Windows系統安全設定方法--中級安全篇

　　　　1．利用win2000的安全組態工具來配置策略

　　微軟提供了一套的基於MMC(管理主控台)安全配置和分析工具，利用他們你可以很方便的配置你的伺服器以滿足你的要求。具體內容請參考微軟首頁：http://www.microsoft.com/windows2000/techi...y/sctoolset.asp

　　　　2．關閉不必要的服務

　　windows 2000 的 Terminal Services（終端服務），IIS ,和RAS都可能給你的系統帶來安全性漏洞。為了能夠在遠程方便的管理伺服器，很多機器的終端服務都是開著的，如果你的也開了，要確認你已經正確的配置了終端服務。有些惡意的程式也能以服務方式悄悄的運行。要留意伺服器上面開啟的所有服務，中期性(每天)的檢查他們。下面是C2層級安裝的預設服務：

　　Computer Browser service TCP/IP NetBIOS Helper

　　Microsoft DNS server Spooler

　　NTLM SSP Server

　　RPC Locator WINS

　　RPC service Workstation

　　Netlogon Event log

　　　　3．關閉不必要的連接埠

　　關閉連接埠意味著減少功能，在安全和功能上面需要你作一點決策。如果伺服器安裝在防火牆的後面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用連接埠掃描器掃描系統所開放的連接埠，確定開放了哪些服務是駭客入侵你的系統的第一步。system32driversetcservices 檔案中有知名連接埠和服務的對照表可供參考。具體方法為：

　　網路位置>屬性>本地串連>屬性>internet 協議(tcp/ip)>屬性>進階>選項>tcp/ip篩選>屬性 開啟tcp/ip篩選，添加需要的tcp,udp,協議即可。

　　　　4．開啟稽核原則

　　開啟安全性稽核是win2000最基本的入侵檢測方法。當有人嘗試對你的系統進行某些方式（如嘗試使用者密碼,改變帳戶原則，未經經過授權的檔案訪問等等）入侵的時候，都會被安全性稽核記錄下來。很多的管理員在系統被入侵了幾個月都不知道，直到系統遭到破壞。下面的這些審核是必須開啟的，其他的可以根據需要增加：

　　策略 設定

　　審核系統登陸事件 成功，失敗

　　審核帳戶管理 成功，失敗

　　審核登陸事件 成功，失敗

　　審核對象訪問 成功

　　稽核原則更改 成功，失敗

　　審核特權使用 成功，失敗

　　審核系統事件 成功，失敗

　　　5.開啟密碼密碼原則

　　策略 設定

　　密碼複雜性要求 啟用

　　密碼長度最小值 6位

　　強制密碼曆史 5 次

　　強制密碼曆史 42 天

　　　　6．開啟帳戶原則

　　策略 設定

　　複位帳戶鎖定計數器 20分鐘

　　帳戶鎖定時間 20分鐘

　　帳戶鎖定閾值 3次

　　　　7．設定安全記錄的存取權限

　　安全記錄在預設情況下是沒有保護的，把他設定成只有Administrator和系統帳戶才有權訪問。

　　　　8．把敏感檔案存放在另外的檔案伺服器中

　　雖然現在伺服器的硬碟容量都很大，但是你還是應該考慮是否有必要把一些重要的使用者資料(檔案，資料表，專案檔等)存放在另外一個安全的伺服器中，並且經常備份它們。

　　　　9.不讓系統顯示上次登陸的使用者名稱

　　預設情況下，終端服務接入伺服器時，登陸對話方塊中會顯示上次登陸的帳戶明，本地的登陸對話方塊也是一樣。這使得別人可以很容易的得到系統的一些使用者名稱，進而作密碼猜測。修改註冊表可以不讓對話方塊裡顯示上次登陸的使用者名稱，具體是：

　　HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName

　　把 REG_SZ 的索引值改成 1 .

　　　　10．禁止建立空串連

　　預設情況下，任何使用者通過通過空串連連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改註冊表來禁止建立空串連：

　　Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。

　　　11.到微軟網站下載最新的補丁程式

　　很多網路系統管理員沒有訪問安全網站的習慣，以至於一些漏洞都出了很久了，還放著伺服器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的2000不出一點安全性漏洞，經常訪問微軟和一些安全網站，下載最新的service pack和漏洞補丁，是保障伺服器長久安全的唯一方法。

責編：豆豆技術應用