来源:远方网络 | 2005-3-29 9:27:24 | (有2532人读过)
作者:株洲市教育科学研究院 刘梦龙
设置安全Windows Advanced Server 2000 操作系统
株洲市教育科学研究院 刘梦龙
【摘 要】Windows 2000 Advanced Server含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000 advanced server将会是一个很安全的操作系统。我们可以通过禁止Guest 用户、创建新的系统管理员、把系统administrator用户改名、设置屏幕保护密码等方法确保系统安全,也可以利用Windows 2000 Advanced Server的安全配置工具来配置策略、关闭不必要的服务、关闭不必要的端口、禁止建立空连接和安装微软最新的补丁程序等措施来加强Windows 2000 advanced Server安全。
【关 键 词】操作系统 安全 设置
Windows 2000 Advanced Server实现了操作系统与Web、应用程序、网络、通讯和基础设施服务之间的良好集成,可以轻松地处理几乎所有服务器作业,是目前比较流行的服务器操作系统,同时,他也成了黑客和病毒的攻击对象,如何安全地配置这个操作系统呢?Windows 2000 Advanced Server含有很多的安全功能和选项,如果你合理的配置它们,那么windows 2000 advanced server将会是一个很安全的操作系统。本文试图从以下几个方面进行初步的探讨。
一、有效保障Windows 2000 Advanced Server系统中账号的安全
要攻击Windows 2000 Advanced Server系统,首先需要知道账号和密码,因此保障Windows 2000 Advanced Server系统的安全中,保障其账号和密码的安全是关键,但通常密码可以通过穷举法等方法破解,所以Windows 2000 Advanced Server账号的安全非常重要。下面几种方法可以有效保障Windows 2000 Advanced Server系统中账号的安全:
1、禁止枚举账号
由于Windows 2000 Advanced Server的默认安装允许任何用户通过空用户得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,任何一个远程用户通过同样的方法都能得到账号列表,使用非法手段破解账号密码后,对我们的电脑进行攻击,所以必须采用以下方法禁止这种行为。
(1)通过修改注册表禁用空用户连接
操作步骤如下:
单击“开始”à“运行”打开对话框à输入“Regedit”并单击确定打开注册表编辑器à在注册表编辑器中逐层进入[HKEY_LOCAL_MACHINES\SYSTEM\CurentControlSet\control\Lsa] à将RestrictAnonymous的值设置为1,这样可以禁止空用户连接,如图1所示。
(图1)
(2)修改本地安全策略
操作步骤如下:
进入Windows 2000 Advanced Server的“控制面板”à单击“管理工具”à单击“本地安全策略”à进入“本地安全设置”对话框,如图2所示。
(图2)
再选择“安全设置”à“本地策略”à“安全选项”à双击“对匿名连接的额外限制”项à选择“本地策略设置”列表,列表中出现三个选项,如图3所示。
①“无,依赖于默认许可权限”选项:这是系统默认值,没有任何限制,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表等,对服务器来说这样的设置非常危险。
②“不允许枚举SAM账号和共享”选项:这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项。
③“没有显式匿名权限就无法访问”选项:这个值是最安全的一个,但是如果使用了这个值,就不能再共享资源了,所以还是推荐设为“不允许枚举SAM账号和共享”比较好。我们选择"不允许枚举SAM账号和共享"项,并确定。
(图3)
这样,我们就禁止了用户枚举账号的操作。
2、Administrator账号更名
