1.物理安全
服务器必须安装在安装显示器的隔离室,显示器必须保留15天以上的相机记录。另外,机箱、键盘、电脑桌抽屉要上锁,这样即使别人进入房间也不能使用电脑,钥匙要放在其他安全的地方。
2.停止来宾
帐号
在计算机管理用户中,禁用来宾帐户,随时不允许来宾帐户登录系统。为了保险,最好给客人
添加复杂密码后,可以打开记事本,输入包含特殊字符、数字和字符的长字符串,将其复制到来宾帐户的密码中。
3.不必要的限制
删除所有duplicate user帐户,使用测试帐户。
共享账户、一般部门账户等。用户组策略设置适当的权限,经常检查系统中的帐户,删除不再使用的帐户。这些账户经常有黑客侵入系统的突破,系统中的账户越多,黑客获得合法用户权限的可能性就越大。(威廉莎士比亚、黑客、黑客、黑客、黑客、黑客、黑客、黑客)在国内nt/2000主机上,如果系统账户超过10个,一般可以找到一两个弱密码账户。我发现过197个主机账户中,180个账户都是弱密码账户。
4.创建两个
这一点看起来与上面有些矛盾,但实际上服从上面的规则。创建一般权限帐户,处理接收和部分*日常事务,另一个拥有管理员
特权帐户仅在需要时使用。管理员可以使用“RunAS”
为了便于管理,命令执行一些需要特权的工作。
5.重命名系统管理员帐户
你知道,windows 2000
无法禁用的管理员帐户。也就是说,其他人可以反复尝试该帐户的密码。更改管理员账户的名称可以有效地防止这种情况。当然,请不要使用Admin这样的名字,不要更改,尽量伪装成普通用户。例如:请换成guestone。
6.创建陷阱帐户
什么是陷阱帐户?Look!创建名为“”
“管理员”的本地帐户将权限设置为最小,添加了什么都不能做的类型和10位以上的超复杂密码。注:管理员、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者、管理者)这样就可以创建相应的脚本。
s忙了一段时间,由此可以发现他们的入侵企图。或其登录(login)
在“Scripts”上做手脚。嘿嘿,坏得够多了!
7.将文件共享权限从“everyone”组更改为“特权用户”
“everyone”
在Win2000中,这意味着所有能够访问网络的用户都可以使用这些共享材料。请勿将任何时间共享文件的用户设置为“everyone”组。包括
好的密码对网络很重要,但最容易被忽略。前面说的应该已经能说明这一点了。有些公司的管理员在创建帐户时,通常会用公司名称、计算机名称或其他推测创建用户名,然后将此帐户的密码设置为N。例如:
选择Welcome" "iloveyou
与“letmein”或用户名相同。用户第一次登录时,必须将这些帐户更改为复杂的密码,并且必须经常更改密码。几天前,IRC讨论这个问题时,我们给出了安全期间无法破解的密码是好密码的定义。也就是说,别人收到你的密码文件后,需要43天以上才能破解,你的密码策略是要更改密码42天。
9
设置简单必要的屏幕保护密码也是防止内部人员破坏服务器的屏障。注意不要使用OpenGL和复杂的屏幕保护程序,浪费系统资源,使其成为黑屏即可。此外,建议为所有系统用户使用的系统添加屏幕保护密码。
10.
使用NT
将服务器上的所有分区更改为NTFS格式。NTFS文件系统比FAT、FAT32的文件系统安全得多。这一点不用说,肯定每个人都已经有NTFS了。
11.运营预防
我见过的Win2000/Nt服务器没有安装防病毒软件。其实这很重要。一些好的杀毒软件不仅能杀死一些著名的病毒,还能调查大量的木马和后门程序。这样,“黑客”们使用的那些著名木马就会变得无用。不要忘记经常升级病毒库
12.保护备份磁盘的安全
杀毒软件不仅能杀死著名的病毒,还能杀死大量的木马和后门程序。在这种情况下,“黑客”使用的著名特洛伊木马是
微软提供了一套管理控制台(MMC)安全配置和分析工具,使您能够轻松配置服务器以满足您的需求。请具体内容
参考微软主页14.关闭不必要
windows 2000 的 Terminal Services(终端服务),IIS
,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server
Spooler
NTLM SSP Server
RPC Locator WINS
RPC serv
Netlogon Event log
15.关闭不必要
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是黑客入侵你的系统的第一步。system32driversetcservices
文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>属性>本地连接>属性>internet
协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性
打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
16.打开审核策略
有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>属性>本地连接>属性>internet
协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性
打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
16.打开审核策略
开启安全审核
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
17.开启密码
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
18.开启帐户策略
策略
设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
20.把敏感文件存放在另外的文件
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
21.不让系统显示上次登陆的
户锁定时间 20分钟
帐户锁定阈值 3次
19.设定安全记
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问。
20.把敏感文件存放在另外的文件服务器中
放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常
把 REG_SZ 的键值改成 1 .
22.禁止建立空连接
终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous
的值改成”1”即可。
23.到微软网站下载最新的补丁程序
24. 关闭 D
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。
修改注册表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)为
0 即可。
25.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share
查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享
在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$
每个分区的根目录。Win2000 Pro版中,只有Administrator
和Backup Operators组成员才可连接,Win2000
Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT%
远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径,比如 c:winnt
FAX$ 在Win2000
Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon
这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$
%SYSTEMROOT%SYSTEM32SPOOLDRIVERS
用户远程管理打印机
解决办法:
打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开
控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
27使用文件加
Windows2000
强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。
有关EFS的具体信息可以查看
<A
href=";
target=_blank>
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
29.锁住
在windows2000中,只有administrators和Backup
Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限,详细信息请参考:
<A
href=";
target=_blank>
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。
要在关机的时候清楚页面文件,可以编辑注册表
HKLMSYSTEMCurrentControlSetControlSession
ManagerMemory Management
把ClearPageFileAtShutdown的值设置成1。
31禁
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
32.考虑使用智能卡来代
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack
等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
33.考虑使
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec
提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSe
anagerMemory Management
把ClearPageFileAtShutdown的值设置成1。
31禁止从软盘和CD
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
32.考虑使用智能卡来代
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack
等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
33.考虑使
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec
提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强
接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强
1.《【传奇私服黑屏】分享打开传奇服务器安全设置的几种方法》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《【传奇私服黑屏】分享打开传奇服务器安全设置的几种方法》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/2513434.html