Windows服务器安全设置
发布时间:2008-09-08 19:25:39 作者:佚名 
我要评论
我要评论一、取消文件夹隐藏共享
在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入&l
一、取消文件夹隐藏共享
在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。 关闭“文件和打印共享” 文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。 二、禁止建立空连接 打开注册表编辑器,进入 “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa”, 将DWORD值“RestrictAnonymous”的键值改为“1”即可。 三、删掉不必要的协议 对于服务器来说,只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。 四、禁用不必要的服务: Automatic Updates(自动更新下载) Computer Browser DHCP Client DNS Client Messenger Print Spooler Remote Registry(远程修改注册表) Server(文件共享) Task Scheduler(计划任务) TCP/IP NetBIOS Helper Themes(桌面主题) Windows Audio Windows Time Workstation 五、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位),然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性 六、把Guest及其它不用的账号禁用 有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。 七、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。 八、如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。(或者更改文件名)
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 九、打开审核策略 Windows默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核 策略更改:成功或失败 登录事件:成功和失败 对象访问:失败事件 过程追踪:根据需要选用 目录服务访问:失败事件 特权使用:失败事件 系统事件:成功和失败 账户登录事件:成功和失败 账户管理:成功和失败 十、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。 当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门. 最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的。
怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。 关闭“文件和打印共享” 文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。 二、禁止建立空连接 打开注册表编辑器,进入 “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa”, 将DWORD值“RestrictAnonymous”的键值改为“1”即可。 三、删掉不必要的协议 对于服务器来说,只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。 四、禁用不必要的服务: Automatic Updates(自动更新下载) Computer Browser DHCP Client DNS Client Messenger Print Spooler Remote Registry(远程修改注册表) Server(文件共享) Task Scheduler(计划任务) TCP/IP NetBIOS Helper Themes(桌面主题) Windows Audio Windows Time Workstation 五、更换管理员帐户
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码,所以我们要重新配置Administrator帐号。
首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位),然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性 六、把Guest及其它不用的账号禁用 有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。 七、防范木马程序
木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:
● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。
● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。
● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。 八、如果开放了Web服务,还需要对IIS服务进行安全配置:
(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”,将“本地路径”指向其他目录。
(2) 删除原默认安装的Inetpub目录。(或者更改文件名)
(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 九、打开审核策略 Windows默认安装没有打开任何安全审核,所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件,对于每一类都可以指明是审核成功事件、失败事件,还是两者都审核 策略更改:成功或失败 登录事件:成功和失败 对象访问:失败事件 过程追踪:根据需要选用 目录服务访问:失败事件 特权使用:失败事件 系统事件:成功和失败 账户登录事件:成功和失败 账户管理:成功和失败 十、安装必要的安全软件
我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。 当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门. 最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的。
相关文章
首个 64 位 Windows 2000 系统的测试版本被发现
通过追踪“AXP64 / ALPHA64 移植”等微软 Windows NT 测试版本,发现了首个 64 位 Windows 2000 系统的测试版本,下文为大家带来了详细介绍,一起看看吧2023-05-22windows 2000如何安装?win2000操作系统安装全程图解
本文向大家介绍win2000操作系统安装的全过程,内容介绍地比较详细,非常实用,感兴趣的朋友可以学习一下2014-06-16winxp/2000系统环境下正常使用财付通证书以及控件图文教程
很多新手朋友们都不知道Windows,xp/2000系统环境下如何正常使用财付通证书以及控件?为了确保您能够顺畅的使用证书,按以下步骤检查和设置您的电脑即可2014-01-16WINDOWS NT/2000下屏蔽CTRL+ALT+DEL完美解决方案
通过替换GINA DLL的方式很好地实现了在NT/2000下屏蔽CTRL+ALT+DEL的功能,下面为大家介绍下具体的实现原理及步骤,需要的朋友不要错过2013-11-11
本文为大家带来了win2000系统文件名详解,感兴趣的朋友一起看看吧2012-07-30- Windows 2000的DNS服务器中有两品种型的搜索区域:“正向搜索区域”和“反向搜索区域”。其中“正向搜索区域”用来处理正向分析,即把主机名分析为IP地址;而“反向搜索区2011-05-30
- 由于Win2000操作系统良好的网络功能,因此在因特网中有部分网站服务器开始使用的Win2000作为主操作系统的。2009-07-22
- Tab键是TALBE(表格)的缩写,也叫制表定位键,可能你觉得它只有在编辑文档时才会派上用场。其实不然,在 Windows 系统下Tab键在很多时候都可以作为提升效率的帮手,下2009-05-15
- 给Windwos 2000操作系统的管理员帐号设置了密码。但是现在登录时出现一个对话框,有没有什么方法可以把这个对话框去除? 如果是Windwos 2000专业版,那么直接进入“2009-05-15
- 一、通过修改注册表“曲线”安装生成 我们知道,在Windows NT或Windows 2000中文版操作系统中,内置了一些中文输入法,如郑码、表形码、拼音等。这2008-09-08
最新评论