怎么样使Win2000更安全
随着Windows的不断升级,Windows的安全性也越来越强,但时至今日Win2000的安全性如果不进行全面有效的设置,仍然显得不堪一击。然而用过Win2000系统的朋友都知道,Win2000是Windows系统的一次大升级,它变得不再是那么简单明了了,要全面掌握了还真不容易,要谈到以前较少涉及的安全性设置问题那更是显得无从下手。
其实Win2000的安全性设置在从我们安装Win2000一开始时就在一点一滴地进行,当我们安装完Win2000软件重新启动后系统还会自动弹出一些设置项目,光这些就足以吓倒一些新手了。下面就我在应用和维护Win2000系统中积累的一些经验作一介绍,希望对各位在应用Win2000中有些帮助。 一、系统的安装 在上面我讲了,Win2000的安全设置其实早在一开始我们进行Win2000系统安装的同时就开始了,我们千万不能以老眼光看待新事物,在Win2000安装完重启后系统会自动弹出一个对话框,要求我们设置一大堆项目,在这一大堆项目中有相当一部分都与Win2000的安全设置有关。这不要说对于以前用惯了Win9X系统的朋友觉得无从下手,就是像我这样以前用NT的老朋友也一时难以接受。然而这些项目设置不好,轻则某些功能不能达到目的,重则在系统网络中根本无法使用。 在系统安装过程中主要要注意以下几点: 1、硬盘的分区 至少建立两个逻辑分区,一个用作系统分区,另一个用作应用程序分区,现在的硬盘是越来越大,一般最好分三个至四个分区,这样就可以把自己的文件单独放在一个分区中。 再就是所有的分区最好都是NTFS格式,因为这种文件格式的分区在安全性方面更加有保障,至少在系统分区中应是如此。同时微软的IIS、Outlook、Exchange Server等软件经常会有漏洞,如果把软件与系统安装在同一个驱动器会导致系统文件的泄漏,甚至让入侵者远程获取管理权。 2、系统版本的选择 我们知道在目前Windows系统中,都是先有英文版,然后才有各国其它语言的版本,也就是说Windows系统的内核语言是英语,这样相对来说它的内核版本理应比它的编译版本中的BUG少许多,事实也是如此,特别是在安全设置方面,不仅Win2000如此,原来的NT,甚至Win9X同样存在这样的问题,只不过在NT4.0或Win9X中影响不是这么大,很少引起人注意而已!这主要是由不同语言的兼容性引起的,这一点是很难克服的。 3、正确的网络接入时间 我们都有这样一个坏习惯,那就是在安装系统之前我们会把一切硬件都连接好,这主要是方便系统的安装,但在安装Win2000系统时要注意,我们最好在系统未全部安装完之前不要连入网络,特别是Internet。因为Win2000在安装时有一个漏洞,就是在输入用户管理员账号“Administrator”的密码后,系统会建立“$ADMIN”的共享账号码,但是并没有用刚输入的密码来保护它,这种情况一直会持续到计算机再次启动。在此期间,任何人都可以通过“$ADMIN”进入系统;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器还到处是漏洞,非常容易从外部侵入。 因此,在完全安装并配置好Win2000 Server之前,一定不要把主机接入网络。 二、 系统及应用软件安全设置 (一)、用户账号的安全设置 在一个局域网中,正确有效地设置各不同组用户账号的权限,是确保网络安全的首要因素。至于怎么样设置用户访问权限我想大家都非常清楚,我不再多讲,我想说明的一点就是,Win2000的默认安装允许所有用户通过空用户名和空密码得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到你的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏,这是整个网络中的最大不安全因素之一。 当然我们不是没有办法来控制这一不安全因素所带来的负面影响,我们可以有以下方法: ■1、改注册表, 在注册HEKY_Local_Machine\System\ CurrentControlSet\Control\Lsa中有一个键值是用来禁止空用户连接的,那就是RestrictAnonymous (匿名登录的限制),如果没有这个主键值我们可以自己添加,系统的默认值为“0”,我们只要把这个主键值设为“1”即可,这样Win2000系统就不能用空用户账号来进行登录。 ■2、设置安全策略 Win2000的本地安全策略里(如果你已转换成域服务器就是在“域服务器安全和域安全策略”里)也有RestrictAnonymous(匿名连接的额外限制)这样的选项,双击这个选项,即可看到在这个选项中我们可以有三个选项,分别是: 1)、无,依赖于默认许可权限 2)、不允许枚举SAM账号和共享 3)、没有显式匿名权限就不允许访问 第一项是系统默认的,没有任何限制,远程用户可以以匿名账号登录到你的服务器,知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等,对服务器来说这样的设置非常危险。第二项是只允许非NULL(空)用户存取SAM账号信息和共享信息。第三项只有Win2000才支持,需要注意的是,如果使用了这个值,就不能再有共享资源了,所以还是推荐把数值设为“1”比较好。 其实在本地安全 上一篇: 从Win98登录到Windows 2000服务器 下一篇: WIN2000终端服务控制另一方 更多相关文章
|
推荐文章
精彩文章
|
