【传奇私服进去黑屏】分享打开传奇服务器安全设置的几种方法

1.物理安全

服务器必须安装在安装显示器的隔离室，显示器必须保留15天以上的相机记录。另外，机箱、键盘、电脑桌抽屉要上锁，这样即使别人进入房间也不能使用电脑，钥匙要放在其他安全的地方。

2.停止来宾

帐号

在计算机管理用户中，禁用来宾帐户，随时不允许来宾帐户登录系统。为了保险，最好给客人

添加复杂密码后，可以打开记事本，输入包含特殊字符、数字和字符的长字符串，将其复制到来宾帐户的密码中。

3.不必要的限制

删除所有duplicate user帐户，使用测试帐户。

共享账户、一般部门账户等。用户组策略设置适当的权限，经常检查系统中的帐户，删除不再使用的帐户。这些账户经常有黑客侵入系统的突破，系统中的账户越多，黑客获得合法用户权限的可能性就越大。(威廉莎士比亚，黑客，黑客，黑客，黑客，黑客，黑客，黑客)在国内的nt/2000主机上，如果系统账号超过10个，通常可以找到一两个弱密码账号。我发现过197个主机账户中，180个账户都是弱密码账户。

4.创建两个

这一点看起来与上面有些矛盾，但实际上服从上面的规则。创建一般权限帐户，处理接收和部分*日常事务，另一个拥有管理员

特权帐户仅在需要时使用。管理员可以使用“RunAS”

为了便于管理，命令执行一些需要特权的工作。

5.重命名系统管理员帐户

你知道，windows 2000

无法禁用的管理员帐户。也就是说，其他人可以反复尝试该帐户的密码。更改管理员账户的名称可以有效地防止这种情况。当然，请不要使用Admin这样的名字，不要更改，尽量伪装成普通用户。例如：请换成guestone。

6.创建陷阱帐户

什么是陷阱帐户？Look！创建名为“”

“管理员”的本地帐户将权限设置为最小，添加了什么都不能做的类型和10位以上的超复杂密码。注：管理员、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者)这样就可以创建相应的脚本。

s忙了一段时间，由此可以发现他们的入侵企图。或其登录(login)

在“Scripts”上做手脚。嘿嘿，坏得够多了！

7.将文件共享权限从“everyone”组更改为“特权用户”

“everyone”

在Win2000中，这意味着所有能够访问网络的用户都可以使用这些共享材料。请勿将任何时间共享文件的用户设置为“everyone”组。包括

好的密码对网络很重要，但最容易被忽略。前面说的应该已经能说明这一点了。有些公司的管理员在创建帐户时，通常会用公司名称、计算机名称或其他推测创建用户名，然后将此帐户的密码设置为N。例如：

选择Welcome" "iloveyou

与“letmein”或用户名相同。用户第一次登录时，必须将这些帐户更改为复杂的密码，并且必须经常更改密码。几天前，IRC讨论这个问题时，我们给出了安全期间无法破解的密码是好密码的定义。也就是说，别人收到你的密码文件后，需要43天以上才能破解，你的密码策略是要更改密码42天。

9

设置简单必要的屏幕保护密码也是防止内部人员破坏服务器的屏障。注意不要使用OpenGL和复杂的屏幕保护程序，浪费系统资源，使其成为黑屏即可。此外，建议为所有系统用户使用的系统添加屏幕保护密码。

10.

使用NT

将服务器上的所有分区更改为NTFS格式。NTFS文件系统比FAT、FAT32的文件系统安全得多。这一点不用说，肯定每个人都已经有NTFS了。

11.运营预防

我见过的Win2000/Nt服务器没有安装防病毒软件。其实这很重要。一些好的杀毒软件不仅能杀死一些著名的病毒，还能调查大量的木马和后门程序。这样，“黑客”们使用的那些著名木马就会变得无用。不要忘记经常升级病毒库

12.保护备份磁盘的安全

杀毒软件不仅能杀死著名的病毒，还能杀死大量的木马和后门程序。在这种情况下，“黑客”使用的著名特洛伊木马是

微软提供了一套管理控制台(MMC)安全配置和分析工具，使您能够轻松配置服务器以满足您的需求。请具体内容

参考微软主页

14．关闭不必要

windows 2000 的 Terminal Services（终端服务）,IIS

,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认

Computer Browser service TCP/IP NetBIOS Helper

Microsoft DNS server

Spooler

NTLM SSP Server

RPC Locator WINS

RPC serv

Netlogon Event log

15．关闭不必要

关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices

文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet

协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性

打开tcp/ip筛选,添加需要的tcp,udp,协议即可。

16．打开审核策略

有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet

协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性

打开tcp/ip筛选,添加需要的tcp,udp,协议即可。

16．打开审核策略

开启安全审核

策略 设置

审核系统登陆事件 成功,失败

审核帐户管理 成功,失败

审核登陆事件 成功,失败

审核策略更改 成功,失败

审核特权使用 成功,失败

审核系统事件 成功,失败

17.开启密码

密码复杂性要求 启用

密码长度最小值 6位

强制密码历史 5 次

强制密码历史 42 天

18．开启帐户策略

策略

设置

复位帐户锁定计数器 20分钟

帐户锁定时间 20分钟

安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。

20．把敏感文件存放在另外的文件

虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。

21.不让系统显示上次登陆的

户锁定时间 20分钟

帐户锁定阈值 3次

19．设定安全记

安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。

20．把敏感文件存放在另外的文件服务器中

放在另外的文件服务器中

虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常

把 REG_SZ 的键值改成 1 .

22．禁止建立空连接

终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous

的值改成”1”即可。

23.到微软网站下载最新的补丁程序

24. 关闭 D

这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏,在服务器上玩星际争霸？我晕..$%$^%^&??）,但是对于绝大多数的商业站点都应该是没有影响的。

修改注册表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)为

0 即可。

25.关闭默认共享

win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share

查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享

在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。

默认共享目录 路径和功能

C$ D$ E$

每个分区的根目录。Win2000 Pro版中,只有Administrator

和Backup Operators组成员才可连接,Win2000

Server版本

Server Operatros组也可以连接到这些共享目录

ADMIN$ %SYSTEMROOT%

远程管理用的共享目录。它的路径永远都

指向Win2000的安装路径,比如 c:winnt

FAX$ 在Win2000

Server中,FAX$在fax客户端发传真的时候会到。

IPC$ 空连接。IPC$共享提供了登录到系统的能力。

NetLogon

这个共享在Windows 2000 服务器的Net Login 服务在处

理登陆域请求时用到

PRINT$

%SYSTEMROOT%SYSTEM32SPOOLDRIVERS

用户远程管理打印机

解决办法：

打开注册表编辑器。REGEDIT

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开

控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。

27使用文件加

Windows2000

强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。

有关EFS的具体信息可以查看

<A

href=";

target=_blank>

一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。

29.锁住

在windows2000中,只有administrators和Backup

Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考：

<A

href=";

target=_blank>

页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。

要在关机的时候清楚页面文件,可以编辑注册表

HKLMSYSTEMCurrentControlSetControlSession

ManagerMemory Management

把ClearPageFileAtShutdown的值设置成1。

31禁

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

32.考虑使用智能卡来代

对于密码,总是使安全管理员进退两难,容易受到 10phtcrack

等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。

33.考虑使

正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec

提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSe

anagerMemory Management

把ClearPageFileAtShutdown的值设置成1。

31禁止从软盘和CD

一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。

32.考虑使用智能卡来代

对于密码,总是使安全管理员进退两难,容易受到 10phtcrack

等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。

33.考虑使

正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec

提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强

接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强