|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
x
根据美国国家计算机安全中心(NCSC)制定的可信任计算机系统评估标准(TCSEC),Win 2000属于
C2级安全级别。但Win 2000如接默认安装且不安装补丁和进行安全配置时,则谈不上是C2级。本文从安
装Win 2000*作系统、账号安全管理、网络服务安全管理、数据文件安全管理等几个方面对Win 2000的
安全管理进行描述,以使用户的Win 2000系统达到规定的安全级别。
一、 正确安装Win 2000
1.硬盘的分区
在安装Win 2000时,如条件许可,应至少建立两个逻辑分区,一个用作系统分区,另一个用作应用程
序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系
统分区。对提供Web服务的机器,可按如下设置分区:
分区1:系统分区,安装系统和重要日志文件。
分区2:提供给IIS使用。
分区3:提供给FTP使用。
分区4:放置其他一些资料文件。
2.组件的定制
不要按Win 2000的默认安装组件,根据安全原则“最少的服务+最小的权限=最大的安全”,只选择确实需要的服务安装即可。
典型Web服务器需要的最小组件是:
公用文件、Internet 服务管理器、WWW服务器。
3.接入网络时间
在安装完成Win 2000*作系统时,不要立即把服务器接入网络,因为这时的服务器还没有打上各种补
丁,存在各种漏洞,非常容易感染病毒和被入侵。
补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换或修改某些系统文件,如果先
安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都
需要重新安装。
二、账户安全管理
1.账户要尽可能少,并且要经常用一些扫描工具检查系统账户、账户权限及密码。删除已经不再使用
的账户。
2.停用Guest账号,并给Guest 加一个复杂的密码。
3.把系统Administrator账号改名,尽量把它伪装成普通用户,名称不要带有Admin字样。
4.不让系统显示上次登录的用户名,具体*作如下:
修改注册表“HKLM\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display
Last User Name”的键值,把REG_SZ 的键值改成1。
三、网络服务安全管理
1.关闭不必要的服务
关闭不必要的服务,一些服务可能会给系统带来安全漏洞,如Win 2000的Terminal Services(终端
服务)、IIS和RAS(远程访问服务)等。
2.关闭不必要的端口
当服务器只提供较单一的功能时,可考虑只开放某些端口。
具体方法为:
按顺序打开“网上邻居→属性→本地连接→属性→internet 协议(tcp/ip)→属性→高级→选项→tcp/ip
筛选→属性”,打开Tcp/Ip筛选,添加需要的Tcp、Udp协议即可。
3.禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。可以通过以下两种方法禁止
建立空连接。
(1)修改注册表
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成1。
(2)修改Win 2000的本地安全策略
设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容
许枚举SAM账号和共享”。
四、网络服务安全配置
1.终端服务
(1)修改默认端口
终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为:
服务器端:
打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处
找到类似RDP-TCP的子键,修改PortNumber值。
客户端:
按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个
后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的值。然后再
导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。
(2)安全审核
在“管理工具→远程控制服务配置→连接”处,右键点击“RPD-TCP”连接,选择“属性”,在其窗
口选中“权限”,点击右下角的“高级”,选择“审核”,增加一个“everyone”组,审核它的“连接”、
“断开”、“注销”和“登录”的成功和失败。在“管理工具→日记查看→安全日记”可看到该审核记录。
2.Internet 服务管理器(IIS)安全配置
对IIS服务安全配置如下:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”
指向其他目录。
(2) 删除原默认安装的Inetpub目录。
(3) 删除以下虚拟目录: _vti_bin、IISSamples、s cripts、IIShelp、IISAdmin、IIShelp、MSADC。
(4) 删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打
开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa即可。
(5) 备份IIS配置。可使用IIS的备份功能,将设定好的IIS配置全部备份下来,这样就可以随时恢复
IIS的安全配置。
五、数据文件安全管理
1.备份
要经常把重要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。
2.设置文件共享权限
设置共享文件时,要注意把共享文件的权限从“everyone”组改成“授权用户”,包括打印共享。
3.关闭默认共享
Win 2000安装好以后,系统会创建一些隐藏的共享,在cmd下可用net share命令查看它们。要禁止这
些共享。*作方法是:打开“管理工具→计算机管理→共享文件夹→共享”,在相应的共享文件夹上按右
键,点“停止共享”即可。不当过机器重新启动后,这些共享又会重新开启。
4.防止文件名欺骗
设置以下选项可防止文件名欺骗,如防止以.txt或.exe为后缀的恶意文件被显示为.txt文件,从而使
人大意打开该文件: 双击“我的电脑→工具→文件夹选项→查看”,选择“显示所有文件和文件夹”属性
设置,去掉“隐藏已知文件类型扩展名”属性设置。 |
|