服务器安全配置精华技能

核心提示：Windows2000 含有很多的安全功能和选项，假设你公道的配置它们，那末windows 2000将会是1个很安全的操纵系统。

Windows2000 含有很多的安全功能和选项，假设你公道的配置它们，那末windows 2000将会是1个很安全的操纵系统。

低级安全篇

1、物理安全

服务器应当安置在安装了监视器的隔离房间内，并且监视器要保存15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进进房间也没法使用电脑，钥匙要放在另外的安全的地方。

2、停掉Guest 帐号

在计算机治理的用户里面把guest帐号停用掉，任甚么时候候都不答应guest帐号登陆系统。为了保险起见，最好给guest 加1个复杂的密码，你可以打开记事本，在里面输进1串包括特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进往。

3、限制没必要要的用户数目

往掉所有的duplicate user 帐户, 测试用帐户, 共享帐号，普通部份帐号等等。用户组策略设置相应权限，并且常常检查系统的帐户，删除已不在使用的帐户。这些帐户很多时候都是黑客们进侵系统的突破口，系统的帐户越多，黑客们得到正当用户的权限可能性1般也就越大。国内的nt/2000主机，假设系统帐户超过10个，1般都能找出1两个弱口令帐户。我曾发现1台主机197个帐户中居然有180个帐号都是弱口令帐户。
　　
4、创建2个治理员用帐号

固然这点看上往和上面这点有些矛盾，但事实上是服从上面的规则的。 创建1个1般权限帐号用来收信和处理1些*常事物，另1个具有Administrators 权限的帐户只在需要的时候使用。可让治理员使用 “ RunAS” 命令来履行1些需要特权才能作的1些工作，以方便治理。

5、把系统administrator帐号改名

大家都知道，windows 2000 的administrator帐号是不能被停用的，这意味着他人可以1遍又1边的尝试这个帐户的密码。把Administrator帐户改名可以有效的避免这1点。固然，请不要使用Admin之类的名字，改了即是没改，尽可能把它假装成普通用户，比如改成：guestone。

6、创建1个圈套帐号
　　
甚么是圈套帐号? Look!>创建1个名为” Administrator”的本地帐户，把它的权限设置成最低，甚么事也干不了的那种，并且加上1个超过10位的超级复杂密码。这样可让那些 Scripts s忙上1段时间了，并且可以借此发现它们的进侵企图。或在它的login scripts上面做点手脚。嘿嘿，够损！

7、把共享文件的权限从”everyone”组改成“授权用户”

“everyone” 在win2000中意味着任何有权进进你的网络的用户都能够取得这些共享资料。任甚么时候候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默许的属性就是”everyone”组的，1定不要忘了改。

8、使用安全密码

1个好的密码对1个网络是非常重要的，但是它是最轻易被忽视的。前面的所说的或许已可以说明这1点了。1些公司的治理员创建帐号的时候常常常使用公司名，计算机名，或1些别的1猜就到的东西做用户名，然后又把这些帐户的密码设置得N简单，比如 “welcome” “iloveyou” “letmein”或和用户名相同等等。这样的帐户应当要求用户首此登陆的时候更改成复杂的密码，还要留意常常更改密码。前些天在IRC和人讨论这1题目的时候，我们给好密码下了个定义：安全期内没法破解出来的密码就是好密码，也就是说，假设人家得到了你的密码文档，必须花43天或更长的时间才能破解出来，而你的密码策略是42天必须改密码。

9、设置屏幕保护密码

很简单也很有必要，设置屏幕保护密码也是避免内部职员破坏服务器的1个屏障。留意不要使用OpenGL和1些复杂的屏幕保护程序，浪费系统资源，让他黑屏便可以够了。还有1点，所有系统用户所使用的机器也最好加上屏幕保护密码。

10、使用NTFS格式分区

把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全很多。这点没必要多说，想必大家得服务器都已经是NTFS的了。

评论加载中... 内容： 评论者： 验证码：