Windows 2000 安全檢查清單-進階篇

　　進階安全篇

　　 1.關閉DirectDraw

　　 這是C2級安全標準對視訊卡和記憶體的要求。關閉DirectDraw可能對一些需要用到DirectX的程式有影響，但是對於絕大多數的商業網站都應該是沒有影響的。 修改註冊表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)為0即可。

　　 2.關閉預設共用

　　 win2000安裝好以後，系統會建立一些隱藏的共用，你可以在cmd下打 net share 查看他們。網上有很多關於IPC入侵的文章，相信大家一定對它不陌生。要禁止這些共用 ，開啟 管理工具>電腦管理>共用資料夾>共用 在相應的共用資料夾上按右鍵，點停止分享即可，不過機器重新啟動後，這些共用又會重新開啟的。

　　 預設共用目錄 路徑和功能

　　 C$ D$ E$ 每個分區的根目錄。Win2000 Pro版中，只有Administrator

　　 和Backup Operators群組成員才可串連，Win2000 Server版本

　　 Server Operatros組也可以串連到這些共用目錄

　　 ADMIN$ %SYSTEMROOT% 遠端管理用的共用目錄。它的路徑永遠都

　　 指向Win2000的安裝路徑，比如 c:winnt

　　 FAX$ 在Win2000 Server中，FAX$在fax用戶端發傳真的時候會到。

　　 IPC$ 空串連。IPC$共用提供了登入到系統的能力。

　　 NetLogon 這個共用在Windows 2000 伺服器的Net Login 服務在處

　　 理登陸域請求時用到

　　 PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 使用者遠端管理印表機

　　 3.禁止dump file的產生

　　 dump檔案在系統崩潰和藍屏的時候是一份很有用的尋找問題的資料(不然我就照字面意思翻譯成垃圾檔案了)。然而，它也能夠給駭客提供一些敏感資訊比如一些應用程式的密碼等。要禁止它，開啟 控制台>系統屬性>進階>啟動和故障恢複 把 寫入調試資訊 改成無。要用的時候，可以再重新開啟它。

　　 4.使用檔案加密系統EFS

　　 Windows2000 強大的加密系統能夠給磁碟，檔案夾，檔案加上一層安全保護。這樣可以防止別人把你的硬碟掛到別的機器上以讀出裡面的資料。記住要給檔案夾也使用EFS,而不僅僅是單個的檔案。 有關EFS的具體資訊可以查看 http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp

　　 5.加密temp檔案夾

　　 一些應用程式在安裝和升級的時候，會把一些東西拷貝到temp檔案夾，但是當程式升級完畢或關閉的時候，它們並不會自己清除temp檔案夾的內容。所以，給temp檔案夾加密可以給你的檔案多一層保護。

　　 6.鎖住註冊表

　　 在windows2000中，只有administrators和Backup Operators才有從網路上訪問註冊表的許可權。如果你覺得還不夠的話，可以進一步設定註冊表存取權限，詳細資料請參考 http://support.microsoft.com/support/kb/articles/Q153/1/83.asp

　　 7.關機時清除掉分頁檔

　　 分頁檔也就是調度檔案，是win2000用來儲存沒有裝入記憶體的程式和資料檔案部分的隱藏檔案。一些第三方的程式可以把一些沒有的加密的密碼存在記憶體中，分頁檔中也可能含有另外一些敏感的資料。 要在關機的時候清楚分頁檔，可以編輯註冊表 HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management把ClearPageFileAtShutdown的值設定成1。

　　 8.禁止從磁碟片和CD Rom啟動系統

　　 一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的伺服器對安全要求非常高，可以考慮使用可移動磁碟片和光碟機。把機箱鎖起來扔不失為一個好方法。

　　 9.考慮使用智慧卡來代替密碼

　　 對於密碼，總是使安全性系統管理員進退兩難，容易受到10phtcrack 等工具的攻擊，如果密碼太複雜，使用者把為了記住密碼，會把密碼到處亂寫。如果條件允許，用智慧卡來代替複雜的密碼是一個很好的解決方案。

　　 10.考慮使用IPSec

　　 正如其名字的含義，IPSec 提供 IP 資料包的安全性。IPSec 提供身分識別驗證、完整性和可選擇的機密性。發送方電腦在傳輸之前加密資料，而接收方電腦在收到資料之後解密資料。利用IPSec可以使得系統的安全效能大大增強。有關IPSes的詳細資料可以參考 http://www.microsoft.com/china/technet/security/ipsecloc.asp