首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 操作系统安全 > 从四个方面谈Win 2000的安全设置 > 正文

从四个方面谈Win 2000的安全设置

出处:第八军团 作者:第八军团 时间:2004-2-11 9:47:00
在用户安全设置方面

  1.禁用Guest账号。不论工作组模式还是域模式,都应该禁用此账号。惟一的例外就是极少数量(10台以下)的机器之间用网上邻居互访共享文件夹,且不和公网相连,可以继续保持此账号。


  2.限制不必要的用户。此时需注意:

  (1)在工作组模式中,默认账号有Administrator、Guest。如果要用IIS(Internet Information Server)建设各类站点,则IUSER_computername和IWAM_computername也是默认账号,不能停用。因前者是IIS匿名访问账号,后者是IIS匿名执行脚本的账号。这两个账号默认有密码,是由系统分配的,用户不要更改其密码,更不要删除,否则IIS不能匿名访问和执行脚本;如果有终端服务则TsInternetUser也是默认账号,不能停用。

  (2)在域模式中,Administrator组中会增加Domain Admins和Enterprise Admins两个组中的成员,另外还会有Krbtgt账号,默认是被禁用的,这个账号是密钥分发账号。

  3.开启用户策略。其中有用户锁定阀值设置,将它设置为多少才合适呢?用户在登录时,Windows会采用加密协议加密用户的用户名和密码。在域环境中,如果只是单纯的系统(即什么软件都不装),用户进行登录时,Windows会尝试用Kerbos协议验证,不成功则会再用Ntlm验证,此时的验证的方式有两种;如果该账户同时又是Outlook的用户,验证的方式将有6种之多,也就是说用户在登录时如果密码输入错误,一次登录就要浪费掉6次账户锁定值。因此,微软技术支持中心的工程师建议将这个锁定值设置为13,这样才可以实现错误输入密码3次再锁定账户的目的。

  在密码安全设置方面

  在给账号设置密码时,不是密码位数越多越好,在符合密码复杂性原则的基础上,7位和14位的密码是最好的。这个结论是微软全球技术支持中心的工程师给出的,它是由密码所采用的加密算法决定的。

  有一点大家需注意:屏幕保护存在一个安全漏洞,即他人可以在不进入系统的情况下,利用DOS模式将Cmd.exe命令更名为你所选用的屏幕保护程序的名称而将其替换掉。此后,只要这个“屏幕保护程序”一运行,Cmd窗口就会弹出且以系统身份运行,默认是最大权限。因此,采用设置屏幕保护密码的做法并不安全,正确的做法应是网管员离开工位时要锁定计算机(Windows 2000下,按Ctrl+Alt+Del,在弹出的“关机”菜单中选择“锁定计算机”即可)。

  在系统安全设置方面

  1.使用NTFS格式分区。NTFS分区要比FAT分区安全很多,且只有使用NTFS分区才能真正发挥Windows 2000的作用。Windows 2000自带了转换NTFS分区的工具Convert。在命令提示符下执行Convert x/FSNTFS(x为所要转换的盘符),执行时如果转换的是非操作系统所在分区,则立即执行分区转换;如果转换的是操作系统所在分区,则重启后执行分区转换。注意:此转换过程是单向不可逆的,即只能由FAT转换至NTFS。虽然可用第三方工具做分区格式之间的转换,但这样做不能保证绝对安全,在某些情况下会导致分区不可用,所以建议只用Convert命令来转换分区格式;如果非要用第三方工具,一定要事先做好备份。另外,据我个人经验,并不需要将所有分区都做成NTFS分区,而应保留一个分区为FAT32,用于存放一些常用工具,并可方便Ghost备份。

  2.到微软网站下载最新的补丁程序。强烈建议!这是每一个网络管理员都应该有的好习惯。这里说明一点:微软每隔一定时间推出的Servicespacks是针对近期推出的Hotfix的综合,如果你经常做Hotfix补丁,那么当后一版的Servicespacks推出后可能会和你的Hotfix冲突。因为Servicespacks也是要经过测试的,而测试阶段可能又有新的Hotfix推出,当你做了新的Hotfix补丁后再打旧版的Servicespacks补丁时就会产生冲突。

  3.关闭默认共享。这里必须要修改注册表,否则每次重启之后默认共享还会出现。在注册表“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run”下,在右栏空白位置点击鼠标右键,选择“新建”,再选“字符串值”,名称中输入:“delipc$”,这里的名字可以随便取,然后双击它就会弹出一个窗口来,输入:“net share ipc$/del”,下次开机就可自动删掉默认共享。修改注册表后需要重新启动机器。同样的方法还可以删掉AMDIN$。

  4.锁住注册表。Windows 2000提供了一个叫Regedt32.exe的工具,它也是一个注册表编辑器。与Regedit.exe不同的是它有一个“安全”选项,可以给注册表的每一个键值设置权限。因此用户可以将许多敏感的键值赋权,例如设置成只有Administrator才能读取和修改,不给其他人可乘之机。

  在服务安全设置方面

  1.关闭不必要的端口。可惜Windows 2000并不支持关闭端口的选项,我们只好选用第三方工具,关闭一些关键端口,比如Telnet等。

  2.设置好安全记录的访问。Windows 2000操作系统自带了审核工具,默认不开启。如果一旦开启了审核策略,用户可以在事件日志里查看安全日志,里面会有详细的审核记录,审核通常为成功和失败两种。不过,建议平时不要常开安全审核,因为审核量很大,通常一个错误的密码输入就可以在日志中记录一页多的条目,非常浪费系统资源。建议只在怀疑系统受到攻击时才开启审核。在“开始”菜单的“运行”中输入“Eventvwr.msc”查看安全日志,就可以看到审核的消息。注:具体如何实现请参见微软知识库文章“Microsoft Knowledge Base Article - 300549”(网址是:http://support.microsoft.com。

  3.把敏感文件存放在另外的文件服务器中。出于对性能和安全的双重考虑,建议有条件的用户将域控制器与Web服务器、数据库服务器等其他重要服务器分开,即不要用同一台服务器运行多种服务。同时,一定要进行及时、有效的备份,最好有一个详尽的备份计划。
,
相关文章 热门文章
  • 微软宣布已售出4亿份Windows 7许可
  • 重新发掘Net User Net工具的用户账号管理功能简直就是一个多面手
  • Powercfg 从命令行控制系统的电源管理
  • windows NT 4.0 Domain升级到windows server 2008 R2需要注意的几个问题
  • windows 7使用GPO统一桌面黑屏
  • Windows 2003域更名工具(Domain Rename Tool)
  • 创建Windows 7部署介质
  • 轻松传送——Windows Easy Transfer
  • 使用MDT 2010执行Windows 7裸机安装
  • Windows Server 2008 R2和Windows 7的组策略
  • 监视Windows 7中的系统启动性能
  • Windows 7十大快捷键
  • ipc$详细解释大全
  • 利用RPC漏洞入侵服务器
  • 配置策略禁止139/445端口连接
  • 使用windows脚本入侵WINDOWS服务器
  • 木马克星――Trojan Ender正式国际版 2.0.0
  • 让你的终端服务器“固若金汤”
  • 诡秘的DLL木马
  • Windows源码泄露 微软建议用户升级至IE6 SP1
  • 安装Win2003 Server下的Snort
  • 微软最新漏洞公告10号发布 MS04-007最严重
  • 如何配置解决Win2K服务器安全问题
  • 构筑更安全的乐园--Windows安全解决方案解析
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号