選項,如圖3所示。
圖 3
(1)"無,依賴于默認許可權限"選項:這是系統默認值,沒有任何限制,遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網絡傳輸列表等,對服務器來說這樣的設置非常危險。
(2)"不允許枚舉SAM賬號和共享"選項:這個值是只允許非NULL用戶存取SAM賬號信息和共享信息,一般選擇此項。
(3)"沒有顯式匿名權限就無法訪問"選項:這個值是最安全的一個,但是如果使用了這個值,就不能再共享資源了,所以還是推薦設為"不允許枚舉SAM賬號和共享"比較好。我們選擇"不允許枚舉SAM賬號和共享"項,并確定。
此時,我們就禁止了用戶枚舉帳號的操作。
圖 4
最好不要使用Admin、Root之類的名字,如果使用改了等于沒改。盡量把它偽裝成普通用戶,比如改成:Guestlll,別人怎么也想不到這個帳戶是超級用戶。然后另建一個"Administrator"的陷阱帳號,不賦予任何權限,加上一個超過10位的超級復雜密碼,并對該帳戶啟用審核。這樣那些非法用戶忙了半天也可能進不來,或是即便進來了也什么都得不到,還留下我們跟蹤的線索。
圖 5
在窗口右側雙擊"登錄屏幕上不要顯示上次登錄的用戶名"一項;選中"已啟用",如圖6所示。
圖 6
也可以通過修改注冊表來實現,找到注冊表HKEY_LOCAL_MACHINE/SOFTTWARE/Microsoft/WindowsNT/CurrentVesion/Winlogn項中的Don't Display Last User Name串,將其數據修改為1。
方法四:禁用Guest帳號
Guest帳號是一個非常危險的漏洞,因為非法用戶可以使用這個帳號登錄你的機器。禁用該帳號的操作步驟如下:
選擇"控制面板"->"管理工具"->"計算機管理";在計算機管理的"本地用戶和組"項,選擇"用戶",用鼠標右鍵單擊右側列表里的"Guest"帳號,如圖7所示,在右鍵菜單中選擇"屬性"或是雙擊"Guest"帳號,在屬性對話框中,在"帳戶已停用"一項前打勾,如圖8所示,這樣就無法用Guest帳號登錄你的系統了。
圖 7
圖 8
如果還需要提供共享打印服務時,則需要在"本地安全策略"的"用戶權利指派"中的"在本地登錄"項里設置Guest帳號不能登錄本機(去掉Guest項后面的勾,如圖9所示)。
圖 9
經常檢查本地用戶和組,刪除不用的帳戶,不要給非法用戶和黑客留下可乘之機,經過以上的步驟,我們的系統應該相對安全了許多。
新聞熱點
疑難解答