非法用户找不到用户列表,我们的系统就一定安全吗?不一定。我们知道,Windows 2000 Advanced Server系统的Administrator账号是不能被停用的,也不能设置安全策略,这样非法用户可以一遍又一遍地尝试这个账户的密码,直到破解,这时我们可以在“计算机管理”中把Administrator账户更名来防止这一点。
(图4) 具体操作步骤如下: “控制面板”à“计算机管理”à打开计算机管理对话框,如图4所示。不要使用Admin之类的名字,尽量把它伪装成普通用户,比如改成Guest_0,别人怎么也想不到这个账号是超级用户。然后另建一个“Administrator”的账号,作为一个陷阱,不赋予任何权限,加上一个超过10位的超级复杂密码,输入一串包含特殊字符、数字、字母的长字符串,并对该账号启用审核。这样那些非法用户Hacker们忙了半天也可能进不来,或是即便进来了也什么都得不到,还会留下我们跟踪的线索。
3、禁止登录屏幕上显示上次登录的用户名
非法用户也可以通过本地或者Terminal Service的登录界面看到用户名,然后去猜密码。所以要禁止显示登录的用户名。
操作步骤如下:“控制面板”à“管理工具”à“本地安全设置”à“本地策略”à“安全选项”,如图5所示。
(图5)
在窗口右侧双击“登录屏幕上不要显示上次登录的用户名”一项;选中“已启用”,如图6所示。
(图6) 我们也可以通过修改注册表来实现,首先找到注册表中如下选项:HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn,再找到该项中的Don't Display Last User Name串,将其数据修改为1。
4、禁用Guest账号
Guest账号是一个非常危险的漏洞,因为非法用户可以使用这个账号登录到你的计算机,所以要禁用该账号,并且为了保险起见,最好给Guest加一个复杂的密码。
禁用该账号的操作步骤如下:
“控制面板”à“管理工具”à“计算机管理”à“本地用户和组”项à“用户”,用鼠标右键单击右侧列表里的“Guest”账号,如图7所示,在右键菜单中选择“属性”或是双击“Guest”账号,在属性对话框中,在“账号已停用”一项前打“√”,如图8所示,这样就无法用Guest账号登录你的系统了。
(图7)
另外,我们还要经常检查本地用户和组,删除不用的账号,不要给非法用户和黑客留下可乘之机。 (图8)
二、隐藏文件扩展名:
已知文件的扩展名,这种做法很容易被病毒利用,欺骗用户启动一个病毒文件。
更改此设置的方法如下:
桌面à我的电脑à单击右键à资源管理器à工具à文件夹选项à查看à将“隐藏已知文件类型的扩展名”项前面的“√”去掉。
三、取消计算机中被共享的目录和磁盘
您的计算机中有被共享的磁盘,请确认这些共享的磁盘是否是您想要共享的。
取消的方法是:在Windows 2000 Advanced Server下,“开始菜单”à“设置”à“控制面板”à“管理工具”,双击“计算机管理”,在出现的对话框中,展开“系统工具”中的“共享文件夹”中的“共享”,然后在右侧就会出现您共享的所有设备和文件夹,在您想要取消的文件夹所在的行上单右键,选择“停止共享”。
四、经常进行安全漏洞扫描
安全漏洞是指由于系统存在的弱点或缺陷而导致的系统对一个特定的威胁攻击或危险事件的敏感性,或导致对系统的威胁作用的可能性。通过对系统的扫描,找出计算机系统存在的安全漏洞,然后下载相应的漏洞补丁程序而进行系统修复,将会提高计算机系统的安全性和稳定性,从而避免病毒和恶意程序的攻击。常用的有瑞星、金山毒霸等杀毒软件中的漏洞扫描工具。经过以上的步骤,我们的系统应该相对安全了许多。
最后,可别忘记将Windows 2000 advanced server服务器安放安全的地方哦,并且机箱、键盘、电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙是更要放在另外的安全的地方。
参考文献:
(1)《网络操作系统 Windows 2000 Server管理与应用》 清华大学出版社 万振凯/韩清/魏昕
作者姓名:刘梦龙
工作单位:株洲市教育科学研究院
职 务:职业教育与**教育 教研员
职 称:高级讲师
电 话:07332663692 6190893
邮政编码:412000
电子邮箱:lmlong2004@126.com (2)《Windows网络安全配置、管理和应用实例》 清华大学出版社 王群主编/王磊编著
2004年11月5日
|